Der österreichische Rechtsprofessor Peter Burgstaller behauptet schlagzeilenträchtig, die «legale WhatsApp-Verwendung sei praktisch unmöglich.» In der Europäischen Union (EU) zumindest kenne er niemanden, der den amerikanischen Instant Messaging-Dienst legal verwende.
Peter Burgstaller nennt zwei Gründe für die behauptete Illegalität:
Einerseits erlaubten die WhatsApp-Nutzungsbedingungen nur den «Personal Use», so dass die Verwendung zum Beispiel in Unternehmen die Nutzungsbedingungen verletzen würde. Andererseits greife WhatsApp die Smartphone-Kontakte der Nutzerinnen und Nutzer ab, wodurch Personendaten von Dritten ohne deren notwendige Zustimmung in die USA übermittelt würden.
Bewegen sich (auch) WhatsApp-Nutzerinnen und -Nutzer in der Schweiz in der Illegalität?
Mir erscheinen die Befürchtungen von Peter Burgstaller übertrieben und weltfremd. Aus den Äusserungen spricht eine «Internet-Angst», wie sie im deutschsprachigen Raum leider weit verbreitet ist. Ich gehe davon aus, dass jene Mandantinnen und Mandanten, die mich per WhatsApp kontaktieren, legal handeln und auch keine Bestrafung riskieren.
WhatsApp-Verwendung nur für «Personal Use»?
Es stimmt, dass die Nutzungsbedingungen von WhatsApp auf den ersten Blick nur den «Personal Use» erlauben (Ziff. 3 lit. A). Es gibt aber keinerlei Anzeichen dafür, dass WhatsApp-Eigentümerin Facebook damit eine geschäftliche Verwendung ausschliessen möchte. Die Bestimmung dürfte so zu verstehen sein, dass einzelne WhatsApp-Konten von ihren jeweiligen Inhabern nur selbst genutzt werden dürfen.
Diese Beschränkung schliesst die Verwendung zu geschäftlichen Zwecken («Business Use») oder auch anderen Zwecken im Einklang mit den Nutzungsbedingungen nicht aus. Im Übrigen gibt es bislang keinerlei Anzeichen, dass Facebook den «Personal Use» bei WhatsApp im Sinn von Peter Burgstaller verstehen würde. Und mit einem rechtlichen Vorgehen gegen WhatsApp-Nutzerinnen würde sich Facebook selbst schaden.
WhatsApp hat ausserdem bereits angekündigt, sich für die direkte Verwendung durch Organisationen und Unternehmen zu öffnen:
«[…] Starting this year, we will test tools that allow you to use WhatsApp to communicate with businesses and organizations that you want to hear from. That could mean communicating with your bank about whether a recent transaction was fraudulent, or with an airline about a delayed flight. […]»
Insofern erscheint auch die Spekulation von Peter Burgstaller, wonach Facebook von geschäftlichen WhatsApp-Nutzern unter Klagedrohung die Zahlung von Lizenzgebühren einfordern könnte, weit hergeholt. Im harten Wettbewerb unter globalen Social Media-Angeboten und Instant Messaging-Diensten, darunter LINE aus Japan und WeChat, kann man sich nur mit attraktiven Angeboten behaupten.
Datenschutzverletzung durch WhatsApp-Verwendung?
Zugriff auf Smartphone-Kontakte durch WhatsApp
Es stimmt auch, dass WhatsApp standardmässig um Zugriff auf die Smparthone-Kontakte der Nutzerinnen und Nutzer ersucht. Man kann WhatsApp – jedenfalls auf dem iPhone und offensichtlich auch auf Android-Geräten – aber auch nutzen, ohne diesen Zugriff zu gewähren.
Wenn man den WhatsApp den Zugriff gewährt, greift WhatsApp nach eigenen Angaben ausschliesslich auf Handy-Telefonnummern zu und speichert diese nur von bestehenden WhatsApp-Nutzern dauerhaft. Handynummern, die noch keinen WhatsApp-Nutzerinnen zugeordnet werden können, werden als Hashwerte anonymisiert abgespeichert, wie es in der Datenschutzerklärung von WhatsApp heisst:
«In order to provide the WhatsApp Service, WhatsApp will periodically access your address book or contact list on your mobile phone to locate the mobile phone numbers of other WhatsApp users (‹in-network› numbers), or otherwise categorize other mobile phone numbers as ‹out-network› numbers, which are stored as one-way irreversibly hashed values.»
Dieses Vorgehen ist vergleichsweise datenschutzfreundlich und ermöglicht, dass WhatsApp-Nutzer andere WhatsApp-Nutzer nicht von Hand zu ihren Kontaktlisten hinzufügen müssen. Die entsprechende Komfortfunktion ist inzwischen (notwendigerweise) Standard bei Apps und Diensten, die Nutzerinnen und Nutzer miteinander verbinden, das heisst insbesondere bei sozialen Netzwerken. Letztlich muss aber jeder Nutzer selbst verantworten, ob er zulassen möchte, dass WhatsApp auf seine Kontakte zugreift.
Wer allerdings seine Handynummer vertraulich halten möchte, muss sich selbst schützen und darf seine Handynummer anderen Personen weder direkt noch indirekt übermitteln. Auch Standard ist inzwischen, dass Smartphone-Nutzer ihre Kontakte zumindest zwecks Datensicherung in der Cloud speichern, wobei diese Daten dort üblicherweise für Anbieter und Sicherheitsbehörden zugänglich sind.
Europäischer Datenschutz als bürokratischer Wahnsinn
In Bezug auf den Datenschutz stellt sich – wie bei allen amerikanischen Anbietern – ausserdem die Problematik der Datenbearbeitung in den USA, nachdem die so genannte Safe Harbor-Regelung dafür nicht mehr genügt. Peter Burgstaller fordert deshalb, dass jeder einzelne WhatsApp-Nutzer mit Facebook einen entsprechenden Vertrag abschliesst und diesen von der zuständigen nationalen Datenschutzbehörde genehmigen lässt:
«Zusätzlich wäre […] für eine Weitergabe der Daten in die USA eine Vorabgenehmigung der zuständigen nationalen Datenschutzbehörde nötig. Kunden müssten einen Vertrag mit WhatsApp schließen und diesen bei der Datenschutzbehörde genehmigen lassen.»
Ein solcher bürokratischer Wahnsinn wäre selbstverständlich möglich. Inwiefern ein derart wiehernder Amtsschimmel den Datenschutz von Konsumentinnen und Konsumenten in Europa tatsächlich verbessern würde, erklärt Peter Burgstaller nicht … Immerhin wurde die Datensicherheit bei WhatsApp seit der Übernahme durch Facebook erheblich gestärkt, wie der Ärger von amerikanischen Sicherheitsbehörden über verschlüsselte WhatsApp-Nachrichten exemplarisch zeigt.
Ich bin der Ansicht, dass WhatsApp-Nutzerinnen und -Nutzer in der Schweiz der Bearbeitung ihrer eigenen Daten in den USA nach entsprechender Vorinformation zustimmen können sollten. Die Datenschutzerklärung von WhatsApp enthält einen Abschnitt, der sich ausdrücklich an Nutzer ausserhalb der USA richtet und diese entsprechend informiert:
«Special Note to International Users
The WhatsApp Site and Service are hosted in the United States and are intended for and directed to users in the United States. If you are a user accessing the WhatsApp Site and Service from the European Union, Asia, or any other region with laws or regulations governing personal data collection, use, and disclosure, that differ from United States laws, please be advised that through your continued use of the WhatsApp Site and Service, which are governed by California law, this Privacy Policy, and our Terms of Service, you are transferring your personal information to the United States and you expressly consent to that transfer and consent to be governed by California law for these purposes.»
Wünschenswert wäre allerdings, dass die Datenschutzerklärung von WhatsApp auch auf Deutsch gelesen werden könnte. Peter Burgstaller hingegen beklagt überhaupt, dass niemand die «einfach und kurz (sic!) formulierten» Nutzungsbedingungen lese. Hand aufs Herz: Wie viele potenzielle Nutzer würden nach Lektüre der Nutzungsbedingungen auf die Verwendung von WhatsApp verzichten?
Hilfloser Heimatschutz statt wirksamer Datenschutz
Im Übrigen erscheint es mir nicht angebracht, beim amerikanischen Datenschutz den Teufel an die Wand zu malen. Die Datensicherheit kann in den USA genauso gut wie in der Europäischen Union und in der Schweiz gewährleistet werden, vielleicht sogar besser … Die Ziele beim Datenschutz sind in Europa und in den USA weitgehend deckungsgleich, während sich die Mittel zur Umsetzung erheblich unterscheiden.
Hingegen leidet der Datenschutz weltweit darunter, dass wir alle anlasslos und verdachtsunabhängig überwacht werden. Auch in der Schweiz findet solche Massenüberwachung statt und soll weiter ausgebaut werden – durch schweizerische Sicherheitsbehörden, aber auch durch ausländische Geheimdienste in der Schweiz.
Europäerinnen und Schweizer sitzen deshalb datenschutzrechtlich im Glashaus und sollten nicht mit Steinen auf die USA werfen. Gerade erst haben so genannte Sicherheitspolitiker gefordert, das neue Nachrichtendienstgesetz (NDG) – ein «Massnahmengesetz» für den schweizerischen Geheimdienst – noch vor der Volksabstimmung im Herbst mittels Notrecht vorzeitig in Kraft zu setzen.
Hinter Kritik an WhatsApp und anderen Diensten aus den USA steht häufig die Frustration, dass es kaum vergleichbar erfolgreiche Anbieter in Europa gibt. In der Folge dient der immer stärker regulierte Datenschutz in der Europäischen Union (EU) und in der Schweiz als hilfsloser Heimatschutz, ohne dass der tatsächliche Datenschutz für Konsumentinnen und Konsumenten verbessert wird. So ist beispielsweise unbestritten, dass die lästigen Cookie-Hinweise auf vielen Websites den Datenschutz nicht verbessern. Auch unternehmerische Innovation wird in Europa mit immer mehr Regulierung im Datenschutzrecht nicht gefördert.
Konsumentinnen und Konsumenten nicht unterschätzen!
Die Befürchtungen von Peter Burgstaller finden durchaus eine Grundlage im europäischen Datenschutzrecht. Aber den meisten Konsumentinnen und Konsumenten in der Schweiz erscheinen sie angesichts der Lebenswirklichkeit im digitalen Raum übertrieben und weltfremd – zu Recht!
Datenschutz und Datensicherheit werden durch die immer stärkere Regulierung in Europa nicht verbessert. Diese Überregulierung wirkt innovationsfeindlich und gefährdet die allgemeine Legitimation des Datenschutzrechtes dort, wo Konsumentinnen und Konsumenten tatsächlich geschützt werden müssen – zum Beispiel vor staatlichem Datenhunger.
WhatsApp und andere Dienste werden freiwillig genutzt, weil sie einen erheblichen Mehrwert bieten und die Vorteile etwaige Nachteile erheblich überwiegen. Die Nutzer von WhatsApp, gerade auch in der Schweiz, sind mündig und wissen die Vor- und Nachteile der WhatsApp-Verwendung abzuwägen, auch wenn sie häufig die jeweiligen Nutzungsbedingungen tatsächlich nicht gelesen haben. Die Kompetenz von Konsumentinnen und Konsumenten darf nicht unterschätzt werden, den Nutzerinnen von WhatsApp und anderen Diensten darf nicht die Mündigkeit abgesprochen werden.
(Auch via «20 Minuten» – mit einem amüsant-punktgenauen Leserkommentar.)
Bild: Flickr / Jan Persiel, «iOS7 Homescreen […]», CC BY-SA 2.0 (generisch)-Lizenz.
Ich finde die Position von Peter Burgstaller, wie sie hier wiedergegeben wird auch überzogen, aber ob die Masse der WhatsApp-Anwender wirklich mündig und ein Bewußtsein für Datenschutz haben wage ich stark zu bezweifeln. Die Masse sind doch die unter 20-jährigen, die leider wenig reflektiert mit der Datenschutzproblematik umgehen.
@Arno:
Sie müssen sich nicht auf meine Wiedergabe verlassen, sondern können das Interview mit Prof. Burgstaller nachlesen:
https://steigerlegal.ch/2016/04/04/whatsapp-illegal/
Ergänzung:
Das ist auch auf Android möglich.
@Wabble:
Ergänzt, vielen Dank für den Hinweis!