Home » Blog » Schicken Sie WhatsApp in den Daten-Knast: WhatsApp DSGVO konform einsetzen (Android)

Schicken Sie WhatsApp in den Daten-Knast: WhatsApp DSGVO konform einsetzen (Android)

whatsapp datenknast dsgvo
Wichtige Informationen / Disclaimer:
1.) Ich bin kein Anwalt! Aus diesem Grund will, kann und darf dieser Artikel keine Rechtsberatung vornehmen. Alle Informationen sind im Internet recherchiert und alle Tipps & Trick werden auf eigene Gefahr angewendet. Für eine Rechtsberatung wenden Sie sich bitte an einen/Ihren Anwalt.
2.) Die beschriebenen Tipps & Tricks sind möglich, erfordern aber ein gewisses Wissen über Technik, Smartphones und Apps. Die Anwendung der Tipps & Tricks erfolgt auf eigene Gefahr. Es wird keine Garantie für Hard- und Software übernommen.
3.) Die schlechte Nachricht: Die Tipps gelten nur für Android. Am Ende des Artikel ist jedoch ein Link zu einer möglichen Lösung für iOS aufgeführt.
4.) Ich persönlich empfehle einen DSGVO konformen Messenger wie Threema zu verwenden, von dem ich sehr viel halte und den es auch als Business-Version für Unternehmen und Bildungseinrichtungen gibt.

An WhatsApp scheiden sich die Geister. Die einen lieben die App auf Grund ihrer Einfachheit und der Möglichkeit einen Großteil der Freunde zu erreichen. Die anderen hassen die App, da sie Daten an das Mutterunternehmen ‘Facebook Inc.’ und damit auch an US-amerikanische Server weitergibt. Einige “WhatsApp-Kritiker” gehen sogar soweit, ‘Facebook Inc.’ als Mutterkonzern zu unterstellen, WhatsApp-Nachrichten trotz Verschlüsselung über sogenannte “Hintertüren” (Fachausdruck: Backdoors) detailliert mitzulesen. Ob dies der Fall ist, kann in diesem Artikel nicht beantwortet werden. Dieser Artikel beschäftigt sich mit der Frage, ob WhatsApp DSGVO konform verwendet werden kann?! These: Ja es geht, wenn man ein paar Tricks anwendet und auf etwas Usability verzichtet. Das gut vorne weg: Alle Tipps und Android-Apps sind kostenlos.

Seit Inkrafttreten der DSGVO haben viele Unternehmen alle Hände voll zu tun, ihre Daten und die damit verbundene Datenverarbeitung neu und gesetzestreu zu strukturieren – eine Mammutaufgabe. Bisher galt die Faustformel, dass die DSGVO zu weiten Teilen ein Problem für Unternehmen ist und keine Relevanz für Privatpersonen hat. Viele private Nutzer wissen jedoch nicht, dass die DSGVO unter gewissen Umständen auch für sie gelten kann. Und zwar immer dann, wenn geschäftliche Namen, Telefonnummern und andere Daten auf dem privaten Smartphone gespeichert und an Dritte (Personen und/oder Unternehmen) weitergegeben und/oder von Apps ausgelesen werden. Dies erfolgt u.a. von der mehr als beliebten Smartphone-App ‘WhatsApp’. Bereits bei der Installation verlangt WhatsApp Zugriff auf alle Adressdaten im Telefonbuch und übermittelt dann u.a. Namen und Telefonnummern zum Abgleich an US-amerikanische Server. Dies stellt für Privatpersonen immer dann ein gravierendes Problem dar, wenn betriebliche Daten, wie z.B. Kunden- und/oder Mitarbeiterdaten auf dem privaten Smartphone gespeichert sind. Die Krux: Nach Meinung einiger Juristen und Experten zählen dazu eben auch die privaten Telefonnummern von Arbeitskollegen.
Und mal ehrlich, wer hat keine Mobilfunknummern von Kolleg:innen auf dem Smartphone gespeichert?

Internetfundstück:

Aber auch ohne juristische Beschränkungen gibt es immer mehr Menschen, die WhatsApp und damit Facebook nicht ihre Daten und die Daten ihrer Freunde und Familienmitglieder überlassen wollen.

WhatsApp komplett zu löschen wäre der einfachste aber auch radikalste Schritt. Leider zeigen die Erfahrungen jedoch, dass viele Menschen (Zufallsbeispiel), dann von der Kommunikation mit Freunden abgeschnitten werden. Wie also vorgehen, wenn man beides möchte: DSGVO und WhatsApp?

WhatsApp – “Datenschutzverstoß” per Grundeinstellung

Zugegeben, die Datenübermittlung ist ein wichtiger Bestandteil der Einfachheit und damit auch des Erfolgs von WhatsApp. Nach der Freigabe der Adressbuchdaten sieht jeder Nutzer sofort, welche Kontakte ebenfalls WhatsApp verwenden und kann diese kostenlos anschreiben, Fotos und Dateien senden oder einen Video-Call starten. Diese Einfachheit bietet enorm viele Vorteile – gerade für technisch nicht so versierte Nutzer. Zwei bis drei Klicks reichen und alles funktioniert. Leider wird diese Usability (zu deutsch: Bedienfreundlichkeit) eben auch mit Daten respektive mit der Weitergabe von fremden Daten “bezahlt”.

Goldene Regel: Wenn du nichts für einen Service bezahlst, dann bist du nicht der Kunde sondern das Produkt.

In Sicherheitskreisen hört man immer wieder die Aussage, dass WhatsApp ein Verstoß gegen die DSGVO ist respektive gar nicht DSGVO konform genutzt werden kann. Diese Aussage scheint so nicht ganz korrekt zu sein. Nicht WhatsApp als App ist ein Verstoß gegen die DSGVO, sondern die Übermittlung bzw. Weitergabe der Daten aus dem Adressbuch. Ergo kann man (hier bitte nochmal den Disclaimer lesen) WhatsApp DSGVO konform nutzen, solange man keine Daten aus dem Telefonbuch übermittelt bzw. freigibt.

Wie aber soll das gehen, wenn WhatsApp bereits bei der Installation Zugriff auf das Adressbuch und ALLE darin enthaltenen Adressdaten verlangt? Und sogar so weit geht, die Installation der App abzubrechen, wenn der Zugriff auf das Telefonbuch verweigert wird? Hier gibt es mehrere Möglichkeiten.

Ab in den Daten-Knast – Zugriff auf Daten unterbinden

1.) Zugriff auf das Adressbuch verweigern

Android bietet die Möglichkeit im Betriebssystem selbst, Apps u.a. den Zugriff auf das Adressbuch zu verweigern. Damit kann WhatsApp keine Daten mehr an US-amerikanische Server übermitteln. Das Problem: Bei der allerersten Installation wurde das Adressbuch bereits komplett übermittelt. Das Zugriffsverbot gilt also nur für alle neu eingetragenen Kontakte. Dieser “Trick” würde nur funktionieren, wenn man WhatsApp auf einem nagelneuen Smartphone ohne gespeicherte Adressdaten installieren würde. Es dürfen also weder auf den Telefon noch auf der SIM-Karte irgendwelche Namen und Telefonnummern gespeichert sein. Dann könnte man WhatsApp inkl. Freigabe des Adressbuchs installieren, die gespeicherten Telefonnummer (in diesem Fall eben null) nach Amerika übertragen und danach dann WhatsApp wieder den Zugriff auf das Adressbuch entziehen. Dieser Trick klappt leider bei den meisten Nutzern nicht (mehr), da jeder irgendwie immer – entweder auf dem Gerät oder der SIM-Karte – irgendwelche Adressdaten gespeichert sind.

2.) Besser: Android Work / Smartphone-App “Island”

‘Android Work’ ist ursprünglich eine Lösung direkt von Google, welche kostenpflichtig ist und als Business-Lösung von Unternehmen eingekauft werden muss. Der Clou: Android Work installiert eine Art zweites Betriebssystem auf dem (privaten) Smartphone, welches vollkommen autark neben dem Original-System funktioniert. Beide “Ebenen” haben ihr eigenes Telefonbuch, ihre eigenen Apps und ihre eigenen Dateien. So können Mitarbeiter ihre eigenen/privaten Smartphones verwenden, ohne dass private und geschäftliche Daten vermischt werden. Diese Funktion steht jetzt auch Privatanwendern GRATIS zur Verfügung. Die kostenlose App “Island” (aktuell noch in der Beta-Phase; funktioniert aber tadellos) simuliert dabei ein “Arbeitsprofil” auf jedem modernen Android-Gerät. Im Lieferumfang enthalten ist ebenfalls ein PlayStore bzw. GooglePlay, über diesen dann ganz regulär alle Apps installiert und auch gekauft werden können.
Wer beide Ebenen komplett voneinander getrennt halten möchte, kann sich hier nun mit einem komplett neuen Googlekonto anmelden. Es sollte jedoch auch das bisherigen Googlekonto funktionieren. Aber Achtung: Falls Adressdaten von Freunden in diesem bereits existierenden Googlekonto (in der Google-Cloud) hinterlegt sind, findet hier u. U. ein Datenabgleich statt und Telefnnummern werde aus der Cloud synchronisiert. Diese Daten sind dann im “Arbeitsprofil” enthalten und werden dann wieder von WhatsApp ausgelesen. Es empfiehlt sich also hier ein wirklich komplett neues und leeres Googlekonto zu verwenden.

Nach der Installation und Konfiguration von “Island” sollte man zuerst eine Adressbuch-App installieren, damit WhatsApp diese später auch finden und auslesen kann. Natürlich ist dieses Adressbuch vollkommen leer, da das Arbeitsprofil keinen Zugriff auf die SIM-Karte(n) und das private Adressbuch im Gerät hat. Als “neues” Adressbuch empfiehlt sich z. B. die App “Schlichte Kontakte – Mühlose Kontaktverwaltung”, welche kostenlos ist und laut Eigenbeschreibung keine Daten irgendwohin sendet.

Danach installiert man wie gewohnt WhatsApp aus GooglePlay und lässt sich den SMS-Code an seine Mobilfunknummer senden. WhatsApp ist nun auf der Arbeitsoberfläche installiert und kann verwendet werden. Wichtig: WhatsApp kann immer nur mit einer Mobilfunknummer verknüpft werden. Wer also WhatsApp bereits auf der ersten privaten Ebene installiert hat, wird hier abgemeldet. Man benötige eine komplette andere Mobilfunknummer, z. B. wie bei einem Dual-Sim-Handy.

Nachteile bis hier hin:
a.) Das Business-Profil welches von der App “Island” installiert wird, geht leider bei Nichtverwendung in einen kompletten Ruhezustand. Damit funktionieren auch keine Push-Benachrichtigungen mehr. Wer Nachrichten – ganz gleich welcher Art – empfangen möchte, muss das Profil immer manuell aktivieren/starten. Erst dann greift das Arbeitsprofil auf das Internet zu. Dies kann ein Vorteil, aber auch ein Nachteil sein.
b.) Da WhatsApp auf dieser getrennten Ebene keine Kontakte erkennt (wir erinnern uns: das übermittelte Telefonbuch war leer), können auch keine Freunde angeschrieben werden. Es gibt jedoch zwei Wege dies zu umgehen. Zum einen können in das zweite Adressbuch nun die Kontakte eingetragen werden, von denen man ganz genau weiß, dass diese WhatsApp verwenden und die damit selbst den AGB von WhatsApp zugestimmt haben. Oder man behilft sich mit kleinen Tricks, um Nachrichten an nicht abgespeicherte Mobilfunknummern zu senden. Bitte hier auch die Warnung am Ende des Artikel lesen.

Die App “Island” im Alltag: Unbekannte Telefonnummern in WhatsApp anschreiben

Eigentlich mag WhatsApp es nicht wirklich, wenn man unbekannte respektive nicht im Telefonbuch gespeicherte Mobilfunknummern anschreibt. Darum können diese “Tricks” mit viel Pech auch zur Sperrung des Accounts führen. Man sollte also behutsam vorgehen.

a.) Der relativ sichere Trick: Telefonat/SMS/anderer Messenger
Der vermutlich einfachste Trick ist, den jeweiligen Kontakt einfach per Telefonanruf oder SMS zu bitten, eine Nachricht per WhatsApp zu schreiben. Damit ist der Chat “eröffnet” und man kann wie gewohnt hin und her chatten – solange man den Chatverlauf nicht löscht. Dann beginnt das Spiel wieder von vorne.

b.) Der Browser-Trick
Hierzu benötigt man einen Browser wie z. B. der kostenlose Google Chrome oder Firefox Browser. Dieser muss ebenfalls auf dem “Arbeitsprofil” installiert werden. Als URL gibt man dann einfach https://wa.me/”Nummer der Zielperson” in die Browserzeile ein – also z. B. https://wa.me/4912345678 (49 ist die Ländervorwahl von Deutschland). Es ist darauf zu achten, die zwei Nullen für die Ländervorwahl und die Null für die Mobilfunkvorwahl weg zu lassen. Nach der Eingabe (Return-Taste) des Links öffnet sich automatisch WhatsApp und führt den Nutzer direkt zum Chatfenster mit der eingegebenen Nummer. Hier kann dann eine ganz reguläre Nachricht versendet werden.

c.) Der Drittanbieter-App-Trick
Es gibt auch einige kostenlose Drittanbieter-Apps, welche diese Funktion komfortabel nachbilden – u. a.

Click to chat [small, no ads], Direct Message – Öffnen Sie den Chat für WhatsApp, Direct Message for WhatsApp – WhatsDirect und Easy Message.
[WICHTIG: Es kann keine Aussage zur Qualität und zu Sicherheit dieser Apps gegeben werden. Verwendung auf eigene Verantwortung.]

Hier muss lediglich die Mobilfunknummer des Empfänger eingetippt werden und die App öffnet dann ebenfalls automatisch WhatsApp. Und schon kann WhatsApp genutzt werden, ohne das Adressbuch und damit fremde Daten an ‘Facebook Inc.’ weiter zu geben. Leider gibt es auch hier doch den einen oder anderen Nachteil.

Nachteile bis hier hin:
a.) Daten/Inhalte:
Zuerst sind zwei wichtige Dinge zu erwähnen. Auch wenn die Mobilfunknummern über einen der oben beschriebenen Tricks eingegeben werden, werden diese natürlich trotzdem an WhatsApp übermitteln. Nimmt man es also ganz genau, sollte man im Vorfeld mit der jeweiligen Person abklären, ob diese überhaupt bei WhatsApp registriert ist. Des weiteren haben alle in diesem Artikel beschriebenen Tipps & Tricks natürlich keinen Einfluß auf die versendeten Inhalte. Wer Daten von Kunden oder andere sensible Daten per WhatsApp verschickt, könnte u. U. auch hier juristische Probleme bekommen. Bitte auch hier bitte wieder den Disclaimer am Anfang des Artikels lesen.
b.) Technik:
Einer der gravierendsten Unterschiede ist aber vermutlich die oben erwähnte Push-Funktion. Da das “Arbeitsprofil” eingefroren wird (auf englisch: “freeze”) werden alle App-Aktivitäten komplett gestoppt. Das bedeutet, dass auch keine Nachrichten mehr eingehen. Man muss also das “Arbeitsprofil” wirklich jedes Mal manuell wieder aktivieren, damit Nachrichten vom WhatsApp-Server abgeholt werden. Damit ist eine der wichtigsten – wenn nicht sogar die wichtigste – Funktionen deaktiviert. Oder man hat endlich etwas Ruhe. Je nach persönlicher Sichtweise.
c.) Usability:
Da WhatsApp die Namen der Personen nicht kennt, werden nur die Mobilfunknummer als Namen angezeigt. Man muss also anhand der Mobilfunknummer oder des Inhalts erkennen, mit wem man gerade chattet. Verwendet man wie in Punkt 2 beschrieben eine zweite Adressbuch-App für das “Business-Profil” werden die Namen wieder angezeigt. Eventuell kann auch das Profilbild helfen.

Zusammenfassung / persönliche Meinung:

Mit einigen Tricks bestehlt also die Möglichkeit die App WhatsApp so zu verwenden, dass keine Daten an WhatsApp als Unternehmen und damit an ‘Facebook Inc.’ übertragen werden. Diese erfordert jedoch ein paar Tricks und schlussendlich auch den Verzicht auf die Usability/Einfachheit, die viele Nutzer so schätzen. Ein Entscheidung, die jeder Nutzer für sich selbst treffen muss. Mir als Autor ist bewusst, dass kaum jemand diese Hürden auf sich nehmen will und wird. Dieser Artikel ist darum auch eher eine theoretische Machbarkeitstudie. Im Alltag werden sich diese “Tricks” kaum durchsetzen. Hier wird es eher auf “WhatsApp regulär nutzen vs. WhatsApp löschen” hinauslaufen.

Darum bevorzuge ich DSGVO konforme Messenger wie z. B. Threema.

Newsletter dieser Seite per Threema abonnieren!

Wichtig:

Einer der 11 Gründe, warum Nutzer bei WhatsApp gesperrt werden, ist das Versenden von Nachrichten an viele unbekannte bzw. nicht im Adressbuch gespeicherter Mobilfunknummern. Dieser SPAM-Schutz richtet sich aber vermutlich eher an professionelle SPAMer, die tausende Nachrichten pro Tag an zig unbekannte Mobilfunknummer versenden. Im privaten Umfeld sollte man kaum auf die Anzahl an Nachrichten und Mobilfunknummern kommen, damit der “SPAM-Alarm” aktiviert wird.

Trotz dieser Tipps und Tricks sollte man gerade als Unternehmen das Thema WhatsApp und Messenger nicht auf die leichte Schulter nehmen und sich immer von einer Fachperson beraten lassen.

Weitere Links:
Diese Daten greift WhatsApp von Ihrem Handy ab
https://www.techbook.de/apps/messenger/whatsapp-zugriff-facebook-datenschutz

Rumänien: 5.000 Euro Bußgeld weil ein Mitarbeiter Ausweiskopien von minderjährigen Kunden und deren gesetzlichen Vertretern über sein privates Smartphone via #WhatsApp versendet hat.
https://twitter.com/cerberus_data/status/1258059530887364609

iOS/Apple Apps:
https://tchgdns.de/whatsapp-nachrichten-schreiben-ohne-den-kontakt-zuvor-zu-speichern/
https://www.virtual-solution.com/securepim-government/

Shelter App:
Eine App die eigentlich das Gleiche macht wie Island ist Shelter. Keine persönlichen Erfahrungen.
https://www.kuketz-blog.de/shelter-eine-sandbox-umgebung-fuer-android-apps/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert