18 Dec 2017 - Matthias Voigt
Benutzer von WhatsApp unterlaufen den Datenschutz ihrer Kontakte. Ich finde aber, dies ist bei weitem das kleinste Problem. Da ich nun einen Blog habe, dachte ich mir, ich wärme das Thema mal auf und stelle meine Gedanken, die mir bereits damals kamen, hier als eigenen Beitrag ein.
Vor einigen Monaten ging ein umstrittenes Urteil durch die Presse, welches sich WhatsApp widmete. So bedarf es der Zustimmung jedes einzelnen Kontaktes, ob man dessen Daten an WhatsApp hochladen darf. Da dies durch WhatsApp automatisch geschieht und man kaum mehrere Dutzend Kontakte um Zustimmung fragen kann, entspricht das faktisch einem WhatsApp-Verbot. Alternativ kann man natürlich auch alle Kontakte aus seinem Adressbuch löschen, was eigentlich die Konsequenz dieses Urteils wäre.
Erstellt man auf dem Smartphone einen neuen Kontakt, und dabei ist es egal, ob es iPhone, Android oder Windows Mobile ist, wird dieser in der Standardeinstellung in der Cloud gespeichert. Natürlich kann man auch jedes System ohne Cloud nutzen, aber einerseits ist dazu etwas Erfahrung notwendig und andererseits hat man damit weit weniger Komfort. Und genau hier ist der Knackpunkt: im Adressbuch wird nicht nur die Telefonnummer synchronisiert, wie im Falle von WhatsApp, sondern auch gleich so ziemlich alle anderen Daten. Dazu gehören Adresse, Geburtstag, weitere Telefonnummern (die der Kontakt vielleicht gar nicht im Zusammenhang setzen wollte), alle sonstigen Kontaktmöglichkeiten und teilweise sogar ein Profilbild.
Überlegt man sich, dass Google & Co im Hintergrund die Kontakteinträge mehrerer meiner Bekannten und Freunde vergleichen können, kommt da ein ziemlich detailliertes Profil zustande. Theoretisch könnte Google sogar Korrekturen anbieten - aber dann wüsste jeder sofort über das Ausmaß dieser Datenschutzkatastrophe Bescheid.
Eine Frage, die sich mir natürlich sofort stellt, ist: Was für Handys haben die Richter, und falls es smarte Geräte sind, wie sehen die Synchronisierungseinstellungen aus? Ich gehe sicher davon aus, dass keiner WhatsApp nutzt - sonst sähe das Urteil sicherlich lockerer aus - aber nur mit viel gutem Glauben gestehe ich ihnen ein dummes Handy oder ein korrekt eingestelltes Smartphone zu. Wir haben immerhin das Jahr 2017. Allerdings habe ich hierzu keine Quellen gefunden. Aber auch sonst gibt es einige Punkte, die dieses Urteil als Augenwischerei erscheinen lassen.
Natürlich ist eine Telefonnummer ein schützenswertes Datum, schließlich will ich nicht, dass diese jeder kennt. Man muss aber auch sehen, was diese Telefonnummer ist und vor allem, was sie allein für sich bedeutet. In Deutschland besteht eine Telefonnummer aus der Ländervorwahl, der 3-4-stelligen Vorwahl und der eigentlichen Telefonnummer, die aus 7-9 Ziffern besteht, somit also maximal 13 Stellen. Das passt gut zum Wikipedia-Artikel, in dem internationale Rufnummern maximal 15 Stellen haben dürfen. Mit zwei Stellen für die Ländervorwahl +49 bleiben also 13 Stellen übrig. Würde man alle verfügbaren Stellen ausnutzen, käme man also auf eine Billion Telefonnummern. Klingt erstmal viel, ein Computer kann aber alle möglichen Telefonnummern innerhalb weniger Sekunden generieren und in einer Liste speichern. Mit anderen Worten, Facebook hat, wenn sie es wollten, bereits alle möglichen Telefonnummern gespeichert.
Schaue ich mir diese Liste an, bringt mir das erstmal recht wenig. Unmengen an Nummern, denen ich nichts zuordnen kann. Facebook selber weiß nicht einmal, ob diese Nummern, die übertragen werden, überhaupt existieren. Schließlich kann ich beliebige Zahlenkombinationen in mein Adressbuch einspeichern. Auch weiß Facebook nicht, wen ich da überhaupt einspeichere, da nur die Telefonnummer übertragen wird. Nur wenn ich mich selbst registriere, wird ein Name übermittelt, der anderen Nutzern angezeigt wird.
Ein Punkt, der zumindest anfänglich anderen Messengern gutgeheißen wurde, war, dass dort die Telefonnummern gehasht und dann erst übertragen werden. Hashing bedeutet, dass aus einer Eingabe eine Ausgabe berechnet wird, aus der - im Gegensatz zur Verschlüsselung - keine Rückschlüsse auf die Eingabe möglich sind. Offensichtlich muss jeder Nutzer hierbei die gleiche Hashfunktion nutzen, damit es ein Matching geben kann, womit die Hashfunktion auch dem Server bekannt ist. Da die Hashfunktion bei Telefonnummern eine Ausgabe berechnen muss, die eindeutig ist - denn sonst gäbe es Dopplungen bei Telefonnummern - hat jeder mögliche Hash also eine bestimmte Eingabe. Für den Betreiber ist es also ein leichtes, für jede mögliche Telefonnummer den Hash zu berechnen und als Rainbowtable abzuspeichern. Und auch wenn dem nicht so wäre, ist das Netzwerk der Hashwerte jetzt mehr oder weniger datenschutzrechtlich relevant?
Was ist eigentlich die Konsequenz dieses Urteils? Theoretisch müsste man nun, bevor man WhatsApp das erste Mal startet, jeden seiner Kontakte um Zustimmung bitten, dass man deren Daten bei WhatsApp hochladen darf. Soweit so gut. Die Kontakte, die dem widersprechen, muss man dann wohl oder übel löschen, wenn man trotzdem nicht auf WhatsApp verzichten will. Es ist aber auch fraglich, was passiert, wenn man dennoch so einen Kontakt hochlädt. Meist sind es doch Freunde und Verwandte in der Kontaktliste, die einen sicher nicht deswegen abmahnen werden, falls man in Zukunft ein friedliches Auskommen sichern will. Eher wird sich dies doch eh auf Personen auswirken, mit denen man kaum oder gar keinen Kontakt hat. Denen wird es aber unmöglich herauszufinden, dass man sie hochgeladen hat, und damit gibt es keinen Kläger.
Eine theoretische Frage ist auch, was passiert mit Telefonnummern, wenn man den Vertrag wechselt oder so? Sagt man nicht allen Bescheid, welche die alte Telefonnummer gespeichert haben, hat der nachfolgende Nutzer der Nummer ein Problem. Seine Nummer wurde bereits - im Idealfall sogar mit Zustimmung - vielfach hochgeladen. Darf ein Kunde dann beim Mobilfunkbetreiber auch auf eine jungfräuliche Nummer bestehen, die noch nicht bei WhatsApp gespeichert ist? Wäre Datenschutz so wichtig, wie es scheint, wäre dem so. Und darf ich das auch für alle anderen Messenger fordern?
Ein Aspekt, der mich bei solchen Urteilen aber auch aufregt, ist die Tatsache, dass die Datenschutzschere zwischen Staat und (juristischen) Personen immer weiter auseinandergeht. Während der Upload meiner Telefonnummer ohne meine ausdrückliche Zustimmung verboten scheint, darf mein Einwohnermeldeamt meine Daten - und weit wichtigere als meine Telefonnummer - ohne Zustimmung weitergeben. Umgedreht sogar, ich muss mich explizit dagegen aussprechen. Betrete ich das Südkreuz in Berlin, muss ich damit rechnen, dass meine biometrischen Daten gespeichert werden. Hier passen meiner Meinung nach Anspruch und Wirklichkeit nicht zusammen und sollten angepasst werden. Müssen angepasst werden. Immerhin muss ich dem Staat meine Daten per Gesetz geben, den privaten Unternehmen geschieht es mehr oder weniger freiwillig. Schließlich kann ich noch entscheiden, wem ich überhaupt meine Telefonnummer gebe.