WhatsApp-Nutzung in Beratung und Betreuung
Längst sind die Veränderungen in der Kommunikation durch die Digitalisierung auch in der Arbeit der Deutschen Aidshilfe bzw. im Bereich der sozialen Arbeit angekommen. Wo gestern noch telefoniert und gesimst wurde, tauschen sich Menschen, die sich ratsuchend an die Sozialberatung der Aidshilfen wenden, zunehmend über Messenger-Dienste mit den Beratenden aus.
Ein Beitrag aus HIV-Beratungaktuell 2020/2
Wen wundert’s? Messenger sind einfach zu handhaben und kosten in der Regel kein Geld. Das macht die Nutzung auf den ersten Blick attraktiv.
Einen Blick in die Geschäftsbedingungen zu werfen, ist von daher ratsam. Hinter solchen Diensten stehen in der Regel gewinnorientierte Unternehmen, die Daten zu versilbern wissen und denen es dabei um mehr geht als nur darum, den Standort von Nutzer* innen zu bestimmen. Mit dem Ziel, Profile von User*innen zu erstellen, werden persönliche Daten unter Einbezug des persönlichen Umfeldes in erheblichem Umfang gesammelt, ausgewertet und unter anderem zu Werbezwecken verwendet.
WhatsApp ist Teil der Facebook-Familie
Derart funktioniert auch WhatsApp, der wohl am meisten genutzte Messenger in der westlichen Welt. Die App gehört – wie der Facebook-Messenger, Instagram und verschiedene andere Seiten zum Facebook-Konzern. Dass die App in der Sozialberatung zum Einsatz kommt, muss aufgrund der engen Verknüpfung zu Facebook kritisch gesehen werden.
Auf vielen Smartphones ist die vermeintlich kostenlose App bereits vorinstalliert. Das macht es für die User*innen bequem. Im Weiteren heißt es nur: „App antippen, anmelden, Identität bestätigen und schon kann es losgehen!“ Und das einschließlich Online-Telefonie. WhatsApp wirbt zudem mit einer End-to-End-Verschlüsselung, die die Kommunikation vor Einblicken Dritter (und dem Anbieter des Messengerdienstes) sicher machen soll. Eine End-zu-End- Verschlüsselung ist mittlerweile bei nahezu allen bekannteren Messenger-Diensten Standard.
Adressbuch hochladen verstößt gegen DSGVO
In den Standardeinstellungen widerspricht die Verwendung von WhatsApp allerdings der geltenden Datenschutzgrundverordnung. Denn: Mit der Installation akzeptieren die meisten Nutzer, dass WhatsApp das Adressbuch mit allen Kontaktdaten des Nutzers auf ihren Server lädt. Somit erhält WhatsApp auch personenbezogene Daten von Nutzern, die kein Vertragsverhältnis mit WhatsApp haben. Doch damit nicht genug: Rufnummer, Name und einige andere „Meta-Daten“ werden auch gleich an Facebook weitergeleitet. Für die Weitergabe der personenbezogenen Daten müssten WhatsApp- Nutzer*innen jedoch – gemäß DSGVO – von allen Personen in ihrem Adressbuch, die bisher keine Vertragsbeziehung zu WhatsApp haben, eine Einwilligungserklärung einholen! In der Praxis ein wohl eher unrealistisches Vorhaben.
Eine datenschutzkonforme Nutzung von WhatsApp ist bei Nutzung der Adressbuchfunktion nicht möglich. Doch WhatsApp ohne Verknüpfung mit den Smartphone-Adressen macht nur wenig Spaß. Vor jeder neuen Nachricht muss, sofern noch kein Chat bestand, manuell die Rufnummer des Adressaten eingeben werden. Doch auch unabhängig vom Adressbuch-Problem, beunruhigt die Datensammel-Wut der App die Datenschützer.
WhatsApp reklamiert „Berechtigtes Interesse“ der Datenweiterleitung an Facebook
Doch auch wenn der Übertragung des Adressbuchs widersprochen wurde, werden in der Folge Daten übertragen. Sogenannte Meta-Daten (wie u.a. Geräteinformationen, Art und Häufigkeit der Nutzung oder die Telefonnummer der Nutzer*innen) werden erfasst und auch an Facebook weitergeleitet und mit den dortigen Nutzerprofilen abgeglichen. Dies ist rechtlich möglich, da Facebook und WhatsApp ein „berechtigtes Interesse“ formuliert haben. Facebook behauptet, den Abgleich zum Schutz vor falschen Accounts, Spam sowie Fake News zu benötigen. Einer Datenweitergabe an Facebook können Nutzer*innen nicht widersprechen, solange sie den Dienst nicht ganz kündigen wollen.
Die Weitergabe von Meta-Daten, also z.B. welche Nutzer*innen wann und wie oft mit einer Aidshilfe kommunizieren, ist pikant. Denn hier kann ja schon die Tatsache der Kommunikation an sich eine relevante Information sein. Datenschützer sprechen in diesem Fall von einer „besonderen Schutzbedürftigkeit von Gesundheitsdaten“, an die auch höhere Datenschutzanforderungen gestellt werden (vgl. dazu LfD Niedersachsen 2018).
Eine DSGVO-konforme Nutzung von WhatsApp ist grundsätzlich nicht möglich!
Niedersächsische Landesdatenschutzbeauftragte
In ihrem Statement zur Bewertung von WhatsApp kommt die Niedersächsische Landesdatenschutzbeauftragte deshalb zum Schluss, dass eine DSGVO-konforme Nutzung von WhatsApp – aufgrund der große Menge an Daten, die gesammelt werden – grundsätzlich nicht möglich sei.
Viele Datenschutzexpert*innen verweisen auf alternative Messenger-Dienste wie Signal, Threema oder Wire. Diese sind datenschutzmäßig besser aufgestellt. Aber auch hier gilt es, bei der Installation aufmerksam zu sein und sein Adressbuch nicht an den Server des Anbieters zu überspielen.
In 3 Schritten WhatsApp sicherer machen
- WhatsApp bei der Installation nicht gestatten, das Adressbuch des Smartphones auf den Server von WhatsApp hochzuladen. Sonst ist eine DSGVO-konforme Verwendung nicht möglich.
- Deaktivieren der cloudbasierten WhatsApp-Backup-Funktion. Denn wer die Backup-Funktion der App nutzt, legt seine Chatverläufe und alle weiteren anfallenden Daten im unverschlüsselten Klartext in der Cloud seines Anbieters ab (also bei Google oder in der Apple iCloud). Unter „Chat > Chat-Backup > Automatisches Backup > Aus“ kann die Funktion deaktiviert werden!
- Deaktivieren der Ortungsfunktion. Unter: Account/Datenschutz/Live-Standort
Wer gerne wissen will, welche Daten WhatsApp schon von ihm/ihr erfasst hat, kann eine Übersicht anfordern. (Über: Account/Account-Info anfordern)
Auswahl eines geeigneten Messenger-Dienstes
In der sozialen Arbeit sollte der Einsatz von Messenger-Diensten grundsätzlich gut überlegt sein. Bezüglich der Verwendung von Whatsapp gibt es, wie oben geschildert, einige Bedenken.
Die wichtigsten Kriterien, die ein datenschutzkonformer Messenger erfüllen sollte, sind:
- End-zu-End-Verschlüsselung
- der Dienst sollte möglichst Open Source sein
- personenbezogene Daten dürfen nur zum Zwecke der Übertragung von Nachrichten genutzt werden und
- es muss gewährleistet sein, dass keine unberechtigte Weitergabe von Kontaktdaten an den Messenger-Anbieter erfolgt.
- Zudem muss der Dienst dem rechtlichen Rahmen genügen, also der DSGVO.
Es gibt mittlerweile Messenger-Dienste, die diese Bedingungen erfüllen. Die Verbraucherzentrale Bundesverband hat einige Dienste unter die Lupe genommen und bewertet. Zur Übersicht.
Alternative Messenger-Dienste
Ob Messenger-Dienste im Kontakt zu Klient*innen verwendet werden, sollte jedoch auch grundsätzlich überlegt werden. Denn: Der Einsatz dieser Dienste suggeriert – bei Berater*innen wie bei Klient*innen – oft auch eine permanente Verfügbarkeit. Grenzüberschreitungen finden dann schnell statt. Es erfordert klare Kommunikationsvereinbarungen, um dies zu vermeiden. Hilfreich ist, im Team auch über die datenschutzkonforme Verwendung von alternativen Kommunikationswegen zu diskutieren: die verschlüsselte E-Mail, den Austausch über ein Intranet, die Verwendung eines eigenen OpenSource-Messenger-Dienstes oder ganz einfach über den klassischen Telefonanruf.
Weitere Informationen:
Sabin Schumacher, Freie Künstlerin und Streetworkerin, Mitglied bei JES e.V., Sprecherin für Drogenpolitik Piraten LV BW
Steffen Taubert, DAH
Diesen Beitrag teilen