Welche personenbezogenen Daten von einem Dritten übermittelt WhatsApp?
Im Rahmen der Artikelwünsche für die Weihnachtszeit 2019 ging folgender Wunsch ein:
Mich interessiert, welche Daten von mir an FB übertragen werden, wenn Freunde Whatsapp benutzen. Ich stehe nicht in deren Telefonbuch – das haben wir vereinbart – aber was ist mit SMS oder Telefonaten, die ich mit diesen Menschen austausche?
Zunächst einmal: Es ist unwahrscheinlich, dass eure Telefonnummer NICHT bereits bei WhatsApp bzw. Facebook bekannt ist. Es gibt immer jemanden, der eure Nummer in seinem persönlichen Adressbuch hinterlegt und diese entweder durch die Nutzung von WhatsApp oder der Facebook-App an Facebook übermittelt.
Abgesehen davon: Welche Informationen bekommt WhatsApp bzw. Facebook über einen Dritten? Es ist im Grunde »lediglich« die Telefonnummer. Weder SMS, noch Telefonate oder andere Informationsquellen, die personenbezogene Daten von einem Dritten beinhalten könnten, werden von WhatsApp vom Gerät ausgelesen. Soweit jedenfalls mein (letzter) Kenntnisstand, als ich den App-Verkehr analysierte.
Anbei noch grundsätzliche Informationen zur Übermittlung der Telefonnummern an WhatsApp:
WhatsApp benutzt eure bzw. die Telefonnummer eurer Kontakte als sogenannten »Unique Identifier« – also eine Ziffern- oder Zeichenkombination, mit dem sich bspw. Hardware, Software, Personen etc. eindeutig identifizieren lassen. Bereits vor der Nutzung von WhatsApp müsst ihr euch daher mit eurer Telefonnummer registrieren. Gleiches gilt für eure WhatsApp-Kontakte, die ihr in eurem Telefonbuch gespeichert habt. Auch diese haben sich mit ihrer Telefonnummer bei WhatsApp registriert.
Die Übermittlung der Telefonnummern aus eurem Adressbuch an WhatsApp dient zunächst also einem ganz einfachen Zweck: WhatsApp weiß, wer von euren Kontakten ebenfalls WhatsApp nutzt und kann euch diese dann direkt in WhatsApp einblenden. Das ist äußerst bequem, da ihr von (fast) jedem Kontakt in eurem Adressbuch auch die Telefonnummer hinterlegt habt und diese Kontakte innerhalb von WhatsApp erreichbar sind.
Doch was passiert eigentlich mit den Telefonnummern eurer Kontakte, die bei WhatsApp kein Konto haben? Ein »Personal Information Protection and Electronic Documents Act (PIPEDA)« aus dem Jahr 2013 gibt darauf (möglicherweise) eine Antwort:
Out-of-network numbers are stored as one-way, irreversibly hashed values. WhatsApp uses a multi-step treatment of the numbers, with the key step being an “MD5” hash function. The phone number and a fixed salt value serve as input to the hash function, and the output is truncated to 53 bits and combined with the country code for the number. The result is a 64-bit value which is stored in data tables on WhatsApp’s servers. According to WhatsApp, this procedure is designed to render out-of-network numbers (i.e., the mobile numbers of non-users) anonymous.
Nach Auffassung von WhatsApp ist eine Telefonnummer, die mit der MD5- Hashfunktion und einem festen Salt auf 53-Bit »geschrumpft« wird und anschließend gemeinsam mit der Landesvorwahl als 64-Bit Wert gespeichert wird, anonymisiert. Fakt ist: Mit diesem Verfahren lässt sich keine ausreichende Anonymisierung erreichen. Binnen weniger Minuten ließen sich alle »anonymisierten« Telefonnummern leicht wieder rekonstruieren.
Halten wir also fest: Ja, WhatsApp »anonymisiert« die Telefonnummern von Nichtnutzern. Nein, die Anonymisierung ist nicht ausreichend. Im Grunde darf die Telefonnummer von Nichtnutzern nicht dauerhaft gespeichert werden, egal in welcher Form. Eine Nummer dürfte erst dann dauerhaft abgelegt werden, wenn sich jemand selbst für die Nutzung des Dienstes entscheidet und sich registriert. Alles andere ist inakzeptabel.
WhatsApp: Datenschutzkonforme Nutzung möglich?
Datenschutzfreundliche und sichere WhatsApp-Alternativen
Android & Desktop: Kontakte und Kalender synchronisieren – DAVx⁵ | Thunderbird
Die verrückte Welt der Messenger – Messenger Teil1
