Niederländische und kanadische Datenschützer mit WhatsApp noch unzufrieden
Die Datenschützer bemängeln unter anderem, dass WhatsApp stets das komplette Adressbuch des Mobiltelefons und dabei auch die Daten Dritter verarbeitetet, mit denen WhatsApp keinen Vertrag habe.
In zwei gemeinsam erstellten Berichten haben die kanadische und die niederländische Datenschutzaufsicht "College bescherming persoonsgegevens" geprüft, ob die populäre Instantmessaging-Anwendung WhatsApp mit den Datenschutzgesetzen der beiden Länder kompatibel ist. Die Datenschützer bemängeln unter anderem, dass alle WhatsApp-Versionen – mit Ausnahme der neuesten iOS-6-Version – stets das komplette Adressbuch des Mobiltelefons und dabei auch die Daten Dritter verarbeitetet, mit denen WhatsApp keinen Vertrag habe. Dies sei nach dem niederländischen Datenschutzrecht, das in weiten Teilen mit dem deutschen vergleichbar ist, unzulässig. WhatsApp sieht hier dem Bericht zufolge jedoch keinen weiteren Nachbesserungsbedarf: Mit der Installation würden die Nutzer dem Vollzugriff auf das Adressbuch zustimmen.
Die Datenschützer monieren weiter, dass WhatsApp ein Jahr lang die Daten inaktiver Nutzer speichere. Auch bei der Datensicherheit werfen die Behörden dem Unternehmen Schlamperei vor: So seien unzulässigerweise die Passworte für WhatsApp auf Basis der WLAN-MAC-Adresse und der Mobilgerätenummer IMEI erstellt worden – beides keine geheimen Informationen, die Angreifern die komplette Übernahme der Konten ermöglicht haben. WhatsApp hat hier zwischenzeitlich mehrfach nachgebessert, aber laut dem Bericht der Datenschützer wird nur dann ein neues Passwort generiert, wenn die Nutzer aktiv auf eine neue Version der App aktualisieren. Nutzer älterer Versionen verwenden somit weiterhin unsichere Konten.
Bereits während der Untersuchung beanstandeten die Datenschützer, dass die kalifornische Firma die Nachrichten zwischen den Nutzern unverschlüsselt übertrage – so dass sie beispielsweise in unverschlüsselten WLAN-Netzen von jedermann mitgelesen werden konnten. Hier hat WhatsApp bereits reagiert und Mitte Mai einen Verschlüsselungsmechanismus eingeführt. Auch die Status-Updates innerhalb von WhatsApp seien nicht ausreichend gesichert. Jeder, der eine Telefonnummer in seinem Adressbuch habe, könne die jeweiligen Statusmeldungen mitlesen – unabhängig davon, ob ein Kontakt mit dem Nutzer der Nummer bestehe.
Während der Untersuchung, die im Februar 2012 begann und als internationale Kooperation zwischen Datenschutzbehörden ungewöhnlich ist, standen die Datenschützer in engem Kontakt mit dem Hersteller, der hierfür notwendige Daten und Informationen zur Verfügung stellte. WhatsApp hat den Datenschützern zu Folge zugestimmt, die verbleibenden Beanstandungen zu beheben – doch auf ein Datum wollte sich der Hersteller der Anwendung laut dem Bericht der Niederländer nicht festlegen. (anw)