Da habe ich mich auf $MAILINGLISTE in eine schöne Schlacht reinziehen lassen. Die Grundaussage war ein bei irgendeinem hysterischen Panikblogger aufgeschnapptes Gerücht über den Datenschutz bei WhatsApp:
WhatsApp kopiert das Adreßbuch von Deinem Handy. Wen Du es nutzt, bist Du ein Idiot, der seine gesamten Adreßbuchdaten irgendeiner amerikanischen Firma in den Hals wirft.
Bleiben wir doch mal bei dem was wir aus erster Hand wissen und in Erfahrung bringen können:
- WhatsApp ist ein plattformübergreifend (iPhone, Android, Symbian, Blackberry) verfügbares Chatprogramm fürs Handy, bei dem der Chatpartner über seine Handynummer adressiert wird.
- WhatsApp bestätigt die eigene Handynummer per SMS, damit man mitmachen darf.
- Die FAQ beantwortet die Frage danach, warum WhatsApp die Handynummer benötigt, wie folgt: “Weil sie zur Adressierung verwendet wird.” – Doh. Captain Obvious läßt grüßen. 😉
- WhatsApp stellt innerhalb der WhatsApp-Applikation eine Liste von potentiell interessanten Kontakten zusammen, indem es irgendwie(tm) ermittelt, ob die Kontakte aus dem Adreßbuch ebenfalls WhatsApp nutzen.
- Die Privacy Notice von WhatsApp weist ausdrücklich darauf hin, daß der Name zur eigenen Telefonnummer, der auf der Gegenseite angezeigt wird, dort aus dem lokalen Telefonbuch gezogen wird. (Das kann man anhand von Schreibfehlern leicht bestätigen.)
- Regelungen hinsichtlich werblicher Nutzung (opt-out oder opt-in), Weitergabe an Dritte (nein), an Strafverfolger (ja), im Konkursfall (ja), werden in USA-üblicher Art abgehandelt, ohne irgendwelche Auffälligkeiten.
- Die Privacy Notice weist generell auf einige allgemeine Themen hin, wie z.B.: “Wenn Du eine Telefonnummer (z.B. vom Festnetz) in Deine Statusmeldung schreibst, kann diese jeder sehen, der Deine Handynummer kennt, und sie ggf. sogar aufschreiben.”
- WhatsApp ist kein 100% kostenloser Service, sondern beim Kauf bzw. im Betrieb werden Zahlungen fällig.
Theoretisch könnte man mit WhatsApp seine Kontakte adressieren, indem man die jeweilige Telefonnummer des Partners eingibt. WhatsApp stellt aber direkt nach dem Start eine Liste von Kontakten zusammen, die es ebenfalls nutzen. Ich nehme an, daß es bei den Datenschutzgerüchten um genau diese Zusammenstellung geht.
Klar ist, daß die Zusammenstellung der Kontaktliste irgendwie durchgeführt werden muß, indem ein Abgleich aller im eigenen Telefonbuch eingetragenen Telefonnummern mit dem Anbieter durchgeführt wird. Dieser erwähnt aber weder in der Privacy Notice noch in der FAQ, daß Telefonnummern Dritter übertragen werden.
Technisch ist ein solcher Abgleich dennoch möglich, indem etwa Hashes (Prüfsummen) der Telefonnummern abgeglichen werden, ohne daß die Telefonnummern selbst an WhatsApp übertragen werden. Da es keine Erwähnung gibt, will ich annehmen, daß ein solches Verfahren zum Einsatz kommt. Aber auch dazu ist natürlich Zugriff aufs Adreßbuch erforderlich.
Wer ausgeprägte Datenschutzbedenken hat, muß sich bei Zugriffen auf seine Adreßdaten in jedem Fall fragen, ob er der jeweiligen Applikation vertrauen will. Hacks, Exploits, CIA-Backdoors, und daß wir im Hintergrund einfach an den Nutzungsbedingungen vorbei verarscht werden, ist natürlich alles denkbar, aber wir betrachten hier die “zugesicherte” Funktionalität des Programms.
Man sollte sich des weiteren vor Augen führen, daß WhatsApp an jedem Nutzer bares Geld verdient. Die Frage “Verdienen die eigentlich ihr Geld irgendwie zu meinen Lasten?” mit damit verbundenen düsternen Vermutungen kann hier also entfallen. Wohlgemerkt im Gegensatz zu Facebook, Google und Twitter.
Im Fall von WhatsApp gestaltet sich die Lage aus meiner Sicht so:
Es wird nirgends ausdrücklich darauf hingewiesen, daß Adreßbuchdaten übertragen werden. Erwiesen und von WhatsApp dokumentiert ist aber, daß auf Empfängerseite die Zuordnung eines Namens zur Rufnummer aufgrund des lokalen Adreßbucheintrags vorgenommen wird. Es ist daher unwahrscheinlich, daß die Applikation mehr tut, als auf Verdacht Telefonnummern von Adreßbucheinträgen gegen einen zentralen Server abzuprüfen, um zu ermitteln, ob dahinter ebenfalls ein WhatsApp-Nutzer steckt.
In der Privacy Notice von WhatsApp ist jedoch mit keinem Wort erwähnt, daß Telefonnummern Dritter übertragen werden. Da ein Abgleich z.B. mit Hilfe von Prüfsummen technisch möglich ist, ohne die Telefonnummer selbst zu übertragen, ist es wahrscheinlich zumindest denkbar, daß auch keine Übertragung stattfindet.
(Nachtrag, 9. Juni 2011: WhatsApp stellt in der Privacy Notice sehr wohl klar, daß es die Telefonnummern der Gesprächspartner benötigt, mit denen man kommunizieren will. Aus dieser vollkommen offensichtlichen Feststellung läßt sich aber wiederum nicht ableiten, daß alle Telefonnummern aus dem Adreßbuch im Vorhinein an WhatsApp übertragen werden.)
Weitergehende Aussagen wären vermutlich nur möglich, indem man den Sourcecode der Software auf den Datenschutzaspekt hin auditieren würde. Die Möglichkeit, daß WhatsApp uns alle hinters Licht führen könnte, besteht. Aber diesen Vorbehalt muß man letztlich bei jeder Software haben, die man auf dem Handy ausführt.
Mein Fazit, das ich aus diesen Beobachtungen gezogen habe, ist, daß ich glaube, WhatsApp nutzen zu können, ohne Schuldgefühle wegen der Daten meiner Kontakte im Adreßbuch haben zu müssen.
Update, 18. Juni 2011: Siehe auch: WhatsApp: Protokollanalyse
