Messenger und Alternativen

Hallo in die Runde,

das Thema ist vielen sicher nicht neu, aber bei mir mal wieder auf dem Tisch.
Es geht um die Nutzung von WhatsApp in der Kommune :roll_eyes:
Meiner Meinung nach, hat WhatsApp im Arbeitsbereich einfach nichts zu suchen. Aber mein Arbeitgeber möchte einfach nicht auf eine Alternative umsteigen.
Ich habe dazu eine Erklärung vom LfDI Rheinlandpfalz gesehen, der den Einsatz von WhatsApp unter gewissen Voraussetzungen für in Ordnung hält.
Hier mal der Link dazu: https://www.datenschutz.rlp.de/de/themenfelder-themen/whatsapp/

Und auch die Landesbeauftragte in Saarland hat in ihrem Tätigkeitsbericht aus 2019 WhatsApp Business geprüft. Zumindest die Business Version soll der kommunalen Kommunikation nicht im Wege stehen.

Jetzt meine Frage: Wie steht ihr dazu?
Gerne würde ich von der Community ein paar weitere Belege über Pro und Contra hören. Schreibt auch welche Messenger bei euch so im Einsatz sind. So kann ich meinen Bedenken vielleicht wieder neuen Auftrieb geben und eventuell eine angenehmere Alternative präsentieren. :innocent:

1 Like

Als ich das Thema las musste ich schwer durchatmen.
Es gibt immer noch Menschen, die das nicht kapiert haben?
Ich bin richtig froh, dass ich in dem Umfeld nicht arbeiten muss.

atmet tief ein

Nein, Whatsapp hat nichts im Arbeitsumfeld, Vereinsumfeld oder im privaten zu suchen.
Was dagegen tun kann man leider nur im Arbeits- und Vereinsumfeld.

Hier mal der Link dazu: https://www.datenschutz.rlp.de/de/themenfelder-themen/whatsapp/

Der Link hat nicht einmal eine Datumsangabe. Für die Argumentation etwas schwach.

beauftragte in Saarland hat in ihrem Tätigkeitsbericht aus 2019 WhatsApp Business geprüft. Zumindest die
Business Version soll der kommunalen Kommunikation nicht im Wege stehen.

2019 war das Privacy Shield noch aktiv. Das ist inzwischen gekippt. Es gibt in dem Zeitraum aber auch was vom BfDI: Antwortschreiben BfDI zur beruflichen Nutzung: https://media.kuketz.de/blog/microblog/WhatsApp_BfDI_13.12.2018.pdf

Aufgrund meiner Bedenken sollten die nutzenden Stellen derzeit andere Alternativen der Kommunikation in Betracht ziehen bzw. die von Ihnen beratenen Stellen sollten zumindest die zuvor beschriebenen Aspekte berücksichtigen.

Gründe gegen Whatsapp (und ich könnte die Liste viel größer machen)
https://www.tagesschau.de/wirtschaft/verbraucher/whatsapp-messenger-facebook-datenschutz-101.html
https://web.archive.org/web/20200201214824/https://www.lorankloeze.nl/2017/05/07/collecting-huge-amounts-of-data-with-whatsapp/
https://www.heise.de/newsticker/meldung/Datenschutzbeauftragter-warnt-vor-WhatsApp-Co-an-Schulen-3704816.html
https://www.vice.com/en/article/qj4qjd/whatsapp-data-security-issues
https://itechbrand.com/whatsapp-security-issues/
https://www.wired.com/story/whatsapp-facebook-data-share-notification/
https://praxistipps.chip.de/bildrechte-bei-whatsapp-das-darf-der-messenger-mit-ihren-fotos-machen_110623
https://www.mimikama.at/aktuelles/whatsapp-bildrechte/
https://www.kuketz-blog.de/whatsapp-telefonnummern-upload-illegal/
https://www.kuketz-blog.de/whatsapp-datenschutzkonforme-nutzung-moeglich/
https://www.wp.de/staedte/hagen/wie-die-super-wanze-whatsapp-die-privatsphaere-aushoehlt-id8973421.html
https://www.deutschlandfunk.de/sicherheitsluecke-bei-whatsapp-abhoeren-via-app.676.de.html?dram:article_id=448757
https://www.kuketz-blog.de/whatsapp-telegram-signal-grossflaechiger-missbrauch-von-contact-discovery-moeglich/
https://www.stern.de/digital/smartphones/lauscht-ihr-smartphone-mit--forscher-wollten-das-pruefen-und-fanden-etwas-viel-gruseligeres-8155406.html
https://t3n.de/news/ueberwacht-facebook-gespraeche-991448/
https://encrypto.de/papers/HWSDS21.pdf
https://www.kuketz-blog.de/welche-personenbezogenen-daten-von-einem-dritten-uebermittelt-whatsapp/
https://netzpolitik.org/2021/ohne-staatstrojaner-polizei-und-geheimdienste-koennen-whatsapp-mitlesen/
https://netzpolitik.org/2020/bundesbehoerden-sollen-kein-whatsapp-nutzen/
https://www.netzwelt.de/whatsapp/171070-whatsapp-werbung-in-messenger.html
https://netzpolitik.org/2017/whatsapp-datenschutz-luege-kostet-facebook-millionen-strafe/
https://netzpolitik.org/2016/whatsapp-bietet-nur-pseudo-widerspruch-zur-datenweitergabe-an-facebook-an/
https://www.biznews.com/global-citizen/2019/05/15/whatsapp-hacking-scandal-protection

und www.dayssincelastfacebookscandal.com

Wer 2021 wirklich Whatsapp einführen möchte, hat wohl seit 2012 kontinuierlich die Augen vor Sicherheitslecks, Datenschutzverstößen, Lügen und Menschenrechtsverstößen geschlossen und noch schlimmer fördert dieses Geschäftsmodell noch weiter.

Whatsapp teilt Daten mit Facebook, die irische Datenschutzbehörde prüft nicht angemessen, Daten gehen an den Mutterkonzern in den USA (Privacy Shield), Fotos werden nach wie vor unverschlüsselt verschickt (Werbeverkauf), die Nachrichten SIND NICHT VERSCHLÜSSELT (wenn man nicht Eigentümer eines Schlüssels ist, der Schlüssel nicht auf dem eigenen Gerät ist, sondern
auf den Servern von Facebook dann ist die Kommunikation nicht sicher).

In dem letzten Jahrzehnt ging es um den Verkauf von Klartextnachrichten und Informationen, der Abgabe von persönlichen Bildrechten, dem Teilen der Informationen mit Facebook (einem Konzern, der kontinuierlich Datenschutz mit Füßen tritt), dem Upload von Telefonnummern von unbeteiligten auf fremde Server, dem Upload von zahlreichen Metadaten von unbeteiligten auf fremde Server in einem Land ohne wirkliche Datenschutzgesetze, dem Abhören durch sporadisches Mikrofon einschalten und verkaufen der Informationen (zum anzeigen zugeschnittener Werbung - wieder mit unbeteiligten Dritten).

Nein, weder Whatsapp noch Telegram sind businesstauglich.

Mein Unternehmen und Partnerunternehmen / befreundete nutzen:

  • XMPP
  • Matrix
  • Rocketchat
    selbstgehostet
4 Likes

Zu den Alternativen: einfach mal hier schauen. https://www.kuketz-blog.de/empfehlungsecke/#messenger und mehr Details dazu:
hhttps://www.kuketz-blog.de/die-verrueckte-welt-der-messenger-messenger-teil1/
Mike ist Sicherheitsexperte, der die virtuellen Dinge sehr gut auseinandernehmen kann. Er hat auch noch eine Übersichtstabelle der Messenger mit Bewertung der Einzelpunkte erstellt:
https://www.messenger-matrix.de/messenger-matrix.html

1 Like

Vorweg, ich selbst würde mich gerne privat wie dienstlich von Facebook und WhatsApp trennen, als Vater von Kindern mit Sozialleben ist das jedoch privat eine komplette Utopie.

Im Unternehmen hingegen sind wir eines der wenigen, die konsequent (gegen viele Widerstände und Unverständnis auf allen Ebenen) die Nutzung von WhatsApp untersagen. Ich bin also nicht “der Feind”. Dennoch sollte man sich vor zu pauschalen Urteilen hüten.

Es handelt sich um keine News, sondern einen “Wissensartikel”, der so durchaus Gültigkeit hat. Unser Verbot stütze ich im wesentlichen auf folgende Argumente, die ich hier wiederfinde:

  1. Die Datennutzung durch den Dienst ist unklar, die Beziehung von WhatsApp und Unternehmen auch, der angebotene Vertrag über die Datenverarbeitung im Auftrag ist bestenfalls belustigend und erkennbar unwahr, da WhatsApp die (zugegeben gar nicht konkret beschriebenen) Daten offenkundig für eigene Zwecke nutzt.
  2. Aufgrund dieser Unklarheiten gibt es keine informierte Einwilligung und ich kann von abhängigen Beschäftigten oder Auftragnehmern auch keine Freiwilligkeit erwarten.
  3. Mangels zentraler Administration oder Anbindung sind Rechenschaftspflichten, Kontrolle und Aufbewahrungspflichten kaum beherrschbar (nicht ausschließlich ein Datenschutzthema oder sogar nur am Rand)
  4. Der Klassiker: Es fehlt an einer Rechtsgrundlage zur Übermittlung des kompletten Adressbuches.

Ich stimme zu, dass man das Geschäftsmodell nicht unterstützen sollte und keine Nutzer(innen)/Bürger(innen) diesem Dienst in die Arme treiben muss/sollte. Dass es ein hartes NoGo gäbe, sehe ich gleichwohl bei korrekter Implementierung nicht.

Soweit korrekt und abzulehnen, aber erst einmal formal nicht unbedingt ein Problem des Unternehmens.

Das hingegen stimmt nicht. WhatsApp implementiert - zugegeben nicht prüfbar - das Signal-Protokoll, damit sind Datenübertragungen inkl. Medien grundsätzlich Ende-zu-Ende verschlüsselt. Ja, WhatsApp hat aus dem Verfügbarkeit vs. Vertraulichkeits-Dilemma (und mutmaßlich auch zur Werbeausspielung am Endgerät) ein paar Designentscheidungen getroffen, die Daten gefährden können, insbesondere wenn Nutzer(innen) nicht wissen, was sie tun, aber Daten werden nicht unverschlüsselt übermittelt.

Total gut, XMPP nutze ich selbst, für einen breiten Unternehmenseinsatz und Kommunikation über dessen Grenzen hinaus praktisch jedoch allesamt völlig ungeeignet.

Ich empfehle grundsätzlich Signal (kostenlos und WhatsApp-like, benötigt allerdings Telefonnummer) und Threema (kostet was, aber ermöglicht auch Business-Administration und pseudonyme Nutzerkennung), früher auch mal Wire, aber da gibt es unnötige Fragezeichen und abgesehen von Multi-Devices keine Vorteile mehr.

1 Like

Ein Highlight bzgl. WhatsApp ist nach wie vor das Urteil des AG Bad Hersfeld (F 120/17 EASO), in dem der Richter den Weg vom Grundrecht auf informationelle Selbstbestimmung ins BGB fand und eine lesenswerte Begründung für die Rechtswidrigkeit der Weitergabe von Kontaktdaten ablieferte.
https://www.lareda.hessenrecht.hessen.de/bshe/document/LARE190000030

Diese Voraussetzung des LfDI RLP entspricht demnach nicht der Ansicht des Gerichts:

die Nutzung […] eines Telefonbuchs mit ausschließlich WhatsApp-Kontakten

Denn das Gericht sieht keine konkludente Einwilligung bei WhatsApp-Nutzern:

Es kann zur Auffassung des Gerichts gerade nicht generell von einer jeweils konkludent erteilten Einwilligung in eine Datenweitergabe durch diejenigen Personen ausgegangen werden, welche selbst ebenfalls das Messenger-Programm WhatsApp nutzen.
Denn die Erteilung einer konkludenten Einwilligung setzt voraus, dass ein Erklärungsbewusstsein im rechtlichen Sinne des insofern schlüssig Handelnden gegeben ist. (vgl. Palandt, a.a.O., Vor § 116 Rn. 6, 17). Dieses wiederum setzt voraus, dass der Handelnde bei Anwendung einer pflichtgemäßen Sorgfalt erkennen konnte, dass sein Verhalten von anderen Personen als rechtliche Willenserklärung aufgefasst werden könnte.

Allein die Rechtswidrigkeit der Datenweitergabe ist ein ausschlaggebendes Gegenargument. Das sieht LfD Niedersachsen ähnlich und einen Verstoß gegen datenschutzrechtliche Regelungen beim “Einsatz von WhatsApp durch Behörden und sonstige öffentliche Stellen zur dienstlichen Kommunikation”:
https://lfd.niedersachsen.de/startseite/themen/kommunales/merkblatt-fuer-verantwortliche-zur-nutzung-von-whatsapp-bei-behoerden-und-sonstigen-oeffentlichen-stellen-in-niedersachsen-171394.html

LDI NRW formulierte Leitplanken für die Nutzung von Messenger-Diensten und zählt einige auf:
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schule_-Videokonferenzsysteme-und-Messenger-Dienste-waehrend-der-Corona-Pandemie/LDI-NRW---Messenger-Dienste-18_05_2020.pdf

BfDI stellt Leitfragen zur Beurteilung von Messenger-Angeboten zur Verfügung:
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telefon-Internet/Datenschutzpraxis/Beurteilung_Angebote_Messenger.html

Die DSK hat ein Whitepaper für “Technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich” herausgegeben. Falls Gesundheitsdaten verarbeiten werden sollen, enthält dies jede Menge Anforderungen, die nicht ganz so einfach zu erfüllen sind.

Aus kommunaler Sicht wäre für mich die Ansicht des eigenen LfD vordergründig, weil er/sie schlussendlich die untersagende oder zustimmende Instanz ist und somit auch das größte Druckmittel darstellen kann.

1 Like

Also untersagend (oder zustimmend) sind am Ende immer noch Gerichte, Aufsichtsbehörden haben - auch bei öffentlichen Stellen - erst einmal nur eine Rechtsauffassung. Und mit Gerichten würde ich hier nicht unbedingt das AG Bad Hersfeld als letzte Instanz nennen. Das Urteil ist doch eher etwas abseitig und - offenkundig - praktisch folgenlos. Auch Aufsichtsbehörden berufen sich nicht darauf und werden wissen, warum.

Dass es gleichwohl auch bei WhatsApp-Kontakten nicht unbedingt eine Einwilligung bedeutet, den Dienst zu nutzen, ergibt sich für mich daraus, dass WhatsApp mutmaßlich das gesamte Adressbuch abschnorchelt. Nur durch die Nutzung von WhatsApp stimme ich aber nicht zu, dass mein Klarname, mein Geburtsdatum, mein Beziehungsstatus samt Hochzeitstag, die Adresse und alles was sonst noch so gespeichert sein mag, Richtung Facebook gehen. Ob man bei einem beliebigen privaten WhatsApp Nutzer gleich das große Rad der informationellen Selbstbestimmung drehen sollte, steht auf einem anderen Blatt.

Mein letzter Stand war, WhatsApp hat (als sie Verschlüsselung einführten) nicht Signal als Protokoll sondern OMEMO, was einen Aufschrei in der XMPP Community verursachte, das deckt sich auch mit den unverschlüsselten Bildern. Das kann unter dem OMEMO Protokoll viel einfacher passieren.

Sehen wir nicht so. Ich arbeite in einem recht großes Unternehmen. Über das Unternehmen hinaus kann man Nextcloud anbieten (braucht kein Konto) oder vereinbart Jitsi Termine.

Natürlich kann man sich vor Gericht streiten, insofern ist “schlussendlich” eine unzutreffende Formulierung. Nichtsdestotrotz ist das Verbot der Verarbeitung durch die Aufsichtsbehörden in Art.58 geregelt.

Die Entscheidung des Amtsgerichtes wurde nicht als höchstrichterliches Urteil (letzte Instanz) eingeordnet. Das Amtsgericht liefert Argumente und danach wurde im Eingangspost gefragt. Die Ansicht des Gerichts stufe ich nicht als abseitig ein. Worin ist das Recht, Kontaktdaten Dritter an das Unternehmen zu übermitteln, begründet? Ich sehe keine Berechtigung meine Kontaktdaten an das Unternehmen zu übermitteln, ebenso wenig sehe ich eine Rechtsgrundlage für die Verarbeitung meiner Daten durch das Unternehmen. Ein jeder muss die Möglichkeit haben, sich gegen diese Praxis wehren zu können. OVG Hamburg zeigte einen Weg (Az: 5 Bs 93/17), das Amtgericht einen anderen. Wir werden bei der Klage der Verbraucherschützer sehen, welche Instanz welche Entscheidung treffen wird. Es würde mich überraschen, wenn sie beim Sachverhalt Einwilligung und rechtswidrige Datenverarbeitung von bisherigen Ansichten abwichen.

Weil Grundrechte nur für nicht-beliebige nicht-private WhatsApp-Nutzer gelten?

Ich danke euch für eure Beiträge. :star_struck: Da ist einiges dabei, dass ich in meine Argumentation mit einfließen lassen werde.

Ich denke nicht, dass die meisten Bürger etwas gegen WhatsApp haben. Es fehlt einfach die Erkenntnis, welche Daten wirklich alles abgeschnorchelt werden und wozu sie genutzt werden. Da hilft nur viel geduldiges aufklären und Augen öffnen. :blush:

1 Like

Noch einmal ganz deutlich: WhatsApp implementiert da so mundgerecht, dass es hier viele Fallstricke gibt … auf einem stumpf konfigurierten Smartphone legt WhatsApp die verschlüsselt übertragenen Medien in den allgemeinen Gerätespeicher und von da wandern die als “Service” ratz-fatz in die Cloud als Backup. An welchem Glied die Kette reißt, ist dem freilaufenden Rottweiler egal … nichts liegt mir ferner, als WhatsApp selig zu sprechen.

Ich habe privat eine professionelle Jitsi-Instanz und betreibe unter meiner eigenen Domain eine XMPP/Jabber-Instanz. Das kann im Prinzip jede Firma und die Beschäftigten melden sich trivial mit Mailadresse als Nutzernamen und Passwort bei Conversations etc. an. Das ändert aber leider nichts daran, dass es nicht verbreitet ist und daher als Kommunikationskanal über die Grenzen des Unternehmens hinweg derzeit nicht fliegt. In der Sache muss ich nicht überzeugt werden.

Nein, sondern weil es etwas “zu viel” ist, von alleinerziehenden Sorgeberechtigten neben all den anderen Belastungen auch noch fundierte Grundrechtsabwägungen beim Medieneinsatz des Kindes zu treffen, für die es einer gewissen Expertise bedarf. Ansprüche und Anforderungen müssen sich IMHO an den Diensteanbieter richten, der nicht nur entsprechende Ressourcen haben sollte (19 Mrd. Kaufpreis, anyone?), sondern auch davon profitiert. Dies ist meine bescheidene moralische Bewertung, keine rechtliche.

1 Like

Der Gerätespeicher und das Cloudbackup stehen aber auf einem anderen Blatt Papier und haben mit dem Protokoll und wie da die Daten übertragen werden nichts zu tun.

Mein Arbeitgeber möchte auch gerne die angesagten Social Media nutzen, hält sich aber bei den vom BfDI kritisierten Anbietern zurück.

Ich habe Antworten der irischen DPC auf Beschwerden gegenüber WhatsApp gesehen, was beispielsweise die Datenweitergabe im Facebook-Konzernvebund angeht. Hier wechselte die Rechtsgrundlage von einer Einwilligung, zum berechtigten Interesse und endete damit, dass Facebook Auftragsverarbeiter von WA ist. Das LfDI beschreibt die Datenübermittlung in Punkt zu 4):

(…) die Nutzungsbedingungen für den WhatsApp-Dienst zu ändern und die Übermittlung von Daten von WhatsApp an Facebook (erneut) aufzunehmen. (…)

Allerdings erwecken die Aussagen der DPC den Eindruck, dass es FB / WA bisher nicht gelungen ist (noch das der Konzern in der Lage wäre), den Datenaustausch datenschutzrechtlich zu regeln. Das ist schon ziemlich bezeichnend.

Das sehen viele Unternehmen inzwischen anders. Es gibt eine Reihe offen nutzbarer Jitsi-Instanzen und die DD-eG bietet ihren Mitgliedern kostenfrei und Kunden gegen moderate Gebühr die Nutzung ihrer eigenen BigBlueButton-Instanz. Das Angebot wird fleissig genutzt. Und ausserdem gibt es Signal, auf das viele schon gewechselt sind und das trotz einiger kleinen Haken noch einer der rundum besten Messengerdienste ist. Verbreitung ist dann kein Thema mehr, wenn der Verbreitung keine Steine und keine Stonies :wink: mehr im Weg stehen.

Aber klar, siehe oben mein Statement:

Die Nutzung eines Kommunikationsdienstes über Unternehmensgrenzen hinweg bezog sich auf die dezentralen Angebote die genannt wurden, Matrix, Rocket, Jabber … von der Architektur her wären die noch besser, klappt halt aber nicht. Signal ist zentralisiert und kein solcher Dienst.