Tach,

Jetzt ist es aber so, dass WhatsApp den Zugriff auf das Addressbuch nutzt, um diejenigen Kontakte, die selbst WhatsApp nutzen, den Kontakten in meinem Addressbuch zuzuordnen. Das bedeutet im Umkehrschluss auch, dass WhatsApp nur denjenigen Nutzern Daten zuordnet, die selbst schon WhatsApp nutzen. Eine Auswertung der Daten innerhalb der App erfolgt also lediglich dann (mal gute Absichten vorausgesetzt), wenn der jeweilige Inhaber einer Telefonnummer selbst Kunde des Dienstes WhatsApp ist.

gute Absichten vorauszusetzen ist nett, aber die Erfahrung zeigt, dass das nicht hilfreich ist: Was ist, wenn sie sich nicht an ihre eigenen Aussagen halten, wenn sie ihre Nutzungsbedingungen später ändern, wenn die Firma inklusive der Datenbasis verkauft wird, wenn sich jemand drittes Zugang auf die Datenbasis beschafft? Deswegen ist im deutschen Datenschutzgesetz der Grundsatz der Datensparsamkeit vorgesehen.

Die Kritik kann sich ja (auch so, wie ich dich verstanden habe) nur daran orientieren, dass WhatsApp auch auf die Daten Zugriff bekommt, bei denen sie die Telefonnummer nicht zuordnen können (also bei Nicht-Kunden).

Das stimmt so nicht ganz, ich bin auch dafür ein Geschäftsmodell zu bekämpfen, das auf den Daten der „Kunden“ aufbaut, weil die meisten Menschen nicht abschätzen können, was diese Datensätze in Zeiten von Big Data wirklich bedeuten (werden).

Gehen wir mal vom Worst Case aus: dem, dass WhatsApp wissentlich und willentlich gegen den (deutschen) Datenschutz verstößt und die Daten der Nicht-Kunden speichert und auswertet. Was erfährt WhatsApp dann?

Der deutsche DAtenschutz ist im Bezug zu Whatpsapp übrigens egal, die Firma hat in der EU keine Niederlassung, es gilt im Zweifelsfall erstmal kalifornisches Recht.

Der Nutzen dieser Daten für WhatsApp ist dann in meinen Augen gleich null - das ist genau so viel wert wie das Wissen, ob eine bestimmte Telefonnummer vergeben ist oder nicht (und nicht einmal das sicher). Aus den Daten vieler Nutzer ließe sich vielleicht noch eine (unsichere) Namenszuordnung ableiten. Aber das wars auch schon. Ich kann mir nicht vorstellen, dass sich ein Dienst wie WhatsApp für diesen Ertrag in die Nesseln setzt, und abgesehen davon ist auch der (datenschutztechnische) Schaden für den Nicht-Kunden sehr überschaubar.

Oh, selbst wenn sie nur die Telefonnummern haben, können sie damit ein sehr dichtes Netzwerk von Personenbeziehungen knüpfen, das ist ziemlich interessant.

Im allgemeinen Fall werden WhatsApp mehr Daten über den Nicht-Kunden zugänglich gemacht, so vielleicht eine genaue Namenszuordnung, ein Bild zur Telefonnummer, eine e-Mail-Addresse und eine Homepage-Addresse. Das sind meines Wissens nach ungefähr die Daten, die heutzutage in einem Addressbuch abgespeichert werden können. Ich gebe dir insofern Recht, dass die Menge an Daten, die hier eingesehen werden könnte, nicht mehr unerheblich ist. Trotzdem bleibt wieder die Frage nach dem Gewinn. Wenn wir davon reden, dass Google, Amazon, Facebook und Co. Profile von ihren Nutzern erstellen und uns hinterherspionieren, dann tun sie das deshalb, weil sie direkt Geld damit verdienen, unsere Vorlieben und Interessen so zuverlässig wie möglich einzuschätzen. Der finanzielle Gewinn, den man aus den Zuordnungen der o.g. Daten zu erwarten hat, ist gleich null.

Der finanzielle Gewinn ist, wie man an Google und Facebook sehen kann weit entfernt von Null; die Werbewirtschaft ist unglaublich an diesen Daten interessiert und führt sie mit Daten aus anderen Quellen zusammen, um ein besseres Bild zu gewinnen.

Mit den o.g. Daten lässt sich kein Surfverhalten nachverfolgen, keine Interessen ableiten, kurz gesagt: Es gibt kein Motiv, diese Daten zu sammeln und auszuwerten. Auch wenn es hypothetisch passieren könnte.

Ein Motiv ist nicht nötig und vermutlich halten sie sich im Moment an ihre eigenen Vorschriften, aber das muss nicht immer so bleiben und die Nutzerbasis wird es nicht mitbekommen. (Achtung Godwin) Als die Niederlande Anfang des vergangenen Jahrhunderts einen Zensus durchführten, und dabei die Religionsangehörigkeit abfragten, haben sie auch nicht damit gerechnet, was wenige Jahre später die Besetzungsmacht mit diesen Daten anstellen würde.

Das war der worst case. Es ist aber weder unbedingt üblich, dass der worst case eintritt, noch ist die Frage nach dem worst case die, die sich jeder von uns stellt (oder stellen muss), wenn er Software nutzt.

Wie soll eine Risikoeinschätzung sonst aussehen? Ich muss den Worst-Case betrachten, ein naja wird schon nicht so schlimm kommen, ist keinesfalls hilfreich.

Sonst dürfte man kein Stück Software mehr in die Hand nehmen, das nicht von vorne bis hinten OpenSource (und damit kontrollierbar) ist.

Im besten Fall ist es genau das, was ich will.

Dann dürfte nach diesen Maßstäben keiner hier mehr Produkte von Microsoft, Apple oder Adobe in die Hand nehmen (auch ein Outlook bekommt Daten von Nicht-Kunden zu Gesicht und verarbeitet diese).

Ah, das Geschäftsmodell dieser Firmen war zumindest bis vor kurzem der Verkauf von Software, da könnte man (naiv) tatsächlich ein Interesse daran unterstellen, Datenschutz als Feature zu betrachten.

Es ist stattdessen vollkommen üblich, sich zunächst einmal auf die Datenschutzerklärung der jeweiligen Software zu verlassen (denn wenn diese nicht eingehalten wird, ist das sehr wahrscheinlich strafbar, Stichwort Betrug).

Ich würde sagen, es ist vollkommen üblich, nach unten zu scrollen und „Ich habe das gelesen“ anzuklicken. Quasi niemand liest die AGB, und nochweniger sind dazu in der Lage einzuschätzen oder gar zu überprüfen, ob die Firmen sich auch tatsächlich an ihre Aussagen halten.

@Edit: Das ist tatsächlich (meinem Verständnis nach) auch nach deutschem Recht nicht der Fall, §3 Bundesdatenschutzgesetz: "(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)." - Die alleinige Kenntnis einer Telefonnummer ohne weitere Daten macht die Person weder bestimmt noch bestimmbar...

Natürlich ist eine Telefonnumer ein persoenbezogenes Datum; um den Empfänger zu bestimmen, musst du in den meisten Fällen nur anrufen, aber wie schon gesagt, deutsches Recht wird hier nicht zur Anwendung kommen, im besten Falle wird das vielleicht mal irisches Datenschutzrecht sein und wie gut dessen Durchsetzung funktioniert, sieht man bei Facebook.

mfg
Woodfighter