Datenleak bei WhatsApp

Nach Angaben der Webseite Cybernews wurde am 16. November 2022 in einem Forum im Darknet ein Datensatz mit 487 Millionen Mobilfunknummern von WhatsApp-Nutzenden veröffentlicht

Die Daten stammen von Nutzenden aus insgesamt 84 Ländern, wobei rund 60 Millionen der Daten vermutlich von Nutzenden in Deutschland stammen. Der Datensatz der deutschen Daten soll  für insgesamt 2000 US-Dollar verkauft werden.

Bei den geleakten Daten handelt es sich um aktive Nummern von WhatsApp-Nutzenden. Wie die Kriminellen jedoch in den Besitz der Daten gekommen sind, ist noch nicht bekannt. Es wird lediglich vermutet, dass die Methode des Scraping angewendet wurde. Bei dieser Methode verwenden Kriminelle eine Software, die zufällig Handynummern generiert und daraufhin prüft, ob es sich um aktive Nummern auf WhatsApp handelt.

Das Sicherheitsbarometer (SiBA) des Vereins „Deutschland sicher im Netz“ stuft das Risiko des Vorfalls als mittelmäßig ein. Es bestehe kein hohes Risiko, da es sich nicht um einen Hackerangriff handele und die Kommunikation nicht in den Händen der Hacker liege.

Es wird zudem davon ausgegangen, dass viele der veröffentlichten Handynummern aus früheren Datensammlungen stammen, wodurch diese große Anzahl an Daten überhaupt erst zustande kam. Dies konnte bisher aber noch nicht endgültig bestätigt werden.

WhatsApp-Nutzende sollten aufgrund des Datenleaks nun besonders aufmerksam sein und insbesondere keine sensiblen Informationen an Kontakte mit unbekannten Nummern weitergeben.

WhatsApp aus datenschutzrechtlicher Sicht

Im Allgemeinen können sich aus datenschutzrechtlicher Sicht  bei der Nutzung von WhatsApp mehrere Probleme ergeben. Insbesondere dann, wenn WhatsApp als Kommunikationsmethode in einem Unternehmen eingesetzt wird.

Private Nutzung

Bei WhatsApp handelt es sich um einen Messenger-Dienst, der in seiner Standard-Version für eine rein private Kommunikation entwickelt wurde. Die private Nutzung des Messengers zur Ausübung ausschließlich persönlicher und familiärer Tätigkeiten fällt gem. Art. 2 Abs. 2 lit. c) DS-GVO  nicht in den sachlichen Anwendungsbereich der DS-GVO.

Nutzung im Geschäftsalltag

Wenn WhatsApp jedoch von Mitarbeitenden zur internen Kommunikation oder zur Kommunikation mit den Kunden eingesetzt wird, kann der Anwendungsbereich der DS-GVO schnell eröffnet sein. Sobald es im Chat nämlich um betriebliche Themen, wie z.B. Krankmeldungen, Dienstpläne oder Vertretungen geht, kann der Arbeitgeber als Verantwortlicher für die Datenverarbeitung herangezogen werden. Selbst wenn der Arbeitgeber die Nutzung von WhatsApp nicht ausdrücklich angeordnet hat, kann er durch das reine Billigen der Nutzung zur Verantwortung gezogen werden.

Das wohl gravierendste Problem bei der Nutzung von WhatsApp liegt darin, dass die Kontakte aus dem Telefonbuch der nutzenden Person mit WhatsApp synchronisiert werden. Auf diese Weise kann die nutzende Person sehen, welche seiner Kontakte ebenfalls WhatsApp nutzen. Es werden aber auch die Daten von Kontakten übertragen, die WhatsApp nicht nutzen. Diese Kontakte haben jedoch nicht eingewilligt, dass ihre Daten an WhatsApp übermittelt werden dürfen. Es fehlt damit an einer Rechtsgrundlage für die Verarbeitung.

So ist der Arbeitgeber dann auch für die Synchronisation des Telefonbuches mit WhatsApp verantwortlich. Der Zugriff auf das Telefonbuch kann zwar in den Einstellungen verweigert werden, allerdings kann WhatsApp dann aber auch nur noch eingeschränkt genutzt werden, da Nutzende mit ihren Kontakten selbst keine Konversation beginnen können.

Ein weiteres Problem bei der Nutzung von WhatsApp ist die Verarbeitung von personenbezogenen Daten in einem Drittland. WhatsApp befindet sich mit seinem Hauptsitz und auch dem Standort seiner Server, auf denen die Daten verarbeitet werden, nämlich in den USA. Da für die USA aktuell noch kein Angemessenheitsbeschluss der EU vorliegt, birgt die Verarbeitung von Daten in den USA grundsätzlich ein Risiko. (Näheres zu datenschutzrechtlichen Risiken bei einem Drittlandtransfer u.a. in den audatis Artikel “Neue EU-Standarddatenschutzklauseln” und “Cookie Consent Tool “Cookiebot” - Verstoß gegen die DS-GVO?”).

Die Nachrichten werden zwar von WhatsApp Ende-zu-Ende verschlüsselt, trotzdem kann WhatsApp auf die Metadaten zugreifen. Zu den Metadaten gehören die Identität von Absendern und Empfängern, ihre Telefonnummern und zugehörige Facebook-Konten, Profilfotos, Statusnachrichten sowie Akkustand des Mobiltelefons. Die Metadaten werden außerdem an den Mutterkonzern Meta (ehemals Facebook) weitergegen. Meta verarbeitet diese Daten dann wiederum für Profilbildungszwecke. Genauere Angaben von WhatsApp und Meta selbst zu den tatsächlichen Verarbeitungszwecken liegen jedoch nicht vor. Wenn ein Unternehmen also WhatsApp in der Standardversion einsetzt, ist es schwierig bis gar unmöglich Betroffene transparent und präzise über die Verarbeitungstätigkeiten zu informieren und damit der Informationspflicht i.S.d. Art. 13 und 14 DS-GVO nachzugehen.

Eine unternehmensinterne als auch -externe Kommunikation sollte also nicht über WhatsApp in der Standardversion erfolgen. Hinzu kommt, dass eine gewerbliche Nutzung von WhatsApp auch generell in den Nutzungsbedingungen von WhatsApp untersagt ist. Damit besteht hier keine Möglichkeit einen Auftragsverarbeitungsvertrag (AVV), wie nach Art. 28 DS-GVO gefordert, abzuschließen. Einen AVV müssen Unternehmen danach immer dann abschließen, sobald personenbezogene Daten zur weiteren Verarbeitung an ein externes Unternehmen gegeben werden, oder umgekehrt, wenn das Unternehmen diese Daten zur Verarbeitung erhält.

WhatsApp Business als datenschutzkonforme Variante?

WhatsApp Business wurde hingegen extra von WhatsApp für die Kommunikation zwischen Unternehmen und Kunden entwickelt. Es soll z.B. für Support- und Serviceanfragen genutzt werden.

Anders als in der WhatsApp Standardversion bietet WhatsApp Business einen AVV nach Art. 28 Abs. 3 DS-GVO an, welcher jedoch als unvollständig angesehen werden muss. Unter anderem fehlen die folgenden Angaben:

  • Angaben zur Datenverarbeitung (Gegenstand und Zweck der Verarbeitung, Art der Daten, Kategorien der betroffenen Personen
  • Angaben zur Weisungsgebundenheit von WhatsApp

Wie in der Standardversion wird auch bei der Businessversion das Telefonbuch der nutzenden Person mit WhatsApp synchronisiert. Auf dem Handy gespeicherte Daten werden also auch hier ohne Einwilligung von WhatsApp verarbeitet.

Zudem gibt es auch für die Businessversion keine näheren Informationen darüber, welche Daten genau von WhatsApp und Meta verarbeitet werden. Daher kann der Verantwortliche auch bei der Verwendung von WhatsApp Business der Informationspflicht nach Art. 13 und 14 DS-GVO nicht ausreichend nachkommen.

Zusätzlich muss beachtet werden, dass nach § 5 Abs. 1 TMG Dienstanbieter, die geschäftsmäßig Telemedien, also auch WhatsApp, anbieten, ein Impressum vorweisen müssen. Das Impressum muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Dies kann z.B. durch die Verlinkung des Impressums auf der eigenen Webseite über die Linkfunktion bei WhatsApp Business erfolgen.

Handlungsempfehlung

Zusammenfassend kann WhatsApp auch in der Businessversion nicht ohne Risiken genutzt werden, da WhatsApp nach wie vor undurchsichtig in Bezug auf den Datenschutz ist. Die Businessversion bietet da keine Lösung für dieses Problem.

Sowohl für  die interne Unternehmenskommunikation als auch die Kommunikation mit Kunden sollte WhatsApp daher unbedingt vermieden werden. Der Arbeitgeber kann für die Verarbeitung von Daten verantwortlich gemacht werden, allein dann schon, wenn er die Nutzung von WhatsApp nur duldet.

Bei Diensthandys kann die Installation von WhatsApp durch technische Voreinstellungen verhindert werden. Die Nutzung von WhatsApp durch die Mitarbeitenden auf privaten Mobiltelefonen lässt sich jedoch nicht verhindern. Es empfiehlt sich interne Richtlinien zur Nutzung von Messenger-Diensten zu erlassen.

27.03.2024 Blog | Cybersecurity, Informationssicherheit

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine neue Sicherheitsrichtlinie der EU, die die Cyber- und Informationssicherheit in der…

Combined Shape

(AR) Die Lage der Cybersicherheit in Deutschland ist laut der BSI-Chefin „besorgniserregend“. Das stellte das BSI in seinem Lagebericht für das Jahr…

Combined Shape

13.11.2023 Blog | Cybersecurity, Informationssicherheit

(MB) Bei einem Hackerangriff auf die deutsche Hotelkette Motel One ist es Angreifern gelungen, Daten in einem großen Umfang zu erbeuten.

Combined Shape

13.01.2023 Blog | Cybersecurity

Nach Angaben der Webseite Cybernews wurde am 16. November 2022 in einem Forum im Darknet ein Datensatz mit 487 Millionen Mobilfunknummern von…

Combined Shape

Bei einem Hackerangriff auf den australischen Netzbetreiber Optus ist es Angreifern gelungen, zehn Millionen Kundendaten abzugreifen.

Combined Shape

11.10.2022 Blog | Cybersecurity

Ransomware, Virus, Spyware, Trojaner – Diese Begriffe haben Sie bestimmt schon einmal im Kontext von Malware gehört. Bei dieser Vielzahl kann man…

Combined Shape

24.06.2022 Blog | Cybersecurity

Was haben die Elektronik-Fachmarktkette Media Markt, der Automobilzulieferer Eberspächer und der Landkreis Anhalt-Bitterfeld gemeinsam? Sie alle…

Combined Shape

01.02.2022 Blog | Cybersecurity, Informationssicherheit

Für ziemlich alle angebotenen Dienste im Internet wird heutzutage ein persönliches Benutzerkonto inklusive Passwort benötigt. Passwörter sind damit…

Combined Shape

Die fortschreitende Digitalisierung hat zur Folge, dass auch Cyberkriminelle sich diese neuen Technologien zunutze machen und neu entstehende…

Combined Shape

Bargeldloses Bezahlen, digitaler Impfausweis, Homeoffice, Videokonferenzen oder der digitale Gang zur Behörde sind nur einige Themengebiete, die durch…

Combined Shape

15.06.2021 Blog | Cybersecurity, Informationssicherheit

Wie schlimm die möglichen Folgen der sog. FragAttacks (Fragmentation and Aggregation Attacks) in WLAN-Netzwerken wirklich sind und welche…

Combined Shape

Podcasts

Unser neuer Podcast widmet sich einem wichtigen Thema: der Schwachstellenanalyse in Unternehmen.

Combined Shape

Obwohl die E-Mail-Sicherheit im Unternehmen gerade mit SPF, DKIM und DMARC verstärkt wurde, kam es zu einem raffinierten Phishing-Angriff. Ein…

Combined Shape

Unser aktueller Podcast beleuchtet den folgenschweren Cyberangriff auf die Krankenhäuser in Herford, Rheda-Wiedenbrück und Bielefeld.

Combined Shape

Sara sitzt vor ihrem Computer, fest entschlossen, endlich online einen Termin für ihren neuen Personalausweis zu vereinbaren...

Combined Shape

Voller Vorfreude, sein neues Auto mit individuellem Wunschkennzeichen anzumelden, besucht Carsten die Online-Zulassungsstelle...

Combined Shape

Die EU-Whistleblowing-Richtlinie wurde mit dem Hinweisgeberschutzgesetz (HinSchG) in nationales Recht umgewandelt.

Combined Shape

Im hektischen Betrieb an einem Montag in der IT-Abteilung eines Unternehmens durchbrach das Telefonläuten die augenblickliche Arbeit. Der…

Combined Shape

28.02.2023 Podcast | Cybersecurity, Informationssicherheit

In diesem Podcast befassen wir uns mit potenziellen IT-Sicherheitsrisiken, denen öffentliche Einrichtungen beim Betrieb von Open-Source-Software im…

Combined Shape

In der neuen Folge unseres Podcasts "audatis DIALOG" geht es um das spannende Thema: die Zukunft von Cyberversicherungen.

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um eine mögliche Phishing-Attacke trotz…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Allianz Risk Barometer 2022 und die Top…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ werden die Ransomwareangriffe auf Unternehmen der Gruppe REvil…

Combined Shape

26.04.2022 Podcast | Cybersecurity

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um die möglichen Risiken bei der Nutzung von Kaspersky.

Combined Shape

In der neuen Folge geht es um das auf Cyber-Security Lösungen spezialisierte Unternehmen "Mandiant", welches kürzlich von Google gekauft wurde.

Combined Shape

In der neuen Folge geht es um die Erstellung von Audit-Programmen.

Combined Shape

22.02.2022 Podcast | Cybersecurity, Informationssicherheit

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zero Trust Sicherheitsmodell.

Combined Shape

In der neuen Folge geht es um Cyber-Versicherungen für Unternehmen.

Combined Shape

11.01.2022 Podcast | Cybersecurity

In der neuen Folge geht es um die Cyber Security Trends für das Jahr 2022.

Combined Shape

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Ransomware-Angriffe.

Combined Shape

Nach unserer Sommerpause starten wir den mit der ersten Folge der neuen Reihe zum Thema Sicherheit der Cloud und wie diese durch Schwachstellen…

Combined Shape

Die Anzahl der Cyberangriffe auf Unternehmen nehmen zu.

Combined Shape

In der neuen Folge geht es um die Sicherheit bei der WLAN-Nutzung und den daraus resultierenden Gefahren für Unternehmen und Mitarbeiter im…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Entschließung der EU zur digitalen Verschlüsselung.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Sicherheit in der Software-Lieferkette.

Combined Shape

08.12.2020 Podcast | Cybersecurity

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Phishing.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um das Internet der Dinge (IoT).

Combined Shape

23.06.2020 Podcast | Update-News, Datenschutz, Cybersecurity

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datenschutz und IT-Sicherheit bei der App-Entwicklung.

Combined Shape