WhatsApp: Daten-Weiterleitung und eventuell rechtliche Schritte

Hallo!

Ich weiß derzeit nicht genau, wie der aktuelle Stand ist: welche Daten leitet ein standardmäßig installiertes WhatsApp aus dem Adressbuch eines Smartphone (Android oder iPhone: enthalten z.B. Vorname und Nachname, Geburtsdatum, Straße und Hausnummer, Postleitzahl und Ort, private sowie geschäftliche E-Mail Adresse, Mobilfunknummer sowie Festnetznummer und geschäftliche Telefonnummer, private sowie geschäftliche Website, Organisation/Firma, Funktion/Titel, Spitzname) an Meta weiter?

Weiter: ich selbst kann i.d.R. nicht beeinflussen (weiß es im Zweifel nicht einmal!), ob meine Daten und welche bei irgendwem im Smartphone mit WhatsApp gespeichert sind.

Angenommen, bei einer Person X sind Daten von mir gespeichert, sie benutzt (standardmäßig installiert) WhatsApp und eine Daten-Weiterleitung (siehe oben — welche tatsächlich?) findet statt: wenn ich von dieser Person X weiß und diesem Prozedere nicht explizit eingewilligt habe, welche rechtlichen Schritte stehen mir dann offen? (Klar, außer „Diensten“ werden nicht wesentlich viele Personen/Institutionen meine Daten gespeichert haben und WhatsApp nutzen — aber ich muss es natürlich überhaupt wissen.)

Weiter: hat schon mal jemand solche Schritte unternommen? Eventuell sogar gegen „Freunde“ (also Leute, die man an sich mag und gerne weiterhin als Bekannte hätte)?

WhatsApp hat einen Artikel in den FAQ dazu:
https://faq.whatsapp.com/1191526044909364/

Auch wenn ein Hash aus einer Telefonummer erstellt wird und diese gelöscht wird, falls der betreffende Kontakt kein Whatsapp nutzt (Angabe in der FAQ von Whatsapp), wird die Nummer ja erstmal von Meta verarbeitet und man hat als jemand der Whatsapp nicht nutzt, keine Möglichkeit dies zu verhindern.

Oh, interessant, Danke!

Sehe ich das also richtig, dass (mittlerweile) das Adressbuch nicht mehr so wie früher ungefragt übertragen wird?

Das war bisher mein Hauptkritikpunkt. Welche Kritikpunkte sind denn dann heute tatsächlich relevant?

Einer von Whatsapp oder Meta selbst verfassten Information glaubst du hoffentlich nicht.

Soweit ich weiß, wurde das Adressbuch noch nie übertragen, wenn im Sinne von übertragen gemeint ist, dass alle Angaben zu einer Person, wie Name, Adresse, Mailadresse usw. ausgelesen werden.
Das Auslesen der Telefonnummern ist jedoch notwendig, um den Nutzern anzeigen zu können, welche Kontakte WhatsApp nutzen. Was in der Kritik steht ist, dass dabei auch Telefonnummern von nicht WhatsApp Nutzern gespeichert werden.

Das Hauptproblem bei Whatapp ist aber das Sammeln und Verknüpfen von Metadaten, auch im Zusammenhang mit Facebook und Instagram.

Detaillierte kannst du es auch in folgenden Beiträgen nachlesen.
https://www.handytick.de/blog/whatsapp-telegram-signal-und-co-messenger-dienste-im-vergleich/

https://www.datenschutzexperte.de/blog/whatsapp-und-datenschutz---keine-gute-kombination

https://www.dr-datenschutz.de/whatsapp-im-datenschutz-check-das-passiert-mit-deinen-daten/

Zudem ist Hashing von Telefonbüchern auch ziemlich für die Katz, da die meisten Einträge zu kurz sind, dass ein Hash ein wirkungsvoller Schutz wäre.

Die Vorgehensweise ist meines Wissens nach schon lange (immer?) so beschrieben gewesen.

Korrekt, man hat keine Möglichkeit das zu verhindern. Das gilt aber genau genommen für alle Kommunikationsdienste.

Man hat keinen Einfluss darauf ob jemand

• die eigene E-Mail-Adresse bei Gmail eingibt
• die eigene Rufnummer über einen Provider anwählt
• die eigene Mobilfunknummer an Threema, Signal oder zur Feststellung der Unterstützung hochlädt
• die eigenen Kontaktdaten in einem schlecht abgesicherten und aus dem Internet erreichbaren NAS-Filer ablegt

Der einzige Einfluss den wir haben ist politisch zu versuchen Gesetze gegen die Drittverwertung von persönlichen Daten die man nicht selbst bereitgestellt hat installieren und durchsetzen zu lassen. Hier ist IMHO der einzige Hebel den wir haben.

Ein Versuch jemanden privat zu verklagen, dass er nicht die eigenen Sichtweise vertritt aber rechtlich sich auch nichts zu Schulden kommen lassen hat, halte ich für keinen sinnvollen Weg.

https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_de

„ Für wen gilt die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung gilt für

• ein Unternehmen oder eine Einrichtung, welches oder welche personenbezogene Daten im Rahmen der Tätigkeiten einer in der EU ansässigen Zweigstelle verarbeitet, unabhängig davon, wo die Datenverarbeitung stattfindet; oder
• ein Unternehmen, das außerhalb der EU ansässig ist und Waren/Dienstleistungen (bezahlt oder unentgeltlich) anbietet oder das Verhalten von Personen in der EU beobachtet.„

Das Verhalten von Privatleuten ist nicht durch die DSGVO erfasst. Welche anderen Gesetze es abseits dessen gibt, die auf das Whatsapp-Thema des Adressbuchuploads durch Privatleute wirken, entzieht sich meiner Kenntnis.

Ergänzung (29.03.2025)

Ich habe mir das Gerichtsurteil aus dem Beitrag eines anderen Thread

https://www.kuketz-forum.de/t/messenger-fuer-elternvernetzung/5446/6

durchgelesen. Wenn ich dieses mit meinen begrenzten juristischen Kenntnissen interpretiere, dann hat das Gericht festgestellt:

Die Übertragung von Telefonnummern und Klarnamen des Adressbuchs an WhatsApp verstößt gegen das „Informationelle Selbstbestimmungsrecht“ der Personen die man selbst in seinem Kontakt-Verzeichnis erfasst hat und diese Informationen dann an WhatsApp überträgt.

Das Gericht hat also nicht einen Verstoß einer Privatperson gegen die DSGVO festgestellt welche die Grundlage darstellt.

Interessanterweise wird das Verfahren des Kontakteverzeichnisupload bei Threema explizit vom Gericht als kein Verstoß, jedoch das Führen von Cloud-Adressbüchern als potentiell problematisch angesehen. Ich vermute es hängt von den Datenschutzerklärungen und den dort drin eingeräumten Nutzungen der Kontakte ab.

Dieses nur als Ergänzung zu meiner zuvor gestellten Frage „ Welche anderen Gesetze es abseits dessen gibt, die auf das Whatsapp-Thema des Adressbuchuploads durch Privatleute wirken, entzieht sich meiner Kenntnis.“

Äh, doch, zumindest ansatzweise. Und zumindest bis es ernsthafte begründete Kritiken gibt.

Zu irgendwelchen Punkten können viele vieles vermuten…

(Und nein, ich bin weder Meta Fan i.A. noch WhatsApp Fan i.B. Bisher nutze ich (aktiv) nichts davon!)

Ah, OK. Dann hatte ich das damals falsch mitbekommen und bei mir persönlich falsch gemerkt. Ich war tatsächlich davon ausgegangen. Wenn es so wäre, würde ich diesen Zustand für „untragbar“ halten. Aber offensichtlich sind es „nur“ die Telefonnummern…

Ist halt die Frage, wie die das umsetzen: direkt mit den eigentlichen Nummern oder mit Hashes wie einige andere Messenger?!

Ja, davon habe ich auch schon mitbekommen. Deswegen blocke ich auch beim allgemeinen Surfen einen Großteil solcher Verbindungen (so weit es möglich ist, ohne dass die entsprechenden Seiten „kaputt“ sind). Teilweise sind ja bei irgendwelchen Portalen etc. irgendwelche Elemente von Meta u.ä. eingebaut, so dass beim bloßen Abrufen von Artikeln bereits Erhebungen stattfinden. Dass ich nicht auf „Like!“ o.ä. klicke, ist klar. Ich will aber schon beim bloßen Surfen i.d.R. nicht erfasst werden. Zum Teil lässt es sich ja „bekämpfen“ und vermeiden…

Das kommt darauf an. Nämlich wie es konkret technisch umgesetzt wird.

Siehe Kryptographische Hashfunktion.

Eine kryptographische Hashfunktion weist folgende Eigenschaften auf:

1. Beliebige Eingabelänge: Die Hashfunktion verarbeitet beliebig lange Daten, also eine beliebige Folge von Bits oder Bytes.
2. Feste Ausgabelänge: Die Hashfunktion erzeugt einen Hashwert fester Länge (beispielsweise 256 Bits).

[…]

Allerdings!

Das kann generell passieren, man hat nicht unbedingt Einfluss darauf und im Zweifel weiß man es schlicht nicht einmal!

Aber: ich frage mich tatsächlich, welche Möglichkeiten i.A. und technische sowie rechtliche i.B. bei derartiger Kenntnis man hat. Einfach effektiv quasi gar nichts weil ja privat?!

Falsch. Wenn die Eingabemenge zu klein ist wie bei Geburtsdatum oder Telefonnummern hilft auch die beste Hashfunktion nichts, da eine Hashtabelle dann schnell erstellt ist.

Prinzipiell hast Du schon teilweise recht. Ich nehme an, Du denkst an so etwas wie Rainbow Table.

Und wegen einer von Dir angesprochenen reduzierten Kennwortlänge gibt es z.B. so etwas wie Salts oder auch Iterationen.

Siehe z.B. bcrypt! Es geht nicht einfach nur um „Hashfunktion“, sondern um die tatsächliche konkrete Umsetzung. Und da ist mehr möglich, als eine „einfache Hashfunktion in ihrer einfachsten Form“.

Deswegen sprach ich ja auch bewusst von kryptographischer Hashfunktion sowie deren konkreter technischer Umsetzung, und nicht einfach (irgendeiner) Einwegfunktion.

Salts, andere Hashfunktionen usw. helfen dir nicht, wenn die Eingabemenge zu klein ist.

Nicht nur prinzipiell. Es ist so.

Ups, sorry! Was ich nicht genau bedacht habe: WhatsApp/Meta macht ja die technische Umsetzung, also eventuell den Salt, und kennt damit natürlich auch den Salt.

Nur wenn sie ihn nutzen würden, aber es so umsetzen würden, dass sie so tun, als ob sie ihn quasi nicht kennen, würde es helfen.

So hilft es nur gegen externen Datendiebstahl, wenn also die Hash-Tabellen von WhatsApp/Meta nach außen abwandern (der Salt aber geheim bliebe). Dann wäre für die Dritten eine Rückermittlung tatsächlich schwierig. Woran ich gedacht hatte… Aber nicht bedacht hatte, dass WhatsApp/Meta natürlich alles direkt in der Hand haben. Wenn man ihnen nicht vertraut oder sie es einfach nicht wollen, dann hashen sie eventuell nicht einmal. Intern wäre es natürlich am Ende fast egal, aber wenigstens nach außen würde es einen Unterschied machen.

Sorry für die Konfusion. Ich war so überzeugt von der Stärke von bcrypt ähnlichen Methoden, dass ich gar nicht bedacht hatte, dass es nicht um extern, sondern intern geht.