Datenschutzrechtliche Auswahlkriterien eines Messengerdienstes zur privaten Nutzung

Messengerdienst bieten nicht nur die Möglichkeit im Internet schnell und einfach Nachrichten auszutauschen. In aller Regel beinhalten diese Dienste zudem zusätzliche Funktionen wie Sprachnachrichten oder Videoanrufe und sind meist bedienungsfreundlich gestaltet. Auch können sie häufig sowohl über Apps auf dem Smartphone als auch über Web-Anwendungen auf dem PC genutzt werden.

Gleichzeitig tauschen Nutzerinnen und Nutzer über Messengerdienste höchstpersönliche Informationen aus. In der sich immer stärker vernetzenden Welt hat sich Sicherheit und Datenschutz bei Messengerdiensten daher zu einem zentralen Anliegen entwickelt.

Im Folgenden finden Sie eine Übersicht der wichtigsten datenschutzrechtlichen Kriterien zur Auswahl eines Messengerdienstes. Diese fokussieren vornehmlich die private Nutzung und nicht etwaige Business Varianten.

1. Transparente Datenschutzerklärung

Die Datenschutzgrundverordnung (DSGVO) verpflichtet die Verantwortlichen (hier regelmäßig die Messengerdiensteanbieter), Nutzerinnen und Nutzer über die Verarbeitung ihrer personenbezogenen Daten zu informieren, vgl. auch Informations- und Transparenzpflichten im Sinne des Art. 12 Abs. 1 und 13 DSGVO. Die entsprechenden Informationen finden sich meist in Datenschutzerklärungen und sollten vor der Installation und der Erstellung eines Accounts abrufbar sein.

• Die Informationen über die Datenverarbeitungen des Messengerdienstes sind den Nutzerinnen und Nutzern nach § 12 Abs. 1 DSGVO in klarer und einfacher Sprache sowie leicht zugänglich und jederzeit einsehbar zur Verfügung zu stellen. Das Erfordernis einer klaren und verständlichen Sprache ist u.a. so auszulegen, dass die Datenschutzerklärung in der Landessprache der angesprochenen betroffenen Personen bereitzustellen ist.
• Der Messengerdiensteanbieter muss darüber informieren, welche personenbezogenen Daten gespeichert werden. Zudem sind die konkrete Speicherdauer und die dazugehörigen Löschfristen anzugeben. Es muss dargelegt werden, wer die für die Datenverarbeitung verantwortliche Stelle ist. Auch sollten die dazugehörigen Kontaktdaten des Anbieters hinterlegt sein. Dies betrifft ebenso die Angaben zu Kontaktinformationen für Datenschutzanfragen, vgl. Art. 13 lit. a) und b) DSGVO.
• Auch sind die Zwecke der Datenverarbeitung transparent aufzuführen, also warum die Daten gesammelt und wie sie verwendet werden, ob und wie die Daten an Dritte weitergegeben werden, sowie welche Schutzmaßnahmen diesbezüglich ergriffen werden, vgl. Art. 13 Abs. 1 lit. c) und f) DSGVO.
• Zudem zwingend erforderlich i.S.d. Art. 13 Abs.1 lit. c) DSGVO sind die Angaben von Rechtsgrundlagen, auf welchen die Verarbeitung der Daten beruht.
• Es muss gewährleistet sein, dass die Einwilligung zur Datenverarbeitung freiwillig und unmissverständlich erfolgt.
• Als Nutzerin bzw. Nutzer haben Sie konkrete Betroffenenrechte wie das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO) sowie das Recht auf Löschung (Art. 17 DSGVO). Diese müssen in der Datenschutzerklärung zwingend aufgeführt sein.
• Sofern Ihnen bei der Nutzung des Dienstes Werbung angezeigt wird, überprüfen Sie, ob der Dienst Sie diesbezüglich nach Ihrer Einwilligung gefragt hat.

2. Betroffenenrechte der DSGVO

Der Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten ist ein Grundrecht. Insofern sollten Sie stets kritisch hinterfragen, wie der Dienst die Ausübung Ihrer Betroffenenrechte handhabt. 

Die in Art. 12 ff. DSGVO dargelegten Betroffenenrechte stellen ein Steuerungs- und Kontrollelement hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten dar. Sie umfassen insbesondere nachstehende Rechte:

• Auskunftsrecht: jeder Nutzende des Dienstes hat das Recht, Auskunft darüber zu verlangen, welche personenbezogenen Daten verarbeitet werden (vgl. Art. 15 DSGVO).
• Recht auf Berichtigung: der einzelne Nutzende kann die Berichtigung unrichtiger oder unvollständiger Daten verlangen (vgl. Art. 16 DSGVO).
• Recht auf Löschung: unter bestimmten Voraussetzungen, kann die Löschung der personenbezogenen Daten verlangt werden (vgl. Art. 17 DSGVO).
• Recht auf Widerspruch: jeder Nutzende kann der Verarbeitung seiner personenbezogenen Daten widersprechen, insbesondere, wenn dies auf berechtigten Interessen basiert (vgl. Art. 21 DSGVO).
• Recht auf Widerruf der Einwilligung: Wenn die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung beruht, kann diese jederzeit widerrufen werden (vgl. Art. 7 DSGVO).

3. Privatsphäre-Einstellungen

Neben der Transparenz stellen aus Sicht des Datenschutzes die verfügbaren Privatsphäre-Einstellungen einen weiteren, wichtigen Faktor bei der Auswahl eines Messengerdienstes dar. Zwar variiert die Wichtigkeit einzelner Einstellungsmöglichkeiten von Person zu Person, doch gibt es einige grundlegende Einstellungsmöglichkeiten, welcher jeder Messenger anbieten sollte. Neben der reinen Einstellmöglichkeit, heben sich hierbei besonders datenschutzfreundliche Messenger dadurch hervor, dass die Privatsphäre schonendsten Einstellungen bereits voreingestellt sind. Ergänzend zur Einstellmöglichkeit an sich, sollte der Messenger auch darüber aufklären, welchem Zweck die Einstellung dient, auf welche Informationen zugegriffen wird und welche Auswirkung die jeweilige Einstellung hat. Werden mehrere Berechtigungen an eine Einstellung gekoppelt, welche für die beschriebene Funktion nicht notwendig erscheinen, ist Vorsicht geboten. Abschließend stellt natürlich eine einfache und nutzerfreundliche Bedienbarkeit der Einstellungen ein weiteres Entscheidungskriterium bei der Auswahl eines Messengerdienstes dar. Hier stehen jedoch teilweise persönliche Vorlieben im Vordergrund, sodass dies nur am Rande erwähnt wird. Ein Messengerdienst sollte in jedem Fall eine Einstellung zu den folgenden Aspekten ermöglichen und im besten Fall eine datenschutzfreundliche Voreinstellung gesetzt haben:

• Zugriff auf das Telefonbuch: Einstellung, ob der Messengerdienst zum Auffinden von Kontakten auf das Telefonbuch zugreifen darf.
• Profilinformationen: Einstellung wer Profilbild, Status und Telefonnummer sehen kann.
• Lesebestätigungen: Einstellung, ob Absender das Öffnen einer empfangenen Nachricht einsehen können.
• Schreibindikator: Einstellung, ob andere Chatteilnehmende einsehen können, wenn eine neue Nachricht getippt wird.
• Standortfreigabe: Einstellung, ob und mit wem der eigene Standort geteilt wird.
• Nutzungsanalyse: Einstellung, ob der Hersteller Daten zur Nutzungsanalyse erheben darf.
• Fehlerdatenanalyse: Einstellung, ob der Hersteller Daten zur Fehleranalyse erheben darf.
• Push-Benachrichtigungen: Einstellung, ob beim Empfang von Nachrichten eine Push-Benachrichtigung angezeigt wird. (Anmerkung: Dies kann teilweise auch betriebssystemabhängig sein.)

4. Löschung des Accounts

Bei Messengerdiensten kann es früher oder später dazu kommen, dass Nutzende einen Dienst nicht länger verwenden möchten. Wurde bei der Wahl des Messengers das Ende des Dienstes oder der eigenen Nutzung des Dienstes nicht weiter berücksichtigt, können Nutzende unangenehm überrascht werden. 

Aus Sicht des Datenschutzes empfiehlt es sich also vor dem Nutzungsbeginn eines Messengers schon über ein mögliches Ende der Nutzung bzw. die potenzielle Löschung ihres Accounts nachzudenken. Insbesondere könnten hierbei Fragestellungen zum Verbleib der eigenen Nachrichten, Profildaten, Stories oder sonstige personenbezogene Daten beim Löschen des eigenen Accounts relevant sein. Informationen über die jeweiligen Löschfristen sollten also in der Datenschutzerklärung zu finden sein.

Folgende personenbezogene Daten sollten nach Beendigung der Nutzung des Messengerdienstes durch diesen umgehend gelöscht werden:

• Benutzerdaten wie Name, Telefonnummer oder Profilbilder.
• Informationen über die persönlichen Kontakte des jeweiligen Nutzers, die in dem Messenger gespeichert sind.
• Einstellungen und Präferenzen: Personalisierte Einstellungen wie Benachrichtigungen und Datenschutzoptionen.
• Verbindungsdaten wie etwa Protokolle über die Nutzung des Dienstes wie IP-Adressen.

Technik der Messenger

Auch technische Fragestellungen sind im Hinblick auf den Schutz ihrer personenbezogenen Daten bei der Verwendung eines Messengerdienstes interessant. Wichtig sind insbesondere die Themen Verschlüsselung und technisch-organisatorische Maßnahmen.

1. Ende-zu-Ende-Verschlüsselung

Der Schutz Ihrer privaten Kommunikation wird durch das Element der Ende-zu-Ende Verschlüsselung gewährleistet.

Verschlüsselung bedeutet im Allgemeinen, dass die Nachrichten in einen Code umgewandelt werden, welcher nur mit Hilfe eines passenden Schlüssels wieder dekodiert werden kann. Dies geschieht durch den Einsatz von Verschlüsselungsalgorithmen, die den Inhalt der Daten schützen. Bei Messengern bietet sich besonders eine Ende-zu-Ende-Verschlüsselung an. Bei dieser Methode werden die Nachrichten auf dem Gerät des Absenders verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt. Dadurch soll sichergestellt werden, dass von keiner dritten Person, auch nicht von dem Diensteanbieter selbst, die Nachrichten während der Übertragung gelesen werden können. Insofern ist bei der Auswahl eines Messengers darauf zu achten, ob der jeweilige Messengerdienst diese Verschlüsselungsalgorithmen, idealerweise eine Ende-zu-Ende Verschlüsselung, anbietet.

2. Einsatz geeigneter technisch-organisatorischer Maßnahmen

Der Dienst muss im Sinne des Art. 32 DSGVO angemessene technisch-organisatorische Maßnahmen zum Schutz der Daten vor unbefugtem Zugriff, Verlust und Missbrauch implementieren. Seriöse Anbieter berücksichtigen die folgenden Kriterien:

• Starke Authentifizierung: Implementierung von Zwei-Faktor-Authentifizierung zur Sicherung von Benutzerkonten.
• Regelmäßige Sicherheitsupdates: kontinuierliche Aktualisierung der Software um Sicherheitslücken zu schließen.
• Datenminimierung: nur Erhebung und Verarbeitung der für die Erbringung des Dienstes absolut notwendigen Daten.
• Zugriffskontrollen: Beschränkung des Zugriffs der Daten durch autorisierte Personen.
• Backup und Wiederherstellung: Regelmäßige Sicherung der Daten und Implementierung von Wiederherstellungsplänen im Fall eines Datenverlustes.
• Transparenzfördernd in diesem Zusammenhang sind auch sogenannte Sicherheitsaudits, das heißt Prüfungen von dritter Seite, z.B. das Vorhandensein von Zertifikaten und veröffentlichten Sicherheitsmeldungen.

Fazit

Neben persönlichen Auswahlkriterien, welchen Messengerdienst man nutzen möchte, haben wir die aus Datenschutzsicht relevanten Aspekte oben genannt. So sollte insbesondere die oft zu unbekümmerte Herausgabe personenbezogener Daten durch Sie stets kritisch hinterfragt und neu überprüft werden. Die neuere Entwicklung hat im Übrigen gezeigt, dass viele der Nutzenden für unterschiedliche Zwecke unterschiedliche Dienste in Anspruch nehmen. Dies scheint sich zunehmend zu bewähren. Doch noch immer verwendet die überwiegende Mehrheit der Nutzerinnen und Nutzer privat denjenigen Messengerdienst, welcher auch in ihrem jeweiligen persönlichen Umfeld häufig eingesetzt wird. Und der Blick in die Ausgestaltung der dargelegten Auswahlkriterien zur Datenschutzkonformität bei einem konkreten Anbieter ist zugegebenermaßen aufwändig. Dennoch kann es hilfreich sein, zunächst die wichtigen Fragestellungen zum eigenen Schutz zu kennen, um diese entweder in der jeweiligen Datenschutzerklärung zu prüfen oder ggf. den Diensteanbieter direkt danach zu fragen. Scheuen Sie sich nicht, Ihren Anbieter zu kontaktieren, er ist verpflichtet Ihnen im Rahmen Ihrer Betroffenenrechte Auskunft zu geben.