Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Messengerdienste

Aufgrund der rasanten Verbreitung von Smartphones, die einen permanent mitgeführten Internetzugang und damit eine grenzenlose Nutzung des mobilen Internets ermöglichen, haben sich moderne Messengerdienste zu einem der meist genutzten Kommunikationsmittel entwickelt. Was bei der Nutzung datenschutzrechlich zu beachten ist, erfahren Sie in diesem Artikel.

es sind verschiedene Apps von Messenger Diensten abgebildet
Quelle: ©Aleksei - stock.adobe.com

Messengerdienste können als Programme oder Apps verstanden werden, mit denen Nutzerinnen und Nutzer in Echtzeit Nachrichten, in Form von Text-, Video- oder Audio-Inhalten, austauschen können. Sie werden in der Regel über das offene Internet – „Over-The-Top“ (OTT)–  erbracht. Im Fachbeitrag finden Sie eine detaillierte Definition des Begriffs "Messengerdienst".

Mittlerweile sind Messaging-Lösungen aus unserem Alltag nicht mehr wegzudenken und gewinnen auch im Umfeld der Bundesverwaltung an Popularität. Ihre Nutzung hat insbesondere aufgrund der COVID-19-Pandemie und der daraus resultierenden steigenden Zahl von Beschäftigten, die mobil arbeiten, enorm zugenommen.

Die allgegenwärtige Nutzung von Messengern vereinfacht aber nicht nur die Kommunikation im Privaten und der Arbeitswelt, sondern kann auch zu Gefahren für das Recht auf informationelle Selbstbestimmung und Privatsphäre der Nutzenden führen. Dies gilt umso mehr, als nicht selten hoch sensible und private Informationen über Messenger ausgetauscht werden. Die marktüblichen Messenger, die der Allgemeinheit zugänglich sind, werden in der Regel gegen Entgelt erbracht, jedoch ist Entgelt hier nicht nur in einem monetären Kontext zu verstehen, denn bei den meisten Messengern “zahlt“ der Nutzende anstelle einer Gebühr mit der Verwertung seiner Nutzerdaten. Im Folgenden werden einige Aspekte des Daten- und Privatsphäreschutzes bei Messengern beleuchtet (1.), die Zuständigkeit der BfDI dargestellt (2.), ein kurzer Ausblick auf das Thema der Interoperabilität von Messengern gegeben (3.) und abschließend noch auf die All-in-One-Messenger eingegangen (4.).

1. Daten- und Privatsphäreschutz bei Messengerdiensten

Datenschutzrechtliche Aspekte spielen zunehmend eine größere Rolle bei der Auswahl eines Messengerdienstes.

Bei der Verwendung eines Messengers fallen nicht nur Kommunikationsinhalte, sondern immer auch eine Vielzahl von Metadaten (wie z. B. Anzeigenamen, Telefonnummer, Status, Profilbild) an. Einige dieser Metadaten sind aus technischer Sicht nicht zu vermeiden, andere hingegen werden von einigen Anbietern gezielt erhoben, um detaillierte Nutzerprofile zu erstellen. Es besteht die Gefahr, dass diese Daten beispielsweise für Werbezwecke genutzt oder Dritten bereitgestellt werden.

Neben Sicherheitsaspekten, wie dem Schutz des Kommunikationsinhaltes und der Bestandsdaten, sind insbesondere die Zugriffsrechte relevant, z. B. auf Kontaktlisten oder Standortdaten, die dem Messenger eingeräumt werden.

Es ist daher wichtig, dass sich Nutzende über die Nutzungs- und Datenschutzbedingungen sowie die Sicherheitsfunktionen der Messengerdienste informieren, bevor sie diese nutzen. Einige Messenger bieten etwa Ende-zu-Ende-Verschlüsselung an, was bedeutet, dass nur die Absender und Empfänger die Nachrichten lesen können und nicht von Dritten oder dem Diensteanbieter selbst eingesehen werden können.

Messenger unterliegen einer Vielzahl rechtlicher Anforderungen, um den Datenschutz, die Privatsphäre und die Sicherheit der Nutzenden zu gewährleisten. Hierbei unterliegen sie insbesondere den allgemeinen Anforderungen der Datenschutz-Grundverordnung (DSGVO) sowie, wenn sie ein Telekommunikationsdienst sind, den Vorgaben des Telekommunikationsgesetzes (TKG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG). Das TDDDG enthält etwa das Fernmeldegeheimnis, das die Vertraulichkeit der Telekommunikation regelt.

2. Zuständigkeiten der BfDI

Gemäß § 29 TDDDG ist mein Haus für die Einhaltung der Regelungen des TDDDG zuständig, soweit für die geschäftsmäßige Erbringung von Telekommunikationsdiensten Daten von natürlichen oder juristischen Personen verarbeitet werden. Dies betrifft etwa Fragen der Vertraulichkeit der Kommunikation – insbesondere das Fernmeldegeheimnis – oder Regelungen zu Verkehrs- und Standortdaten, sofern diese mit der Verarbeitung personenbezogener Daten einhergehen.

Ferner ist mein Haus gemäß § 9 Abs. 1 BDSG zuständig für die Aufsicht über Unternehmen mit Sitz in Deutschland, soweit diese für die geschäftsmäßige Erbringung von Telekommunikationsdienstleistungen Daten von natürlichen oder juristischen Personen verarbeiten. Hierunter fällt auch die Aufsicht über die Einhaltung der Anforderungen der DSGVO.

Die dargestellte Zuständigkeitsverteilung gilt jedoch nicht bei grenzüberschreitenden Datenverarbeitungen hinsichtlich der Anforderungen an die Verarbeitung personenbezogener Daten, die sich aus der DSGVO und dem BDSG ergeben. Hierbei ist nach Art. 56 Abs.1 DSGVO die Aufsichtsbehörde der Hauptniederlassung oder einzigen Niederlassung des Verantwortlichen oder Auftragsverarbeiters als federführende Aufsichtsbehörde zuständig (sogenannter One-Stop-Shop-Mechanismus, OSS).

Somit hängt die Zuständigkeit also von der Niederlassung des Messengerdienstes ab:

Messengerdienste mit Hauptniederlassung in Deutschland:

  • Zuständigkeit der BfDI nach der DSGVO
  • Zuständigkeit der BfDI für Sachverhalte, die vom TDDDG geregelte Themen betreffen – wie etwa Cookies, das Fernmeldegeheimnis oder die Verarbeitung von Verkehrs- und Standortdaten

Messengerdienste mit Niederlassung in der Europäischen Union:

  • BfDI ist bei der Durchsetzung der DSGVO auf gegenseitige Amtshilfe nach Art. 61 DSGVO und auf die Zusammenarbeit im Sinne des „One-Stop-Shop“ -Mechanismus mit der federführenden Aufsichtsbehörde angewiesen
  • Die Zuständigkeit der BfDI ist gegeben für Sachverhalte, die vom TDDDG geregelte Themen betreffen – wie etwa Cookies, das Fernmeldegeheimnis oder die Verarbeitung von Verkehrs- und Standortdaten. Hierbei dürfte weiter zu beachten sein, ob die Vorgaben des TDDDG eine Grundlage im europäischen Recht (insbesondere der ePrivacy-Richtlinie) haben.

Messengerdienste ohne Niederlassung in der Europäischen Union:

  • Die Zuständigkeit der BfDI richtet sich nach der DSGVO
  • Die Zuständigkeit der BfDI ist gegeben für Sachverhalte, die vom TDDDG geregelte Themen betreffen – wie etwa Cookies, das Fernmeldegeheimnis oder die Verarbeitung von Verkehrs- und Standortdaten

Tiefergehende Ausführungen bezüglich Rechtsgrundlagen und Zuständigkeiten finden Sie in dem Fachbeitrag zu Messengerdiensten.

3. Interoperabilität

Aktuell gibt es eine Vielzahl von Messengern verschiedener Anbieter, die jedoch – anders als bei Telefon und E-Mail – im Allgemeinen nicht miteinander kompatibel sind, sodass Nutzer verschiedener Messengerdienste in der Regel nicht miteinander kommunizieren können. Die Gründe dafür sind vielfältig.

Eine zentrale technische Hürde sind in diesem Zusammenhang unterschiedliche Ausgestaltungen der Verschlüsselung. Die meisten Messenger bieten mittlerweile die Möglichkeit, Nachrichten zu verschlüsseln, um Vertraulichkeit, Integrität und Authentizität der ausgetauschten Inhalte zu sichern. Je nach Dienst ist die Ausgestaltung unterschiedlich und es hängt häufig von den gewählten Einstellungen ab, welche Inhalte verschlüsselt werden – also etwa nur Textnachrichten oder auch Bilder, Dateien und Audio-Videotelefonate, ob nur in Einzel- oder auch in Gruppenkonversationen – und wie die Inhalte verschlüsselt werden – also ob Ende-zu-Ende- oder nur durch Transportverschlüsselung.

Vor dem Hintergrund, dass die meisten Messenger nur die Kommunikation mit Nutzern desselben Dienstes bzw. Anbieters ermöglichen und es nur wenige Messenger gibt, die eine sehr hohe Nutzerzahl haben, sind seit Jahren die Marktkonzentration auf einzelne Dienste im Messengerbereich und die damit verbundenen Probleme Gegenstand öffentlicher Diskussionen.

Aufgrund der hohen Nutzerzahlen einzelner Messenger, die sich auf Netzwerkeffekte zurückführen lassen, wird dominanten Messengerdiensteanbietern häufig ein faktisches Abhängigkeitsverhältnis der Nutzenden vorgeworfen. Es besteht die Gefahr, dass diese Anbieter beispielsweise Nutzenden intransparente und unverhältnismäßige Nutzungsbedingungen auferlegen oder übermäßig Daten der Nutzenden erfassen und auswerten. Mit dem Gesetz über digitale Märkte (Digital Market Act) will die EU die Marktmacht dominanter Anbieter aufbrechen, Missbrauchspotenziale verringern, Interoperabilität fördern und kleineren Wettbewerbern die Chance auf einen Markteintritt ermöglichen. Eine der Regelungen des Digital Market Act sieht dafür konkret eine verpflichtende Öffnung der bisher überwiegend geschlossenen Kommunikationsnetzwerke auch für Anbieter konkurrierender Messenger vor. Dadurch soll es den Nutzenden unterschiedlicher Messenger ermöglicht werden, interoperabel kommunizieren zu können.

4. All-in-One-Messenger

Der Vollständigkeit wegen seien noch die sogenannten All-in-One-Messenger (oder Clients) erwähnt. Dies sind Dienste, die eine Kommunikation über mehrere Messenger Dienste in einer Anwendung ermöglichen. Technisch nutzen All-in-One-Messenger entweder die offiziellen Web-Interfaces oder direkte Schnittstellen der Messenger. Sie ermöglichen selbst keine Kommunikation über Telekommunikationsnetze und stellen keine Messenger im Sinne der vorgenannten Definition dar. Da diese auch selbst keinen Telekommunikationsdienst erbringen fallen diese damit nicht in die Zuständigkeit der BfDI, sondern in die Zuständigkeit der Landesdatenschutzbehörden.

Weiterführende Informationen zu dem Thema

Detailliertere Ausführungen zum Thema Messengerdienste