Messengerdienst Telegram verstößt gegen die DSGVO

Messenger-Dienste sind als schnelles und flexibles Mittel zur Kommunikation in den Unternehmen nicht mehr wegzudenken. Täglich werden diese Dienste eingesetzt, um private Belange aber auch sensible Unternehmensdaten austauschen. Durch Home-Office und mobiles Arbeiten ist das Interesse an Messengern für den schnellen und unkomplizierten Informationsaustausch im Berufsalltag in den letzten drei Jahren weiter gestiegen.

Immer wieder werden wir in Bezug auf eine datenschutzkonforme Messenger-Lösung angesprochen, wobei unsere Mandant*innen aufgrund der Bekanntheit häufig konkret den Messenger-Dienst Telegram häufig ansprechen. Vieles sprach in der Vergangenheit dafür, dass dieser datenschutzkonform eingesetzt werden könne, wobei wir stets angemerkt haben, dass über den Betreiber recht wenig bekannt ist und auch der Unternehmenssitz sich mehrfach änderte. Gemäß unseren Informationen ist der aktuelle Sitz Dubai in den vereinigten Arabischen Emiraten. Nun hat sich der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) Ullrich Kelber geäußert. Seiner Meinung nach verstößt der Dienst sowohl gegen die DSGVO als auch gegen das Netzwerkdurchsetzungsgesetz (NetzDG).

Fehlende Umsetzung der Betroffenen Rechte in der Praxis

Bereits im Oktober 2022 hatte das Bundesamt für Justiz (BfJ) ein Bußgeld in Höhe von insgesamt 5,125 Millionen Euro gegen den Messenger-Dienst Telegram verhängt. Die Bundesoberbehörde wirft den Betreibern vor, gegen die Vorschriften der Paragrafen 3 und 5 des Netzwerkdurchsetzungsgesetzes (NetzDG) verstoßen zu haben. Diese schreiben vor, “ein wirksames und transparentes Verfahren für den Umgang mit Beschwerden über rechtswidrige Inhalte” vorzuhalten und einen so genannten inländischen Zustellungsbevollmächtigten zu benennen, welcher bisher nicht vorhanden ist.

Der Auslöser für die Beschwerde zum Thema Datenschutz kam durch ein Mitglied der Organisation „Freiheitsfoo“. Telegram war der Anfrage nach Auskunft gemäß Art. 15 DSGVO zu seiner Person nicht korrekt nachgekommen. Freitsfoo ist eine Gruppe von Bürger*innen welche Menschen- und Freiheitsrechte und Rechte auf Privatsphäre, informationelle Selbstbestimmung, Anonymität und Intimsphäre im Digitalbereich hinterfragen bzw. einfordern.

Sofern eine betroffene Person gegenüber Telegram Gebrauch von ihren Rechten  aus den Artt. 15-21 DSGVO machen möchte, muss dieses Ersuchen an einen Chatbot adressiert werden. Es gibt keine anderen Kontaktdaten, um direkt mit Telegram in Kontakt zu treten. Mit dem Chatbot gab es ein wochenlanges Hin und Her ohne konkretes Ergebnis, so dass der Eindruck entstand, Telegram wolle das Auskunftsersuchen möglichst umgehen.

Letztlich gab es keine angemessene Auskunft nach Art. 15 DSGVO, sondern die „Anweisung“, die PC-Version von Telegram herunterzuladen und zu installieren, um dann darüber die eigenen Daten abzurufen. Aktivitäten und Chatverläufe, die der Betreiber auf seinen Servern speichert, sind davon jedoch nicht umfasst.

Aufgrund dieser Erfahrung wandte sich das Mitglied von Freiheitsfoo an die Dienststelle des BfDI und schilderte den Fall. Die Behörde versuchte aufgrund der Beschwerde direkt mit Telegram in Kontakt zu treten, jedoch ohne Erfolg, da das Unternehmen seinen Sitz in Dubai hat und für Behörden nicht erreichbar ist.

Zwar verweist Telegram auf eine Geschäftsadresse in Großbritannien, doch das reicht gemäß Art. 27 DSGVO nicht aus. Wenn – verkürzt gesagt – ein Unternehmen keine Niederlassung in der EU hat, muss es einen Vertreter als Ansprechpartner für die Behörden benennen. Großbritannien ist seit dem Brexit nicht mehr Mitglied der EU, so dass diese Regelung greift und Telegram einen solchen Vertreter benennen muss. Telegram kommt dieser Verpflichtung nach Art. 27 DSGVO jedoch bislang nicht nach.

Da es für Behörden keine Möglichkeit gibt, mit Telegram direkt in Kontakt zu treten, ist die Bearbeitung von Beschwerden und Nachforschungen solcher Fälle schwierig und langwierig. Auch der BfDI hat aufgrund des fehlenden Vertreters in der EU keinen unmittelbaren Kommunikationskanal zu Telegram. Es bleibt abzuwarten, ob Telegram diesbezüglich entsprechende Maßnahmen ergreift. Aktuell können betroffene Personen ihre Rechte gegenüber Telegram nicht durchsetzen, sofern sie nicht den gerichtlichen Weg in den Vereinigten Arabischen Emiraten oder Großbritannien einschlagen wollen.

Signal oder Threema als gute Alternativen

Als Alternative zu Telegram erscheinen uns aktuell Signal oder Threema als vertretbare Optionen. Ein Nachteil von Signal könnte der Serverstandort in den USA sein, da hier immer die Gefahr einer Einflussnahme durch die US-amerikanischen Geheimdienste besteht. Threema punktet hier mit dem Serverstandort in der Schweiz. Beide Messenger bieten eine  eigene Ende-zu-Ende-Verschlüsselung welche sowohl bei Einzel- als auch bei Gruppenchats zum Einsatz kommt.

Telegram setzt in der Standardeinstellung keine Ende-zu Ende-Verschlüsselung ein. Es gibt zwar optional die Möglichkeit der Nutzung von “geheimen Chats”, bei denen dies geschieht. Diese müssen aber explizit ausgewählt werden. Bei Gruppendiskussionen gibt es diese Funktion in der Regel nicht. Das bedeutet, der Betreiber kann in alle diese Chats Einblick nehmen.

Signal zeichnet sich zudem dadurch aus, dass versucht wird, besonders wenige Metadaten zu sammeln. Beispielsweise werden bei Signal auch die Metadaten, soweit möglich, verschlüsselt, sodass Signal die ID eines Absenders nicht bekannt ist.

Telegram hingegen verarbeitet die Metadaten unverschlüsselt. Dazu gehören zum Beispiel die IP-Adresse der Nutzer*innen, deren Namen sowie Details zu den verwendeten Geräten. Ebenso werden bei den „normalen“ also nicht den „geheimen“ Chats alle Inhalte auf den Servern des Betreibers gespeichert. Hinzu kommt auch, dass die Nachrichten ständig synchronisiert werden, was bedeutet, dass die Nachrichten bereits beim Tippen und nicht erst nach Versand auf den Telegram-Servern gespeichert werden. Es können also alle Zwischenstände bei Telegram vorliegen (ob dies tatsächlich der Fall ist, weiß allerdings nur Telegram), einschließlich der von den Nutzer*innen wieder gelöschten Entwürfe. Ein Manko von Signal besteht in der Bereitstellung der Datenschutzhinweise. Diese sind bisher nicht in deutscher, sondern nur in englischer Sprache verfügbar. Sofern die Zielgruppe sich in Deutschland befindet (da die App entsprechend lokalisiert wurde, kann man davon wohl ziemlich sicher ausgehen), müssten die Datenschutzhinweise allerdings ebenfalls auf Deutsch verfügbar sein. Bei diesem Punkt ist dann wiederum Threema als Anbieter aus der Schweiz im Vorteil, der alle Texte auch in deutscher Sprache anbietet.

WhatsApp als schlechte Alternative

Das Gegenbeispiel für einen, aus datenschutzrechtlicher Sicht schlechten Messenger, ist WhatsApp. Es ist erschreckend, dass WhatsApp nach wie vor der meistgenutzte Messenger im privaten und auch im geschäftlichen Umfeld ist. In diesem Blogartikel haben wir bereits dargestellt, weshalb dieser Dienst keine Option sein sollte.

Der Messenger WhatsApp ist sowohl für die interne Kommunikation im Unternehmen als auch für die externe Kommunikation mit Kund*innen aus datenschutzrechtlicher Sicht ungeeignet. Es fehlt in der Regel an den erforderlichen Rechtsgrundlagen bzw. Einwilligungen der Kund*innen sowie aller weiteren Personen, deren Daten im Adressbuch des Telefons gespeichert sind und die unter Umständen gar keine Nutzer*innen von WhatsApp sind.

Fazit

Die eine Lösung ohne kleine Datenschutzmängel ist nahezu nicht auffindbar, jedoch gibt es einige Punkte, die bei der Auswahl eines guten Messengers zu beachten sind:

  • Server Standort: Der Server sollte sich in der EU oder einem anderen Staat des Europäischen Wirtschaftsraums (EWR) befinden.
  • Vertrag zur Auftragsverarbeitung: Für Unternehmen muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen werden.
  • Verschlüsselung: Eine gute Ende-zu-Ende-Verschlüsselung muss vorhanden sein und sollte standardmäßig aktiviert sein.
  • Adressdaten: Das lokale Adressbuch darf nicht vollständig an den Betreiber weitergegeben werden. Die dort enthaltenen Daten dürfen nicht zweckentfremdet verarbeitet werden und auch nicht ohne Garantien gemäß der Art. 44 ff DSGVO außerhalb EU/EWR oder ohne Rechtsgrundlage an Dritte übermittelt werden.
  • Backup: Die Speicherung der Daten sollte ebenso lokal wie in der Cloud umsetzbar sein.
  • Werbung: Der Messenger sollte nicht über Werbung finanziert werden. Viele digitale Angebote können ohne Bezahlung genutzt werden. Apps und Webseiten erscheinen daher kostenlos. Stattdessen finanzieren sich die Angebote über die Einblendung personalisierter Werbung, indem digitale Werbeflächen für zahlende Unternehmen zur Verfügung gestellt werden. Technisch erfolgt dies häufig über Informationen, die das Gerät der Nutzer*innen beim Surfen preisgibt, oder über Daten, die speziell zu diesem Zweck auf dem Gerät gespeichert werden (beispielsweise Cookies), um die Nutzer*innen und deren Geräte wiederzuerkennen. Sowohl das Auslesen dieser Informationen als auch das Speichern von z.B. Cookies ist nur mit vorheriger Einwilligung zulässig.
  • Löschung des Accounts: Das Konto sollte sich über die App eigenständig löschen lassen.
  • Anzeige von Aktivitäten: Lesebestätigungen oder der Hinweis, dass die Nutzer*innen gerade „tippen“ sollten deaktiviert werden können.

Aufgrund der vielen mehr oder versteckten Mängel und Sicherheitslücken der am Markt angebotenen Messenger lässt nur eine genaue Überprüfung des Dienstes einschließlich der diversen Eigenschaften eine Beurteilung aus Datenschutzsicht zu, ob dieser datenschutzkonform einsetzbar ist.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.