tl;dr: Der PRIVA SCORE für Messenger-Dienste kann maximal 330 Punkte erreichen. Signal und Threema haben das höchste Datenschutzniveau mit über 200 Punkten, während Telegram und WhatsApp nur mittelmäßig abschneiden – da beide Apps u.a. viele Metadaten sammeln. Discord hat das niedrigste Datenschutzniveau mit weniger als 100 Punkten aufgrund fehlender Ende-zu-Ende-Verschlüsselung, Sammlung vieler Metadaten und dem Serverstandort in den USA. Ein Update zeigt, dass Signal nun auch ohne Preisgabe der Telefonnummer nutzbar ist und dadurch von 242 auf 272 Punkte steigt, während Telegram aufgrund von Anleihenverkäufen abgewertet wird und von 145 auf 140 Punkte fällt.
Der PRIVA SCORE kann aufgrund der Berechnung bei der Bewertung von Messengern ein Maximum von 330 Punkten erhalten.
Die Bewertung des Datenschutzniveaus erfolgt aufgrund der Art, wie die wichtigsten Datenschutzfunktionen von den Messengern erfüllt werden. Dabei schneiden Signal und Threema am besten ab. Sie besitzen das höchste Datenschutzniveau (über 200 Punkte) der hier verglichenen Messenger. Update! Signal ist nun auch – ähnlich wie Threema – mit einer ID nutzbar, ohne Preisgabe der Telefonnummer gegenüber den Gesprächspartner*innen. Signal steigt dadurch von 242 auf 272 Punkte.
Telegram und WhatsApp schneiden nur mittelmäßig ab (unter 200 Punkte, über 100 Punkte) und sind daher nicht empfehlenswert. Bei Telegram muss die Ende-Zu-Ende-Verschlüsselung in den Chats erst aktiviert werden und ist nicht von selbst aktiv. Telegram sammelt viele Metadaten, u.a. die IP-Adresse der am Chat Beteiligten und ist nicht komplett quelloffen. Der Serverstandort ist Dubai – was zumindest datenschutzrechtlich bedenklich ist. Auch gibt es keine Kontaktverifizierung. Update! Das Geschäftsmodell ist nun auch „rot“.Anleihenverkäufe im Wert von 330 Millionen US-Dollar ohne Nennung der Investitionsquelle führen zu dieser Abwertung. Telegram fällt dadurch von 145 auf 140 Punkte.
WhatsApp ist zwar Ende-Zu-Ende verschlüsselt, sammelt aber eine große Menge an Metadaten der Nutzer*innen, ist nicht quelloffen, ist nicht anonym nutzbar, die Server stehen in den USA (niedriges Datenschutzniveau), der Zugriff auf die Kontakte der Nutzer*innen ist notwendig für eine normale Nutzung und das Geschäftsmodell des Meta-Konzerns ist größtenteils bekanntlich Werbung, was synonym mit Einschränkung der Privatsphäre durch rücksichtslose Datensammelpraxis ist.
Schlusslicht hier (unter 100 Punkte) bildet Discord. Das KO-Kriterium ist die fehlende Ende-zu-Ende-Verschlüsselung. Dazu kommen die Mankos von Telegram und WhatsApp: Es werden viele Metadaten gesammelt, Discord ist nicht quelloffen und der Serverstandort sind die USA.
Erklärung der Datenschutzfunktionen
(Ausführliche Beschreibung im Buch)
E2E-Verschlüsselung stellt sicher, dass nur die Person, mit denen die/der Nutzer*in kommunizieren will, diese Nachricht auf ihrem Gerät lesen kann.
Umgang mit Metadaten: Da Metadaten Informationen wie Zeit oder Ort beinhalten, lassen sich Rückschlüsse auf die an der Konversation beteiligten Personen ziehen. Ein Messenger, der keine für die Übermittlung notwendigen Metadaten sammelt und auch diese möglichst früh wieder löscht, schützt die Daten der Nutzer*innen besser.
Quelloffenheit oder Auditierung: Für diese Funktion gilt, dass ein Messenger, dessen Code offen zugänglich ist oder auditiert wurde, der bessere Messenger ist, weil unabhängig geprüft werden kann, wie gut der Messenger die Daten der Nutzer*innen schützt.
Anonyme Nutzbarkeit: Eine Registrierung mit der Telefonnummer oder einer E-Mail-Adresse ist problematisch, da es sich um personenbezogene Daten handelt. Messenger, die sich anonym nutzen lassen, sind auf Ebene des Datenschutzes die besseren Messenger.
Standort der Server bzw. Sitz des Unternehmens: Manche Messenger-Apps betreiben Server in Ländern mit schwachen Datenschutzgesetzen. In diesen Länder kann die Einhaltung des hohen Datenschutzniveau der europäischen Datenschutz-Grundverordnung nicht gewährleistet werden.
Das Kriterium ist nicht ganz trennscharf, da die Menge der gespeicherten Daten wichtiger ist, als der Standort des Unternehmens. Signal sammelt im Gegensatz zu WhatsApp sehr wenige Daten der Nutzer*innen, auch wenn sich die Server beider Unternehmen in den USA befinden.
Optionaler Kontaktzugriff: Hierbei geht es um den Schutz der personenbezogenen Daten der Menschen, die in der Kontaktliste des Telefons gespeichert sind. Bei WhatsApp ist dieses Thema Anlass häufiger Kritik: Der Messenger ist nur über Umwege ohne Zugriff auf die Kontakte sinnvoll nutzbar. Die meisten Nutzer*innen geben den Zugriff arglos frei, woraufhin Namen und Telefonnummern der Kontakte auf die US-amerikanischen Server des Meta-Konzerns übertragen und täglich abgeglichen werden. Dabei handelt es sich um einen datenschutzrechtlichen Verstoß. Denn die/der Nutzer*in müsste sämtlicher Personen aus ihrer Kontaktliste über diese Nutzung ihrer personenbezogenen Daten informieren und ein Einspruchsrecht aussprechen.
Zentralität, Föderalismus oder Dezentralität: Hierbei geht es um die Frage, wie die Serverlandschaft des Messengers aussieht. Zum Beispiel ist ein Messenger, der über einen zentralisierten Server betrieben wird, leichter angreifbar, als wenn die Nachrichten auf verschiedenen Wegen ihr Ziel erreichen können – was bei einer dezentralen oder föderierten Verbindungsstruktur der Fall wäre.
Kontaktverifizierung: Hierbei geht es darum, ob sichergestellt werden kann, dass die/der Empfänger*in einer Nachricht auch tatsächlich die addressierte Person ist. Diese Funktion schützt die Privatsphäre der Nutzer*innen, sodass persönliche Mitteilungen nicht in falsche Hände geraten.
Löschbarkeit der Nachrichten: Um persönliche Inhalte von Nachrichten zu schützen, kann es sinnvoll sein, Nachrichten nach einer bestimmten Zeit auf dem eigenen und dem Gerät der anderen Nutzer*innen automatisch oder manuell zu löschen.
Geschäftsmodell: Das letzte Kriterium betrifft die Frage, wie das Unternehmen, das hinter dem Messenger steht, sein Geld verdient. Manche Geschäftsmodelle sind transparent und für den Datenschutz unkritisch – z. B. finanziert sich die Threema-App darüber, dass diese einmalig 5 Euro kostet. WhatsApp ist zwar „kostenlos“, gehört aber dem Meta-Konzern. Und dessen Geschäftsmodell ist bekanntlich Online-Werbung, weshalb WhatsApp auch erheblich mehr Daten von den Nutzer*innen sammelt als andere Messenger.
German 
English