PRIVA SCORE: Messenger (Update 07.10.2024)

Zusammenfassung: Der PRIVA SCORE für Messenger-Dienste kann maximal 324 Punkte erreichen. Signal und Threema haben das höchste Datenschutzniveau, während Telegram und WhatsApp nur mittelmäßig abschneiden – da beide Apps u.a. viele Metadaten sammeln. Discord hat das niedrigste Datenschutzniveau mit weniger als 100 Punkten aufgrund fehlender Ende-zu-Ende-Verschlüsselung, Sammlung vieler Metadaten und dem Serverstandort in den USA.

Update 1: Signal ist nun auch – ähnlich wie Threema – mit einer ID nutzbar, ohne Preisgabe der Telefonnummer gegenüber den Gesprächspartner*innen.

Update 2: Das Geschäftsmodell von Telegram ist nun auch „rot“. Anleihenverkäufe im Wert von 330 Millionen US-Dollar ohne Nennung der Investitionsquelle führen zu dieser Abwertung.

Update 3: Die Grafik wurde neu aufgesetzt und die Datenschutzfunktion zentral/dezentral/föderal wurde entfernt, da alle überprüften Messenger zentralisiert sind.

Anpassung gibt es bei Threema: Hier gibt es nun auch löschbare Nachrichten für Empfangs- und Sendungsseite.

Signal ist – so wie Threema – nicht 100% quelloffen. Beide bekommen hier eine gelbe Wertung. Hingegen hatte sich beim Geschäftsmodell ein Fehler eingeschlichen. Signal ist rein spendenfinanziert, also grün.

Danke an alle Hinweisgeber*innen!

Der PRIVA SCORE kann aufgrund der Berechnung bei der Bewertung von Messengern ein Maximum von 324 Punkten erhalten.
Die Bewertung des Datenschutzniveaus erfolgt aufgrund der Art, wie die wichtigsten Datenschutzfunktionen von den Messengern erfüllt werden. Dabei schneiden Signal und Threema am besten ab. Sie besitzen das höchste Datenschutzniveau (270 bzw. 282 Punkte) der hier verglichenen Messenger.

Telegram und WhatsApp schneiden nur mittelmäßig ab (beide 119 Punkte) und sind daher nicht empfehlenswert. Bei Telegram muss die Ende-Zu-Ende-Verschlüsselung in den Chats erst aktiviert werden und ist nicht von selbst aktiv. Telegram sammelt viele Metadaten, u.a. die IP-Adresse der am Chat Beteiligten und ist nicht komplett quelloffen. Der Serverstandort ist Dubai – was zumindest datenschutzrechtlich bedenklich ist. Auch gibt es keine Kontaktverifizierung und das Geschäftsmodell ist sehr intransparent.

WhatsApp ist zwar Ende-Zu-Ende verschlüsselt, sammelt aber eine große Menge an Metadaten der Nutzer*innen, ist nicht quelloffen, ist nicht anonym nutzbar, die Server stehen in den USA (niedriges Datenschutzniveau), der Zugriff auf die Kontakte der Nutzer*innen ist notwendig für eine normale Nutzung und das Geschäftsmodell des Meta-Konzerns ist größtenteils bekanntlich Werbung, was synonym mit Einschränkung der Privatsphäre durch rücksichtslose Datensammelpraxis ist.

Schlusslicht hier (unter 100 Punkte) bildet Discord. Das KO-Kriterium ist die fehlende Ende-zu-Ende-Verschlüsselung. Dazu kommen die Mankos von Telegram und WhatsApp: Es werden viele Metadaten gesammelt, Discord ist nicht quelloffen und der Serverstandort sind die USA.

Erklärung der Datenschutzfunktionen

(Ausführliche Beschreibung im Buch)

E2E-Verschlüsselung stellt sicher, dass nur die Person, mit denen die/der Nutzer*in kommunizieren will, diese Nachricht auf ihrem Gerät lesen kann.

Umgang mit Metadaten: Da Metadaten Informationen wie Zeit oder Ort beinhalten, lassen sich Rückschlüsse auf die an der Konversation beteiligten Personen ziehen. Ein Messenger, der keine für die Übermittlung notwendigen Metadaten sammelt und auch diese möglichst früh wieder löscht, schützt die Daten der Nutzer*innen besser.

Quelloffenheit oder Auditierung: Für diese Funktion gilt, dass ein Messenger, dessen Code offen zugänglich ist, der bessere Messenger ist, weil unabhängig geprüft werden kann, wie gut der Messenger die Daten der Nutzer*innen schützt.

Anonyme Nutzbarkeit: Diese Funktion bezieht sich darauf, ob der Austausch von personenbezogenen Daten (hier meist die Telefonnummer) nötig ist, um miteiander zu kommunizieren. Threema und Signal bieten bspw. die Möglichkeit, nur eine ID auszutauschen.

Standort der Server bzw. Sitz des Unternehmens: Manche Messenger-Apps betreiben Server in Ländern mit schwachen Datenschutzgesetzen. In diesen Länder kann die Einhaltung des hohen Datenschutzniveau der europäischen Datenschutz-Grundverordnung nicht gewährleistet werden.
Das Kriterium ist nicht ganz trennscharf, da die Menge der gespeicherten Daten wichtiger ist, als der Standort des Unternehmens. Signal sammelt im Gegensatz zu WhatsApp sehr wenige Daten der Nutzer*innen, auch wenn sich die Server beider Unternehmen in den USA befinden.

Optionaler Kontaktzugriff: Hierbei geht es um den Schutz der personenbezogenen Daten der Menschen, die in der Kontaktliste des Telefons gespeichert sind. Bei WhatsApp ist dieses Thema Anlass häufiger Kritik: Der Messenger ist nur über Umwege ohne Zugriff auf die Kontakte sinnvoll nutzbar. Die meisten Nutzer*innen geben den Zugriff arglos frei, woraufhin Namen und Telefonnummern der Kontakte auf die US-amerikanischen Server des Meta-Konzerns übertragen und täglich abgeglichen werden. Die Nutzer*in begeht damit einen datenschutzrechtlichen Verstoß. Denn die/der Nutzer*in müsste sämtlicher Personen aus ihrer Kontaktliste über diese Nutzung ihrer personenbezogenen Daten informieren und ein Einspruchsrecht aussprechen.

Kontaktverifizierung: Hierbei geht es darum, ob sichergestellt werden kann, dass die/der Empfänger*in einer Nachricht auch tatsächlich die addressierte Person ist. Diese Funktion schützt die Privatsphäre der Nutzer*innen, sodass persönliche Mitteilungen nicht in falsche Hände geraten.

Löschbarkeit der Nachrichten: Um persönliche Inhalte von Nachrichten zu schützen, kann es sinnvoll sein, Nachrichten nach einer bestimmten Zeit auf dem eigenen und dem Gerät der anderen Nutzer*innen automatisch oder manuell zu löschen.

Geschäftsmodell: Das letzte Kriterium betrifft die Frage, wie das Unternehmen, das hinter dem Messenger steht, sein Geld verdient. Manche Geschäftsmodelle sind transparent und für den Datenschutz unkritisch – z. B. finanziert sich die Threema-App darüber, dass diese einmalig 5 Euro kostet. WhatsApp ist zwar „kostenlos“, gehört aber dem Meta-Konzern. Und dessen Geschäftsmodell ist bekanntlich Online-Werbung, weshalb WhatsApp auch erheblich mehr Daten von den Nutzer*innen sammelt als andere Messenger.

de_DEDE_DE