Funktionsweise

Wie funktioniert der PRIVA SCORE und wie berechnet er sich?

Der PRIVA SCORE dient dazu, dass „Anna Normalnutzer*in“ eine informierte Entscheidung darüber treffen kann, welche Apps und Dienste sie nutzen sollte. Die Grundlage für diese Entscheidung ist, dass sie ihre Daten schützen möchte. Daher möchte sie Apps und Dienste nutzen, die ein höheres Datenschutzniveau als andere haben.

Um die Entscheidung möglichst einfach und schnell zu machen, nutzt der PRIVA SCORE ein dreiwertiges Ampelsystem, ähnlich dem Nutri-Score im Supermarkt. Dieser teilt auf einer fünfstufigen Skala Nahrungsmittel in „gesunde“ und „weniger gesunde“ ein.

Grüne Apps und Dienste sind demnach von ihrem Datenschutzniveau her empfehlenswert, gelbe sind weniger empfehlenswert und rote sollten vermieden werden – wenn der Nutzerin oder dem Nutzer der Datenschutz am Herzen liegt – was er dringend tun sollte.

Für viele Menschen dürfte die Einteilung von Apps und Diensten in diese drei Farben als Empfehlung bereits ausreichen. Um die Entscheidung möglichst transparent zu machen, lässt sich aber die recht einfache Berechnung des PRIVA SCORES ebenfalls nachvollziehen.

Die Grundlage für die Berechnung des PRIVA SCORE für Messenger – und für weitere Apps und Dienste – ist eine Rangfolge von Datenschutzfunktionen. Diese Rangfolge macht eine Aussage über die Wichtigkeit der Datenschutzfunktionen. Die Rangfolge ergibt sich daraus, wie häufig diese Funktionen in Literatur- und anderen Quellen genannt werden.

Für die Erstellung der Rangfolge von Datenschutzfunktionen von Messengern wurden insgesamt 15 Quellen herangezogen. Dazu zählen Artikel aus Fachmagazinen wie c’t, Veröffentlichungen der Verbraucherzentrale, aber auch zwei qualitative Interviews mit Experten des Chaos Computer Clubs.

Daraus ergibt sich folgende Rangfolge:

Was bedeuten diese Datenschutzfunktionen?

(Ausführliche Beschreibung im Buch)

E2E-Verschlüsselung stellt sicher, dass nur die Person, mit denen die/der Nutzer*in kommunizieren will, diese Nachricht auf ihrem Gerät lesen kann.

Umgang mit Metadaten: Da Metadaten Informationen wie Zeit oder Ort beinhalten, lassen sich Rückschlüsse auf die an der Konversation beteiligten Personen ziehen. Ein Messenger, der keine für die Übermittlung notwendigen Metadaten sammelt und auch diese möglichst früh wieder löscht, schützt die Daten der Nutzer*innen besser.

Quelloffenheit oder Auditierung: Für diese Funktion gilt, dass ein Messenger, dessen Code offen zugänglich ist oder auditiert wurde, der bessere Messenger ist, weil unabhängig geprüft werden kann, wie gut der Messenger die Daten der Nutzer*innen schützt.

Anonyme Nutzbarkeit: Eine Registrierung mit der Telefonnummer oder einer E-Mail-Adresse ist problematisch, da es sich um personenbezogene Daten handelt. Messenger, die sich anonym nutzen lassen, sind auf Ebene des Datenschutzes die besseren Messenger.

Standort der Server bzw. Sitz des Unternehmens: Manche Messenger-Apps betreiben Server in Ländern mit schwachen Datenschutzgesetzen. In diesen Länder kann die Einhaltung des hohen Datenschutzniveau der europäischen Datenschutz-Grundverordnung nicht gewährleistet werden.
Das Kriterium ist nicht ganz trennscharf, da die Menge der gespeicherten Daten wichtiger ist, als der Standort des Unternehmens. Signal sammelt im Gegensatz zu WhatsApp sehr wenige Daten der Nutzer*innen, auch wenn sich die Server beider Unternehmen in den USA befinden.

Optionaler Kontaktzugriff: Hierbei geht es um den Schutz der personenbezogenen Daten der Menschen, die in der Kontaktliste des Telefons gespeichert sind. Bei WhatsApp ist dieses Thema Anlass häufiger Kritik: Der Messenger ist nur über Umwege ohne Zugriff auf die Kontakte sinnvoll nutzbar. Die meisten Nutzer*innen geben den Zugriff arglos frei, woraufhin Namen und Telefonnummern der Kontakte auf die US-amerikanischen Server des Meta-Konzerns übertragen und täglich abgeglichen werden. Dabei handelt es sich um einen datenschutzrechtlichen Verstoß. Denn die/der Nutzer*in müsste sämtlicher Personen aus ihrer Kontaktliste über diese Nutzung ihrer personenbezogenen Daten informieren und ein Einspruchsrecht aussprechen.

Zentralität, Föderalismus oder Dezentralität: Hierbei geht es um die Frage, wie die Serverlandschaft des Messengers aussieht. Zum Beispiel ist ein Messenger, der über einen zentralisierten Server betrieben wird, leichter angreifbar, als wenn die Nachrichten auf verschiedenen Wegen ihr Ziel erreichen können – was bei einer dezentralen oder föderierten Verbindungsstruktur der Fall wäre.

Kontaktverifizierung: Hierbei geht es darum, ob sichergestellt werden kann, dass die/der Empfänger*in einer Nachricht auch tatsächlich die addressierte Person ist. Diese Funktion schützt die Privatsphäre der Nutzer*innen, sodass persönliche Mitteilungen nicht in falsche Hände geraten.

Löschbarkeit der Nachrichten: Um persönliche Inhalte von Nachrichten zu schützen, kann es sinnvoll sein, Nachrichten nach einer bestimmten Zeit auf dem eigenen und dem Gerät der anderen Nutzer*innen automatisch oder manuell zu löschen.

Geschäftsmodell: Das letzte Kriterium betrifft die Frage, wie das Unternehmen, das hinter dem Messenger steht, sein Geld verdient. Manche Geschäftsmodelle sind transparent und für den Datenschutz unkritisch – z. B. finanziert sich die Threema-App darüber, dass diese einmalig 5 Euro kostet. WhatsApp ist zwar „kostenlos“, gehört aber dem Meta-Konzern. Und dessen Geschäftsmodell ist bekanntlich Online-Werbung, weshalb WhatsApp auch erheblich mehr Daten von den Nutzer*innen sammelt als andere Messenger.

Die Berechnung des PRIVA SCORES

Das Vorbild des Nutri-Scores errechnet sich, indem gute Eigenschaften eines Lebensmittels (z.B. niedriger Fettgehalt) und schlechte Eigenschaften (z.B. hoher Salzgehalt) gegenseitig aufgerechnet werden. Dieses Vorgehen ist beim PRIVA SCORE nicht zielführend. Fehlt einem Messenger bspw. die wichtigste Funktion – die Ende-zu-Ende-Verschlüsselung – ist das ein K.O.-Kriterium. Das Fehlen dieser Funktion kann durch andere Funktionen nicht aufgewogen werden.

Auf Basis der Rangfolge wurde daher eine linear abnehmende Gewichtung vorgenommen.

Danach wurde anhand der Datenschutzrichtlinien der Messenger untersucht, ob und inwieweit die genannten Funktionen bei Discord, Signal, Telegram, Threema und WhatsApp vorhanden sind. Die Implementierung der Funktionen wurde dreistufig bewertet.

1 Punkt für ein komplettes Fehlen eines Kriteriums, z. B. E2E-Verschlüsselung bei Discord;

3 Punkte für die teilweise Erfüllung eines Kriteriums, z. B. die Möglichkeit einer anonymen Nutzung ist bei Telegram nicht vollständig gewährleistet: Die Angabe der Telefonnummer zur Registrierung ist notwendig, danach ist die Telefonnummer aber für andere Nutzer*innen nicht mehr sichtbar;

6 Punkte für ein vollständig erfülltes Kriterium, z. B. können bei WhatsApp die Nachrichten im Chatverlauf bei Sender*in und Empfänger*in gelöscht werden.


Für jeden zu bewertenden Messenger wird diese Punktzahl mit der Gewichtung multipliziert, was die jeweilige Gesamtpunktzahl ergibt.

Das Ergebnis des PRIVA SCORE ergibt folgende Erkenntnisse:

Einen Score von über 200 erreichen die Messenger, die einen besonders hohen Datenschutz ermöglichen und empfehlenswert sind.

Einen Score zwischen 100 und 200 erzielen die Messenger, die bei verschiedenen Funktionen hinsichtlich des Datenschutzes zu wünschen übrig lassen und daher nicht empfehlenswert sind.

Unter 100 liegen Messenger, die starke Mängel aufweisen. Die fehlende E2E-Verschlüs­selung ist ein K.O.-Kriterium, weshalb unmittelbar deutlich wird, dass Discord keinesfalls zu empfehlen ist.

Der PRIVA SCORE basiert damit auf einer einfachen, transparenten Argumentation und Berechnung und ermöglicht es, mit einem kurzen Blick eine informierte Entscheidung zu treffen. Ein „perfekter“ Messenger kann auf Basis dieser Berechnung einen Score-Wert von 330 erreichen.