Vergleich Standard-Messenger Whatsapp Benötigt Zwingend Den Zugriff Auf Alle Kontakte Der Anwender

Staatskanzlei Aufsichtsstelle Datenschutz

Staatskanzlei, Aufsichtsstelle Datenschutz, 8510 Frauenfeld

An diverse Adressaten

058 345 53 41, [email protected] Frauenfeld, den 5. August 2020

Vergleich Standard-Messenger WhatsApp benötigt zwingend den Zugriff auf alle Kontakte der Anwender. Bereits aus diesem Grund kann WhatsApp für die Kommunikation im Schulbereich nicht empfohlen werden. Damit die Schulen einen Überblick über die Funktionsweise von weiteren Messen- gerdiensten erhalten, wurden die verbreiteten Applikationen Signal, Threema, Telegram und Wire (etc.) näher geprüft. Es bestehen noch sehr viele weitere Applikationen und verschiedene Versionen, auf welche hier nicht eingegangen wird.

Identiﬁkation Kontakte-hashed Backup Open-Source Berechtigungen Signal Rufnummer ja 6 Fünferblöcke ja (Github) 55 Zugriffsarten Threema Keine (Rufnummer ja lokales Backup von nein (nur der nicht eruierbar, da oder Mail sind frei- Zugangsdaten oder Verschlüsselungs- kein offener Code willig) von allen Daten prozess ist veröf- möglich fentlicht) Telegram Rufnummer ja in Cloud ja (Github) 52 Zugriffsgangsar- ten Wire Mail oder Rufnum- ja in lokale Datei ja (Github) 19 Zugriffsarten mer WhatsApp Rufnummer alle Kontakte müs- unverschlüsselt auf nein nicht eruierbar, da sen freigeschaltet Google Drive kein offener Code werden! Klapp Mail nicht eruierbar, da extern; nicht genau nein nicht eruierbar, da kein offener Code eruierbar, da kein kein offener Code offener Code Mattermost frei wählbar kein Zugriff nötig auf Schulserver ja keine

Die als datenschutzrechtlich gut befundenen Eigenschaften sind grün markiert.

Die Applikation Signal gilt heute grundsätzlich als sehr datenschutzfreundlich. Der einzi- ge Nachteil von Signal ist, dass die Rufnummer zur Identiﬁkation zwingend angegeben werden muss. Aus dem Quellcode ergibt sich, dass Signale vom Benutzer sehr viele

Regierungsgebäude, 8510 Frauenfeld Tel. 058 345 53 41, Fax 058 345 53 42 2 /4

Berechtigungen abverlangt. Inwieweit die Applikation Signal die im Code enthaltenen Berechtigungen (Tracker) effektiv eingesetzt, ist nicht bekannt. Zur Veranschaulichung: Im Programmcode von Signal wird beispielsweise aufgeführt, dass Signal das Recht habe, SMS zu versenden. Signal funktioniert aber auch als reiner Messenger, ohne den SMS Service anwenden zu müssen. Die vielen Berechtigungen sind somit kaum problematisch.

Leider müssen beim Messenger Threema, welcher als Schweizer Produkt einen guten Ruf geniesst, wegen der fehlenden Nachvollziehbarkeit der Programmierung Vorbehalte angebracht werden. Dies bedeutet noch nicht, dass Threema die datenschutzrechtlichen Vorgaben nicht erfüllen würde; es kann aber wegen dem geheimen Source-Code nicht geprüft werden, wie Threema mit unseren Daten genau umgeht.

Die Applikation Telegram stellt insbesondere wegen der darin enthaltenen Programmier- funktion einen interessanten Ansatz für Schulen dar. Aus datenschutzrechtlicher Sicht ist Telegram jedoch ungenügend, weil alle Backups auf externen Servern liegen und die eigenen Daten gar nicht lokal gespeichert werden können. Soweit jedoch Personendaten nur pseudonymisiert verwendet werden, was bei Messengerdiensten schwierig zu handhaben ist, kann Telegram im Schulbereich durchaus als Messenger eingesetzt werden.

Aus datenschutzrechtlicher Sicht ergibt sich, dass der Messengerdienst Wire derzeit für den Versand von allen Personendaten sehr gut geeignet ist.

WhatsApp scheidet für die Kommunikation im Schulbereich aus. Wie bereits eingangs erwähnt, ist es den Anwendern nicht zuzumuten, alle Kontakte des eigenen Handys an WhatsApp herausgeben zu müssen.

Bei Klapp handelt es sich nicht um einen reinen Messengerdienst. In dieser Applikation sind weitere Funktionen enthalten (beispielsweise Schulkalender). Durch Klapp soll die Kommunikation sowohl mit den Schülerinnen und Schülern als auch mit den Eltern er- leichtert werden. Leider ist der Quellcode von Klapp nicht öffentlich zugänglich, weshalb dieser Dienst derzeit nicht näher geprüft werden kann. Bei Klapp handelt es sich um ein Schweizer Produkt.

Erwähnenswert sind auch Programme, welche nicht nur die direkte Kommunikation unter- stützen, sondern zusätzlich auch channelbasiert funktionieren. Im Gegensatz zu Slack, welches leider keinen offenen Quellcode aufweist, kann die Applikation Mattermost als offene Software auf dem eigenen Server betrieben werden. Dies verlangt allerdings ein hohes technisches Fachwissen hinsichtlich Installation und Unterhalt.

Die angebotenen Messengerdienste unterliegen einem steten Wandel. Es ist somit durchaus möglich, dass «ein bisher bestens geeignetes Tool» wegen weiteren Änderungen plötzlich nicht mehr datenschutzkonform eingesetzt werden kann. Beim Einsatz von Mes- sengerdiensten ist deshalb regelmässig neu zu überprüfen, ob die ursprünglich daten- schutzfreundlichen Vorgaben auch in einem späteren Zeitpunkt noch gegeben sind. Der Datenschutzbeauftragte ist gerne bereit, entsprechende Unterstützung zu leisten. 3 /4

Anhang 1: Detaillierte Aufstellung einiger Applikationen

Signal Threema Telegram Wire Identiﬁkation Rufnummer keine (Rufnummer oder Rufnummer Mail oder Rufnummer Mail sind freiwillig) Zugriff Kontakte: überspringbar überspringbar überspringbar überspringbar Kontakte hashed ja ja ja ja Download apk auf Webseite nur bei Playstore1 F-Droid2 apk auf Webseite Downloadgrösse 48.97 MB 42.09 MB 26.10 MB 21.82 MB Systeme Android, iOS, Desktop Android, WinPhone, Android, iOS, WinPho- Android, iOS, macOS, (Mac, Windows, Linux) iOS ne Windows, Browser Backup 6 Fünferblöcke nur Zugang oder Ge- in Cloud in Datei samtbackup Restore mit Datei und Passwort mit Datei und Passwort nur direkt aus Cloud keine Wiederherstel- lung durchführbar (?) SMS-App ja nein nein nein MMS-App ja nein nein nein Anrufe ja ja ja ja Gruppen ja ja ja ja Besonderheit verschwindende Mel- - Bots programmierbar4 - dungen3 Preis kostenlos einmal Fr. 2.95 kostenlos 4 bzw. 8 e pro Mt. Serverstandort (Test) USA, San Francisco, CH, Nine Customer British Virgin Islands nicht eruierbar Open Whisper Systems Subnet, Zürich etc. Linuxversion V1.27.4 läuft, koppelbar keine Desktopprogram- me; nur zwischen Brow- ser und Handy Open-Source ja (Github) nein (nur der Verschlüs- ja (Github) ja (Github) selungsprozess) Mindestalter 13 Jahre Berechtigungen 55 Zugriffsarten nicht eruierbar, da kein 52 Zugriffsarten 19 Zugriffsarten offener Code Tracker Exodus Privacy kein Tracker Tracker: Mapbox (bei Tracker: Google Fi- kein Tracker Threema work) rebase Analytics, HockeyApp Datenschutz positiv bedingt positiv bedingt positiv positiv

1 Google Play: Es wird leider eine Anmeldung bei Google verlangt, womit die Anonymität gefährdet ist.

2 F-Droid: Anbieter offener Software

3 Verschwindende Meldung: Es kann gewählt werden, ob und nach welcher Zeit eine Meldung nicht mehr erscheinen soll.

4 Bot: Programmierte Meldungen erstellbar; für Computerausbildung interessant. 4 /4

Anhang 2: Im Quellcode genannte Berechtigungen Im Quellcode der geprüften Applikationen wurde geschaut, welche Berechtigungen das Programm für sich reserviert. Ob diese Berechtigungen dann im Einsatz auch wirklich verwendet werden, müsste im laufenden Betrieb ermittelt werden.

Berechtigungen von Signal: USE FINGERPRINT, ACCESS SECRETS, READ PROFILE, WRITE PROFILE, BROADCAST WAP PUSH, READ CONTACTS, WRITE CONTACTS, RECEIVE SMS, RECEIVE MMS, READ SMS, SEND SMS, WRITE SMS, READ PHONE STATE, WRITE EXTERNAL STORAGE, CAMERA, ACCESS COARSE LOCATION, ACCESS FINE LOCATION, RECORD AUDIO, MODIFY AUDIO SETTINGS, READ CALL STATE, WRI- TE CALENDAR, READ CALENDAR, RECEIVE BOOT COMPLETED, VIBRATE, ACCESS NETWORK STATE,CHANGE NETWORK STATE, WAKE LOCK, INTERNET, FOREGROUND SERVICE, GET AC- COUNTS, RECEIVE, READ SYNC SETTINGS, WRITE SYNC SETTINGS, AUTHENTICATE ACCOUNTS, USE CREDENTIALS, INSTALL SHORTCUT, INSTALL SHORTCUT, ACCESS WIFI STATE, CHANGE WIFI STATE, SET WALLPAPER, BLUETOOTH, BROADCAST STICKY, CALL PHONE, DISABLE KEYGUARD, RAISED THREAD PRIORITY, REQUEST IGNORE BATTERY OPTIMIZATIONS, USE FULL SCREEN INTENT, SEND RESPOND VIA MESSAGE, BIND CHOOSER TARGET SERVICE, BROADCAST SMS, BROADCAST WAP PUSH, BIND JOB SERVICE, BIND JOB SERVICE, DOWNLOAD WITHOUT NOTIFICA- TION, REQUEST INSTALL PACKAGES

Berechtigungen von Threema: Nicht erkennbar, da kein offener Quellcode

Berechtigung von Telegram: INTERNET, FOREGROUND SERVICE, RECORD AUDIO, MODIFY AUDIO SETTINGS, ACCESS NET- WORK STATE, ACCESS WIFI STATE, WAKE LOCK, READ EXTERNAL STORAGE, GET ACCOUNTS, READ CONTACTS, WRITE CONTACTS, MANAGE ACCOUNTS, READ PROFILE, WRITE SYNC SET- TINGS, READ SYNC SETTINGS, AUTHENTICATE ACCOUNTS, VIBRATE, SYSTEM ALERT WINDOW, READ PHONE STATE, RECEIVE BOOT COMPLETED, USE FINGERPRINT, INSTALL SHORTCUT, IN- STALL SHORTCUT, UNINSTALL SHORTCUT, CAMERA, BLUETOOTH, MANAGE OWN CALLS, READ, WRITE, READ SETTINGS, UPDATE SHORTCUT, BROADCAST BADGE, PROVIDER INSERT BADGE, UPDATE COUNT, UPDATE BADGE, CHANGE BADGE, READ SETTINGS, WRITE SETTINGS, READ APP BADGE, READ SETTINGS, WRITE SETTINGS, BADGE COUNT READ, BADGE COUNT WRI- TE, REQUEST INSTALL PACKAGES, WRITE EXTERNAL STORAGE, ACCESS COARSE LOCATION, ACCESS FINE LOCATION, ACCESS COARSE LOCATION, ACCESS FINE LOCATION, CALL PHONE, FOREGROUND SERVICE, READ CALL LOG

Berechtigungen von Wire: ACCESS NETWORK STATE, READ EXTERNAL STORAGE, WRITE EXTERNAL STORAGE, INTERNET, READ CONTACTS, RECORD AUDIO, VIBRATE, CAMERA, FLASHLIGHT, READ PHONE STATE, MODIFY AUDIO SETTINGS, BLUETOOTH, WAKE LOCK, RECEIVE, ACCESS FINE LOCATION, RECEIVE BOOT COMPLETED, FOREGROUND SERVICE, USE BIOMETRIC, USE FINGERPRINT

Applikationen unterliegen raschen Änderungen - Alle Angaben ohne Gewähr