Signal, Threema, Telegram: WhatsApp-Alternativen für die Kirche?

Die Frage nach Messenger-Diensten gehört zu den Dauerbrennern im kirchlichen Datenschutz – meist ziemlich enggeführt auf die Frage: Darf ich WhatsApp benutzen? Die jüngsten (und nach Protesten aufgeschobenen) Änderungen im Umgang mit Daten zur engeren Verknüpfung mit Facebook haben nun zum ersten Mal seit langem eine deutlich spürbare Bewegung weg von WhatsApp erzeugt: Signal, Threema und Telegram boomen, Signal brach zeitweise unter der Last neuer Nutzer*innen sogar zusammen.

Doch wie sieht’s bei den Alternativen mit dem Datenschutz aus – und was ist mit kirchlichem Datenschutz vereinbar? Hier unterscheiden sich die drei Dienste deutlich.

Die Logos von Signal, Telegram und Threema (v.l.n.r.)

Warum (nicht) WhatsApp

Dass WhatsApp problematisch ist, ist nichts neues; schon vor den angekündigten Änderungen gab es erhebliche Bedenken, sowohl die katholische Datenschutzkonferenz wie der EKD-Datenschutzbeauftragte rieten schon immer sehr deutlich ab – wegen der Verarbeitung in den USA, vor allem aber aufgrund der Telefonbuchsynchronisierung, ohne die WhatsApp kaum komfortabel nutzbar ist.

Für WhatsApp sprechen vor allem Netzwerkeffekte: Kein Messenger ist so weit verbreitet – mit Abstand. 96 Prozent der Menschen, die Messenger nutzen, nutzen WhatsApp. Bei Telegram sind es 10 Prozent, bei Threema und Signal 4 Prozent. (Daten der Bundesnetzagentur, Mai 2020.) Das wird sich auf die Schnelle auch nicht ändern – aber mit dem Ansturm auf Alternativen dürfte jetzt ein günstiger Zeitpunkt sein, sich diese Alternativen anzuschauen und den Schwung zu nutzen. (Den Schwung dabei aber nicht überschätzen: Man erinnere sich an den Mastodon-Boom 2017, der heute kaum mehr spürbar ist.)

Kriterien für die datenschutzkonforme Messenger-Nutzung

Sowohl die evangelischen wie die katholischen Aufsichten haben Kriterien für datenschutzkonforme Messenger-Nutzung veröffentlicht, die sich auch sehr ähneln. Zielgruppe dieser Kriterien ist der Anwendungsbereich der jeweiligen Datenschutzgesetze – die rein private Nutzung wird (auch im säkularen Bereich) nicht davon berührt.

Der EKD-DSB nennt Ende-zu-Ende-Verschlüsselung, die Nutzung von empfangenen personenbezogenen Daten ausschließlich für Zwecke den Übertragung der Nachrichteninhalte zwischen den Teilnehmenden sowie das Verhindern von unberechtigter Weitergabe von Kontakten.

Die katholische Datenschutzkonferenz nennt den Serverstandort, sicheren Datentransport (Ende-zu-Ende-Verschlüsselung), Datenminimierung (Löschung von Metadaten) und die Respektierung von Daten Dritter (keine Kontaktsynchronisierung). Später wurde der Beschluss noch dahingehend verschärft, dass bei Messengern die physikalische Datenspeicherung nicht außerhalb des Europäischen Wirtschaftsraums und der Schweiz stattfinden darf. (Schlüssig ist dieser Beschluss nicht: Warum die Schweiz gegenüber anderen Drittländern mit Angemessenheitsbeschluss privilegiert wird, ist aus dem Gesetz nicht zu begründen.) Ein weiteres Kriterium ist ein vertragliches: Darf die Anwendung in einem beruflichen Kontext eingesetzt werden?

So schneiden die Alternativen ab

Telegram

Telegram fällt bei vielen Kriterien durch: Keine standardmäßige Ende-zu-Ende-Verschlüsselung, unklarer Serverstandort und problematische Kontaktsynchronisierung. Zur beruflichen Nutzung äußert sich der Dienst nicht. (Mehr dazu bei Heise und im Kuketz-Blog.)

Fazit: Der Einordnung des DSB-EKD kann man sich anschließen – es bestehen »erhebliche Datenschutzbedenken«, vom Einsatz wird abgeraten. (Eine kuriose Minderheitenmeinung wird im Bistum Regensburg vertreten: Dort taucht Telegram neben u. a. Threema und Signal in der Liste der erlaubten Messenger auf; Würzburg lässt Telegram nur mit erheblichen Bauchschmerzen zu.)

Signal

Für Signal spricht auf technischer Ebene sehr viel: Es gab bereits (erfolgreiche) Audits des offen verfügbaren Quellcodes, Ende-zu-Ende-Verschlüsselung wird verwendet, Edward Snowden, die EU und der US-Senat empfehlen die Verwendung. Weniger gut ist, dass momentan noch eine Telefonnummer verwendet werden muss. Der Serverstandort ist in den USA, wobei das verwendete technische Protokoll auf einem »Zero-Knowledge-Prinzip« aufbaut und auch Metadaten nur insoweit und solange verarbeitet, wie es technisch nötig ist. Eine berufliche Nutzung ist explizit erlaubt. (Mehr dazu: Kuketz-Blog.)

Fazit: Technisch ist Signal zu empfehlen. Im Anwendungsbereich der kirchlichen Datenschutzgesetze gibt es aber Probleme: Der DSB-EKD kommt zum Schluss »kann nicht empfohlen werden« aufgrund der Datenverarbeitung in den USA, und auch dem katholischen Beschluss wird Signal damit wohl nicht gerecht. Dennoch ließe sich zumindest im katholischen Bereich argumentieren, dass aufgrund des Zero-Knowledge-Prinzips ein Einsatz zulässig wäre (und mit einem Verweis auf § 40 Abs. 2 lit. b) KDG hier ein Fall vorliegt, bei dem »nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, davon [ausgegangen werden kann], dass geeignete Garantien zum Schutz personenbezogener Daten bestehen«).

Threema

Threema erfüllt technisch und rechtlich viele Wünsche: Sitz in der Schweiz, starke Ende-zu-Ende-Verschlüsselung, quelloffener Client und erfolgreiche Audits, ohne Adressbuchsynchronisierung nutzbar, datensparsam. Threema gibt es zudem in einer Business-Version, bei der eine geschäftliche Nutzung eindeutig geregelt und erlaubt ist. (Mehr dazu: Kuketz-Blog.)

Fazit: Threema ist der einzige relevante Dienst, der vom DSB-EKD das Gütesiegel »zurzeit keine Datenschutzbedenken« erhielt. Auch die katholischen Kriterien kann Threema alle erfüllen (war Threema vielleicht sogar der Grund, warum die Schweiz im Beschluss auftaucht?). Der Nachteil von Threema: Es ist nicht kostenlos; einige kirchliche Stellen (z. B. besonders umfassend das Erzbistum Freiburg) haben aber Programme, die die Anschaffung subventionieren.

Und sonst noch?

Natürlich gibt es auch noch Alternativen zu den Alternativen – aber ganz ehrlich: Wenn schon Threema und Signal deutlich unter 10 Prozent verharren, gibt es – ganz unabhängig vom Datenschutz – eigentlich keinen Grund, auf die zu setzen, außer in ganz bestimmten Anwendungsszenarien mit definierten Zielgruppen.

Fazit: Eine Chance für (manche) Alternativen

Egal wie illegal WhatsApp ist, solange die Nutzer*innenzahl so hoch bleibt, lässt sich kaum darauf verzichten, wenn man nicht nur mit einem definierten Kreis kommunizieren will. (Die verschiedenen Intranet-Lösungen sind daher hier auch komplett außen vor geblieben.)

Mit den aktuellen Bewegungen lohnt es sich aber, auf die Alternativen zu schauen – und das Bild ist relativ klar: Telegram ist verbreitet, aber eher noch schlechter als WhatsApp (wenn illegal, dann wenigstens mit der größeren Reichweite), Signal ist technisch elegant, dürfte aber erhebliche Überzeugungsarbeit bei Aufsicht und interner Datenschutzabteilung kosten, und nur Threema verbindet technische und rechtliche Anforderungen mit einer halbwegs okayen Verbreitung.

Mehr zum Thema

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.