Welche Daten WhatsApp auf jeden Fall preisgibt
In vielen vorherigen Beiträgen habe ich bereits mehrfach darauf hingewiesen, dass WhatsApp einige „Lücken“ für Behörden aus repressiven Staaten bietet. Darunter z. B. das Google-Drive-Backup ohne ausreichende Verschlüsselung oder die ggf. anfällige WhatsApp-Web-Applikation. In diesem Beitrag soll es um die Metadaten gehen die WhatsApp über euch speichert und auf jeden Fall weitergeben wird.
Registrierungsinformationen – Letzter Gerätewechsel
WhatsApp sammelt bei der Registrierung (d. h. der letzten Übertragung des Kontos auf ein Telefon) einige Daten wie die genutzte Platform (Betriebssystem), das Netzwerk, den Netzwerknamen, das Gerät, die Kontoart und auch den genauen Registrierungszeitpunkt.
Damit kann bei einem Mobilgerätwechsel auch nachträglich jederzeit festgestellt werden, in welchem Land bzw. welchem Netz der Wechsel erfolgte. Auch ist das verwendete Gerät jederzeit bekannt.
Benutzungsinformationen – Standort ermittelbar
WhatsApp sammelt aber neben den Registrierungsdaten auch während der Nutzung fleißig Daten:
Darunter u.a. Telefonnummer, E-Mail-Adresse und Daten zur Geräteaktivität. Ja sogar der genaue Zeitpuntk der Hinterlegung eures Profilbilds wird gespeichert. Was zunächst unscheinbar aber relativ kritisch sein dürfte ist die Speicherung der „vorherigen IP-Verbindung“. Hier speichert WhatsApp offensichtlich die vorherige IP-Adresse zusätzlich ab, sogar unter Angabe wie lange der Nutzer die IP bereits nutzt.
Diese Speicherung ist technisch nicht notwendig und dürfte mit hoher Wahrscheinlichkeit unzulässig sein.
Für Repressionsbehörden ergeben sich hieraus jedoch vielfältige Möglichkeiten. So lässt sich hierdurch sehr gut der Provider und somit ungefähre Standort einer Person ermitteln. Selbst bei einem Wechsel zu einem vermeintlich sicheren VPN (Hinweis: ein VPN ist nicht automatisch sicher) bleibt die vorherige IP in den Bestandsdaten ersichtlich.
Weitere Informationen – Gruppennamen und Kontakte sichtbar
Zusätzlich speichert WhatsApp viele weitere Informationen im Klartext auf deren Servern, darunter eine vollständige Liste der Kontaktrufnummern und viel gravierender eine Liste aller Gruppen im Klartext:
Kontoeinstellungen – Blockierte Kontakte und Status-Datenschutz
Auch die Kontoeinstellungen sind auf den WhatsApp-Servern (und nicht lokal auf dem Gerät) gespeichert und werden ohne Weiteres an unliebsame Akteure weitergegeben.
Dabei werden ebenfalls nicht nur „Einstellungen“ offenbart, sondern vielmehr sogar mit welchen Kontakten ihr das Teilen eures Status erlaubt und welche Nummern von euch blockiert wurden.
Zusätzlich werden alle Geräte einschließlich des Registrierungszeitpunkts gespeichert.
Möglichkeiten – Was ergibt sich daraus für Ermittlungsbehörden?
Die in den vorherigen Abschnitten dargestellten Metadaten sind nicht bloß technische Begleiterscheinungen – sie eröffnen Ermittlungsbehörden einen umfassenden Zugriff auf euer digitales Profil. Insbesondere in repressiven Staaten – oder auch bei sehr weitreichenden Auslegungen polizeilicher Ermittlungsbefugnisse – ist das problematisch.
1. Strafprozessuale Nutzung in Deutschland:
Metadaten wie Registrierungszeitpunkte, IP-Historie, Gerätekonstellationen und Gruppenzugehörigkeiten lassen sich gemäß §§ 100j, 100g, 100k StPO in Ermittlungen integrieren. Die klare Unterscheidung zwischen Bestandsdaten (z. B. Telefonnummer, letzte IP-Adresse), Nutzungsdaten (z. B. Gerätewechsel, Aktivitätszeitpunkte) und Verkehrsdaten (z. B. Zeitpunkt und Dauer von Verbindungen) ist entscheidend, weil je nach Kategorie unterschiedliche rechtliche Hürden bestehen.
2. Vorratsdatenspeicherung durch die Hintertür:
Selbst wenn keine allgemeine Vorratsdatenspeicherung erlaubt ist, speichern Dienste wie WhatsApp freiwillig Metadaten über lange Zeiträume. Diese können im Rahmen einer TKÜ oder durch Herausgabeanordnungen gemäß dem EU-Recht (z. B. E-Evidence-Verordnung oder Digital Services Act) abgerufen werden – oft auch ohne richterlichen Beschluss im Herkunftsland.
3. Standortermittlung trotz VPN:
Auch bei Verwendung von VPNs oder TOR wird die „vorherige IP-Adresse“ aus den WhatsApp-Logdaten ausgelesen werden. Behörden könnten sich so mit einem simplen Abgleich alter IP-Adressen ein genaues Bewegungsprofil rekonstruieren, da auch Roaming- und Providerdaten Rückschlüsse auf Länder und Regionen zulassen (§§ 100g, 100k StPO).
4. Rückgriff auf Gruppenstruktur und Kontakte:
Wie bereits erwähnt, werden Gruppennamen, Kontakte und blockierte Nutzer im Klartext gespeichert. Im Rahmen von Ermittlungen könnten Behörden damit ganze Netzwerke analysieren – ähnlich wie beim Encrochat- oder SkyECC-Verfahren. Zwar sind die Inhalte der Kommunikation verschlüsselt, aber Gruppenzugehörigkeit und Kontaktstruktur reichen oft für einen Anfangsverdacht (§§ 100a, 100j, 129 StGB – kriminelle Vereinigung) aus. Auch kann bereits ein Like oder Meme im falschen Kontext ein Ermittlungsverfahren auslösen, wie zahlreiche Beispiele zeigen.
5. Automatisierte Profilbildung:
Die aus WhatsApp-Metadaten extrahierten Informationen können in moderne Analyseplattformen wie hessenDATA oder Palantir eingebunden werden. Damit lassen sich im Rahmen des „Predictive Policing“ Muster erkennen, Kontakte verknüpfen und Risikoprofile erstellen – auch ohne richterliche Anordnung.
6. Strafverteidigung und Verwertungsprobleme:
Die rechtliche Problematik liegt darin, dass viele dieser Daten ohne konkrete Katalogtat erhoben werden. Die Daten dürften nur verwertbar sein, wenn ein konkreter Anfangsverdacht vorliegt (§§ 160a, 100a ff. StPO). Werden Daten nur auf Basis vager Indizien erhoben – etwa durch TOR-Nutzung oder Mitgliedschaft in einer Gruppe mit kritischem Namen – können Verwertungsverbote greifen, sofern diese frühzeitig durch Verteidigung geltend gemacht.
Metadaten sind der wahre Datenschatz
Während viele Nutzer sich auf die Ende-zu-Ende-Verschlüsselung von WhatsApp verlassen, wird übersehen, dass Staaten längst einen alternativen Angriffsvektor nutzen: die Metadaten. Diese sind nicht verschlüsselt, oft langzeitgespeichert und rechtlich leichter zugänglich.
Wer seine Privatsphäre schützen will, muss sich nicht nur über die Inhalte, sondern vor allem über die „Umgebungsdaten“ Gedanken machen. Denn wie das Beispiel WhatsApp zeigt, reichen Metadaten heute oft völlig aus, um vollständige soziale, räumliche und zeitliche Profile zu erstellen – ohne je eine Nachricht lesen zu müssen.
Geht dich nichts an? Hast ja nichts verbrochen?
Das ist ein häufiger Reflex: „Ich habe ja nichts zu verbergen, also kann ruhig alles gespeichert werden.“ Doch dieser Gedanke greift zu kurz – und übersieht, wie leicht harmlose Informationen in einem falschen Kontext zu Verdachtsmomenten werden können. Die bloße Mitgliedschaft in einer Gruppe mit provokantem Namen, ein Kontakt zu einer gesperrten Person oder das Nutzen eines VPN-Dienstes können bei automatisierten Auswertungen als „Auffälligkeit“ gewertet werden – selbst wenn keine Straftat vorliegt. Wie bereits erwähnt, genügt für viele Ermittlungsmaßnahmen kein Beweis, sondern ein Anfangsverdacht – oft auf Basis von Metadaten. Wer glaubt, Unschuld sei ein Schutzschild, verkennt die Dynamik moderner Überwachung: Es geht längst nicht mehr darum, was du tust – sondern mit wem, wann, wo und wie oft. Und all das verraten deine Metadaten. Auch wenn du nichts verbrochen hast. Noch nicht.