Warum Threema statt WhatsApp?

Es gibt zahlreiche Gründe, einen datenschutzkonformen Instant Messenger zu verwenden. Hier sind die wichtigsten.

Privacy by Design

Threema und WhatsApp bieten weitgehend dieselben Funktionen und unterscheiden sich kaum in der Handhabung. Was Sicherheit und Datenschutz betrifft, könnten die Dienste aber kaum unterschiedlicher sein. Threema wurde in Hinblick auf maximale Sicherheit und grösstmögliche Datensparsamkeit konzipiert, während das Geschäftsmodell von WhatsApp auf der Nutzung personenbezogener Daten zu Werbezwecken beruht.

Threema herunterladen:

Angabe personenbezogener Daten

Angabe personen­bezogener Daten

Um herkömmliche Chat-Dienste zu verwenden, ist die Angabe personen­bezogener Daten erforderlich. Eine Verwendung von WhatsApp ohne Bekanntgabe der Telefon­nummer ist nicht möglich. Bei Threema gibt es hingegen keinen Rufnummer-Zwang. Die Identifizierung der Nutzer erfolgt mittels einer zufälligen Threema-ID, und das Verknüpfen einer Telefon­nummer oder E-Mail-Adresse mit dieser ID ist optional. Threema lässt sich also völlig anonym verwenden. Für kompromisslosen Daten­schutz ist die Möglichkeit anonymer Nutzung unverzichtbar; denn dort, wo erst gar keine personen­bezogenen Daten vorhanden sind, können auch garantiert keine missbraucht werden.

Zugriff auf das Adressbuch

Zugriff auf das Adressbuch

WhatsApp setzt Zugriff auf das Adressbuch voraus. Dabei werden Kontakt­details an einen Server übermittelt, wo sie dauerhaft gespeichert bleiben. Ohne Zugriff auf das Adress­buch ist der Dienst nicht (oder nur eingeschränkt) nutzbar. Demgegenüber überlässt es Threema den Nutzern, Zugriff auf das Adress­buch zu gewähren bzw. verwehren. Auch ohne Adressbuch-Zugriff ist die App voll funktionsfähig. Entscheiden Nutzer, zwecks Auffindung von Threema-Kontakten ihr Adress­buch zu synchronisieren, werden die E-Mail-Adressen und Telefon­nummern einweg­verschlüsselt an den Server geschickt, wo sie nach erfolgtem Abgleich umgehend gelöscht werden.

Open Source und externe Audits

Open Source und externe Audits

Um volle Transparenz zu gewährleisten, sind die Threema-Apps komplett quelloffen. Dank Reproducible Builds lässt sich zudem (vorerst unter Android) verifizieren, dass der veröffentlichte Quellcode mit dem übereinstimmt, welcher den Apps in den Verkaufs­plattformen zugrunde liegt. Darüber hinaus betraut Threema regelmässig externe Experten damit, umfassende Sicherheits­audits durchzuführen. WhatsApp ist weder quelloffen, noch liegen unabhängige Sicherheits­audits vor. Es besteht folglich keine Möglichkeit, die Unternehmens­aussagen bzgl. Sicherheit und Datenschutz zu überprüfen.

Das Geschäftsmodell diktiert den Umgang mit Metadaten

Metadaten sind alle bei der Kommunikation anfallenden Daten ausser den Nachrichteninhalten selbst – also alle vorhandenen Informationen zu Sender und Empfänger, Nachrichten-Eigenschaften sowie Zeitpunkt und weitere Umstände der Übermittlung. Facebook, Inhaber und Betreiber von WhatsApp, ist durch den Verkauf zielgerichteter Werbung finanziert und hat somit ein wirtschaftliches Interesse an möglichst vielfältigen und aussagekräftigen Metadaten. Denn durch systematische Erhebung und Kombination mit Daten aus anderen Diensten (z.B. Instagram) lässt sich mit Metadaten ein detailliertes Profil der Nutzer anlegen. Das wiederum erlaubt, Werbung gezielt, ohne sogenannte «Streuverluste» anzuzeigen und entsprechend teuer zu verkaufen.

Threema beruht auf einem transparenten Geschäftsmodell, das mit dem «Privacy by Design»-Credo vereinbar ist. Der Dienst ist durch den Verkauf der App – also direkt durch die Nutzer  – finanziert und wurde von Grund auf mit Fokus auf Metadaten-Sparsamkeit konzipiert. Es fallen beim Gebrauch nur Daten an, welche für die Kommunikation technisch zwingend notwendig sind.

Direktvergleich

Die wichtigsten Unterschiede zwischen Threema und WhatsApp in Hinsicht auf Sicherheit und Datenschutz auf einen Blick

Threema
WhatsApp

Threema

WhatsApp

Privacy by Design: Keine Angabe von Rufnummer oder E-Mail-Adresse erforderlich

Der Dienst lässt sich anonym nutzen, d.h. ohne Angabe personenbezogener Daten.

Ende-zu-Ende-Verschlüsselung übertragener Nachrichten

Niemand ausser dem vorgesehenen Empfänger kann reguläre Chat-Nachrichten lesen, auch nicht der Dienstbetreiber.

Umgehungsschutz der Ende-zu-Ende-Verschlüsselung

Es ist keine Umgehung der Ende-zu-Ende-Verschlüsselung möglich (z.B. durch unverschlüsselte Nachrichten-Kopien auf dem Endgerät oder gespeicherte Status-Funktion serverseitig). Kein Fingerprinting. Kein automatisches Öffnen empfangener URLs.

Dienste laufen ausschliesslich auf eigener Server-Hardware

Der Dienstanbieter betreibt alle Server selbst und nutzt keine Cloud- und Hosting-Dienste (wie Amazon AWS oder Google Cloud).

Keine serverseitige Speicherung der Nachrichtenverläufe

Nachrichten werden nach Zustellung umgehend unwiderruflich vom Server gelöscht.

Keine Verwendung von Nutzerdaten zu Werbezwecken

Nutzerdaten werden nicht für zielgerichtete Werbung verwendet oder zu sonstigen Marketingzwecken ausgewertet.

Kein Adressbuch-Zugriff erforderlich

Es ist nicht nötig, Zugriff auf das Adressbuch zu gewähren, um den Dienst (ohne Workaround/Einschränkung) zu nutzen.

Dezentrale Architektur

Kontaktlisten, Gruppen und Benutzerprofile werden direkt auf den Endgeräten, nicht auf einem zentralen Server verwaltet.

Kontakt-Verifizierung

Die Identität von Kontakten lässt sich «out of band» verifizieren, z.B. durch Scannen eines QR-Codes, und die Verifikation bleibt erhalten.

DSGVO-Konformität

Der Dienst genügt den Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO).

Open Source

Der App-Quellcode ist öffentlich einsehbar, und mittels Reproducible Builds lässt sich verifizieren, dass er mit dem der veröffentlichten Apps übereinstimmt.

Letzte unabhängige Sicherheitsprüfung

Zeitpunkt, zu welchem die Sicherheit der App zuletzt systematisch durch externe Experten überprüft wurde.

2020

Rechtsprechung

Land, dessen Rechtsprechung der Dienst unterliegt.

Schweiz
USA3

Für Datenschutz lohnt es sich, zu zahlen

Nichts ist umsonst. Bezahlt man für einen Dienst nicht mit Geld, dann mit seinen Nutzerdaten.

Download Threema