In WhatsApp-Gruppen kursiert aktuell ein Kettenbrief, der behauptet, „ab heute“ könne eine KI sämtliche Chats mitlesen, Telefonnummern auslesen und persönliche Daten einsehen. Nur wer den „erweiterten Datenschutz“ aktiviere, sei geschützt.
Die zentrale Behauptung ist falsch: WhatsApp-Nachrichten in Einzel- und Gruppenchats bleiben standardmäßig Ende-zu-Ende-verschlüsselt. Weder Meta noch Meta AI können diese Inhalte mitlesen. Die seit 2025 schrittweise eingeführte KI-Funktion Meta AI verarbeitet laut WhatsApp-Datenschutzhinweisen zu Meta AI ausschließlich Inhalte, die Nutzer aktiv an die KI senden – etwa über eine @-Erwähnung, direkte Fragen oder KI-Funktionen wie Zusammenfassungen. Erst dann verlassen diese Daten den Ende-zu-Ende-verschlüsselten Pfad und werden auf Meta-Servern im Klartext verarbeitet.
Die eigentliche Baustelle: Metadaten und Profiling
Ein großes Datenschutzproblem bei WhatsApp gibt es trotzdem: WhatsApp erhebt unabhängig von Meta AI und unabhängig vom erweiterten Chat-Datenschutz umfangreiche Metadaten: Telefonnummer, Geräteinformationen, IP-Adresse, Timestamps von Nachrichten und Anrufen, Kontaktlisten, Online-Status und Standortdaten. Diese Metadaten liegen nicht Ende-zu-Ende-verschlüsselt vor und können mit anderen Meta-Diensten geteilt werden – gestützt auf das rechtlich umstrittene Konstrukt des „berechtigten Interesses“ nach DSGVO.
Wir haben euch in einem Antwort-Kettenbrief zusammengefasst, was für weitreichende Konsequenzen das für jeden von uns hat:
An alle WhatsApp-Nutzer, die sich um Datenraub durch KI sorgen: WhatsApp wertet automatisiert schon seit Jahren alle unsere Metadaten aus. Und das ist ein Problem – auch für dich. Weil: Metadaten sind zum Beispiel, wie häufig man mit wem schreibt und wann man sich wo befindet. Daraus lässt sich ableiten, wie viele Freunde jemand hat, wo er wohnt, arbeitet, ob er auf der Arbeit Arbeitszeitbetrug mit privaten WhatsApp-Chats betreibt... usw. Diese Metadaten werden dann an globalen Datenbörsen gehandelt. Spezialisierte Firmen erstellen aus ihnen Profile über jeden von uns. Diese kaufen dann Personalagenturen, Versicherungen, Kreditinstitute, Geheimdienste (auch deutsche Landeskriminalämter und das FBI) und viele weitere. Denn Unternehmen möchten auf dieser Basis entscheiden, wen sie einstellen – und wen feuern. Versicherungen wollen entscheiden, wie viel jemand bezahlen muss. Geldinstitute wollen entscheiden, ob jemand einen Kredit bekommt. Was wir online tun, bestimmt wegen Metadaten immer mehr, was für Möglichkeiten wir noch im Offline-Leben haben. Dabei gibt es viele Alternativen zu WhatsApp, Gmail, Gmx, OneDrive und Co. Leitet diesen Brief an alle weiter, von denen ihr nicht wollt, dass ihre Profile verkauft werden.
Es grüßt euch
Eure heise-Redaktion
Leitet ihn gerne weiter!
Alternativen für WhatsApp sind zum Beispiel das mittlerweile auch sehr weit verbreitete Signal, Threema oder Wire, die deutlich weniger Metadaten erheben. Datenschützer betonen: Nur weil man sich vielleicht nicht ganz von WhatsApp verabschieden möchte, heißt das nicht, dass sich die anderen Dienste nicht lohnen. Auch wenn man nur für die Kommunikation mit manchen Freunden dorthin wechselt, ist schon etwas gewonnen.
Was der erweiterte Chat-Datenschutz leistet – und was nicht
Die im Kettenbrief erwähnte Funktion „Erweiterter Chat-Datenschutz“ existiert übrigens tatsächlich. Sie lässt sich pro Chat aktivieren und bewirkt drei Dinge: Sie blockiert den Export des Chatverlaufs, verhindert das automatische Speichern von Medien auf Geräten der Teilnehmer und unterbindet die Nutzung von Meta-AI-Funktionen im betreffenden Chat. Bei Aktivierung erscheint eine Systemnachricht, die alle Beteiligten informiert. Sie schützt also vor allem vor Datenschutzverstößen unserer Mitmenschen. Wer sich vor Meta schützen will, sollte sich ganz von WhatsApp verabschieden.
(rie)
