WhatsApp – Datenschutz-Falle beim Wechsel der Telefonnummer

Wer seine Telefonnummer wechselt, sollte aufpassen, bei welchen Diensten er sich mit genau dieser Nummer identifiziert. Bei WhatsApp zum Beispiel droht eine Datenschutz-Falle, bei der der neue Nutzer einer Telefonnummer, die Daten des bisherigen Nutzer mitlesen und sogar dessen Identität übernehmen kann. Darüber berichtete ich für MDR Aktuell.

Viele Familien haben ihre eigenen Gruppen beim Kurznachrichtendienst WhatsApp, wo sie untereinander Nachrichten und Fotos austauschen können. Dadurch weiß die Mutter, was Sohn, Tochter oder Großvater machen. Oft sind inzwischen sogar drei Generationen miteinander verbunden. So ist es auch bei Alexandra Prinz-Klause der Fall. Doch vor kurzem fiel der MDR-Mitarbeiterin etwas Besonderes in der Familien-Gruppe bei WhatsApp auf.

Mein Papa hatte zwei Handy-Nummern. Er hatte eine abgemeldet vor einiger Zeit. Und war aber mit dieser noch im Familien-Chat bei uns. Es kam irgendwann mal von ihm eine Meldung, wo er schrieb „Hi!“ zu einer nächtlichen Uhrzeit. Wir wunderten uns. Und er meinte: Das war ich gar nicht.

Offenbar hatte der Familien-Chat einen geheimen Mitleser, der nun auf sich aufmerksam machte. Ein Spion bei WhatsApp? Alexandra Prinz-Klause wollte es genauer wissen.

Ich rief dann diese Nummer an und es meldete sich ein kleiner Junge, nicht einmal zehn Jahre alt, namens Achmed, dem offenbar diese abgemeldete Nummer von meinem Papa zugewiesen worden war.

Und genau das ist das Problem. WhatsApp identifiziert seine Nutzer aufgrund der Telefonnummer und nicht anhand eines persönlichen Zugangscodes. Wenn diese Nummer ihren Besitzer wechselt – beispielsweise bei einem Anbieterwechsel – , dann bekommt WhatsApp das von selbst nicht mit. So wird also jeder, der eine SIM-Karte mit der entsprechenden Telefonnummer nutzt, sofort für alle freigeschalteten Chats seines Vorgängers zugelassen. Er kann Nachrichten mitlesen, Fotos und Videos anschauen, sowie selbst unter dem Namen des Vorgängers schreiben. Wenn er sich nicht selbst zu erkennen gibt, wie in unserem Beispiel Achmed, dann bleibt er unentdeckt.

Ein Fall für die Bundesdatenschutzbeauftragte? Die lässt ihr Büro schriftlich abwinken. In einer E-Mail an MDR Aktuell heißt es:

WhatsApp bietet die Möglichkeit, den Account und die damit verbundene Nummer zu löschen. Nimmt der oder die NutzerIn diese Möglichkeit nicht war, kann es nach Neuvergabe der Nummer (…) an Dritte zu dem von Ihnen beschriebenen Problem kommen. Die Verantwortung liegt hier aber bei dem oder der NutzerIn.

Dieser muss sich darum kümmern, sobald er eine neue Telefonnummer hat. Und das geht relativ einfach. Wer alle Daten wie bisher nutzen möchte legt die neue SIM-Karte mit der neuen Telefonnummer in das alte Smartphone ein. Unter Einstellungen / Account gibt es dann die Funktion „Nummer ändern“. Hier fragt das Programm die alte und dann neue Nummer ab. Bestätigen und fertig. Wer seinen Account vollständig löschen will, der nutzt einfach die Funktion „Meinen Account löschen“, dann sind aber auch alle bislang gespeicherten Daten und Zugänge weg.

Bei Alexandra Prinz-Klause war das aber inzwischen zu spät, denn der falsche Nutzer, Achmed, hatte sich ja bereits in ihre Gruppe eingeloggt. So löste sie das Problem anders. Sie löschte ihn.

Das macht der Gruppenadministrator, in dem Fall ich. Da wird der Teilnehmer entweder hinzugefügt oder eben entfernt. Und in dem Fall hab ich dann die alte Nummer dann entfernt und die neue ganz sauber und ordentlich hinzugefügt.

Inzwischen kann die Familie wieder ungestört miteinander kommunizieren, ohne zu befürchten, dass ein Unbeteiligter mitliest.