{"id":8422,"date":"2021-10-19T15:01:42","date_gmt":"2021-10-19T13:01:42","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=8422"},"modified":"2026-01-16T11:48:27","modified_gmt":"2026-01-16T10:48:27","slug":"messenger-test-2021-whatsapp-vs-threema","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/messenger-test-2021-whatsapp-vs-threema\/","title":{"rendered":"Messenger-Test 2021: WhatsApp vs. Threema"},"content":{"rendered":"<p>Nachdem wir unseren beliebten Messenger-Test bereits vor einigen Wochen <a href=\"https:\/\/www.psw-group.de\/blog\/messenger-test-2021-neue-testrunde\/8374\">angek\u00fcndigt hatten<\/a>, geht es heute ans Eingemachte: Wir testen WhatsApp und Threema. In unserem <a href=\"https:\/\/www.psw-group.de\/blog\/messengerrevival2016-whatsapp-threema\/3409\">letzten Test im Jahre 2016<\/a> hatte sich WhatsApp zwar weiterentwickeln k\u00f6nnen, war jedoch noch lange kein sicherer Messenger. Threema konnte uns seinerzeit \u00fcberzeugen: Die Funktionalit\u00e4t war nicht \u00fcberbordend, aber stimmig, und der Schweizer Messenger punktete mit Datenschutz und Sicherheit. Zu kritisieren blieb, dass der Quellcode von Threema nicht ver\u00f6ffentlicht wurde. Seither hat sich einiges getan \u2013 und dies schauen wir uns im heutigen ersten Messenger-Test von WhatsApp und Threema an.<\/p>\n<h2>Messenger-Test 2021: WhatsApp im Test<\/h2>\n<p>WhatsApp m\u00f6chte f\u00fcr alle da sein, also gibt\u2019s den Messenger f\u00fcr Android und iOS, aber auch f\u00fcr Windows und macOS. Mit WhatsApp Web steht zudem eine browserbasierte Version bereit, sodass WhatsApp-Nutzende frei vom Betriebssystem agieren k\u00f6nnen. S\u00e4mtliche Versionen lassen sich kostenfrei nutzen. Die Installation ist \u2013 wie bei allen modernen Messengern \u2013 kinderleicht: Man gehe in den jeweiligen App-Store, suche sich die richtige App und folge nach einem Klick auf \u201eInstallieren\u201c den Anweisungen.<\/p>\n<h3>Kontakte und Berechtigungen<\/h3>\n<p>Es lohnt sich, vor einer App-Installation auf die Berechtigungen zu schauen, die die Apps einfordern. Wenngleich Berechtigungen in den Betriebssystemen deaktiviert werden k\u00f6nnen, ist ein Blick auf sie lohnend, da die Zugriffsberechtigungen, die eine App verlangt, auch passen m\u00fcssen. WhatsApp m\u00f6chte sehr umfangreiche Berechtigungen (Test unter Android):<\/p>\n<ul>\n<li>Kamera: Bilder &amp; Videos aufnehmen<\/li>\n<li>Kontakte:\n<ul>\n<li>Kontakte lesen<\/li>\n<li>Konten auf dem Ger\u00e4t suchen<\/li>\n<li>Kontakte \u00e4ndern<\/li>\n<\/ul>\n<\/li>\n<li>Standort:\n<ul>\n<li>Nur bei Ausf\u00fchrung im Vordergrund auf den ungef\u00e4hren Standort zugreifen<\/li>\n<li>Nur bei Ausf\u00fchrung im Vordergrund auf den genauen Standort zugreifen<\/li>\n<\/ul>\n<\/li>\n<li>Mikrofon: Audio aufnehmen<\/li>\n<li>Anrufliste: Anrufliste lesen<\/li>\n<li>Telefon:\n<ul>\n<li>Telefonnummern direkt anrufen<\/li>\n<li>Telefonstatus und Identit\u00e4t abrufen<\/li>\n<\/ul>\n<\/li>\n<li>SMS: SMS empfangen, senden und abrufen<\/li>\n<li>Speicher:\n<ul>\n<li>Inhalte des freigegebenen Speichers \u00e4ndern oder l\u00f6schen<\/li>\n<li>Inhalte des freigegebenen Speichers lesen<\/li>\n<\/ul>\n<\/li>\n<li>Sonstiges:\n<ul>\n<li>Telefonnummern vorlesen<\/li>\n<li>Ruhezustand deaktivieren<\/li>\n<li>WLAN-Verbindungen abrufen<\/li>\n<li>Internetdaten erhalten<\/li>\n<li>Dauerhaften Broadcast senden<\/li>\n<li>Synchronisierungsstatistiken lesen<\/li>\n<li>WLAN-Verbindungen herstellen und trennen<\/li>\n<li>Auf alle Netzwerke zugreifen<\/li>\n<li>Aktive Apps aufrufen<\/li>\n<li>Synchronisierungseinstellungen lesen<\/li>\n<li>Vordergrunddienst ausf\u00fchren<\/li>\n<li>Nahfeldkommunikation steuern<\/li>\n<li>Beim Start ausf\u00fchren<\/li>\n<li>Verkn\u00fcpfungen deinstallieren<\/li>\n<li>Anrufe \u00fcber das System durchf\u00fchren<\/li>\n<li>Anzahl neuer Benachrichtigungen lesen<\/li>\n<li>Netzwerkverbindungen abrufen<\/li>\n<li>Fingerabdruckhardware verwenden<\/li>\n<li>Verkn\u00fcpfungen installieren<\/li>\n<li>Google-Servicekonfiguration lesen<\/li>\n<li>Vibrationsalarm steuern<\/li>\n<li>Anrufe annehmen<\/li>\n<li>Synchronisierung aktivieren oder deaktivieren<\/li>\n<li>Biometrische Hardware verwenden<\/li>\n<li>Netzwerkkonnektivit\u00e4t \u00e4ndern<\/li>\n<li>Audio-Einstellungen \u00e4ndern<\/li>\n<li>Kopplung mit Bluetooth-Ger\u00e4ten durchf\u00fchren<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Einige dieser Berechtigungen sind nachvollziehbar: das Aufnehmen von Bildern, Videos oder Audios etwa ist sinnvoll f\u00fcr Bild-, Video- oder Audio-Nachrichten. Der Zugriff auf das Telefonbuch hat sicher seinen Vorteil: Kontakte werden f\u00fcr Nutzende automatisch angezeigt, sodass kein nerviger Import notwendig ist. Der Nachteil dieses Vorgehens ist jedoch, dass WhatsApp die Telefonb\u00fccher von Nutzenden auf US-Server l\u00e4dt, um hier abgleichen zu k\u00f6nnen, welche der Telefonnummern WhatsApp nutzt. Damit laden Nutzende also auch Telefonnummern von Kontakten auf US-Server, die sich vielleicht aus genau diesem Grund gegen WhatsApp entschieden haben. So ist auf der WhatsApp-Website zu lesen: \u201eDies [das Hochladen von Telefonnummern] gilt f\u00fcr deine Kontakte, die WhatsApp verwenden, und auch f\u00fcr deine anderen Kontakte.\u201c Sie haben also bei WhatsApp die Wahl aus Bequemlichkeit oder Datenschutz. Das Zulassen oder Ablehnen von Berechtigungen k\u00f6nnen Sie in den Android-Einstellungen vornehmen. Problematisch: WhatsApp ist eigentlich nur mit Freigabe der Kontaktliste sinnvoll nutzbar.<\/p>\n<p>Haben Sie WhatsApp auf Ihrem Ger\u00e4t installiert, erscheint beim ersten Start die Bitte, zur Datenschutzrichtlinie und den Nutzungsbedingungen zuzustimmen. Beide Dokumente sind via Klick erreichbar, dazu jedoch sp\u00e4ter mehr. Nach der Zustimmung geben Sie Ihre Telefonnummer ein und best\u00e4tigen damit, dass Sie mindestens 16 Jahre alt sind. In der Folge erhalten Sie einen Registrierungscode per SMS, den Sie dann eingeben k\u00f6nnen \u2013 damit ist die Verifizierung abgeschlossen. Nutzende werden jetzt gefragt, ob ein Backup auf Google Drive zu finden und wiederherzustellen sei. Ist die Frage nach dem Backup gekl\u00e4rt, geben Sie einen Nutzernamen an und f\u00fcgen gegebenenfalls ein Profilfoto hinzu \u2013 und schon k\u00f6nnen Sie loslegen.<\/p>\n<h3>Usability von WhatsApp<\/h3>\n<p>Eine intuitive und leichte Bedienung: Das war schon immer die St\u00e4rke von WhatsApp. Die Bedienung ist so leicht, dass auch weniger versierte Nutzende spielend mit dem Messenger zurechtkommen. Auch die Funktionalit\u00e4t kann sich sehen lassen:<\/p>\n<ul>\n<li>Text- und Sprachnachrichten<\/li>\n<li>Gruppenchats mit bis zu 256 Teilnehmenden<\/li>\n<li>Sprach- und Videoanrufe<\/li>\n<li>Foto- und Videoversand<\/li>\n<li>Dokumentenversand mit bis zu 100 MB<\/li>\n<li>Backup-Funktion lokal oder Cloud<\/li>\n<\/ul>\n<p>Insgesamt arbeitet WhatsApp auch sehr zuverl\u00e4ssig. Anfang Oktober kam es zu einem <a href=\"https:\/\/www.tagesspiegel.de\/gesellschaft\/medien\/auch-whatsapp-und-instagram-down-facebook-erklaert-den-weltweiten-ausfall\/27676180.html\" target=\"_blank\" rel=\"nofollow noopener\">Ausfall aller Facebook-Dienste<\/a> \u2013 und damit auch zu einem WhatsApp-Ausfall \u2013 jedoch sind derlei F\u00e4lle eher die Ausnahme. Bis auf kleinere Ausnahmen, in denen etwa die Bildqualit\u00e4t versendeter und komprimierter Bilder bem\u00e4ngelt wird, spiegelt sich dieser zuverl\u00e4ssige Eindruck auch in den App Store-Bewertungen wider.<\/p>\n<h3>Die Sicherheit von WhatsApp<\/h3>\n<p>Die Nachrichten, die auf WhatsApp versendet werden, sind Ende-zu-Ende-verschl\u00fcsselt. Das trifft auf alle Arten von Nachrichten zu und schlie\u00dft auch den Versand von Fotos, Videos oder Dokumenten mit ein. F\u00fcr das Verschl\u00fcsseln m\u00fcssen auch Nutzende nicht t\u00e4tig werden: Alles geschieht automatisch. Ende-zu-Ende-verschl\u00fcsselte Nachrichten landen nicht auf den Servern von WhatsApp, sondern verbleiben lokal auf dem Ger\u00e4t. Zum Verschl\u00fcsseln bedienten sich die WhatsApp-Macher am <a href=\"https:\/\/de.wikipedia.org\/wiki\/Signal-Protokoll\" target=\"_blank\" rel=\"noopener\">Signal-Protokoll<\/a> (ehemals Axolotl-Protokoll).<\/p>\n<p>Die Ende-zu-Ende-Verschl\u00fcsselung dient dazu, Nachrichten vor Zugriffen durch unbefugte Dritte zu sch\u00fctzen. Das trifft jedoch ausschlie\u00dflich die Nachrichten, nicht die Metadaten \u2013 also wann Sie mit wem kommuniziert haben. Der Absatz \u201eMetadaten: Wer wann mit wem?\u201c aus unserem Testbericht von 2016 hat also leider immer noch Bestand. Das ist jedoch kein WhatsApp-Ph\u00e4nomen, sondern ein allgemeines Problem der modernen Kommunikation, welches nur wenige Anbieter l\u00f6sen.<\/p>\n<p>Quelloffen ist die App nicht, sie bedient sich propriet\u00e4rer Bibliotheken. Der Sicherheit dienlich ist die Tatsache, dass Kontakte sich verifizieren lassen, etwa durch einen QR-Code-Scan. Dadurch k\u00f6nnen Sie sichergehen, dass Ihre Gespr\u00e4chspartner:innen auch die sind, f\u00fcr die sie sich ausgeben. Eine weitere sinnvolle Sicherheitsfunktion bei WhatsApp sind Sicherheitshinweise. So gibt es etwa einen Hinweis, falls sich der Kontakt-Fingerprint \u00e4ndert. Jedoch m\u00fcssen Sie diese Sicherheitshinweise in den Einstellungen erst aktivieren.<\/p>\n<p>WhatsApp l\u00e4sst sich nur mit einer g\u00fcltigen Telefonnummer nutzen. Diese Telefonnummer landet leider auch beim Mutterkonzern Facebook, die auch die entsprechenden Infrastrukturen hostet (s. Update im oben verlinkten Testbericht aus 2016). Leider existiert bei WhatsApp Intransparenz bez\u00fcglich der Finanzierung der f\u00fcr Nutzende kostenfreien Services: Es sind keine Erkl\u00e4rungen zu finden. Naheliegend w\u00e4re, dass der kostenfreie Messenger WhatsApp mit Dienstleistungen wie der Werbung auf Facebook oder anderen zu Facebook geh\u00f6renden Plattformen wie Instagram querfinanziert wird.<\/p>\n<p>Dass Backups lokal oder in der Cloud m\u00f6glich sind, ist der Sicherheit eigentlich zutr\u00e4glich. Nach Einrichtung sind auch automatische Backups m\u00f6glich. Allerdings greift die im Messenger implementierte Ende-zu-Ende-Verschl\u00fcsselung nicht bei Backups. Zudem landen die Backups bei Google Drive oder in Apples iCloud, und damit in den USA. Sinnvoller ist es, auf lokale Backups zu setzen und diese mit Verschl\u00fcsselung zu sch\u00fctzen. Bei einem erfolgreichen Ransomware-Angriff auf das Ger\u00e4t, auf dem die Backups liegen, n\u00fctzen diese jedoch wenig \u2013 mit einem Gesamtbackup des Ger\u00e4ts hingegen auf einem zweiten Ger\u00e4t w\u00e4re auch dieses Risiko minimiert.<\/p>\n<p>WhatsApp-Nutzende k\u00f6nnen in den Einstellungen die \u201eVerifizierung in zwei Schritten\u201c aktivieren. Dadurch wird der WhatsApp-Account mit einer sechsstelligen PIN gesch\u00fctzt. Ebenfalls in den Account-Einstellungen l\u00e4sst sich festlegen, welche Informationen andere \u00fcber Nutzende sehen k\u00f6nnen. Auch den Live-Standort kann man hier deaktivieren. Es ist ratsam, die Bildschirmsperre zu nutzen, um WhatsApp zu sperren, wenn man nicht mehr aktiv ist. Idealerweise wird \u201eSofort\u201c eingeschaltet, aber auch andere Einstellungen sind m\u00f6glich. Auch das zus\u00e4tzliche Authentifizieren per Fingerabdruck ist m\u00f6glich: In den Datenschutzeinstellungen \u00fcber die Option \u201eFingerabdruck-Sperre\u201c.<\/p>\n<p>WhatsApp speichert Medien, die \u00fcber den Messenger gesendet werden, standardm\u00e4\u00dfig in den Ger\u00e4tespeicher. Das kann b\u00f6se \u00dcberraschungen geben: Wie alle Dateien k\u00f6nnen auch Fotos oder Videos Malware enthalten. Empfangende einer Nachricht m\u00fcssen den Malware-Befall nicht unbedingt sofort bemerken \u2013 sie versenden munter das Bild oder Video weiter, um ihre Kontakte zu erheitern. Es lohnt sich also, diese Funktion zu deaktivieren: In den WhatsApp-Einstellungen unter Speicher und Daten.<\/p>\n<p>Mit selbstl\u00f6schenden Nachrichten hat WhatsApp einen Selbstzerst\u00f6rungsmodus geschaffen, was dem Datenschutz und damit der Sicherheit dienlich sein kann. Wurde die Funktion in den Einstellungen aktiviert, werden Nachrichten nach sieben Tagen gel\u00f6scht. Wenngleich es M\u00f6glichkeiten gibt, diesen Modus zu umgehen, tr\u00e4gt er doch zur Sicherheit bei.<\/p>\n<p>Insgesamt hat WhatsApp gute Ans\u00e4tze: Die Ende-zu-Ende-Verschl\u00fcsselung nach Signal-Protokoll ist sinnvoll und dient der Sicherheit ungemein. Verschiedene Sicherheitseinstellungen k\u00f6nnen Nutzende gut sch\u00fctzen. Backups machen Sinn im Falle von Datenverlust. Doch irgendwie sind diese Ans\u00e4tze nicht gut durchdacht: Das Verschl\u00fcsselungsprotokoll l\u00e4sst sich aufgrund des nicht \u00f6ffentlichen Quellcodes nicht pr\u00fcfen. Die Sicherheitseinstellungen m\u00fcssen Nutzende erst mal aktivieren \u2013 und bei weniger versierten oder datenschutzorientierten Nutzenden darf bezweifelt werden, ob dies geschieht. Und unverschl\u00fcsselte Backups in US-Clouds sind auch nur bedingt vertrauensw\u00fcrdig. Damit vergeben wir f\u00fcr die Verschl\u00fcsselung zwei Sterne, f\u00fcr die weiteren Schutzmechanismen nur einen.<\/p>\n<h3>AGB &amp; Datenschutzrichtlinie bei WhatsApp<\/h3>\n<p>Als WhatsApp Anfang des Jahres 2021 neue Datenschutzrichtlinien ank\u00fcndigte, folgte ein riesiger Aufschrei \u2013 inklusive massiver Wechselwelle zu alternativen Messengern. Die Kritik daran, Daten auch mit Facebook zu teilen, war so massiv, dass Facebook die Einf\u00fchrung der neuen Richtlinie mehr als drei Monate nach hinten r\u00fcckte. Die ARD fasst die Ereignisse <a href=\"https:\/\/www.tagesschau.de\/wirtschaft\/verbraucher\/whatsapp-messenger-facebook-datenschutz-101.html\" target=\"_blank\" rel=\"nofollow noopener\">in diesem Beitrag<\/a> gut zusammen. Von der Kritik ist heute, einige Monate sp\u00e4ter, nicht viel geblieben: WhatsApp f\u00fchrte neue Datenschutzrichtlinien ein, jedoch treffen diese tats\u00e4chlich eher Nutzende in den USA, da europaweit die DSGVO eine weitere Datenteilung mit dem Mutterkonzern verhindert.<\/p>\n<p>Die Nutzungsbedingungen sind gut auffindbar und in deutscher Sprache gehalten, sodass die Sprachbarrieren, die es bei unseren vorangegangenen Tests noch gab, heute nicht mehr existieren. Im Bereich \u201e\u00dcber unsere Dienste\u201c beschreibt WhatsApp Ireland Limited allgemeine Grunds\u00e4tze. Hier lesen wir mitunter: \u201eZum Betreiben unserer globalen Dienste m\u00fcssen wir Inhalte und Informationen in unseren Rechenzentren und Systemen auf der ganzen Welt speichern und verteilen. Dies umfasst auch L\u00e4nder au\u00dferhalb des Landes, in dem sich dein Wohnsitz befindet. Die Nutzung dieser globalen Infrastruktur ist f\u00fcr die Bereitstellung unserer Dienste erforderlich und von zentraler Bedeutung. Diese Infrastruktur geh\u00f6rt m\u00f6glicherweise unseren Dienstleistern, etwa unseren verbundenen Unternehmen, oder wird von diesen betrieben.\u201c<\/p>\n<p>Im Punkt \u201eRegistrierung\u201c lesen wir, dass bei einer Registrierung \u201ekorrekte Informationen [zu] verwenden\u201c sind. Das schlie\u00dft Pseudonyme erst mal aus, sodass eigentlich Klarnamenpflicht besteht \u2013 im weiteren Verlauf der Rechtstexte wird dies noch mal anders dargestellt. Unter \u201eAdressbuch\u201c erkl\u00e4rt WhatsApp das Hochladen der Kontakte aus dem Adressbuch des verwendeten Ger\u00e4ts und betont auch hier, dass \u201edarunter sowohl die Nummern von Benutzern unserer Dienste als auch die von deinen sonstigen Kontakten\u201c fallen.<\/p>\n<p>Neben allgemeinen Informationen lesen wir, dass die Nutzung von WhatsApp zu nicht-privaten Zwecken ohne Genehmigung durch WhatsApp genauso wenig gestattet ist wie der Versand rechtswidriger Inhalte. F\u00fcr die Sicherheit des Accounts sind ausschlie\u00dflich die Nutzenden selbst verantwortlich, die jeden Sicherheitsversto\u00df an WhatsApp zu melden haben. Nutzende werden darauf hingewiesen, dass beim Verwenden von Diensten Dritter deren Datenschutzrichtlinien gelten.<\/p>\n<p>Eine Diskrepanz f\u00e4llt im Abschnitt \u201eDie Lizenz von dir gegen\u00fcber WhatsApp\u201c auf: Wir lesen, dass Nutzende WhatsApp die Lizenz zum Nutzen, Reproduzieren, Verbreiten usw. von Informationen, die \u00fcbermittelt oder empfangen werden, erh\u00e4lt. Das dient dazu, die \u201eDienste zu betreiben und bereitzustellen\u201c, beispielsweise um Nachrichten zu \u00fcbermitteln oder Statusmeldungen anzuzeigen. So weit, so gut. Doch: \u201e\u2026 und deine nicht zugestellten Nachrichten f\u00fcr bis zu 30 Tage auf unseren Servern zu speichern, w\u00e4hrend wir versuchen, sie zuzustellen.\u201c Das m\u00f6chte nicht ganz zu der Idee der selbstzerst\u00f6renden Nachrichten passen, von denen WhatsApp erkl\u00e4rt, dass diese nach sieben Tagen gel\u00f6scht werden.<\/p>\n<p>Auch die Datenschutzrichtlinie von WhatsApp ist leicht zu finden. Wie schon in den Nutzungsbedingungen erfahren wir auch hier zuerst, dass es sich um die Datenschutzrichtlinie f\u00fcr die europ\u00e4ische Region handelt und dass WhatsApp ein Facebook-Unternehmen ist. Einleitend erkl\u00e4rt WhatsApp, dass zum Betreiben der Funktionen und Dienste diverse Daten unabdingbar sind \u2013 so k\u00f6nne man etwa den Standort nicht mit Kontakten teilen, wenn Standortdaten nicht durch WhatsApp erhoben werden d\u00fcrfen. Es folgt eine Aufstellung der von Nutzenden bereitgestellten Informationen:<\/p>\n<ul>\n<li>Account-Informationen: Neben der Mobilnummer m\u00fcssen \u201egrundlegende Informationen\u201c angegeben werden, mitunter ein \u201eProfilname deiner Wahl\u201c, was wiederum gegen die oben vermutete Klarnamenpflicht spricht. Ohne diese Informationen jedenfalls ist WhatsApp nicht nutzbar.<\/li>\n<li>Nachrichten: \u201eIn der Regel\u201c und \u201enormalerweise\u201c speichert WhatsApp Nachrichten nicht auf den hauseigenen Servern. Werden Nachrichten zugestellt, werden sie auch von den Servern gel\u00f6scht. Unter Umst\u00e4nden werden Nachrichten doch gespeichert: L\u00e4sst sich eine Nachricht nicht zustellen, wird \u201esie bis zu 30 Tage in verschl\u00fcsselter Form auf unseren Servern\u201c gespeichert, w\u00e4hrend versucht wird, die Nachricht zuzustellen. Anschlie\u00dfend wird sie gel\u00f6scht. Ein zweites Szenario: Nutzende m\u00f6chten Medien weiterleiten. WhatsApp speichert diese Medien \u201etempor\u00e4r in verschl\u00fcsselter Form auf unseren Servern, um die Zustellung von weiteren Weiterleitungen effizienter zu machen\u201c.<\/li>\n<li>Netzwerk: Wahlweise k\u00f6nnen Nutzende die \u201eFunktion zum Hochladen von Kontakten nutzen und uns regelm\u00e4\u00dfig die Telefonnummern in deinem Adressbuch zur Verf\u00fcgung stellen\u201c \u2013 wie erw\u00e4hnt: Die Telefonnummern aller Kontakte, nicht nur jener, die WhatsApp nutzen. Weiter hei\u00dft es: \u201eWenn einer deiner Kontakte unsere Dienste noch nicht nutzt, verwalten wir diese Information f\u00fcr dich in einer Weise, mit der sichergestellt wird, dass dieser Kontakt nicht von uns identifiziert werden kann.\u201c Gruppen sowie Broadcast-Listen \u201ewerden mit deinen Account-Informationen verkn\u00fcpft\u201c.<\/li>\n<\/ul>\n<p>Auch automatisch werden Informationen erhoben: Etwa Nutzungs- und Protokollinformationen \u00fcber Aktivit\u00e4ten der Nutzenden. Aktivit\u00e4tsinformationen k\u00f6nnen beispielsweise sein, \u201ewie du unsere Dienste nutzt, deine Einstellungen f\u00fcr Dienste, wie du mit anderen unter Nutzung unserer Dienste interagierst (z. B. wenn du mit einem Unternehmen interagierst) sowie Zeitpunkt, H\u00e4ufigkeit und Dauer deiner Aktivit\u00e4ten und Interaktionen\u201c. Hinzu k\u00f6nnen Protokolle (Diagnose-, Absturz-, Performance- oder Website-Protokolle) kommen. Dies kann auch die folgenden Informationen einschlie\u00dfen: \u201e\u2026 wann du dich f\u00fcr die Nutzung unserer Dienste registriert hast, Informationen \u00fcber die von dir genutzten Funktionen wie unsere Nachrichten-, Anruf-, Status-, Gruppen- (darunter Gruppenname, Gruppenbild, Gruppenbeschreibung), Zahlungs- oder Gesch\u00e4ftsfunktionen, \u00fcber dein Profilbild, \u00fcber deine Info, dazu, ob du gerade online bist, wann du zuletzt unsere Dienste genutzt hast (dein \u201eZuletzt online\u201c) und wann du zuletzt deine Info aktualisiert hast.\u201c<\/p>\n<p>Ger\u00e4te- und Verbindungsdaten schlie\u00dfen \u201eInformationen zu deinem Hardware-Modell und Betriebssystem, Batteriestand, Signalst\u00e4rke, App-Version, Informationen zum Browser und Mobilfunknetz sowie zu der Verbindung, einschlie\u00dflich Telefonnummer, Mobilfunk- oder Internetanbieter, Sprache und Zeitzone, IP-Adresse, Informationen zum Ger\u00e4tebetrieb und Kennungen\u201c mit ein. Standort-Informationen werden \u2013 wenn sie freigegeben sind \u2013 genutzt, wenn standortbezogene Funktionen verwendet werden. Doch: \u201eAuch dann, wenn du unsere standortbezogenen Funktionen nicht nutzt, verwenden wir IP-Adressen und andere Informationen wie Telefonvorwahlen, um deinen ungef\u00e4hren Standort bestimmen zu k\u00f6nnen (z. B. Ort\/Stadt und Land). Wir nutzen deine Standortinformationen au\u00dferdem f\u00fcr Diagnose- und Fehlerbehebungszwecke.\u201c<\/p>\n<p>Als positiv erachten wir die Sensibilisierung von Nutzenden durch diesen Hinweis: \u201eDu solltest dir immer bewusst sein, dass generell jeder beliebige Benutzer Screenshots von deinen Chats oder Nachrichten machen oder Telefongespr\u00e4che zwischen dir und ihm aufzeichnen und an WhatsApp oder irgendwelche andere Personen senden oder auf anderen Plattformen ver\u00f6ffentlichen kann.\u201c \u00dcberhaupt sind die Hinweise unter \u201eInformationen Dritter\u201c recht hilfreich. Da das Gros der Nutzenden jedoch keine Datenschutzerkl\u00e4rungen liest, w\u00e4ren diese wertvollen Hinweise an prominenterer Platzierung sinnvoller.<\/p>\n<p>Erkl\u00e4rt wird auch, wie WhatsApp mit anderen Facebook-Unternehmen zusammenarbeitet: \u201eAls Teil der Facebook-Unternehmen erh\u00e4lt WhatsApp Informationen von anderen Facebook-Unternehmen und teilt auch Informationen mit anderen Facebook-Unternehmen, um die Sicherheit und Integrit\u00e4t aller Produkte von Facebook-Unternehmen zu f\u00f6rdern [\u2026]. WhatsApp arbeitet auch mit den anderen Facebook-Unternehmen zusammen [\u2026], damit sie uns dabei helfen k\u00f6nnen, unsere Dienste zu betreiben, bereitzustellen, zu verbessern, zu verstehen, anzupassen, zu unterst\u00fctzen und zu vermarkten. Dies umfasst die Bereitstellung von Infrastruktur, Technologie und Systemen, z. B. damit wir dir ein schnelles und zuverl\u00e4ssiges Messaging und Anrufe rund um die Welt bereitstellen, unsere Infrastruktur- und Zustellungssysteme verbessern und die Nutzung unserer Dienste nachvollziehen k\u00f6nnen. Dar\u00fcber hinaus helfen uns die anderen Facebook-Unternehmen dabei, dir die M\u00f6glichkeit zu geben, dich mit Unternehmen in Verbindung zu setzen, und dabei, Systeme sicher zu machen. Wenn wir Leistungen anderer Facebook-Unternehmen in Anspruch nehmen, werden die mit ihnen geteilten Informationen im Auftrag von WhatsApp und im Einklang mit unseren Anweisungen verwendet. Keine der Informationen, die WhatsApp auf dieser Grundlage weitergibt, d\u00fcrfen f\u00fcr die eigenen Zwecke der Facebook-Unternehmen verwendet werden.\u201c<\/p>\n<p>Es folgt eine Auflistung der Rechtsgrundlagen der Verarbeitung, so wie es die DSGVO fordert. Weiter werden Gr\u00fcnde erkl\u00e4rt, warum Daten wie verarbeitet werden. Dazu z\u00e4hlt auch die Verwendung von \u201eMetadaten von Nachrichten f\u00fcr die Kommunikations\u00fcbertragung, den Betrieb der Dienste [\u2026] und ggf. f\u00fcr die Rechnungsstellung\u201c. Zur Sicherheit und Integrit\u00e4t der Dienste kann WhatsApp \u201eDaten, die du beim Anlegen eines Accounts angegeben hast, verifizieren oder verd\u00e4chtige Aktivit\u00e4ten in Zusammenhang mit deinem Account analysieren, um so zu verhindern, dass unsere Dienste auf unrechtm\u00e4\u00dfige Weise genutzt werden\u201c.<\/p>\n<p>WhatsApp kann Daten von Nutzenden verarbeiten, um \u201eMessungen, Analysen und sonstige Unternehmensservices\u201c bereitzustellen. Daf\u00fcr gibt WhatsApp berechtigte Interessen als Rechtsgrundlage an: \u201eIm Interesse von Unternehmen und sonstigen Partnern, um ihnen zu helfen, Erkenntnisse \u00fcber ihre Kunden zu erlangen und ihre Gesch\u00e4fte zu verbessern und unsere Preismodelle zu validieren, die Effektivit\u00e4t und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss dar\u00fcber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.\u201c Auch das Bereitstellen von Marketingkommunikation erfolgt auf Basis berechtigter Interessen.<\/p>\n<p>Weiter teilt WhatsApp Informationen mit den Facebook-Unternehmen, um \u201eso die Sicherheit und Integrit\u00e4t zu f\u00f6rdern\u201c. Es folgt ein Hinweis, dass Nutzende das Recht haben, \u201eeiner solchen Verarbeitung zu widersprechen und ihre Beschr\u00e4nkung zu verlangen\u201c.<\/p>\n<p>Unter \u201eVerwaltung und Aufbewahrung deiner Informationen\u201c finden wir einen Hinweis zur L\u00f6schung von Metadaten der Nachrichten: Werden \u201esie nicht mehr f\u00fcr die Kommunikations\u00fcbermittlung, den Betrieb unserer Dienste, die Sicherstellung der Sicherheit unserer Dienste, die Rechnungsstellung oder die Erf\u00fcllung von rechtlichen Verpflichtungen\u201c ben\u00f6tigt werden, werden Metadaten gel\u00f6scht oder anonymisiert.<\/p>\n<p>Was passiert, wenn Nutzende ihre Accounts l\u00f6schen, f\u00fchrt WhatsApp ebenfalls auf. Ab Start des L\u00f6schprozesses kann es bis zu 90 Tage dauern, bis die Informationen gel\u00f6scht werden \u2013 aber: \u201eAuch nach den 90 Tagen verbleiben Kopien deiner Informationen f\u00fcr eine begrenzte Zeit im Backup-Speicher, den wir im Notfall, nach einem Softwarefehler oder einem anderen Datenverlust zur Wiederherstellung verwenden.\u201c Was eine \u201ebegrenzte Zeit\u201c ist, wird leider nicht aufgef\u00fchrt.<\/p>\n<p>Nicht gel\u00f6scht werden bestimmte Protokolldateien, \u201edie wir auch nach der regul\u00e4ren Aufbewahrungsdauer pr\u00fcfen, um Sicherheitsvorf\u00e4lle oder Schwachstellen zu analysieren\u201c. In den Datenbanken verbleiben zudem \u201eKopien einiger Materialien\u201c, die \u201ejedoch von pers\u00f6nlichen Kennungen getrennt und nicht mehr mit deinem Account verkn\u00fcpft\u201c sind. Bei rechtlicher Verpflichtung k\u00f6nnen auch \u201eKopien bestimmter Informationen\u201c aufbewahrt werden. WhatsApp weist darauf hin, dass Informationen noch l\u00e4nger gespeichert werden k\u00f6nnen, falls Nutzende lediglich die App vom Ger\u00e4t, nicht aber ihren Account l\u00f6schen.<\/p>\n<p>Im Abschnitt \u201eUnsere globalen Aktivit\u00e4ten\u201c lesen wir: \u201eInformationen, die von WhatsApp kontrolliert werden, werden f\u00fcr die in dieser Datenschutzrichtlinie beschriebenen Zwecke in die USA oder andere Drittl\u00e4nder \u00fcbertragen oder \u00fcbermittelt bzw. dort gespeichert und verarbeitet. WhatsApp nutzt die globale Infrastruktur und die Rechenzentren von Facebook, unter anderem in den USA.\u201c Das beantwortet auch gleich die Frage nach dem Serverstandort: Weltweit, mitunter auch in den USA. Wir erfahren, dass der Konzern f\u00fcr die \u00dcbermittlung in Drittl\u00e4nder \u201eauf von der Europ\u00e4ischen Kommission genehmigte Standardvertragsklauseln\u201c zur\u00fcckgreift oder dass man sich \u201eauf die Angemessenheitsbeschl\u00fcsse zu bestimmten L\u00e4ndern\u201c st\u00fctzt.<\/p>\n<p>Schaut man sich die Rechtsdokumente von WhatsApp an, f\u00e4llt auf, dass noch immer auf das gekippte Privacy Shield verwiesen wird. Die oben erw\u00e4hnten Rechtstexte, also die Nutzungsbedingungen und die Datenschutzerkl\u00e4rung, sind \u00fcber und \u00fcber mit weiterf\u00fchrenden Links gespickt \u2013 ein fl\u00fcssiges Lesen wird Nutzenden schwergemacht. Teilweise schwammige Formulierungen lassen Erkl\u00e4rungen unklar erscheinen. Zum letzten Test hat sich durchaus einiges verbessert: Nun in deutscher Sprache gehalten und die Inhalte wiedergebend, die die DSGVO fordert, wurden die Rechtstexte durch WhatsApp in den vergangenen f\u00fcnf Jahren durchaus optimiert. Es darf jedoch bezweifelt werden, dass am Ende alles verstanden wird: Zu schwammig sind die Formulierungen, zu oft wird auf andere Inhalte querverwiesen.<\/p>\n<h3>Fazit WhatsApp<\/h3>\n<p>WhatsApp ist \u2013 allen Datenschutz-\u00c4rgernissen zum Trotz \u2013 der Messenger Nr. 1 weltweit. Und das hat durchaus seinen Grund: Der Messenger ist einfach in der Bedienung, punktet mit guter Funktionalit\u00e4t, er ist kostenfrei und mit allen Plattformen (bzw. via Browser) nutzbar. Das sind wirklich geringe Einstiegsh\u00fcrden. Der Konzern wirbt gerne mit Privatsph\u00e4re: \u201eDeine Privatsph\u00e4re hat f\u00fcr uns Priorit\u00e4t\u201c, prangt es in gro\u00dfen Lettern auf der Privacy-Site. So richtig nachvollziehbar ist diese Privatsph\u00e4re jedoch nicht, denn es gibt keinen einsehbaren Quellcode. Es gibt leider auch keine verst\u00e4ndliche Datenschutzerkl\u00e4rung \u2013 so richtig schlau werden Lesende nicht. Ganz versteckt, inmitten der Datenschutzerkl\u00e4rung, finden sich jedoch auch wertvolle Hinweise, die insbesondere weniger versierten Nutzenden echte Hilfe sein k\u00f6nnten \u2013 wenn sie doch nur sichtbarer platziert w\u00e4ren.<\/p>\n<p>Betrachtet man sich unsere vergangenen Testberichte von WhatsApp, sind definitiv Verbesserungen zu sehen! Das ist jedoch weniger der Motivation von WhatsApp selbst geschuldet, den Messenger nun auf Privatsph\u00e4re zu trimmen, als eher der Rechtslage: Die DSGVO hat auch WhatsApp zum Umdenken gezwungen. Nichtsdestotrotz teilt WhatsApp nach wie vor Informationen mit anderen Facebook-Unternehmen, daran hat sich nichts ge\u00e4ndert. Da WhatsApp auf die Infrastruktur von Facebook setzt, wird sich daran so schnell auch nichts \u00e4ndern. Diese Infrastruktur ist in der ganzen Welt verstreut, wie WhatsApp mehrfach in den Rechtstexten erkl\u00e4rt. Das bedeutet, dass auch alle Daten in der ganzen Welt verstreut sind.<\/p>\n<p>Sicher ist man mit WhatsApp also auch im Jahre 2021 nicht unterwegs. Wenn es Ihnen darum geht, bequem Nachrichten auszutauschen und Sicherheit sowie Datenschutz eher geringere Priorit\u00e4t haben, geh\u00f6rt WhatsApp sicher zu den guten Messengern. Bei den Einstiegsh\u00fcrden und der Usability kann der Messenger gut punkten. Anders bei unserem Testfeld Sicherheit: Von 15 m\u00f6glichen Punkten schafft es WhatsApp auf nur 6 Punkte. Insgesamt bekommt WhatsApp in unserer Wertung 23 von 36 m\u00f6glichen Punkten und damit auf zwei Sterne.<\/p>\n<h2>Messenger-Test 2021: Threema im Test<\/h2>\n<p>Threema geh\u00f6rt \u2013 neben Signal \u2013 zu den Gewinnern des Datenschutz-Desasters, das WhatsApp am Jahresanfang verursacht hat: Threema <a href=\"https:\/\/twitter.com\/threemaapp\/status\/1399638841217097728\" target=\"_blank\" rel=\"nofollow noopener\">verk\u00fcndete im Juni 2021 auf Twitter<\/a>, nun mehr als 10 Millionen aktive Nutzende zu haben. Hatte Threema bei unserem letzten Test in 2016 noch uneinheitliche Preise, zahlen Nutzende aktuell in jedem App Store einmalig 3,99 Euro f\u00fcr den Messenger. Jedoch k\u00f6nnen Android-Nutzende Googles Play Store durch den <a href=\"https:\/\/shop.threema.ch\/\" target=\"_blank\" rel=\"nofollow noopener\">Threema-Shop<\/a> auch elegant umgehen. Hier k\u00f6nnen Interessierte nicht nur in Euro, sondern auch in US-Dollar oder Schweizer Franken zahlen und so gegebenenfalls von Kursschwankungen profitieren. Dass Kosten entstehen, kann als Vor- oder Nachteil empfunden werden: W\u00e4hrend beim kostenfreien WhatsApp-Messenger Fragen zur Finanzierung offenbleiben, zeigt sich Threema hier transparenter: Der App-Verkauf finanziert den Dienst.<\/p>\n<p>Nutzbar ist Threema unter iOS und Android; die Threema Web-Version erlaubt das Chatten auch im Browser, sodass der Messenger \u2013 nach Installation auf einem Mobilger\u00e4t &#8211; plattformunabh\u00e4ngig genutzt werden kann. Versionen f\u00fcr Windows oder macOS existieren nicht. Installiert und eingerichtet ist die App z\u00fcgig \u2013 auch weniger versierte Nutzende kommen hier nicht ins Schwitzen. Beim Einrichten des Messengers f\u00e4llt sofort Datensparsamkeit auf: Threema l\u00e4sst sich auch ohne Account nutzen, sodass die Angabe von Telefonnummern, Namen oder E-Mail-Adressen nicht notwendig ist. Nutzende erstellen kein zentrales Nutzerkonto, sondern die App generiert w\u00e4hrend der Einrichtung eine zuf\u00e4llige Threema-ID.<\/p>\n<h3>Kontakte und Berechtigungen<\/h3>\n<p>Auch Threema fordert Berechtigungen ein:<\/p>\n<ul>\n<li>WLAN-Verbindungsinformationen: WLAN-Verbindungen abrufen<\/li>\n<li>Ger\u00e4te-ID &amp; Anrufinformationen: Telefonstatus &amp; Identit\u00e4t abrufen<\/li>\n<li>Mikrofon: Audio aufnehmen<\/li>\n<li>Standort: Genauer (GPS- &amp; netzwerkbasiert) und ungef\u00e4hrer Standort (netzwerkbasiert)<\/li>\n<li>Speicher: USB-Speicherinhalte lesen, \u00e4ndern oder l\u00f6schen<\/li>\n<li>Kontakte:\n<ul>\n<li>Konten auf dem Ger\u00e4t finden<\/li>\n<li>Kontakte \u00e4ndern und lesen<\/li>\n<\/ul>\n<\/li>\n<li>Identit\u00e4t: Konten auf dem Ger\u00e4t finden, hinzuf\u00fcgen oder entfernen<\/li>\n<li>Fotos\/ Medien\/ Dateien: USB-Speicherinhalte lesen, \u00e4ndern oder l\u00f6schen<\/li>\n<li>Telefon:\n<ul>\n<li>Telefonnummern direkt anrufen<\/li>\n<li>Telefonstatus &amp; Identit\u00e4t abrufen<\/li>\n<\/ul>\n<\/li>\n<li>Kamera: Bilder &amp; Videos aufnehmen<\/li>\n<li>Sonstiges:\n<ul>\n<li>Daten aus dem Internet abrufen<\/li>\n<li>Netzwerkverbindungen abrufen<\/li>\n<li>Audio-Einstellungen \u00e4ndern<\/li>\n<li>Ruhezustand deaktivieren<\/li>\n<li>Konten erstellen und Passw\u00f6rter festlegen<\/li>\n<li>Google Play-Lizenzpr\u00fcfung<\/li>\n<li>Synchronisierungseinstellungen lesen<\/li>\n<li>Vibrationsalarm steuern<\/li>\n<li>Mit Bluetooth-Ger\u00e4ten koppeln<\/li>\n<li>Beim Start ausf\u00fchren<\/li>\n<li>Synchronisierung aktivieren oder deaktivieren<\/li>\n<li>Zugriff auf alle Netzwerke<\/li>\n<li>Verkn\u00fcpfungen installieren<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Diese Liste ist schon deutlich kleiner als die Berechtigungsliste von WhatsApp \u2013 es geht also auch etwas sparsamer. Die Berechtigungen, die Threema einfordert, lassen sich mit der Funktionalit\u00e4t des Messengers erkl\u00e4ren.<\/p>\n<p>Threema erlaubt das Hinzuf\u00fcgen von Kontakten auf verschiedenen Wegen: Sie haben die M\u00f6glichkeit, Kontakte durch das Scannen eines QR-Codes hinzuzuf\u00fcgen. Das klappt jedoch nur, wenn Ihnen der Kontakt gegen\u00fcbersteht \u2013 und ist durchaus ein hilfreiches Feature zum Verifizieren von Kontakten. Ist Ihnen die Threema-ID, die Kennnummer, die alle Nutzenden bekommen, bekannt, k\u00f6nnen Sie durch Eingabe der Threema-ID Kontakte hinzuf\u00fcgen.<\/p>\n<p>Auch bei Threema haben Nutzende die Option, Kontakte durch Synchronisieren des Adressbuchs zu erg\u00e4nzen. Threema zeigt beim Synchronisieren des Adressbuchs, dass auch dies datensparsam geschehen kann: Wird dem Messenger Zugriff aufs Adressbuch gew\u00e4hrt, werden die Daten einwegverschl\u00fcsselt \u00fcbermittelt und nicht gespeichert. E-Mail-Adressen und Telefonnummern, die an den Schweizer Server geschickt werden, werden nach Abgleich direkt gel\u00f6scht. M\u00f6chten Sie nicht, dass Threema auf Ihre Kontakte zugreift, l\u00e4sst sich der Messenger auch so verwenden.<\/p>\n<h3>Usability von Threema<\/h3>\n<p>Von der Bedienung unterscheiden sich WhatsApp und Threema kaum: Threema ist genauso intuitiv und leicht zu verwenden. Auch die Funktionalit\u00e4t zeigt sich vielf\u00e4ltig:<\/p>\n<ul>\n<li>Text- und Sprachnachrichten<\/li>\n<li>Gruppen- und Verteilerlisten<\/li>\n<li>Teilen von Dateien, Medien und Standorten in allen g\u00e4ngigen Formaten<\/li>\n<li>Umfrage- &amp; Abstimmungs-Tool<\/li>\n<li>Sprach- sowie Videoanrufe<\/li>\n<li>Private Chats, die sich verstecken und per PIN oder Fingerabdruck gesch\u00fctzt werden k\u00f6nnen<\/li>\n<\/ul>\n<p>Die positiven Bewertungen in den App Stores zeigen, dass Threema zuverl\u00e4ssig arbeitet. Wenngleich es gelegentliche Kritiken gibt, wird Threema mit 4,3 (iTunes) bzw. 4,5 (Google Play) Sternen bewertet. Gibt es kritische Bewertungen, gibt es zeitnah Entwickler-Antworten, sodass Hilfesuchende direkt vom Entwickler Unterst\u00fctzung erhalten.<\/p>\n<h3>Die Sicherheit von Threema<\/h3>\n<p>Threema setzt auf konsequente Ende-zu-Ende-Verschl\u00fcsselung aller Nachrichteninhalte, einschlie\u00dflich aller Dokumente, Anrufe oder Medien. Daf\u00fcr setzt das Threema-Entwicklungsteam auf die quelloffene Krypto-Bibliothek <a href=\"https:\/\/nacl.cr.yp.to\/\" target=\"_blank\" rel=\"nofollow noopener\">NaCl<\/a>. Dass NaCl <a href=\"https:\/\/www.psw-group.de\/blog\/knowledgebase-perfect-forward-secrecy-pfs\/1120\">Perfect Forward Secrecy<\/a> (PFS) nicht beherrscht, ist ein Wermutstropfen. Nichtsdestotrotz ist die komplette Kommunikation ohne Zutun von Nutzenden verschl\u00fcsselt; Einzel- genauso wie Gruppenchats. Informationen zur Verschl\u00fcsselung h\u00e4lt Threema im <a href=\"https:\/\/threema.ch\/press-files\/2_documentation\/cryptography_whitepaper.pdf\" target=\"_blank\" rel=\"nofollow noopener\">Cryptography Whitepaper<\/a> (PDF) bereit.<\/p>\n<p>Durch ein Ampelsystem unterscheidet Threema zwischen verschiedenen Vertrauensstufen. Dabei steht die Farbe Rot f\u00fcr eine geringe Sicherheit; Gespr\u00e4chspartner:innen sind nicht verifiziert. Gelb steht f\u00fcr eine mittlere Sicherheit; der Kontakt wurde zwar im Adressbuch gefunden, jedoch nicht \u00fcber den QR-Code verifiziert. Gr\u00fcn steht f\u00fcr verifizierte Sicherheit durch den QR-Code. Dieses Ampelsystem tr\u00e4gt dazu bei, mit gew\u00fcnschten Kommunikationspartner:innen zu kommunizieren und nicht mit unbekannten Dritten. Diese Vertrauenspr\u00fcfung funktioniert jedoch nur, wenn Threema auf das Adressbuch zugreifen darf.<\/p>\n<p>Der Nachrichtenaustausch bei Threema erfolgt \u00fcber zentrale Server in der Schweiz. Nach Angaben des Entwicklers sind die Server <a href=\"https:\/\/www.psw-training.de\/iso27001\" target=\"_blank\" rel=\"noopener\">ISO 27001-zertifiziert.<\/a> Die Threema-Entwickler erkl\u00e4ren, dass die hauseigenen Server als \u201eRelaisstationen\u201c zu verstehen sind: Nachrichten sowie Daten werden an Teilnehmende weitergeleitet, jedoch nicht dauerhaft gespeichert. In den FAQ erfahren wir unter <a href=\"https:\/\/threema.ch\/de\/faq\/data\" target=\"_blank\" rel=\"nofollow noopener\">\u201eWelche Daten werden bei Threema gespeichert?\u201c<\/a> folgendes:<\/p>\n<ul>\n<li>Kontaktlisten: Listen werden ausschlie\u00dflich lokal auf dem Endger\u00e4t gespeichert. Beim Synchronisieren des Adressbuchs werden E-Mail-Adressen und Telefonnummern der Kontakte gehasht \u00fcbermittelt. Wie oben bereits erw\u00e4hnt, werden nach dem Abgleich alle Daten wieder gel\u00f6scht.<\/li>\n<li>Chats: Sind Nachrichten an die Empfangenden zugestellt, werden sie vom Server gel\u00f6scht.<\/li>\n<li>Schl\u00fcssel: Die f\u00fcr die Verschl\u00fcsselung notwendigen Schl\u00fcssel werden auf dem Nutzerger\u00e4t generiert. Hier verbleibt auch der private Schl\u00fcssel, der nicht \u00fcbermittelt wird.<\/li>\n<li>Metadaten: Nach eigenen Angaben speichert Threema keine Logs dar\u00fcber, wer wann mit wem in Verbindung tritt bzw. kommuniziert.<\/li>\n<\/ul>\n<p>Der Server-Part von Threema ist leider nicht quelloffen, sodass nicht alle von Threema getroffenen Aussagen \u00fcberpr\u00fcfbar sind. Doch Bem\u00fchungen sind mitunter auch daran sichtbar, dass sich Threema losgel\u00f6st von Google betreiben l\u00e4sst. So erlaubt es der hauseigene Webshop, den Messenger frei von Googles Play Store herunterzuladen. Konsequent wird auf propriet\u00e4re Google-Bibliotheken verzichtet. Auch das Kartenmaterial und Orte von Interesse entstammen nicht Google, sondern OpenStreetMap, der freien Google-Alternative.<\/p>\n<p>Anders als der Server-Teil ist der Threema-Client quelloffen (AGPLv3-Lizenz) und damit f\u00fcr jeden einsehbar. F\u00fcr ein Plus an Transparenz und Sicherheit l\u00e4sst sich die Threema GmbH regelm\u00e4\u00dfig auditieren. Der zuletzt <a href=\"https:\/\/threema.ch\/en\/blog\/posts\/audit-2020-en\" target=\"_blank\" rel=\"nofollow noopener\">im November 2020 durchgef\u00fchrte Security-Audit<\/a> durch Cure53 zeigte einige unkritische Schwachstellen. Wenngleich Audits immer versionsgebunden stattfinden und damit keine Aussage mehr \u00fcber die heutige Version treffen k\u00f6nnen, best\u00e4tigen regelm\u00e4\u00dfige Audits ein hohes Sicherheitsniveau.<\/p>\n<p>Sprach- und Videoanrufe sind bei Threema verschl\u00fcsselt. Dabei erfolgt die Verbindung zwischen Teilnehmenden entweder \u00fcber Threema-Server (indirekt), um die IP-Adresse zu verschleiern, oder aber direkt, also Peer-to-Peer. Am Rande: Die Sprachanruf-Verschl\u00fcsselung bietet \u2013 entgegen der Nachrichtenverschl\u00fcsselung \u2013 mit Perfect Forward Secrecy die Folgenlosigkeit; nachtr\u00e4gliches Entschl\u00fcsseln ist also dank Session-Keys bei PFS nicht m\u00f6glich.<\/p>\n<p>Allj\u00e4hrlich ver\u00f6ffentlicht die Threema GmbH einen <a href=\"https:\/\/threema.ch\/de\/transparencyreport\" target=\"_blank\" rel=\"nofollow noopener\">Transparenzbericht<\/a>. Es ist interessant, darin zu lesen, weil hier mitunter beh\u00f6rdliche Anfragen geschildert werden; au\u00dferdem auch das Vorgehen, welches die Threema GmbH bei entsprechenden Anordnungen zeigt.<\/p>\n<h3>AGB &amp; Datenschutzrichtlinie bei Threema<\/h3>\n<p>Allgemeine Gesch\u00e4fts- oder Nutzungsbedingungen gibt es bei Threema nur f\u00fcr einige Bereiche, etwa f\u00fcr <a href=\"https:\/\/gateway.threema.ch\/de\/terms-of-service\" target=\"_blank\" rel=\"nofollow noopener\">Threema Gateway<\/a>. Die <a href=\"https:\/\/threema.ch\/de\/privacy\" target=\"_blank\" rel=\"nofollow noopener\">Datenschutzerkl\u00e4rung von Threema<\/a> ist schnell gefunden \u2013 und beeindruckt mit einer angenehmen K\u00fcrze. Hier lesen wir \u2013 wie schon auf der ganzen Website immer mal wieder \u2013 vom Ziel, \u201ePrivacy by Design\u201c zu bieten: \u201eEs ist unser vordringlichstes Ziel, m\u00f6glichst nur die absolut notwendigen Informationen f\u00fcr die k\u00fcrzestm\u00f6gliche Zeit zu speichern.\u201c Au\u00dferdem: \u201eVerarbeitung und Schutz der Daten erfolgen im Einklang mit den geltenden gesetzlichen Bestimmungen und der EU-Verordnung 2016\/679 (DSGVO)\u201c.<\/p>\n<p>Im ersten Punkt erfahren wir, dass die Threema-Website anonym genutzt werden kann und frei ist von Werbung und Tracking. Daten werden nur dann bearbeitet, wenn es Supportanfragen zu beantworten gibt. Die E-Mail-Adresse m\u00fcssen Nutzende angeben, um Anfragen an den technischen Support zu richten. Klar: Nutzende m\u00f6chten eine Antwort bekommen, sodass die E-Mail-Adresse zwingend angegeben werden muss. Nach sechsmonatiger Inaktivit\u00e4t werden Supportanfragen gel\u00f6scht. Punkt 4 gibt Auskunft \u00fcber die Rechte von Betroffenen, es folgt die Benennung der verantwortlichen Stelle und ein Hinweis \u00fcber m\u00f6gliche \u00c4nderungen der Datenschutzbestimmungen.<\/p>\n<p>Die Datenschutzerkl\u00e4rung f\u00fcr die Threema-App finden wir auch dort: In den Einstellungen des Messengers unter \u201e\u00dcber Threema\u201c und \u201eDatenschutzerkl\u00e4rung\u201c. Nach der Einf\u00fchrung, die der Datenschutzerkl\u00e4rung der Website gleicht, erfahren wir unter \u201eAllgemeines\u201c, dass die App entwickelt wurde, \u201eum m\u00f6glichst wenig Metadaten auf einem zentralen Server zu hinterlassen\u201c. Die Identifikation von Teilnehmenden erfolgt ausschlie\u00dflich durch die Threema-ID und durch das Schl\u00fcsselpaar; pers\u00f6nliche Daten sind nicht n\u00f6tig.<\/p>\n<p>Daten werden verarbeitet, \u201eum die \u00dcbertragung von Kurznachrichten und Medien [\u2026] zu erm\u00f6glichen\u201c. Daten werden ausschlie\u00dflich auf eigenen Servern in der Schweiz bearbeitet und nicht an Dritte weitergegeben. Es folgt eine Kl\u00e4rung von Daten, die verarbeitet werden, wie wir es weiter oben bereits beschrieben haben. Eine entscheidende Information: \u201eAlle Angaben werden nur so lange gespeichert, bis sie durch den Benutzer gel\u00f6scht werden. Wenn die Informationen gel\u00f6scht sind, k\u00f6nnen sie nicht mehr wiederhergestellt werden\u201c. Das erh\u00f6ht Datenschutz und Sicherheit ungemein und ist eine eindeutige Aussage zur Datenspeicherung.<\/p>\n<p>Ebenfalls gut zu wissen: Unter B. Nachrichteninhalte erfahren wir Details zur Verschl\u00fcsselung; mitunter: \u201eDie Header-Informationen einer Nachricht (Absender, Empf\u00e4nger, etc.) werden f\u00fcr die \u00dcbertragung an den Server [\u2026] zus\u00e4tzlich verschl\u00fcsselt, um ein Mith\u00f6ren dieser Informationen durch Dritte [\u2026] zu verunm\u00f6glichen.\u201c<\/p>\n<p>Wie weiter oben bereits beschrieben, werden Nachrichten und Medien nach erfolgreicher Zustellung gel\u00f6scht. Was aber, wenn nicht erfolgreich zugestellt werden kann? Dann \u201ewerden sie nach zwei Wochen automatisch und unwiederbringlich vom Server gel\u00f6scht.\u201c Das sind eindeutigere Aussagen als bei WhatsApp, wo es einerseits hie\u00df, selbstzerst\u00f6rende Nachrichten werden nach sieben Tagen gel\u00f6scht, andererseits aber, dass nichtzugestellte Nachrichten 30 Tage auf dem Server verbleiben \u2013 und m\u00f6glicherweise auch l\u00e4nger.<\/p>\n<p>Es folgen gut verst\u00e4ndliche und eindeutige Aussagen zu Adressbuch- und Standortdaten. Auch die anonymisierten Absturzberichte sowie die Lizenzpr\u00fcfung zum Verhindern von Missbrauch werden klar und eindeutig erkl\u00e4rt. Als gute Aufkl\u00e4rung empfinden wir auch den Part \u201eDurch Dritte bearbeitete Daten\u201c: \u201eThreema GmbH gibt grunds\u00e4tzlich keine Daten an Dritte weiter, ist vollst\u00e4ndig werbefrei und benutzt keine Analysesoftware, um das Nutzerverhalten zu beobachten. Einige Funktionalit\u00e4ten k\u00f6nnen jedoch nur mittels Nutzung externer Datenquellen, Frameworks oder Betriebssystem-Funktionen erbracht werden, welche ihrerseits Daten bearbeiten und einer separaten Datenschutzerkl\u00e4rung unterliegen.\u201c<\/p>\n<p>Wieder werden Nutzende \u00fcber ihre Rechte aufgekl\u00e4rt, einschlie\u00dflich hilfreicher Links, um als Nutzer:in sofort aktiv werden zu k\u00f6nnen. Mit dem Benennen der verantwortlichen Stelle und dem Vorbehalt, die Datenschutzerkl\u00e4rung anpassen zu k\u00f6nnen, endet die klar formulierte und angenehm kurze Datenschutzerkl\u00e4rung f\u00fcr den Threema-Messenger.<\/p>\n<h3>Fazit Threema<\/h3>\n<p>WhatsApp und Threema: Beide betonen in ihren Datenschutzhinweisen, wie wichtig Privatsph\u00e4re den jeweiligen Unternehmen ist. Jedoch gibt es einen Unterschied: Threema kann man diese Aussage auch glauben. Regelm\u00e4\u00dfige Audits sowie das Ver\u00f6ffentlichen des Client-Quellcodes untermauern dies. Leider ist der Serverpart propriet\u00e4r, sodass nicht alle von der Threema GmbH getroffenen Aussagen verifiziert werden k\u00f6nnen.<\/p>\n<p>Threema spricht vorrangig datenschutzsensible Nutzende an, die Metadaten vermeiden m\u00f6chten. Wenngleich die Einstiegskosten mit 3,99 Euro gegen\u00fcber einem kostenfreien WhatsApp hoch sind, wird doch klar, wie sich Threema finanziert \u2013 eine Transparenz, die WhatsApp abgeht. In Sachen Funktionalit\u00e4t sind die beiden Messenger vergleichbar; Threema steht WhatsApp in nichts nach und bietet sogar Umfrage-Tools. Dezentral gedacht, verbleiben Inhalte bei Threema auf den Endger\u00e4ten der Nutzenden. Und falls doch Daten auf den Threema-Servern landen, so werden diese zeitnah gel\u00f6scht und mit Schweizer Sicherheit umgeben.<\/p>\n<p>Von ihren Punktzahlen unterscheiden sich Threema und WhatsApp bez\u00fcglich der Einstiegsh\u00fcrden und der Usability nicht: beide erhalten hier 9 bzw. 8 von 12 bzw. 9 m\u00f6glichen Punkten. Im Testbereich Sicherheit jedoch gehen die Punkte auseinander: WhatsApps 6 Punkte \u00fcbertrifft Threema mit 14 von insgesamt 15 m\u00f6glichen Punkten \u2013 einzig das Fehlen von PFS in der Nachrichtenverschl\u00fcsselung und der propriet\u00e4re Serverpart haben Threema von der H\u00f6chstpunktzahl im Sicherheits-Testbereich getrennt. So schafft es Threema in der Gesamtwertung auf 31 von 36 m\u00f6glichen Punkten und damit auf 2,5 von 3 Sternen.<\/p>\n<div class=\"shariff\"><ul class=\"shariff-buttons theme-default orientation-horizontal buttonsize-medium\"><li class=\"shariff-button facebook shariff-nocustomcolor\" style=\"background-color:#4273c8\"><a href=\"https:\/\/www.facebook.com\/sharer\/sharer.php?u=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fmessenger-test-2021-whatsapp-vs-threema%2F\" title=\"Bei Facebook teilen\" aria-label=\"Bei Facebook teilen\" role=\"button\" rel=\"nofollow\" class=\"shariff-link\" style=\"; background-color:#3b5998; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 18 32\"><path fill=\"#3b5998\" d=\"M17.1 0.2v4.7h-2.8q-1.5 0-2.1 0.6t-0.5 1.9v3.4h5.2l-0.7 5.3h-4.5v13.6h-5.5v-13.6h-4.5v-5.3h4.5v-3.9q0-3.3 1.9-5.2t5-1.8q2.6 0 4.1 0.2z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button twitter shariff-nocustomcolor\" style=\"background-color:#595959\"><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fmessenger-test-2021-whatsapp-vs-threema%2F&text=Messenger-Test%202021%3A%20WhatsApp%20vs.%20Threema\" title=\"Bei X teilen\" aria-label=\"Bei X teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#000; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 24 24\"><path fill=\"#000\" d=\"M14.258 10.152L23.176 0h-2.113l-7.747 8.813L7.133 0H0l9.352 13.328L0 23.973h2.113l8.176-9.309 6.531 9.309h7.133zm-2.895 3.293l-.949-1.328L2.875 1.56h3.246l6.086 8.523.945 1.328 7.91 11.078h-3.246zm0 0\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button xing shariff-nocustomcolor\" style=\"background-color:#29888a\"><a href=\"https:\/\/www.xing.com\/spi\/shares\/new?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fmessenger-test-2021-whatsapp-vs-threema%2F\" title=\"Bei XING teilen\" aria-label=\"Bei XING teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#126567; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 25 32\"><path fill=\"#126567\" d=\"M10.7 11.9q-0.2 0.3-4.6 8.2-0.5 0.8-1.2 0.8h-4.3q-0.4 0-0.5-0.3t0-0.6l4.5-8q0 0 0 0l-2.9-5q-0.2-0.4 0-0.7 0.2-0.3 0.5-0.3h4.3q0.7 0 1.2 0.8zM25.1 0.4q0.2 0.3 0 0.7l-9.4 16.7 6 11q0.2 0.4 0 0.6-0.2 0.3-0.6 0.3h-4.3q-0.7 0-1.2-0.8l-6-11.1q0.3-0.6 9.5-16.8 0.4-0.8 1.2-0.8h4.3q0.4 0 0.5 0.3z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button linkedin shariff-nocustomcolor\" style=\"background-color:#1488bf\"><a href=\"https:\/\/www.linkedin.com\/sharing\/share-offsite\/?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fmessenger-test-2021-whatsapp-vs-threema%2F\" title=\"Bei LinkedIn teilen\" aria-label=\"Bei LinkedIn teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#0077b5; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 27 32\"><path fill=\"#0077b5\" d=\"M6.2 11.2v17.7h-5.9v-17.7h5.9zM6.6 5.7q0 1.3-0.9 2.2t-2.4 0.9h0q-1.5 0-2.4-0.9t-0.9-2.2 0.9-2.2 2.4-0.9 2.4 0.9 0.9 2.2zM27.4 18.7v10.1h-5.9v-9.5q0-1.9-0.7-2.9t-2.3-1.1q-1.1 0-1.9 0.6t-1.2 1.5q-0.2 0.5-0.2 1.4v9.9h-5.9q0-7.1 0-11.6t0-5.3l0-0.9h5.9v2.6h0q0.4-0.6 0.7-1t1-0.9 1.6-0.8 2-0.3q3 0 4.9 2t1.9 6z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><\/ul><\/div>","protected":false},"excerpt":{"rendered":"<p>Nachdem wir unseren beliebten Messenger-Test bereits vor einigen Wochen angek\u00fcndigt hatten, geht es heute ans Eingemachte: Wir testen WhatsApp und Threema. In unserem letzten Test im Jahre 2016 hatte sich WhatsApp zwar weiterentwickeln k\u00f6nnen, war jedoch noch lange kein sicherer Messenger. Threema konnte uns seinerzeit \u00fcberzeugen: Die Funktionalit\u00e4t war nicht \u00fcberbordend, aber stimmig, und der Schweizer Messenger punktete mit Datenschutz und Sicherheit. Zu kritisieren blieb, dass der Quellcode von Threema [&hellip;]<\/p>\n","protected":false},"author":64,"featured_media":8425,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[379],"tags":[741,740],"class_list":["post-8422","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","tag-psw-test-bericht-apps","tag-psw-test-bericht-messenger"],"_links":{"self":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/8422","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/comments?post=8422"}],"version-history":[{"count":7,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/8422\/revisions"}],"predecessor-version":[{"id":11995,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/8422\/revisions\/11995"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media\/8425"}],"wp:attachment":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media?parent=8422"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/categories?post=8422"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/tags?post=8422"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}