Privacy by Design
Threema und WhatsApp bieten weitgehend dieselben Funktionen und unterscheiden sich kaum in der Handhabung. Was Sicherheit und Datenschutz betrifft, könnten die Dienste aber kaum unterschiedlicher sein. Threema wurde in Hinblick auf maximale Sicherheit und grösstmögliche Datensparsamkeit konzipiert, während das Geschäftsmodell von WhatsApp auf der Nutzung personenbezogener Daten zu Werbezwecken beruht.
Angabe personenbezogener Daten
Um herkömmliche Chat-Dienste zu verwenden, ist die Angabe personenbezogener Daten erforderlich. Eine Verwendung von WhatsApp ohne Bekanntgabe der Telefonnummer ist nicht möglich. Bei Threema gibt es hingegen keinen Rufnummer-Zwang. Die Identifizierung der Nutzer erfolgt mittels einer zufälligen Threema-ID, und das Verknüpfen einer Telefonnummer oder E-Mail-Adresse mit dieser ID ist optional. Threema lässt sich also völlig anonym verwenden. Für kompromisslosen Datenschutz ist die Möglichkeit anonymer Nutzung unverzichtbar; denn dort, wo erst gar keine personenbezogenen Daten vorhanden sind, können auch garantiert keine missbraucht werden.
Zugriff auf das Adressbuch
WhatsApp setzt Zugriff auf das Adressbuch voraus. Dabei werden Kontaktdetails an einen Server übermittelt, wo sie dauerhaft gespeichert bleiben. Ohne Zugriff auf das Adressbuch ist der Dienst nicht (oder nur eingeschränkt) nutzbar. Demgegenüber überlässt es Threema den Nutzern, Zugriff auf das Adressbuch zu gewähren oder verwehren. Auch ohne Adressbuch-Zugriff ist die App voll funktionsfähig. Entscheiden Nutzer, zwecks Auffindung von Threema-Kontakten ihr Adressbuch zu synchronisieren, werden die E-Mail-Adressen und Telefonnummern einwegverschlüsselt an den Server geschickt, wo sie nach erfolgtem Abgleich umgehend gelöscht werden.
Open Source und externe Audits
Um volle Transparenz zu gewährleisten, sind die Threema-Apps komplett quelloffen. Dank Reproducible Builds lässt sich zudem (vorerst unter Android) verifizieren, dass der veröffentlichte Quellcode mit dem übereinstimmt, welcher den Apps in den Verkaufsplattformen zugrunde liegt. Darüber hinaus betraut Threema regelmässig externe Experten damit, umfassende Sicherheitsaudits durchzuführen. WhatsApp ist weder quelloffen, noch liegen unabhängige Sicherheitsaudits vor. Es besteht folglich keine Möglichkeit, die Unternehmensaussagen bzgl. Sicherheit und Datenschutz zu überprüfen.
Das Geschäftsmodell diktiert den Umgang mit Metadaten
Metadaten sind alle bei der Kommunikation anfallenden Daten ausser den Nachrichteninhalten selbst – also alle vorhandenen Informationen zu Sender und Empfänger, Nachrichten-Eigenschaften sowie Zeitpunkt und weitere Umstände der Übermittlung. Facebook, Inhaber und Betreiber von WhatsApp, ist durch den Verkauf zielgerichteter Werbung finanziert und hat somit ein wirtschaftliches Interesse an möglichst vielfältigen und aussagekräftigen Metadaten. Denn durch systematische Erhebung und Kombination mit Daten aus anderen Diensten (z.B. Instagram) lässt sich mit Metadaten ein detailliertes Profil der Nutzer anlegen. Das wiederum erlaubt, Werbung gezielt, ohne sogenannte «Streuverluste» anzuzeigen und entsprechend teuer zu verkaufen.
Threema beruht auf einem transparenten Geschäftsmodell, das mit dem «Privacy by Design»-Credo vereinbar ist. Der Dienst ist durch den Verkauf der App – also direkt durch die Nutzer – finanziert und wurde von Grund auf mit Fokus auf Metadaten-Sparsamkeit konzipiert. Es fallen beim Gebrauch nur Daten an, welche für die Kommunikation technisch zwingend notwendig sind.
