Datenschutz bei MySMS – der WhatsApp-Konkurrent unter der Lupe

e-mail 03
Fachbeitrag

Seit einiger Zeit wird im digitalen Raum die App „MySMS“ als in naher Zukunft ernstzunehmender Konkurrent von WhatsApp gehandelt. Dies ist Anlass genug, um uns eingehend mit dem SMS-Dienst aus datenschutzrechtlicher Sicht zu beschäftigen.

Dazu sind wir an MySMS mit einigen Fragen herangetreten und präsentieren nun die Auswertung der Antworten.

Was ist MySMS?

MySMS ist ein Plattform-unabhängiger SMS-Dienst, der die Nachrichten der verschiedenen Kommunikationsgeräte mittels eines einzigen Nutzer-Accounts verwaltet und synchronisiert. Die Anwender sind dadurch in der Lage, Textnachrichten von jedem Endgerät (Smartphone, Tablet und Computer) und fast jedem Betriebssystem aus zu verschicken und zu lesen. Es ist für Android, iOS, Mac OS X, Microsoft Windows, Windows Phone, Facebook, diverse Webbrowser sowie als App verfügbar.

Die Kommunikation unter MySMS-Nutzern ist kostenlos, während das Versenden einer „normalen“ SMS durch den Netzbetreiber 8 Cent kostet. Darüber hinaus können WebSMS-Connectoren genutzt werden, um Nachrichten über andere Anbieter (wie z.B. GMX, O2) zu verschicken.

MySMS gehört der Up To Eleven Digital Solutions GmbH mit Sitz in Graz (Österreich). Damit unterliegt der Dienst dem österreichischen Datenschutzrecht.

Wie funktioniert MySMS?

Nach der Installation der App werden das Adressbuch und die vorhandenen Nachrichten des Smartphones übernommen und in die sog. MySMS Cloud übermittelt. Dort werden alle Nutzerdaten gespeichert wie auch abgerufen, wenn sich der Nutzer einloggt.

Das Verfassen, Versenden und Empfangen von Nachrichten mit den verschiedenen Kommunikationsgeräten wird durch eine permanente WebSocket-Verbindung zwischen Server und Main Device (= Smartphone) sowie Server und Slave Device (= Tablet oder Computer) ermöglicht.

Welche weiteren Daten werden erhoben, verarbeitet und genutzt?

Laut MySMS werden

  • die Mobilfunknummer,
  • das Passwort,
  • die Kontaktdaten aus dem Adressbuch
  • sowie die Nachrichten inklusive etwaiger Anhänge

gespeichert.

Zusätzlich werden sog. Cookies, Log File Information und Nutzeraktivitäten bezüglich in MySMS eingebundener Links gespeichert. Für weitere Informationen zu diesem Thema wurden wir auf den Inhalt der „Privacy Policy“ verwiesen.

In dieser wird zum einen ausgeführt, dass generell zwar die Möglichkeit besteht, das Setzen der Cookies durch entsprechende Einstellung zu unterbinden, dies jedoch dazu führt, dass MySMS nicht vollständig genutzt werden kann. Zum anderen befindet sich darin folgender interessante Satz:

Log file information may include information such as Internet Protocol („IP“) addresses, (…), what features you use and for how long, „cookies“, the type and device you use to access the mysms Service, your mobile operator and other information regarding your use of the service.“

Durch weitere Datenerhebung wird also das Nutzerverhalten im Rahmen der App-Nutzung eingehend analysiert. Ob diese Informationen – wie MySMS beteuert – nur der technischen Weiterentwicklung sowie Optimierung der Benutzerfreundlichkeit dienen – sei dahingestellt. In jedem Fall besteht MySMS in seiner Antwort auf unsere Anfrage ausdrücklich darauf, dass zumindest die Nachrichteninhalte keiner Auswertung unterliegen.

Wie funktioniert die Datenlöschung?

Während der gesamten Nutzungsdauer von MySMS ist es nicht möglich, einzelne Daten selbständig zu löschen. Der Nutzer kann lediglich jederzeit seinen Account löschen. Laut Auskunft von MySMS werden die gesammelten Daten nach der Löschung des MySMS-Accounts nur noch 90 Tage gespeichert und danach endgültig gelöscht.

Werden Daten an Dritte weitergegeben?

Zu dieser Frage hat uns MySMS geschrieben, dass Google Analytics ohne Anonymize-Funktion verwendet wird, darüber hinaus jedoch keine Datenweitergabe an Dritte erfolge. Wenn man genau ist, befindet sich in der Privacy Policy von MySMS jedoch eine Formulierung, die etwas anderes sagt:

„mysms uses a variety of services hosted by third parties to help provide and improve our Services, such as Google Analytics.“

Aufgrund dieses Satzes wandten wir uns noch einmal an MySMS, und zwar mit folgender Frage: „Heißt das, es werden noch weitere Dienstleister für nicht näher definierte Dienstleistungen in Anspruch genommen, denen die Nutzerdaten zur Verfügung stehen?“

Die Antwort von MySMS: „Nein, wir geben außer an Google Analytics keine Daten an Dritte weiter.“ – Da fragen wir uns, warum der obige Satz dann überhaupt in der Privacy Policy steht…

Hinsichtlich des datenschutzkonformen Einsatzes von Google Analytics, dem gegenwärtigen Standard-Analysetool für Webseiten, existieren unterschiedliche Auffassungen. Nach österreichischem Recht ist die Anwendung des Analyse-Tools ohne Anonymize-Funktion prinzipiell legal und wird von den dortigen Datenschutzbehörden – anders als in Deutschland – auch nicht an weitere rechtliche Voraussetzungen geknüpft.

Wie sieht es mit der Datensicherheit aus?

Die Textnachrichten werden auf Servern im MySMS-Rechenzentrum in Wien gespeichert und die Übertragung erfolgt per SSL-Verschlüsselung (im Gegesatz zu WhatsApp). Bei dem Rechenzentrum handelt es sich laut Anbieter um ein professionelles Hosting Center, in dem anhand von mehreren Sicherheitschecks gewährleistet wird, dass nur Personal von MySMS Zugang zum System hat.

Update vom 01.11.2013*:

Anhänge (sog. Attachments) für Multimedia-Inhalte, die bei der MySMS-Nutzung hochgeladen werden können, werden jedoch auf Webservern der Amazon Web Services (AWS) gespeichert. Hierbei handelt es sich um ein US-amerikanisches Unternehmen, dass aufgrund der dortigen Gesetze in der Kritik steht, den hohen Datenschutzstandard der EU und Deutschlands nicht entsprechen zu können.

Nach Angaben von MySMS befinden sich die Webserver jedoch ausschließlich in Irland. Für Irland, als Mitglied er Europäischen Union, gilt die EU-Datenschutzrichtlinie,die in den Mitgliedstaaten in nationales Recht umgesetzt wurde. Damit gilt für diese grundsätzlich ein vergleichbarer Datenschutzstandard, wie in Deutschland.  Amazon bietet seit einigen Jahren sog. Availability Zonen an, die der Kunde vertraglich wählen kann. Auf dieser Basis kann der Kunde die Nutzung von Servern ausschließlich in Europa vereinbaren.

Es bleibt jedoch anzumerken, dass es vielerorts auch weiterhin Vorbehalte gegen US-Cloud-Dienste und Amazon gibt. Insoweit stellt sich immer die Frage, wie sicher gestellt ist, dass die Daten tatsächlich innerhalb der EU verbleiben.

Fazit

MySMS bietet hinsichtlich der Benutzerfreundlichkeit – z.B. gegenüber WhatsApp – einen entscheidenden Vorteil, den bestimmte Nutzer sicherlich zu schätzen wissen: der Dienst funktioniert auf annähernd jedem Gerät und mit annähernd jeder Software. Darauf ist auch die Marketingstrategie von MySMS ausgelegt.

Unsere Anmerkungen zum Datenschutz:

  • Das Adressbuch und die SMS des Nutzers werden komplett vom Smartphone hochgeladen, ohne dass der Nutzer darauf eine Einflussmöglichkeit hat  wobei der Nutzer nun ab iOS 6 und bei Android, diesem Vorgang zustimmen muss. Durch die Geräteunabhängigkeit ist das Hochladen eine logische Voraussetzung zur einfachen Nutzung des Dienstes.
  • Das Nutzerverhalten wird analysiert und per Google Analytics ohne anonymizeIP in die USA weitergegeben. Google Analytics ist nicht ungewöhnlich und schon fast Standard, dennoch wäre die IP-Kürzung wünschenswert.
  • Die Anhänge der Nutzer werden in den Amazon Web Services (AWS) in Irland gespeichert.
  • Es werden sonst keine Daten an Dritte weitergegeben.
  • Der Einsatz einer SSL-Verschlüsselung für die Übertragung ist sehr vorbildlich.

Wir werden die weitere Entwicklung von MySMS mit Spannung und Interesse verfolgen und hoffen, dass am Ende etwas wirklich revolutionäres geschieht: MySMS als DAS europäische Produkt auf digitalen Kommunikationsgeräten und zugleich als Gesicht einer selbstbewussten europäischen Datenschutzgeneration, die sich unabhängig von amerikanischen Verhältnissen verwirklicht.

*Hinweise zum Update vom 01.11.2013:

Aufgrund eines durch Auskünfte von MySMS veranlassten Updates im September 2012 hatten wir unseren Bericht korrigiert, und mitgeteilt, dass die Speicherung nach Angaben von MySMS nicht mehr auf Amazon Cloud Servern erfolge, sondern innerhalb der EU. Wir wurden von MySMS ausdrücklich gebeten, diesen Punkt der Datenspeicherung innerhalb der EU weiter ausführen und klar zustellen:
Die Attachments werden auch weiterhin auf Webservern der Amazon Web Services gespeichert, die Server befinden sich allerdings alle in Irland.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

13 Kommentare zu diesem Beitrag

  1. Liebes Autorenteam,

    erstmals danke für die Analyse und den gut recherchierten Beitrag. Trotzdem finde ich es schade, dass ihr bevor ihr einen solchen Artikel verfasst nicht mit den Betreibern eines solchen Dienstes sprecht, warum eine gewisse Konstellation gewählt wurde. Das würde eventuell die ein oder andere Sache auch für euch nachvollziehbarer machen und uns nicht als fahrlässigen Diensteanbieter hinstellen. Ich möchte daher auch hier kurz auf die 3 Punkte eingehen, die aus eurer Sicht bei mysms nicht optimal gelöst sind:

    1.) Zum Hochladen von Telefonbuch-Kontakten: die mysms Apps auf Desktop oder Tablet würden in der aktuellen Form ohne dieses Feature nicht funktionieren und somit die User Experience massiv beeinträchtigen. Sowohl auf iOS (ab iOS6) wie auch auf Android wird der Nutzer vorab gefragt ob er unserer App die dafür erforderlichen Rechte gibt. Erst nach erfolgter Zustimmung und erfolgreich abgeschlossener Registrierung (inkl. Zustimmung zu den AGBs) werden Telefonbuchkontakte in die Cloud geladen. Ist stimmt daher nicht, dass der Nutzer darauf keine Einflussmöglichkeit hat.

    2.) Zur Verwendung von Google Analytics: ja wir verwenden Google Analytics und so wie ihr schreibt gilt Google Analytics als Branchenstandard und ist innerhalb unseres Rechtsrahmens (Österreich/EU) legal. Die Formulierung in unserer Privacy Policy ist allgemein gewählt, damit wir ggf. unseren Analytics-Anbieter auch wechseln könnten, hat aber wie in E-Mails mit euch beschrieben keineswegs die Absicht, Nutzungsdaten für andere Zwecke als die Produktverbesserung zu nutzen.

    3.) die Verwendung von AWS: ist richtig, aber auch hier bemühen wir uns, dass die Attachments auf Servern in Europa liegen. Für uns ist das der beste Kompromiss aus dem, was unsere User an Datenschutz wollen und was für uns betriebswirtschaftlich am sinnvollsten ist.

    Ich hoffe somit euch ein bisschen mehr Informationen für eine Beurteilung unseres Dienstes zukommen zu lassen. Abschließend muss ich aber erwähnen, dass wir uns mit eurem Fragenkatalog auseinandergesetzt haben und offen Informationen geteilt haben (habt ihr das bei Whatsapp auch versucht?). Trotzdem liest man Sätze wie “Ob diese Informationen – wie MySMS beteuert – nur der technischen Weiterentwicklung sowie Optimierung der Benutzerfreundlichkeit dienen – sei dahingestellt.” oder “Datensparsamkeit sieht anders aus”, was uns meines Erachtens unnötig in ein falsches Licht rückt.

    Da schließt sich auch der Kreis, denn durch die (gut gemeinte) Selbstkritik von uns Europäern hindern wir den Erfolg unserer Start-Ups und machen es dadurch US-Diensten nur leichter. Anstatt hervorzuheben was bei mysms an Datenschutz besser ist als bei anderen wird angeführt was nicht passt und dabei ist man strenger als das eigene rechtliche Rahmenwerk vorschreiben würde.

    Obwohl es aus meinem Beitrag nicht hervorgehen mag bin ich trotzdem dankbar, dass ihr das Thema adressiert und gebe meine Zusage, dass wir an weiteren Verbesserungen arbeiten werden.

    Liebe Grüße,
    Martin (CEO mysms)

  2. Hallo Martin,
    vielen Dank für Deine Hinweise. Wir haben unseren Artikel daraufhin angepasst.

    Wir freuen uns auf Eure Rückmeldungen zu Änderungen und Weiterentwicklungen und werden dann sofort hier wieder berichten.

  3. Ich teste mysms grad ein bisschen. Soweit ich das jetzt verifizieren konnte, braucht der Absatz über die Attachment-Speicherung in der Amazon Cloud ein Update.
    Ich hab gestern testweise einem Freund (der mysms nicht installiert hat) eine Nachricht mit Anhang geschickt. Der Link darin war auf http://www.mysms.com/... Dieser Server steht in Österreich.
    Korrigiert mich bitte falls ich falsch liege.
    Grüße
    Robert

  4. Ich finde mysms eigentlich gut, aber ich brauche den SMS Sync nicht, bzw. ich möchte ihn gar nicht. Ich mache onlinebanking, packstation und viele andere Dienste mit mTAN Verfahren und würde ungern meine SMS direkt mit der Cloud syncen. So kann ich nicht kontrollieren, wer vielleicht doch mitliest. Meine IM Messages sind mir da egal. Diese könnten ruhig gesynct werden, damit die Chats überall abrufbar sind.

    Gibt es diese Option irgendwie?

    • Falls nach über zwei Jahren noch interessant: Man kann einzelne Telefonnummern von der Synchronisierung ausschließen, in dem man sie auf eine Blacklist setzt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.