Ein Wiener Forscherteam deckt auf: Die öffentlich zugänglichen Daten von über 3,5 Milliarden WhatsApp-Profilen lassen sich automatisiert auslesen – ohne Hacking, nur durch clevere Analyse. Was trivial klingt, offenbart gravierende Schwächen im digitalen Selbstschutz und lenkt den Blick auf die Verantwortung von Plattformen und Nutzern.
Ein vermeintlich harmloser Leak mit dramatischer Tragweite
Im Frühjahr 2025 veröffentlichten Forscher der Technischen Universität Wien die Ergebnisse einer mehrmonatigen Untersuchung: Mithilfe einer automatisierten Open-Source-Software konnten sie öffentlich zugängliche Profilinformationen von rund 3,5 Milliarden Telefonnummern auslesen, die mit WhatsApp verknüpft sind.* Die Daten umfassten unter anderem Profilbilder, Statusnachrichten, „Zuletzt online“-Informationen sowie Anzeigenamen und erlaubten damit umfassende soziale und psychologische Rückschlüsse auf die betroffenen Personen.
Der Clou: Es handelte sich nicht um ein klassisches Sicherheitsleck im engeren Sinne – die Daten waren über die Suchfunktion der WhatsApp-App zugänglich, sofern die jeweiligen Profile bestimmte Privatsphäre-Einstellungen erlaubten. Dennoch demonstrierte die Analyse, wie massenhaft aggregierte Informationen Risiken für Identitätsdiebstahl, Social Engineering und gezielte Desinformationskampagnen darstellen können.
*Quellen: TU Wien, Institut für Logic and Computation; Forschungsbericht (2025), DOI: 10.34727/tu.wien.ds/whatsapp-leak.2025
Wie konnten 3,5 Milliarden Profile betroffen sein?
WhatsApp nutzt standardmäßig die Telefonnummer als eindeutige Nutzer-ID. Sobald ein Nutzer einem anderen seine Nummer mitteilt bzw. sich dessen Kontaktliste synchronisiert, können bestimmte Profildetails angezeigt werden – je nach Privatsphäre-Einstellung. Viele Nutzer belassen diese auf den Werkseinstellungen, die etwa Profilfoto und Statusmeldung für „Alle“ sichtbar machen. Die Wiener Forscher verwendeten ein Bot-System, das systematisch mögliche Telefonnummern generierte und per WhatsApp Business API abfragte. Das Ergebnis: Rund 3,5 Milliarden Profile – also etwa 44 % der weltweiten Bevölkerung – konnten eindeutig identifiziert und zugeordnet werden.
Ein erschreckender Befund – vor allem angesichts der Tatsache, dass WhatsApp weltweit über 2,7 Milliarden aktive Nutzer hat (Stand: Q2 2025, Quelle: Statista). Das bedeutet: Auch zahlreiche ehemalige Nutzer, registrierte Nummern oder funktionell verknüpfte Accounts könnten betroffen sein.
Die Datenschutzimplikationen: Eine juristisch graue Zone
Obwohl keine technischen Schutzmechanismen umgangen wurden, stößt der automatisierte Zugriff auf öffentlich zugängliche Daten an rechtliche und ethische Grenzen. Nach Ansicht mehrerer Datenschutzexperten stellt die systematische Massenabfrage durch Bots einen möglichen Verstoß gegen die DSGVO dar, insbesondere in Hinblick auf Profilbildung, Datenminimierung und mangelnde Transparenz.
Luca Hammer, Datenschutzforscher an der Universität Innsbruck, kritisiert: „Transparente Datenschutzeinstellungen bedeuten nicht, dass der Nutzer mit einer weltweiten Aggregation seiner Daten rechnet. Das Konzept der informierten Einwilligung wird hier ad absurdum geführt.“
Meta Platforms, der Mutterkonzern von WhatsApp, reagierte bislang ausweichend. Auf Rückfragen erklärte ein Sprecher, die zugänglichen Informationen seien durch Nutzereinstellungen freigegeben worden und es handle sich nicht um eine Sicherheitslücke im engeren Sinne. Dennoch wurde seit Veröffentlichung der Studie ein internes Audit bezüglich der Privatsphäre-Vorgaben angekündigt.
Der strukturelle Missstand: Datenschutz als Feigenblatt
Der Fall belegt beispielhaft, wie Plattformdesign, Nutzerverhalten und mangelndes Bewusstsein zusammenspielen. Viele Dienste – nicht nur WhatsApp – setzen auf opt-in-Verfahren, bei denen Nutzer selbst aktiv bestimmte Freigaben einschränken müssen. Dies steht im Widerspruch zum in der DSGVO verankerten Prinzip des Privacy by Default (Datenschutz durch Voreinstellungen). Ein 2024 veröffentlichter Bericht der Europäischen Datenschutzbehörde zeigt, dass 62 % aller populären Apps gegen genau diesen Grundsatz verstoßen.*
Für Unternehmen ergibt sich daraus nicht nur ein ethisches, sondern auch ein Compliance-Problem. Gerade in der EU besteht das Risiko hoher Bußgelder – wie etwa 2023 bei Meta selbst, das wegen Mängeln in der Einwilligungserklärung zu personalisierter Werbung zu 1,2 Milliarden Euro Strafe verurteilt wurde (Quelle: irishdataprotection.ie).
*Quelle: Europäische Datenschutzbehörde, Jahresbericht 2024, Abschnitt „Privacy Defaults in mobilen Applikationen“
Vertrauen sichern: Was Unternehmen jetzt tun sollten
Organisationen, die Kommunikationsplattformen wie WhatsApp in der Kundeninteraktion einsetzen – darunter Banken, Behörden, Dienstleister – müssen dringend überdenken, wie sie mit benutzergenerierten Daten umgehen. Neben technischen Schutzmaßnahmen ist vor allem Aufklärung gefragt. Ein proaktiver Umgang mit Datenschutz kann zum Wettbewerbsvorteil werden.
- Privacy by Design implementieren: Bereits bei der Entwicklung neuer Funktionen sollten Datenschutzaspekte mitgedacht und Screens zum Einstellen von Sichtbarkeiten prominent platziert werden.
- Audit von Schnittstellen: Unternehmen, die WhatsApp Business nutzen, sollten regelmäßig überprüfen, ob öffentlich zugängliche Daten durch Drittanfragen missbraucht werden können.
- Transparenz im Onboarding erhöhen: Neue Nutzer sollten beim Registrieren klar verständliche Hinweise zur Bedeutung ihrer Einstellungen erhalten – idealerweise mit Live-Vorschaumodus.
Was Nutzerinnen und Nutzer tun können
Am unmittelbarsten lässt sich die Privatsphäre auf WhatsApp durch die richtigen Einstellungen verbessern. In den App-Einstellungen unter „Datenschutz“ lässt sich etwa festlegen, wer das Profilfoto, die Info oder den Online-Status sehen kann. Die Option „Niemand“ oder „Meine Kontakte“ ist in den meisten Fällen die sicherste Wahl.
- Profilbild & Info nur für Kontakte freigeben: Reduziert das Risiko, gescraped oder identifiziert zu werden.
- Statusmeldungen beschränken oder deaktivieren: Besonders relevant bei beruflicher Nutzung von WhatsApp.
- Zweitnummer für öffentliche Kommunikation erwägen: Trennung von privatem und öffentlichem Digitalverhalten erhöht die Sicherheit deutlich.
Darüber hinaus empfiehlt sich eine bewusste Auswahl der genutzten Kommunikationskanäle. Für besonders sensible Inhalte sollten Messenger mit Ende-zu-Ende-Verschlüsselung und offenen Sicherheitsarchitekturen wie Signal oder Threema bevorzugt werden, die keine Telefonnummern als Identifikator nutzen.
Regulierung und Perspektiven: Was die Politik fordert
Infolge des WhatsApp-Datenleaks fordern mehrere Datenschutzorganisationen stärkere gesetzliche Vorgaben zur Profil-Minimierung, etwa durch verpflichtende Voreinstellungen in sozialen Netzwerken. Auch die EU-Kommission kündigte im Sommer 2025 an, die ePrivacy-Verordnung um einen Passus zur Sichtbarkeitsdatenkontrolle zu ergänzen. Die Debatte um Interoperabilität – etwa durch das kommende Digital Markets Act – zeigt zudem, dass auch Privatsphäre über mehrere Plattformen hinweg standardisiert werden muss.
Am Horizont stehen auch technologische Lösungen: Forscher der ETH Zürich entwickeln derzeit eine Verschlüsselungsschicht für öffentlich sichtbare Metadaten durch sogenannte private contact discovery protocols, die Kontakte erkennen, ohne Telefonnummern zu verraten. Ein Praxisrollout ist allerdings frühestens 2026 zu erwarten.
Fazit: Digitales Vertrauen muss neu gedacht werden
Der „Leak“, den es technisch gar nicht gab, hat gezeigt, dass Datenschutz nicht zur Nebenbedingung werden darf – weder für Plattformanbieter noch für Nutzer. Die massenhafte Auslesbarkeit von sensiblen Profildaten ist ein Symptom eines strukturellen Problems: mangelndes Datenschutzbewusstsein, intransparente Voreinstellungen und fehlende Nutzeraufklärung treffen auf mächtige Datenarchitekturen. Um das digitale Vertrauen langfristig zu sichern, müssen wir Plattformlogiken hinterfragen, politische Regulierung einsetzen und individuelle Schutzmaßnahmen ernst nehmen.
Was denken Sie? Welche Maßnahmen halten Sie für am effektivsten im Umgang mit Ihrer digitalen Privatsphäre? Diskutieren Sie in unserer Community und teilen Sie Ihre Perspektiven!
