Datenschutz

WhatsApp Business und DSGVO – Nutzung im Einklang mit dem Datenschutz [Juli 2024]

WhatsApp Business wird bei Unternehmen immer beliebter. Da eine DSGVO-konforme Nutzung nicht unbedingt einfach ist, haben wir nützliche Tipps für Sie aufgeführt

WhatsApp ist in Deutschland mit Abstand der beliebteste Messenger unter Privatpersonen (Quelle: Statista 2022). Seit einigen Jahren bietet der WhatsApp Eigentümer Meta Platforms, Inc. (ehemals Facebook) mit den Produkten WhatsApp Business und WhatsApp Business API auch Unternehmen eine Möglichkeit, den Messenger zur Kundenkommunikation zu verwenden. Immer mehr Unternehmen sind darüber zu erreichen und größtenteils sehr zufrieden mit WhatsApp als Kommunikationskanal. Die Öffnungsrate von WhatsApp Nachrichten liegt mit 98% nämlich deutlich höher als bei E-Mails (ca. 20%) (Quelle: AiSensy.com). Und in einem immer kompetitiver werdenden Marktumfeld müssen sich Unternehmen zunehmend auf den Plattformen positionieren, wo sich die Konsumenten ohnehin schon aufhalten. Die Verwendung von WhatsApp ist für Unternehmen aufgrund der geltenden Datenschutzgesetze in Deutschland und der EU jedoch nicht ganz trivial.

Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 und beinhaltet europaweit harmonisierte Regelungen zum Umgang mit personenbezogenen Daten. Dadurch wird die Kontrolle von Verbrauchern über ihre Daten gestärkt. Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen die DSGVO einhalten und riskieren andernfalls ein hohes Bußgeld. Wie Unternehmen rechtliche Schwierigkeiten aufgrund der DSGVO vermeiden und durch die Einhaltung der Datenschutzgesetze außerdem ein höheres Kundenvertrauen genießen können, wird in diesem Beitrag erläutert.

Zu Beginn: Kurze Antworten auf die wichtigsten Fragen

Welche Unternehmen müssen die DSGVO einhalten?

Die DSGVO (Datenschutz-Grundverordnung) muss von allen Unternehmen eingehalten werden, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob das Unternehmen in der EU ansässig ist oder nicht. Das schließt sowohl große Konzerne als auch kleine und mittlere Unternehmen sowie Einzelunternehmer ein, sofern sie Daten von Personen in der EU verarbeiten.

Warum sollten Unternehmen die normale WhatsApp Business App nicht nutzen?

Ohne besondere Einstellungen und deutlichen Einschränkungen in der Funktionsweise werden von WhatsApp Metadaten der Nutzer und deren Kontakte erhoben. Dafür braucht es einen Vertrag zur Auftragsverarbeitung im Sinne des Art. 28 DSGVO. Besonders kritisch: WhatsApp greift üblicherweise auf das Adressbuch des Nutzers zu und speichert Nutzerdaten und Chats auf US-Amerikanischen Servern.

Wie können Unternehmen DSGVO-konform über WhatsApp kommunizieren?

Es gibt zwei Möglichkeiten:
1.: Die Nutzung der herkömmlichen WhatsApp Business App mit diversen Einschränkungen und limitierter Funktionsweise (Kontakte aus Adressbuch löschen, die kein WhatsApp installiert haben; Cloud-Backups deaktivieren; Einwilligung der Kunden einholen; Impressum auf WhatsApp verlinken etc...)

2.: Die professionelle WhatsApp Business API Schnittstelle nutzen und von zusätzlichen Funktionen wie z.B. WhatsApp Newsletter, Integrationen, Mitarbeiterzuweisungen, unbegrenzter Geräte- und Nutzeranzahl, automatischen Antworten, etc. profitieren.

Was ist die WhatsApp Business API Schnittstelle?

Die kostenpflichtige WhatsApp Business API ist eine Programmierschnittstelle, mit der Unternehmen direkt auf WhatsApp zugreifen können, ohne die WhatsApp Benutzeroberfläche zu nutzen. Die Software wird i.d.R. von Drittanbietern bereitgestellt und enthält, zumindest bei Mateo, deutlich mehr Funktionen als die herkömmliche WhatsApp Business Version. Mit der WhatsApp Business API können Kundenservice, Marketing und Unternehmenskommunikation professionell gestaltet und automatisiert werden.

Im Hinblick auf die DSGVO kritisch: WhatsApp erhebt diverse Metadaten

WhatsApp-Chats sind in der Regel Ende-zu-Ende-verschlüsselt. Das bedeutet, dass WhatsApp und der Mutterkonzern Meta Platforms keinen direkten Zugriff auf die Inhalte von Gesprächen wie Texte, Medien und sonstige Daten haben. Unter bestimmten Bedingungen können allerdings Chats auf den Servern von WhatsApp zwischengespeichert werden. Beispielsweise, wenn Nachrichten aufgrund einer fehlenden Internetverbindung des empfangenden Nutzers diesem vorübergehend nicht zugestellt werden können. Auch Backups von in die Cloud hochgeladenen Chatverläufen werden auf WhatsApp Servern gespeichert. Aus datenschutzrechtlicher Sicht sind insbesondere die sogenannten Metadaten relevant, die ebenfalls erfasst und gespeichert werden. Dazu gehören folgende Informationen:

  • Smartphone Modell
  • Gerätename
  • Telefonnummer
  • Profilbild
  • Profilname
  • Profilbeschreibung
  • Adressbuch
  • Position
  • Datum & Uhrzeit

Auch wenn diese Daten auf den ersten Blick keine eindeutigen Informationen über den Inhalt des Gesprächs preisgeben, lassen sich mit Hilfe solcher Informationen relativ aussagekräftige Nutzerprofile erstellen.

Datenschutzrechtliche Probleme bei der Verwendung von WhatsApp

Verarbeitung personenbezogener Metadaten

Ein großes Problem ist die bereits erwähnte Nutzung und Verarbeitung von Metadaten durch WhatsApp. Für die Datenverarbeitung personenbezogener Daten bedarf es einer Rechtfertigung auf gesetzlicher Grundlage. Da Dienste wie WhatsApp nicht dem Fernmeldegeheimnis unterliegen, schließt das Gesetz die Nutzung dieser Informationen zumindest vorerst nicht ausdrücklich aus. Dieses Problem wird in der Regel durch den Abschluss eines Vertrages zur Auftragsverarbeitung im Sinne des Art. 28 DSGVO gelöst. Vereinfacht gesagt verbietet der Vertrag die eigenständige Nutzung von Kundendaten durch den Auftragnehmer. Durch einen Vertrag zur Auftragsverarbeitung ist die Übermittlung solcher Metadaten an den Dienstleister (WhatsApp) datenschutzrechtlich gerechtfertigt. Die Verarbeitung personenbezogener Daten erfolgt mit AV-Vertrag datenschutzkonform und bedarf keiner gesonderten Einwilligung des Kunden. Die Standard-Version von WhatsApp bietet keine Möglichkeit, einen Auftragsverarbeitungsvertrag abzuschließen. Bei WhatsApp Business wird ein AV-Vertrag mit dem Herunterladen der App und dem Akzeptieren der Nutzungsbedingungen automatisch abgeschlossen.

Zugriff auf Kontaktdaten

Das vielleicht bekannteste Datenschutzproblem ist der Upload von Adressbuchdaten des Nutzers zu WhatsApp. Kontaktdaten werden auf WhatsApp-Servern in den USA gespeichert und mit den Daten anderer Nutzer abgeglichen. Im Gegensatz zu einigen anderen Messengern werden Kontaktdaten bei WhatsApp unverschlüsselt gespeichert. Unternehmen müssen die Rechtsgrundlage für die Datenübermittlung einzelner Kontakte nachweisen können. Eine Übermittlung der Kontaktdaten an WhatsApp ist auf Grundlage einer Interessenabwägung im Sinne von Art. 6 Abs. 1 lit. f) DSGVO zulässig, sofern der übermittelte Kontakt WhatsApp benutzt. Wenn der Kontakt nicht über ein eigenes WhatsApp-Konto verfügt, ist diese Rechtsgrundlage nicht anwendbar, da die Interessen des Betroffenen aufgrund der Übermittlung der Daten in ein Drittland überwiegen. Zusammengefasst ist der Zugriff auf Kontaktdaten also nur in dem Ausnahmefall, dass sämtliche übermittelte Kontakte bereits ein WhatsApp Konto besitzen, datenschutzrechtlich unbedenklich. Daher ist das Hochladen von Adressdaten auch der Hauptkritikpunkt von Behörden in Deutschland und Europa.

Unverschlüsselte Backups

Ein weiteres Problem betrifft Backups von Nachrichtenverläufen, die in der Cloud gespeichert werden. Auch wenn alle WhatsApp Nachrichten, Sprachnotizen, Fotos, Videos, Dokumente und sonstige Daten grundsätzlich durch die Ende-zu-Ende Verschlüsselung geschützt sind, unterliegen Backups in der Regel nicht diesem zusätzlichen Schutz. Die Verwendung von Backups mag im Hinblick auf die Wiederherstellung im Falle eines Verlustes sinnvoll erscheinen, ist aber nicht mit der DSGVO vereinbar. Diese Funktion sollte von Unternehmen ständig deaktiviert sein, um personenbezogene Daten von Kunden zu schützen und sich in diesem Aspekt datenschutzkonform zu verhalten.

Möglichkeiten, um WhatsApp DSGVO-konform einzusetzen

 Datenschutz konforme WhatsApp Nutzung

Die Verwendung der Standard-Version von WhatsApp ist laut den geltenden AGB für Unternehmen nicht gestattet. Durch die fehlende Option, einen Vertrag zur Auftragsverarbeitung zu unterzeichnen, ist diese WhatsApp Version auch aus datenschutzrechtlicher Sicht höchst problematisch. Für Unternehmen gibt es trotz der strengen Vorschriften zwei Möglichkeiten, WhatsApp zur Kundenkommunikation zu verwenden.

WhatsApp Business DSGVO-konform nutzen

WhatsApp Business ist eine kostenlose, für Android und Apple Smartphones verfügbare App, die speziell für Selbstständige und kleinere Unternehmen  entwickelt wurde. WhatsApp Business vereinfacht die Interaktion mit Kunden, indem es Tools zum Automatisieren, Sortieren und zum schnellen Beantworten von Nachrichten bereitstellt. Die Benutzeroberfläche und viele Funktionen ähneln denen der WhatsApp Messenger App für Privatpersonen, sodass die Verwendung der WhatsApp Business App den meisten Unternehmen sehr leicht fällt.

Mit einigen Einschränkungen kann WhatsApp Business DSGVO-konform verwendet werden. Die beschriebenen Hauptprobleme der Verarbeitung personenbezogener Metadaten, des Zugriffs auf Kontaktdaten und der unverschlüsselten Backups können mit folgenden Tricks vermieden werden:

  • Die WhatsApp Business App sollte nur auf dedizierten Mobilgeräten verwendet werden
  • Das Adressbuch darf nur Kontakte enthalten, deren Telefonnummern bereits mit einem WhatsApp Konto verknüpft sind
  • Es sollte stets die aktuelle Version der App installiert sein
  • Cloud-Backups (über Google Drive/Apple iCloud) müssen deaktiviert sein
  • Das automatische Speichern von Fotos und Anhängen im internen oder externen Speicher muss deaktiviert sein
  • Verlinkung eines Impressums im Unternehmensprofil in der WhatsApp Business App (§ 5 DDG) muss vorhanden sein
  • Holen Sie im Zweifelsfall eine Einwilligung Ihrer Kunden zur Datenverarbeitung personenbezogener Daten ein

Dabei ist zu beachten, dass mit den empfohlenen Einstellungen einige WhatsApp Business Funktionen nicht nutzbar sind und die Bearbeitung von Kundenanfragen womöglich weniger effizient abläuft. Gegebenenfalls scheuen sogar manche Kunden die Kontaktaufnahme, wenn Sie eine durchgehende Verschlüsselung der Kundendaten nicht gewährleisten können. Und trotz aller Vorsichtsmaßnahmen können DSGVO-Konflikte bei der Kommunikation über WhatsApp Business nie ausgeschlossen werden. Daher empfiehlt Mateo einen WhatsApp Unternehmensaccount, der via API funktioniert. Die Nutzung der WhatsApp API ist nämlich zu 100% datenschutzkonform und zugleich die einzige Möglichkeit, den WhatsApp Messenger datenschutzkonform einzusetzen. Dadurch sparen Sie sich die Kosten von externen Datenschutz-Beratern und Rechtsanwälten und Prozesskosten im Falle einer Abmahnung. Und Sie müssen keinerlei Einwilligungen Ihrer Kunden zur Verarbeitung der Daten einholen. Doch das ist erst der Anfang: Die WhatsApp API hat für Unternehmen etliche weitere Vorteile zu bieten, wie Sie in dem folgenden Abschnitt erfahren werden.

WhatsApp Business API  DSGVO-konform nutzen

Um professionellen Unternehmen eine sichere, skalierbare und DSGVO-konforme Lösung zu bieten, die auf ihre Bedürfnisse zugeschnitten ist, hat Facebook im August 2018 die WhatsApp Business API eingeführt. Diese Anwendungsprogrammierschnittstelle (API) ermöglicht es Unternehmen, unbegrenzt WhatsApp-Nachrichten von ihren Kunden zu empfangen und zu beantworten.

Im Gegensatz zur WhatsApp Business App kommt die API selbst ohne eine Benutzeroberfläche aus. Die API verbindet WhatsApp mit einem professionellen Messaging-Tool, wie es zum Beispiel Mateo anbietet. Unternehmen integrieren den Endpunkt der WhatsApp API in die Software eines offiziellen WhatsApp Business Solution Anbieters. Mateo ist ein solcher Provider und offeriert Unternehmenskunden mit der hauseigenen Software die entsprechende Integration in eine übersichtliche Benutzeroberfläche.

Dadurch, dass die Benutzeroberfläche mitsamt aller technischen Eigenheiten nicht von WhatsApp, sondern von einem Business Solution Anbieter bereitgestellt wird, kann sich die DSGVO-Konformität je nach Anbieter unterscheiden.

Die Verwendung von Mateos Messaging Software ist 100% DSGVO-konform. WhatsApp und dritte Unternehmen können nicht auf das im Endgerät gespeicherte Adressbuch zugreifen. Auch das aus datenschutzrechtlicher Sicht problematische Cloud-Backup ist deaktiviert. Die Übermittlung von Metadaten an WhatsApp kann aus technischen Gründen durch alle Business Solution Anbieter, also auch durch Mateo, nicht vermieden werden. Durch den Vertrag zur Auftragsverarbeitung mit WhatsApp ist das Messaging-Tool von Mateo auch in diesem Aspekt datenschutzkonform. Die Stationierung von Mateos Servern in Deutschland und die Möglichkeit zur Löschung einzelner oder sämtlicher Kommunikations- und Kundendaten bieten zusätzliche Sicherheit beim Datenschutz.

Weitere Vorteile der WhatsApp Business API mit Mateo

Mateos Messaging Software bietet weit mehr als eine schlichte Benutzeroberfläche von WhatsApp API. Diverse Eigenschaften und Tools führen dazu, dass durch Mateos zentrale Messaging Software die Kundenkommunikation deutlich effizienter wird.

  • Integrationen: Mit Mateo können Sie WhatsApp in über 6.000 Softwareprogramme integrieren und vollautomatisierte Nachrichten wie z.B. Einladungen, Bestellbestätigungen, Versandinformationen, Rechnungen oder Erinnerungen versenden.
  • Newsletter Marketing: Versenden Sie DSGVO-konforme Newsletter über WhatsApp oder SMS und profitieren Sie von Öffnungsraten über 95 %.
Ganz einfach QR-Code scannen oder anklicken

Vereinbaren Sie ein unverbindliches und kostenloses Beratungsgespräch und wir zeigen Ihnen, wie MATEO Ihre Kommunikationsbedürfnisse abdeckt! Buchen Sie dazu einfach hier einen Termin oder schreiben Sie uns über unser Web-Widget.

Hinweis: Sämtliche Angaben in diesem Beitrag sind ohne Gewähr und stellen keine rechtliche Beratung dar. Bitte kontaktieren Sie im Zweifelsfall einen Datenschutz-Experten oder Ihren Anwalt.

Henri Hoepfner
Messenger Experte bei Mateo

Blog & Artikel

Alle Blogartikel