WhatsApp im Unternehmen – was sagt die DSGVO [2022]

WhatsApp ist der weltweit meistgenutzte Instant Messenger und für Milliarden von Menschen ein täglicher Begleiter. Folglich wollen auch immer mehr Unternehmen auf diesem Kanal für ihre Kunden erreichbar sein.

Viele befürchten jedoch, dass die Nutzung von WhatsApp im Unternehmen nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist. Die Sorge basiert zum einen auf dem angeknacksten Image der WhatsApp-Mutterfirma Facebook (mittlerweile „Meta“) und zum anderen auf der unklaren Rechtslage nach Aufhebung des Privacy-Shield-Abkommens . Dieses hatte bis Mitte 2020 als rechtliche Grundlage für den Datentransfer in die USA gedient.

Häufig sind Unternehmen auch unsicher, wie sich WhatsApp Business App und WhatsApp Business API in Bezug auf den Datenschutz unterscheiden. Tatsächlich ergeben sich aufgrund der Struktur der beiden Business-Lösungen jeweils andere Konsequenzen für Endnutzer und Unternehmen.

Wir zeigen Ihnen, worauf Sie achten müssen, um WhatsApp Business — per App oder API — datenschutzkonform in Ihrem Unternehmen einzusetzen.

  1. WhatsApp & Datenschutz: was generell gilt
  2. Die WhatsApp Business App DSGVO konform einsetzen
  3. Die WhatsApp Business API DSGVO konform einsetzen
  4. Mehr zum Thema WhatsApp im Unternehmen

1
WhatsApp & Datenschutz: was generell gilt

Nutzen Sie WhatsApp als Kontaktkanal, werden Sie zum Verarbeiter von personenbezogenen Daten der Kunden, die Ihnen dort schreiben. Das betrifft mindestens die bei WhatsApp hinterlegte Telefonnummer Ihrer Kunden, aber auch Gesprächsinhalte, beispielsweise wenn hier etwa eine Lieferanschrift oder E-Mail-Adresse kommuniziert wird

Das ist erstmal kein Problem. Durch die Kontaktaufnahme eines Kunden haben Sie nach allgemeiner Rechtsauffassung ein berechtigtes Interesse gemäß DSGVO, seine Daten zu verarbeiten. Die Verarbeitung ist schließlich nötig, damit dieser seine Anfrage stellen und eine Antwort von Ihnen erhalten kann. Bei der Verarbeitung selbst müssen Sie sich natürlich, wie auch bei Ihren anderen Service-Kanälen, an die DSGVO halten .

Bild eines Dokuments mit einer Lupe

Setzen Sie WhatsApp-Produkte für die Kundenkommunikation ein, so endet Ihre Verantwortung aber nicht bei der eigenen Datenverarbeitung. Laut DSGVO verarbeitet WhatsApp die Daten nämlich in Ihrem Auftrag . Deshalb müssen Sie von WhatsApp eine Garantie einholen, dass Ihre Kundendaten dort mit einem hinreichenden Datenschutz verarbeitet werden.

Diese Garantie wird in einem Auftragsverarbeitungsvertrag beziehungsweise, seit Juni 2021, durch die neuen Standarddatenschutzklauseln (auch: Standardvertragsklauseln) schriftlich dargelegt. Sie dienen als Ersatz für das abgeschaffte Privacy Shield. WhatsApp hat seine Datenübermittlungsbedingungen so angepasst, dass Sie den neuen Vorgaben der EU-Kommission entsprechen.

In unserer modernen Welt kommt es darauf an, dass Daten innerhalb und außerhalb der EU mit dem erforderlichen Schutz ausgetauscht werden können. Mit diesen verstärkten Klauseln ermöglichen wir den Unternehmen mehr Sicherheit und Rechtssicherheit bei Datenübermittlungen. Die neuen Standardvertragsklauseln werden den Unternehmen sehr dabei helfen, die DSGVO einzuhalten.

EU-Justizkommissar Didier Reynders von der Europäischen Kommission

Neue Standardvertragsklauseln ermöglichen DSGVO-konformen Einsatz von WhatsApp Business

Fest steht, dass WhatsApp in jeder seiner Anwendungen die Gesprächsinhalte Ende-zu-Ende-verschlüsselt . Nutzer und Unternehmen erhalten somit die Garantie, dass niemand mitliest, weder WhatsApp noch unerwünschte Dritte, wie Facebook oder die US-Behörden (hierzu gleich mehr). Was Sie mit Ihren Kunden besprechen, gerät also nie in „fremde” Hände.

Anders ist es bei den unverschlüsselten Metadaten, die bei der Cloud-Kommunikation entstehen. Zu diesen Daten gehören unter anderem die Telefonnummer des Nutzers, sein Gerät, Art und Zeitpunkt der Nutzung, Standort und IP-Adresse.

Bild einer Wolke mit einem Schloss

WhatsApp übermittelt diese Daten aktuell ins EU-Ausland, etwa um sie mit dem Mutterkonzern Meta zu teilen - beispielsweise um Funktionalität und Sicherheit des Dienstes zu gewährleisten. Nach unklaren Angaben in den Anfang 2021 veröffentlichten AGB wurde WhatsApp unterstellt, die Daten für werbliche Unternehmenszwecke von Facebook zu missbrauchen. Allerdings entkräftete WhatsApp die Vorwürfe . In der nun deutlicher formulierten EU-Fassung der Datenschutzbedingungen steht:

„WhatsApp teilt deine Daten in der Europäischen Region nicht mit anderen Meta-Unternehmen, um dir eine bessere Erfahrung oder relevantere Anzeigen für ihre Produkte bereitzustellen.“

Nach Aufhebung des Privacy-Shield-Abkommens beruft sich das Unternehmen nun auf die gültigen Standardvertragsklauseln als Rechtsgrundlage für den Datentransfer. Diese bescheinigen Ihren Nutzern, dass sowohl der Verantwortliche (Sie), der Auftragsverarbeiter (WhatsApp) und etwaige Drittländer und Drittorganisationen (USA, Meta) sämtliche Bestimmungen der DSGVO einhalten.

Bevor wir uns die Besonderheiten der WhatsApp Business App und der WhatsApp Business API anschauen, sind hier die wichtigsten Tipps für den datenschutzgerechten Einsatz von WhatsApp im Unternehmen .

  • Lassen Sie sich vom Kunden kontaktieren und reagieren Sie dann auf seine Anfrage. Geht die Kontaktaufnahme vom Kunden aus, gilt das als „eindeutig bestätigendes” Verhalten, was der DSGVO als Grundlage für die anschließende Datenverarbeitung genügt.
  • Sie dürfen Kunden zuerst anschreiben, wenn sie dem über ein eindeutiges Opt-in (wie bei einer E-Mail-Newsletter-Anmeldung) zugestimmt haben. Es reicht allerdings nicht aus, die Telefonnummer des WhatsApp-Kontaktes zu kennen, etwa durch eine Anmeldung auf Ihrer Website.
  • Es gibt viele Möglichkeiten, Kunden datenschutzkonform auf Ihren WhatsApp-Kanal aufmerksam zu machen. Kommunizieren Sie zum Beispiel Ihre Nummer auf Ihrer Website oder setzen Sie einen Click-to-Chat-Link, über den Ihre Kunden Sie direkt auf WhatsApp erreichen.
  • Egal wie Sie WhatsApp als Kontaktkanal einsetzen – informieren Sie Ihre Kunden in Ihrer Datenschutzerklärung darüber. Nennen Sie hierbei explizit den Zweck und Umfang der Datenverarbeitung. Bezüglich WhatsApps eigenständiger Datenverarbeitung können Sie auf deren Datenschutzrichtlinie verweisen. Da Kunden, die WhatsApp als Kommunikationstool nutzen, den WhatsApp-Datenschutzbestimmungen ohnehin bereits zugestimmt haben, sind Sie auf der sicheren Seite.

2
Die WhatsApp Business App DSGVO-konform einsetzen

WhatsApp Business App ist WhatsApps mobile App für Kleinunternehmer. Diese können dort Produkte und Dienstleistungen anbieten sowie mit Kunden sprechen und dabei simple Automationsoptionen nutzen.

Im Grunde handelt es sich um eine auch kommerziell nutzbare Version der bekannten WhatsApp-Anwendung für den privaten Gebrauch. Sie ist aktuell für Android- und iOS-Geräte verfügbar und kostenlos, jedoch auf fünf Geräte, eine Telefonnummer und wenige Business-Funktionen begrenzt. Sie beantworten Kundenanfragen manuell über ein mobiles Endgerät oder WhatsApp Web auf dem Desktop. Ein größeres Support-Aufkommen lässt sich so natürlich nicht bewältigen.

Bild von einem Safe

Auch beim Datenschutz ähneln sich WhatsApp und WhatsApp Business. Problematisch ist dabei die automatische Kontaktsynchronisation. Sobald Sie WhatsApp Business installieren, möchte WhatsApp alle Kontakte im Adressbuch des Mobilgeräts erfassen, um zu prüfen, ob diese bereits WhatsApp-Nutzer sind.

So gelangen die personenbezogenen Daten Unbeteiligter unverschlüsselt, nicht anonymisiert und nicht pseudonymisiert zu WhatsApp und auf Server in den USA. Hierzu fehlt Ihnen sowie WhatsApp die rechtliche Grundlage, da u.a. weder eine Einwilligung noch ein berechtigtes Interesse vorliegt, diese Daten zu verarbeiten und zu übermitteln.

So können Sie die WhatsApp Business App datenschutzkonform einsetzen:

  • Verwenden Sie die WhatsApp Business App nur auf eigens dafür vorgesehenen Mobilgeräten
  • Sorgen Sie dafür, dass das Adressbuch ausschließlich WhatsApp-Kontakte enthält - zum Zeitpunkt der Installation und danach
  • Verweigern Sie WhatsApp alternativ den Zugriff auf Ihre Kontakte oder speichern Sie Ihre WhatsApp-Kunden nicht im Adressbuch (dann werden Kunden allerdings ohne Namen angezeigt)
  • Führen Sie immer die aktuellen Updates durch
  • Verzichten Sie auf die Aktivierung der Cloud-Backups (Google Drive/Apple iCloud)
  • Speichern Sie Anhänge nicht auf dem internen oder externen Speicher des Geräts (z. B automatisches Speichern von Fotos )
Grafik zeigt einen Vergleich zwischen der WhatsApp Business App und der WhatsApp Business API.

3
Die WhatsApp Business API DSGVO-konform einsetzen

Mit der WhatsApps Business API kann eine unbegrenzte Anzahl an Mitarbeitern über beliebig viele Desktop-Geräte per WhatsApp mit Kunden sprechen. Sie richtet sich somit an Unternehmen, die einen professionellen und skalierbaren WhatsApp-Support anstreben. Prominente Beispiele sind BMW, Vodafone und Otto.

Für den Einsatz der API stellt WhatsApp keine Applikation zur Verfügung. Stattdessen können Sie eine externe Kunden-Messaging-Software an WhatsApps technische Schnittstelle andocken und über diese dann mit WhatsApp-Nutzern kommunizieren. Den API-Schlüssel erhalten Sie ausschließlich über sogenannte „Business Solution Provider” (BSP), also von WhatsApp eigens zertifizierte Partnerunternehmen. Damit soll ein seriöser Umgang mit der WhatsApp-Infrastruktur sichergestellt werden.

Manche BSP bieten neben dem API-Zugang auch eine simple Benutzerumgebung an, über die Sie mit Ihren WhatsApp-Kunden kommunizieren können. Andere kooperieren mit Anbietern von fortschrittlicher Kunden-Messaging-Software, wie Userlike. So führen Sie all Ihre digitalen Kontaktkanäle wie Live-Chat und weitere Messaging-Apps zusammen und verwalten Ihre Kundenkommunikation zentral von einem Ort aus.

Mehr über die Vorteile, Funktionsweise und Kosten der API erfahren Sie im Post WhatsApp Business API: Alles was Sie wissen müssen .

Aus Datenschutzsicht ist das Fehlen der nativen App von WhatsApp ein großer Vorteil. Denn mit ihr fällt auch die problematische automatische Kontaktsynchronisierung weg. Nicht-WhatsApp-Nutzer werden bei der API somit definitiv nicht involviert. Wie bei der Business App werden aber Metadaten an WhatsApp übermittelt, da der Service ohne die WhatsApp-Cloud nicht angeboten werden kann. Hierfür greifen, wie oben beschrieben, die seit 2021 gültigen Standardvertragsklauseln.

So können Sie die WhatsApp Business API datenschutzkonform einsetzen:

Um den höchst möglichen Datenschutzstandard zu realisieren, ist es essentiell einen WhatsApp BSP zu wählen, der in diesem Bereich gut aufgestellt ist. Auf der Suche nach geeigneten Kandidaten sollten Sie vor allem auf folgende Eigenschaften achten:

  • Hauptsitz und zertifizierte Serverinfrastruktur in der EU oder dem EWR
  • Möglichkeit zur Löschung aller Kundendaten und -kommunikation einzelner Kunden und zum Blocken des Unternehmenskontakts auf Kundenanfrage

Die gleichen Attribute sollte auch die Kunden-Messaging-Software haben, mit der ihr ausgewählter BSP zusammenarbeitet. Denn außer WhatsApp verarbeiten bis zu zwei weitere Firmen in Ihrem Auftrag die Daten Ihrer Kunden. Nur wenn alle Teile dieser Kette sich im Rahmen der DSGVO bewegen, ist das Konstrukt als solches DSGVO-konform.

Schaubild zeigt, wie Unternehmen die WhatsApp Business API mit einer professionellen Kundenservice-Software verknüpfen können.
So sieht die DSGVO-konforme WhatsApp-Kommunikation über den bekannten Business Solution Provider (BSP) 360 Dialog und die Kunden-Messaging-Software Userlike aus.

WhatsApp Business API: einfach und sicher mit Userlike

Eine Verbindung der API mit Userlike hat mehrere Vorteile:

  • Einfache Integration und Instandhaltung . Wir sind Ihr persönlicher Ansprechpartner und begleiten Sie Schritt für Schritt.
  • Zertifizierte Serverinfrastruktur in Deutschland. Als deutsches Unternehmen wissen wir um die Bedeutung von Datenschutz und -sicherheit in der Kundenkommunikation.
  • Gemacht für professionellen Service. Userlike wurde für die Kundenkommunikation entwickelt und bietet Ihnen effektive Funktionen für erfolgreichen WhatsApp-Support.
  • Omni-Messaging in einer Software. Bündeln Sie Ihre Kundengespräche auf allen relevanten Kanälen an einem Ort – Userlike ist Ihre Plattform für Website-Chat, WhatsApp, Facebook Messenger, Telegram, Threema und SMS.

Bei Userlike erhalten Sie bereits ab 90 Euro monatlich Zugang zur WhatsApp Business API . Melden Sie sich bei Interesse über dieses Formular bei uns. Wir freuen uns, von Ihnen zu hören und Sie bei Ihrem Start mit der WhatsApp Business API zu unterstützen!

4
Mehr zum Thema WhatsApp im Unternehmen

Das Thema Kundenkommunikation per WhatsApp bewegt sich aktuell enorm schnell. Diese Posts helfen Ihnen, Schritt zu halten.

Sprechen Sie mit Ihrem Datenschutzbeauftragten

Bitte beachten Sie, dass dieser Artikel trotz sorgfältiger Recherche lediglich unseren Wissensstand abbildet und keine rechtsverbindliche Auskunft darstellt. Wir empfehlen Ihnen deshalb, Ihre individuelle WhatsApp-Integration immer auch mit Ihrem Datenschutzbeauftragten zu besprechen.