WhatsApp im Unternehmen – was sagt der Datenschutz?

WhatsApp ist der weltweit meistgenutzte Instant Messenger und für Milliarden von Menschen ein täglicher Begleiter. Folglich wollen auch immer mehr Unternehmen auf diesem Kanal für ihre Kunden erreichbar sein.

Viele befürchten jedoch, dass die Nutzung von WhatsApp im Unternehmen nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist. Die Sorge basiert zum einen auf dem angeknacksten Image der WhatsApp-Mutterfirma Facebook und zum anderen auf der unklaren Rechtslage nach Aufhebung des Privacy-Shield-Abkommens . Dieses hatte bis dahin als rechtliche Grundlage für den Datentransfer in die USA gedient.

Für zusätzliche Unsicherheit sorgen WhatsApps diverse Apps und Integrationsvarianten, die teils große Unterschiede beim Datenschutz aufweisen.

Wir zeigen Ihnen, worauf Sie achten müssen, um WhatsApp datenschutzkonform in Ihrem Unternehmen einzusetzen.

WhatsApp-Support: was generell gilt

Nutzen Sie WhatsApp als Kontaktkanal, werden Sie zum Verarbeiter von personenbezogenen Daten der Kunden, die Ihnen dort schreiben. Das betrifft mindestens die bei WhatsApp hinterlegte Telefonnummer Ihrer Kunden, aber auch Gesprächsinhalte, beispielsweise wenn hier etwa eine Lieferanschrift oder E-Mail-Adresse kommuniziert wird

Durch die Kontaktaufnahme eines Kunden erhalten Sie nach allgemeiner Rechtsauffassung ein berechtigtes Interesse gemäß DSGVO, seine Daten zu verarbeiten. Schließlich ist die Verarbeitung nötig, damit dieser seine Anfrage stellen kann und Sie diese beantworten. Bei der Verarbeitung selbst müssen Sie sich natürlich ebenfalls an die DSGVO halten .

Bild eines Dokuments mit einer Lupe

Setzen Sie WhatsApp-Produkte für die Kundenkommunikation ein, so endet Ihre Verantwortung aber nicht bei der eigenen Datenverarbeitung. Laut DSGVO verarbeitet WhatsApp die Daten nämlich in Ihrem Auftrag . Deshalb müssen Sie von WhatsApp eine Garantie einholen, dass Ihre Kundendaten dort mit einem hinreichenden Datenschutz verarbeitet werden.

Normalerweise wird diese Garantie in einem Auftragsverarbeitungsvertrag schriftlich dargelegt. WhatsApp hingegen bietet aktuell lediglich seine „Datenverarbeitungsbedingungen” an, in denen wesentliche Angaben fehlen, die die DSGVO in den Verträgen fordert. Man darf jedoch davon auszugehen, dass WhatsApp hier bereits an einem ähnlichen Dokument wie dem für Facebook arbeitet.

Fest steht, dass WhatsApp in jeder seiner Anwendungen die Gesprächsinhalte Ende-zu-Ende-verschlüsselt . Sie erhalten somit das Versprechen, dass niemand mitliest, weder WhatsApp noch unerwünschte Dritte, wie Facebook oder die US-Behörden (hierzu gleich mehr). Was Sie mit Ihren Kunden besprechen, gerät also nie in „fremde” Hände.

Anders ist es bei den sogenannten Metadaten , die WhatsApp bei Nutzung seiner Produkte stets unverschlüsselt erfasst. Zu diesen Daten gehören unter anderem die Telefonnummer des Nutzers, sein Gerät, Art und Zeitpunkt der Nutzung, Standort und IP-Adresse.

Bild einer Wolke mit einem Schloss

WhatsApp übermittelt diese Daten zudem ins EU-Ausland, etwa um sie mit dem Mutterkonzern Facebook zu teilen . Nach Aufhebung des eingangs erwähnten Privacy-Shield-Abkommens beruft sich die Firma nun auf die nach wie vor gültigen Standardvertragsklausel als Rechtsgrundlage für den Datentransfer. Diese bescheinigen Ihrem Kunden, dass sowohl der Verantwortliche (Sie), der Auftragsverarbeiter (WhatsApp) und etwaige Drittländer und Drittorganisationen (USA, Facebook) sämtliche Bestimmungen der DSGVO einhalten.

Ob US-Unternehmen diesen Standard überhaupt erfüllen können, wird von Experten allerdings als fraglich angesehen . Unter bestimmten Umständen sind sie nämlich gesetzlich verpflichtet, den US-Behörden personenbezogene Daten der eigenen Nutzer auszuhändigen. Was ein Verstoß gegen die DSGVO wäre.

Die EU hat bereits angekündigt, die Lage in einem neuen Abkommen mit den USA zu klären. Diese ist nicht zuletzt davon abhängig, welche Politik die aktuellen Machthaber in Punkto Datenschutz vertreten. Bis zu einer Einigung dürften EU-Unternehmen wie beim Vorgänger-Abkommen „Safe Harbor” eine Schonfrist erhalten.

Unser Tipp: Egal wie Sie WhatsApp als Kontaktkanal einsetzen – informieren Sie Ihre Kunden in Ihrer Datenschutzerklärung darüber. Nennen Sie hierbei explizit den Zweck und Umfang der Datenverarbeitung. Bezüglich WhatsApps eigenständiger Datenverarbeitung können Sie auf deren Datenschutzrichtlinie verweisen.

WhatsApp Business (App)

WhatsApp Business ist WhatsApps mobile App für Kleinunternehmer. Diese können dort Produkte und Dienstleistungen anbieten sowie mit Kunden sprechen und dabei simple Automationsoptionen nutzen.

Im Grunde handelt es sich um eine auch kommerziell nutzbare Version der bekannten WhatsApp-Anwendung für den privaten Gebrauch. Sie ist aktuell für Android- und iOS-Geräte verfügbar und kostenlos, jedoch auf ein Gerät, eine Telefonnummer und eine bestimmte Anzahl von Kontakten begrenzt. Sie beantworten Kundenanfragen manuell über ein mobiles Endgerät. Ein größeres Support-Aufkommen lässt sich so natürlich nicht bewältigen.

Auch beim Datenschutz ähneln sich WhatsApp und WhatsApp Business. Problematisch ist vor allem die automatische Kontaktsynchronisation . Sobald Sie WhatsApp Business installieren, erfasst WhatsApp alle Kontakte im Adressbuch des Mobilgeräts, um zu prüfen, ob diese bereits WhatsApp-Nutzer sind.

So gelangen die personenbezogenen Daten Unbeteiligter unverschlüsselt, nicht anonymisiert und nicht pseudonymisiert zu WhatsApp und auf Server in den USA. Hierzu fehlt Ihnen sowie WhatsApp die rechtliche Grundlage, da u.a. weder eine Einwilligung noch ein berechtigtes Interesse vorliegt, diese Daten zu verarbeiten und zu übermitteln.

Bild von einem Safe

Die beste Möglichkeit, diesen werkseitigen DSGVO-Verstoß zu vermeiden, ist WhatsApp Business nur auf einem eigens dafür vorgesehenen Gerät einzusetzen . Das Adressbuch darf also ausschließlich WhatsApp-Kontakte enthalten, zum Zeitpunkt der Installation und danach.

Grundsätzlich ist zu empfehlen, sich vom Kunden kontaktieren zu lassen und dann auf diese Anfrage zu reagieren. Geht die Kontaktaufnahme vom Kunden aus, sollte das als „eindeutig bestätigendes” Verhalten gelten, was der DSGVO als Grundlage für die anschließende Datenverarbeitung genügt.

Es gibt verschiedene Varianten, Kunden auf Ihren WhatsApp-Kanal aufmerksam zu machen. Kommunizieren Sie zum Beispiel Ihre Nummer auf Ihrer Website oder setzen Sie einen Click-to-Chat-Link , mit dem Ihre Kunden Sie direkt auf WhatsApp erreichen.

Umgekehrt sollten Sie Ihrerseits keine Kunden proaktiv per WhatsApp Business anschreiben, die dem zuvor nicht eindeutig zugestimmt haben. Es reicht also nicht, die Telefonnummer des WhatsApp-Kontaktes zu kennen, etwa durch eine Anmeldung auf Ihrer Website.

WhatsApp Business API

Mit der WhatsApps Business API können Sie mehrere Mitarbeiter über mehrere Geräte per WhatsApp mit Kunden sprechen lassen. Sie richtet sich somit an Unternehmen, die einen professionelleren und skalierbaren WhatsApp-Support anstreben. Prominente Beispiele sind BMW, Vodafone und Otto .

Für den Einsatz der API ist keine App von WhatsApp nötig. Stattdessen wird eine externe Software an WhatsApps technische Schnittstelle angedockt, über die Sie dann mit den WhatsApp-Nutzern unter Ihren Kunden kommunizieren können. Zugang zur API erhalten Sie ausschließlich über sogenannte „Business Solution Provider” (BSP), von WhatsApp eigens zertifizierte Partnerunternehmen, womit ein seriöser Umgang mit der WhatsApp-Infrastruktur sichergestellt werden soll.

Viele BSP bieten mit der API auch gleich eine simple Benutzerumgebung an, über die Sie mit Ihren WhatsApp-Kunden kommunizieren können. Andere kooperieren mit Anbietern von eigens für den Kundensupport entwickelter Software, so wie Userlike . So führen Sie all Ihre digitalen Kontaktkanäle wie Live-Chat und weitere Messaging-Apps zusammen und verwalten Ihre Kundenkommunikation zentral von einem Ort aus.

Mehr über die Vorteile, Funktionsweise und Kosten der API erfahren Sie in diesem Post .

Aus Datenschutzsicht ist das Fehlen der nativen App von WhatsApp ein Vorteil. Denn mit ihr fällt auch die problematische automatische Kontaktsynchronisierung weg. Nicht-WhatsApp-Nutzer werden bei der API somit definitiv nicht in Mitleidenschaft gezogen. Ähnlich wie bei der App dürften aber auch über die API Metadaten an WhatsApp übermittelt werden.

Neben Ihren eigenen Datenschutzvorkehrungen können Sie den Datenschutzstandard bei Nutzung der API am stärksten beeinflussen, indem Sie einen BSP wählen, der in diesem Bereich gut aufgestellt ist. Auf der Suche nach geeigneten Kandidaten sollten Sie u.a. auf folgende Eigenschaften achten:

  • Hauptsitz und zertifizierte Serverinfrastruktur in der EU oder dem EWR
  • Möglichkeit zur Löschung aller Kundendaten und -kommunikation einzelner Kunden und zum Blocken des Unternehmenskontakts auf Kundenanfrage

Die gleichen Attribute suchen Sie auch bei einer etwaigen zusätzlichen Messaging-Software, die Sie für den WhatsApp-Support per API verwenden möchten. Außer WhatsApp verarbeiten also bis zu zwei weitere Firmen in Ihrem Auftrag die Daten Ihrer Kunden. Nur wenn alle Teile dieser Kette sich im Rahmen der DSGVO bewegen, ist das Konstrukt als solches DSGVO-konform.

WhatsApp Business API: einfach und sicher mit Userlike

Eine Verbindung der API mit Userlike hat mehrere Vorteile:

  • Einfache Integration und Instandhaltung . Wir sind Ihr persönlicher Ansprechpartner und begleiten Sie Schritt für Schritt.
  • Zertifizierte Serverinfrastruktur in Deutschland. Als deutsches Unternehmen wissen wir um die Bedeutung von Datenschutz und -sicherheit in der Kundenkommunikation.
  • Gemacht für professionellen Service. Userlike wurde für die Kundenkommunikation entwickelt und bietet Ihnen effektive Funktionen für erfolgreichen WhatsApp-Support.
  • Omni-Messaging in einer Software. Bündeln Sie Ihre Kundengespräche auf allen relevanten Kanälen an einem Ort – Userlike ist Ihre Plattform für Website-Chat, WhatsApp, Facebook Messenger, Telegram und SMS.

Melden Sie sich bei Interesse über dieses Formular bei uns. Wir freuen uns, von Ihnen zu hören und Sie bei Ihrem Start mit der WhatsApp Business API zu unterstützen!

Mehr zum Thema WhatsApp im Unternehmen

Das Thema Kundenkommunikation per WhatsApp bewegt sich aktuell enorm schnell. Diese Posts helfen Ihnen, Schritt zu halten.

Sprechen Sie mit Ihrem Datenschutzbeauftragten

Bitte beachten Sie, dass dieser Artikel trotz sorgfältiger Recherche lediglich unseren Wissensstand abbildet und keine rechtsverbindliche Auskunft darstellt. Wir empfehlen Ihnen deshalb, Ihre individuelle WhatsApp-Integration immer auch mit Ihrem Datenschutzbeauftragten zu besprechen.