WhatsApp & DSGVO: Dürfen Unternehmen WhatsApp einsetzen?
Melanie Schröder
Melanie Schröder
14. Januar, 2021
-
12 min Lesezeit

WhatsApp & DSGVO: Dürfen Unternehmen WhatsApp einsetzen?

90 Prozent aller Smartphone-Besitzer in Deutschland nutzen WhatsApp. Der Messenger ist damit sehr viel beliebter als vergleichbare Dienste wie Telegram, Threema und Co. Doch dieser Erfolgsgeschichte zum Trotz gerät WhatsApp immer wieder mit datenschutzrechtlichen Mängeln in die Negativschlagzeilen. Da der Messenger dennoch von Nutzern nach wie vor stark genutzt wird, möchten auch immer mehr Unternehmen WhatsApp in der Kundenkommunikation einsetzen. Doch ist das – hinsichtlich datenschutzrechtlicher Bedenken – eine gute Idee?

Kunden und Interessenten kommunizieren schon lange nicht mehr nur über Telefon und E-Mail. Mit der voranschreitenden Digitalisierung haben sich zahlreiche neue Möglichkeiten der Kommunikation ergeben. Besonders beliebt sind Messenger wie WhatsApp, mit denen Nutzer momentan überwiegend privat mit Freunden und Familie kommunizieren.

WhatsApp sollte nach dem Willen der Gründer zwar eine Plattform zur privaten Kommunikation bleiben, doch mit der Übernahme des Messengers durch Facebook hat sich dieser Vorsatz offensichtlich geändert. Denn immer mehr Unternehmen überlegen, ob Sie WhatsApp in die Kundenkommunikation einbinden.

Und auch WhatsApp öffnet sich dieser Möglichkeit mit den Services WhatsApp Business und WhatsApp API, die speziell für Unternehmen konzipiert wurden. Doch sind diese Dienste überhaupt mit der Datenschutz-Grundverordnung (DSGVO) vereinbar?

WhatsApp & Datenschutz: Diese Daten erhebt WhatsApp

Der Messenger greift auf personenbezogene Daten wie die Telefonnummer, den Profilnamen sowie Profilbild des Nutzers und seiner Kontakte zu. Zusätzlich werden Login-In-Informationen, Standort, genutztes Endgerät, IP-Adresse, Betriebssystem, Batteriestand sowie gegebenenfalls Transaktionsdaten gespeichert. Nachrichten werden Ende-zu-Ende verschlüsselt und damit in der Regel nicht von WhatsApp mitgelesen. Allerdings hat der Messenger Zugriff auf Metadaten wie Empfänger, Absender, Zeitpunkt des Versands der Nachricht und Dateigröße.

Auch, wenn konkrete Inhalte der Nachrichten nicht ausgewertet werden können, liefern Nutzer dem Messenger eine Menge privater Daten. So kann WhatsApp – bzw. deren Algorithmus – ein Bewegungsprofil seiner Nutzer erstellen und mehr über die Gewohnheiten seiner Nutzer erfahren.

Ist WhatsApp DSGVO-konform?

Da die Kommunikation bei WhatsApp Ende-zu-Ende verschlüsselt wird, könnte man glauben, dass das Datenschutzrecht hier gar nicht beachtet werden muss bzw., dass es durch die Ende-zu-Ende-Verschlüsselung der Nachrichten gewahrt sei. Doch da WhatsApp die Metadaten nutzt, also zum Beispiel nachvollziehen kann, wann eine Nachricht von welchem Absender an welchen Empfänger versendet wurde, ist diese Annahme leider ein Trugschluss. Denn hier werden natürlich personenbezogene Daten an WhatsApp übermittelt.

Aus diesem Grund muss bei der Nutzung von WhatsApp für Unternehmen die DSGVO beachtet werden. Und Sie als Unternehmer sind für die Erhebung und Weiterverarbeitung der personenbezogenen Daten Ihrer Kunden und Interessenten verantwortlich.

Neue WhatsApp Datenschutzrichtlinien sorgen für Verwirrung

Anfang 2020 wurde bekannt, dass WhatsApp seine Datenschutzrichtlinien anpasst. Wer diesen nicht zustimmen wollte, durfte den Messenger ab Anfang Februar nicht mehr nutzen – so zumindest die erste Aussage von WhatsApp. In den neuen Datenschutzrichtlinien wurde festgehalten, dass die von WhatsApp erhobenen Nutzerdaten an den Mutterkonzern Facebook übermittelt werden dürfen. Das ist bereits seit 2018 der Fall.

Allerdings bekomme Facebook weiterhin keine Daten von WhatsApp, um beispielsweise Facebook-Werbeanzeigen zu verbessern, versicherte der Nachrichtendienst. Diese Regelung gilt nur für den europäischen Raum. In den USA beispielsweise dürfen Facebook-Werbeanzeigen mithilfe der Daten von WhatsApp-Nutzern optimiert werden. Für die europäischen Nutzer ändert sich mit den neuen Datenschutzrichtlinien von WhatsApp hingegen nichts.

Dennoch hat die Meldung hierzulande für große Aufregung gesorgt. Als Reaktion auf die bevorstehende Änderung der Datenschutzrichtlinien sind millionenfach Nutzer zur Konkurrenz von Signal, Threema und Telegram abgewandert. Und das offensichtlich in so großem Ausmaß, dass WhatsApp beschlossen hat, die Änderung der Datenschutzrichtlinien um drei Monate – und zwar auf den 15. Mai 2021 – zu verschieben.

Lesetipp: Messenger & Datenschutz - Wie denken Nutzer wirklich?

Diese datenschutzrechtlichen Probleme ergeben sich mit WhatsApp

Durch die Verarbeitung und Weitergabe der Daten von WhatsApp ergeben sich für Unternehmer, die WhatsApp zur Kundenkommunikation nutzen möchten, einige datenschutzrechtliche Probleme.

Auslesen der Kontaktdaten

Das wohl bekannteste datenschutzrechtliche Problem bei WhatsApp ist der stetige Upload der gespeicherten Kontakte im Smartphone des WhatsApp-Nutzers. Denn hier werden auch Handynummern von Personen ausgelesen, die WhatsApp nicht nutzen und deren Nutzungsbedingungen nicht zugestimmt haben. Dieses Vorgehen ist zwar technisch nachvollziehbar, weil WhatsApp wissen muss, an welche Kontakte Nachrichten versendet werden können.

Die Kontaktdaten werden allerdings, anders als bei Messenger-Alternativen wie Threema oder Signal, unverschlüsselt auf den Servern von WhatsApp gespeichert. Als Unternehmer müssten Sie also die Einwilligung jedes einzelnen Kontakts zur Nutzung von WhatsApp nachweisen, was in der Praxis kaum möglich sein dürfte.

Unverschlüsselte Backups

Zwar garantiert WhatsApp, dass alle Nachrichten Ende-zu-Ende verschlüsselt werden, doch trifft dies nicht auf Backups zu. Diese können unter Umständen unverschlüsselt an an Dritte weitergegeben werden, was laut Datenschutz-Grundverordnung natürlich nicht zulässig ist.

Problematisch wäre das beispielsweise, wenn Sie mit Kunden über WhatsApp kommunizieren und dabei die automatische Backup-Funktion aktiviert ist. Diese Chatverläufe werden in Form der automatischen Backups unverschlüsselt in der Google oder Apple Cloud gespeichert und sind demnach für Hacker leicht auszulesen.

Nutzung der Metadaten

Wer WhatsApp häufig nutzt oder vielleicht sogar immer „eingeschaltet“ hat, liefert dem Messenger ein ganzes Bewegungsprofil seiner Person. Damit weiß der Konzern, wo ein Nutzer wohnt, ob er die App mit einem WLAN-Netzwerk oder mobil nutzt und mit welchem Kontakt er wann kommuniziert.

Dieses Problem kann datenschutzrechtlich mit einem Vertrag zur Auftragsverarbeitung (AV-Vertrag) bereinigt werden. Doch diesen kann man mit der herkömmlichen WhatsApp gar nicht abschließen und selbst mit WhatsApp Business nur unzureichend, da der AV-Vertrag die Anforderungen der DSGVO nicht in vollem Maße erfüllt. Eine Verarbeitung von personenbezogenen Metadaten durch den Messenger ist also ohne die ausdrückliche Einwilligung Ihrer Kunden nicht erlaubt.

Datenweitergabe an Facebook und deren Tochterunternehmen

WhatsApp greift nicht nur auf die bereits erwähnten Daten zu, sondern gibt diese auch an den Mutterkonzern Facebook in den USA weiter, wo die Daten nicht so streng geschützt sind wie im europäischen Raum. Zudem werden die Daten unter Umständen nicht nur an Facebook weitergegeben, sondern möglicherweise auch an Tochterfirmen von Facebook.

Zu dem Konzern gehört zum Beispiel das soziale Netzwerk Instagram, die digitale Geldbörse Novi (für die hauseigene Kryptowährung Libra) oder die Mitarbeitersoftware Workplace. Möglicherweise könnten also auch in diesen Tochterunternehmen Daten von WhatsApp-Nutzern gespeichert werden.

Privacy Shield gerichtlich gekippt

Da die DSGVO nicht für die USA gilt, wo die Daten europäischer Tochterfirmen der US- Konzernen hauptsächlich verarbeitet werden, wurde vor einigen Jahren das sogenannte Privacy Shield Abkommen zwischen den USA und der EU verabschiedet. Mit diesem Privacy Shield haben sich US-Konzerne dazu verpflichtet, auch in den USA ähnlich strenge Datenschutzrichtlinien, wie in der DSGVO vereinbart, einzuhalten. Damit sollten die Daten europäischer WhatsApp-Nutzer in den USA besser geschützt werden.

Im Juli 2020 wurde dieses Abkommen aufgrund des mangelhaften Datenschutzes in den USA durch den Europäischen Gerichtshof für ungültig erklärt. Der österreichische Datenschutzaktivist Max Schrems hatte Klage eingereicht, da US-Geheimdienste aufgrund von amerikanischen Überwachungsgesetzen trotz Privacy Shield Zugriff auf Daten europäischer Nutzer hatten.

LesetippWhatsApp Business API: 5 Anbieter im Vergleich

Wie kann ich WhatsApp als Unternehmen DSGVO-konform nutzen?

Aus diesen Gründen ist WhatsApp leider aus datenschutzrechtlicher Sicht nach wie vor bedenklich. Da der Großteil der Smartphone-Besitzer immer noch WhatsApp nutzt, stellt sich allerdings die Frage, wie Firmen trotzdem über WhatsApp mit Ihren Kunden rechtssicher interagieren können.

Beispielsweise könnten Sie mit einem Smartphone mit Ihren Kunden über WhatsApp kommunizieren, das von Ihren privaten Kontakten getrennt ist und im besten Falle keinen einzigen Kontakt gespeichert hat. Zudem sollten Sie besser WhatsApp Business oder WhatsApp API nutzen, damit Sie den erwähnten AV-Vertrag abschließen können. Die automatischen Backups von WhatsApp sollten Sie deaktivieren.

Darüber hinaus wäre es am besten, wenn Ihr Kunde von sich aus den Kontakt über WhatsApp sucht. Zwar können auch Sie Ihren Kunden per WhatsApp anschreiben, aber dazu muss er Ihnen die Erlaubnis erteilen, wenn Sie datenschutzrechtlich auf der sicheren Seite sein möchten.

Lesetipp: WhatsApp Business API - Die wichtigsten Infos auf einen Blick

WhatsApp für Unternehmen ja oder nein? Die Entscheidung liegt bei Ihnen

An dieser Stelle müssen Sie als Unternehmer für sich und Ihr Geschäftsmodell abwägen und eine Entscheidung treffen: Ist die Kundenkommunikation über WhatsApp Ihnen die datenschutzrechtlichen Bedenken wert? Denn gerade, wenn Ihre Zielgruppe hauptsächlich über WhatsApp kommuniziert, kann es für Sie als Unternehmer sinnvoll sein, trotz aller datenschutzrechtlichen Lücken die Kundenkommunikation über WhatsApp in Betracht zu ziehen.

Verhält sich Ihre Zielgruppe hingegen sehr zurückhaltend gegenüber WhatsApp und ist datenschutzrechtlich sensibilisiert, sollten Sie eher von der Idee Abstand nehmen oder Kundenservice über einen anderen Messenger anbieten. Welche Lösung in Ihrem Fall die beste ist, müssen Sie selbst entscheiden.

Möchten Sie Ihre Kundenanfragen in einer Software bündeln?

Datenschutzrechtlich gibt es bei WhatsApp also einiges zu beachten. Doch egal, ob Sie sich für WhatsApp oder einen anderen Messenger zur Kundenkommunikation entscheiden: Vermutlich fügen Sie einen weiteren Kanal Ihren bereits bestehenden Kommunikationskanälen hinzu. Denn in der Regel erreichen Kundenanfragen auf vielen verschiedenen Wegen das jeweilige Unternehmen: Telefon, E-Mail, Sms, WhatsApp, Facebook Messenger und weitere – da kann man schon mal den Überblick verlieren.

Je nach Unternehmensgröße und Aufkommen von Kundenanfragen kann das im Geschäftsalltag zum handfesten Problem werden: Schließlich müssen die Mitarbeiter des Kundenservice alle Kanäle im Blick behalten und wollen keinen Kunden zu lange warten lassen. Dieses Problem lässt sich ganz einfach mit der Software von Superchat lösen. Hier können Sie alle Kanäle in einer Plattform bündeln und behalten alle Kundenanfragen im Blick!

Möchten Sie Superchat nutzen? Haben Sie Fragen zu unserem Produkt? Kontaktieren Sie uns ganz einfach und unverbindlich hier via WhatsApp, oder schreiben Sie uns eine E-Mail unter hello@superchat.de. Wir freuen uns auf Sie!

Erfahren Sie jetzt mehr über Superchat

Beginnen Sie noch heute mit Superchat zu wachsen. Bündeln Sie alle Kommunikationskanäle in einem Posteingang und sammeln Sie mehr Bewertungen. All das ganz einfach mit Superchat.

Melanie Schröder

Melanie Schröder

Melanie ist eine freie Content Marketing Expertin und Autorin. Als Messaging Expertin für Unternehmen schreibt sie Inhalte, die Unternehmen dabei helfen mit Messaging zu wachsen.