Die kostenlose WhatsApp Business App ist nicht DSGVO-konform, da sie persönliche Metadaten speichert. Die gute Nachricht ist jedoch, dass WhatsApp Business mit der WhatsApp Business API und einer Messaging Plattform wie Superchat DSGVO-konform genutzt werden kann. In diesem Artikel erfahren Sie, wie dies in der Praxis aussieht.
WhatsApp Business und die DSGVO
Mit über 2 Milliarden Nutzern zählt WhatsApp zu den drei beliebtesten Apps weltweit. In Deutschland, Österreich und der Schweiz wird der Messenger auf fast 90 % aller Smartphones genutzt. Privat nutzt fast jeder WhatsApp und deshalb nutzen immer mehr Unternehmen WhatsApp, um näher an ihren Kunden zu sein.
Grundsätzlich gibt es drei Möglichkeiten, den Messenger als Kommunikationskanal zu nutzen.
- Die klassische WhatsApp App für den privaten Gebrauch
- Die WhatsApp Business App
- Die WhatsApp Business API (WhatsApp Business Plattform)
Für den unternehmerischen Einsatz ist allerdings nur die WhatsApp Business API zu empfehlen, da die beiden Apps von WhatsApp nicht als DSGVO-konform gelten. Das liegt daran, dass WhatsApp Daten erhebt, deren Verarbeitung eine ausdrückliche Einwilligung der Nutzer erfordert.
Bei der WhatsApp Business API handelt es sich um eine Schnittstelle für Programmierer, die den Zugriff auf die WhatsApp Business Plattform ermöglicht. Alternativ können Unternehmen auch Messaging-Plattformen wie Superchat mit API-Integration nutzen.
Die API ermöglicht es Ihnen, Nachrichten über WhatsApp zu kommunizieren, ohne dass WhatsApp dafür personenbezogene Daten verarbeitet oder Nachrichten auf den eigenen Servern speichert. Die DSGVO-konforme Nutzung hängt hier also nicht von WhatsApp ab, sondern von dem Unternehmen mit API-Integration.
WhatsApp Business: DSGVO
Die klassische WhatsApp App und die WhatsApp Business App sind trotz Ende-zu-Ende-Verschlüsselung nicht DSGVO-konform und sollten daher in der Unternehmenskommunikation keine Anwendung finden.
4 Probleme beim Datenschutz von WhatsApp:
- WhatsApp verarbeitet Metadaten, die DSGVO-relevant sein können.
- WhatsApp hat in den Standardeinstellungen Zugriff auf Kontaktdaten.
- WhatsApp speichert Backups in den Standardeinstellungen unverschlüsselt.
- WhatsApp speichert Nachrichten, die nicht zugestellt werden können, vorübergehend auf den eigenen Servern.
Als DSGVO-technisch relevant ist vor allem die Verarbeitung der Metadaten, da diese von Unternehmen nicht unterbunden werden kann.
Der Zugriff auf private Kontaktdaten kann verhindert werden, indem Sie der App generell den Zugriff auf Ihre Kontakte untersagen, oder die WhatsApp Business App auf einem separaten Gerät nutzen, auf dem ausschließlich geschäftlich relevante Kontakte gespeichert werden. Und die Verschlüsselung der Backups kann in den Einstellungen der WhatsApp Business App aktiviert werden.
Welche Daten erhebt WhatsApp von Nutzern?
WhatsApp hat keinen direkten Zugriff auf die Inhalte von Unterhaltungen. Alle Chats sind bereits seit 2016 generell Ende-zu-Ende verschlüsselt. WhatsApp kann also keine Inhalte der Nachrichten in irgendeiner Form verarbeiten und teilt auch keine Daten mit anderen Meta-Unternehmen wie Facebook oder Instagram.
Allerdings werden bei der Übertragung der Unterhaltungen sogenannte Metadaten erfasst und gespeichert. Dies gilt sowohl für die WhatsApp App als auch für die WhatsApp Business App.
Metadaten sind strukturierte Informationen zu Daten:
- Standort
- Uhrzeit
- Profilbilder
- Profilnamen
- Profilbeschreibungen
- Gerätenamen
- Kontakte
Auch wenn Metadaten auf den ersten Blick keine eindeutigen Auskünfte über die Inhalte von Unterhaltungen preisgeben, lässt sich mithilfe solcher Informationen teilweise ein relativ klares Profil eines Nutzers erstellen.
Die Verarbeitung solcher personenbezogenen Metadaten ist laut der DSGVO nur mit dem ausdrücklichen Einverständnis der Nutzer möglich.
In der Praxis wird eine solche Verarbeitung häufig durch einen sogenannten Vertrag zur Auftragsverarbeitung (kurz: AV-Vertrag) geregelt. Im AV-Vertrag wird das Verhältnis zwischen dem Auftraggeber (Ihr Unternehmen) und dem Auftragnehmer (WhatsApp) bestimmt.
Die kommerzielle und widerrechtliche Verarbeitung von Daten durch den Auftragnehmer bzw. WhatsApp wird durch eine solche rechtliche Vereinbarung eingeschränkt. Nur so ist die Nutzung von personenbezogenen Daten im Rahmen der DSGVO möglich.
Das Problem besteht darin, dass WhatsApp in den Apps keine Möglichkeit zum Abschluss eines AV-Vertrags anbietet. Für den Gebrauch von WhatsApp in einem betrieblichen Kontext müssten Sie sich also in der Theorie von jedem einzelnen Ihrer Kunden und Interessenten eine Einverständniserklärung einholen.
Messenger Plattformen wie Superchat kümmern sich um die Verträge zur Auftragsverarbeitung, sodass Sie sich auf ihr Kerngeschäft konzentrieren können.
- Serverstandorte in Deutschland ✓
- Spezifische AV-Verträge ✓
- Kein unbefugter Zugriff auf Kontakte durch die Messaging-Apps ✓
- Standardmäßige Ende-zu-Ende-Verschlüsselung aller Daten ✓
WhatsApp Kampagnen nur mit Opt-in
Um Kampagnen wie z. B. Newsletter über WhatsApp zu versenden, müssen die Nutzer vorher ihre Einwilligung geben. Dies ist eine Grundvoraussetzung, um diese Funktion überhaupt nutzen zu können.
Wird ein Newsletter über WhatsApp ohne vorherige Einwilligung versendet, dann verstößt dies gegen die Richtlinien von WhatsApp und die Datenschutzgrundverordnung. Bei einem Verstoß drohen die Sperrung des Accounts und im schlimmsten Fall rechtliche Konsequenzen wie eine DSGVO-Strafe.
Damit die Einwilligung der Kontakte auch den Anforderungen von WhatsApp bzw. Meta entspricht, müssen folgende Anforderungen erfüllt sein: Es muss deutlich gemacht werden, dass die Person dem Empfang der Nachrichten zustimmt.
Der Name des Unternehmens muss eindeutig zu erkennen sein und das Unternehmen muss sich an geltendes Recht (DSGVO) halten. Darüber hinaus müssen die Nutzer immer darüber informiert werden, wie sie sich vom Newsletter wieder abmelden können.
Sie können sich Opt-ins über verschiedene Wege einholen:
- Links/Buttons direkt auf Ihrer Website
- WhatsApp Chat mit Automationen
- Flyer/QR-Codes vor Ort (z. B. Messen)
Fazit: WhatsApp Business Datenschutz
Die WhatsApp App für Endnutzer und die WhatsApp Business App erfüllen nicht die Standards der DSGVO und deshalb sollten sie nicht in Unternehmen verwendet werden. Das liegt vor allem an der Verarbeitung von Metadaten und dem verwendeten Vertrag zur Auftragsverarbeitung, welcher nicht datenschutzkonform ist.
Deshalb ist unsere Empfehlung, dass Sie die WhatsApp Business API mit einer sicheren Messaging Plattform verwenden, um DSGVO-konform mit Ihren Kunden zu kommunizieren.
