Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essentiell, während andere uns helfen, diese Website und deine Erfahrung zu verbessern. Cookie Richtlinien

WhatsApp und die DSGVO: Dürfen Unternehmen WhatsApp einsetzen?

  • Fabian Rabenalt
  • 7/21/2022
  • 5 min Lesezeit
WhatsApp-Datenschutz: Dürfen Unternehmen WhatsApp nutzen?

Fast 90 Prozent aller Smartphone-Besitzer in Deutschland nutzen WhatsApp. Der Messenger ist damit beliebter als vergleichbare Dienste wie Telegram, Threema und Co. Als Kommunikationskanal ist WhatsApp dementsprechend auch für Unternehmen interessant. Dennoch müssen Sie, egal wie die Kundenkommunikation gestaltet wird, DSGVO-konform agieren.

In unserem Artikel finden Sie folgende Informationen:

  • Welche Daten erhebt WhatsApp von seinen Nutzern?
  • Ist WhatsApp DSGVO-konform?
  • Möglichkeiten, um WhatsApp DSGVO-konform in Ihrem Unternehmen einzusetzen.

Welche Daten erhebt WhatsApp von seinen Nutzern?

WhatsApp Chats sind generell End-to-End verschlüsselt. Das bedeutet, dass WhatsApp bzw. Facebook und Meta nicht direkt auf Inhalte der Konversationen, wie Texte oder Medien, zugreifen können.

Allerdings werden gleichzeitig Metadaten erfasst und gespeichert. Dabei sind Metadaten, vereinfacht gesprochen, Daten über Daten. Darunter fallen Informationen über:

  • Standort
  • Uhrzeit
  • Profilbilder
  • Profilnamen
  • Profilbeschreibungen
  • Gerätenamen
  • Kontakte

Auch wenn Metadaten auf den ersten Blick keine eindeutigen Auskünfte über die Inhalte von Unterhaltungen preisgeben, lässt sich mithilfe solcher Informationen ein vergleichsweise klares Bild z.B. bezüglich des Bewegungsprofils zeichnen.

Eine End-to-End Verschlüsselung garantiert zwar, dass Unternehmen wie Meta keinen direkten Zugriff auf Inhalte von Konversationen haben, allerdings bedeutet dies nicht, dass Chatverläufe, unter bestimmten Bedingungen, auf Servern zwischengespeichert werden.

So werden z.B. WhatsApp-Nachrichten, die vom Gegenüber noch nicht empfangen wurden, für maximal 30 Tage zwischengespeichert. Auch werden Chat-Backups, die Sie in der Cloud hochladen, auf Servern von WhatsApp und Meta gespeichert.

Ist WhatsApp DSGVO-konform?

Zunächst müssen Sie verstehen, dass die DSGVO bei Konversationen Ihrer Mitarbeiter, die eigenverantwortlich und rein privater Natur sind, i.d.R. nicht anwendbar ist.

Hat die Kommunikation über WhatsApp jedoch betriebliche Gründe, egal ob intern zwischen Ihren Mitarbeitern oder extern mit Kunden, gelten die Normen der DSGVO.

Trotz einer End-to-End Verschlüsselung steht die Nutzung von WhatsApp im Konflikt mit der DSGVO.

Hierfür gibt es 3 Gründe:

1. Verarbeitung personenbezogener Metadaten

Wie bereits erklärt, erfasst WhatsApp diverse Metadaten über Nutzer der App. Die Verarbeitung solcher personenbezogenen Daten ist laut DSGVO nur mit dem ausdrücklichen Einverständnis von Usern möglich.

In der Praxis wird eine solche Verarbeitung häufig durch einen sogenannten Vertrag zur Auftragsverarbeitung geregelt. Im AV-Vertrag wird das Verhältnis zwischen dem Auftraggeber (Ihr Unternehmen) und Auftragnehmer (WhatsApp) geregelt.

Die eigenständige Verarbeitung von Daten durch den Auftragnehmer wird durch den AV-Vertrag untersagt und eine Weiterleitung der Daten an WhatsApp ist nach DSGVO-Standards möglich.

Die Nutzung bzw. Verarbeitung von personenbezogenen Daten ist in diesem Fall also datenschutzkonform und es bedarf keiner separaten Einwilligung Ihrer Kunden.

Jedoch bietet WhatsApp in der klassischen App keine Möglichkeit an, einen AV-Vertrag abzuschließen.

Für den Gebrauch von WhatsApp in einem betrieblichen Kontext müssten Sie sich also in der Theorie von jedem einzelnen Ihrer Kunden und Interessenten eine Einverständniserklärung einholen. Maßnahmen, die im operativen Geschäft kaum umsetzbar sind.

2. Zugriff auf Kontaktdaten

WhatsApp und Meta greifen regelmäßig auf die Kontaktdaten Ihrer Nutzer zu und speichern diese Daten unverschlüsselt auf unternehmensinternen Servern in den USA.

Dieser automatische Upload dient zum Abgleich der Daten von anderen Nutzern, um z.B. festzustellen, welche Personen dem User als WhatsApp Kontakt zur Verfügung stehen.

Das Hauptproblem, neben der unverschlüsselten Übermittlung, sind hierbei Kontakte, die keinen WhatsApp Account besitzen. Theoretisch ist die Weiterleitung von Kontaktdaten an WhatsApp auf Grundlage einer Interessenabwägung nach der DSGVO zulässig.

Jedoch greift diese Regelung nicht für Personen, die keinen WhatsApp Account besitzen. Der Vorteil zur Interessensabwägung liegt hier bei den Verbrauchern. Somit ist in der Praxis der Zugriff auf Kontaktdaten und Telefonbücher datenschutzrechtlich bedenklich, da die Wahrscheinlichkeit hoch ist, dass sich unter den Kontakten Personen befinden, die keinen WhatsApp Account besitzen.

3. Unverschlüsselte Backups

Das letzte Problem besteht im Upload von Chat-Backups. Die Funktion für die automatische Erstellung von Backups ist im Messenger standardmäßig aktiviert.

Dabei werden Chatinhalte unverschlüsselt auf den Servern von WhatsApp gespeichert. Backups, die in der Cloud gesichert werden, sind somit nicht durch eine End-to-End Verschlüsselung geschützt.

Möglichkeiten, um WhatsApp DSGVO-konform in Ihrem Unternehmen einzusetzen

Von der Nutzung der klassischen WhatsApp Applikation für betriebliche Zwecke ist auf Basis der beschriebenen, datenschutzrechtlichen Probleme, abzuraten.

Auch verbietet WhatsApp selbst in den eigenen Policies die kommerzielle Nutzung von WhatsApp.

Für Sie als Unternehmer gibt es dennoch zwei Möglichkeiten, um WhatsApp einzusetzen:

1. WhatsApp Business

WhatsApp und Meta bieten, neben der Applikation für den privaten Gebrauch, auch eine kostenlose App für die betriebliche Anwendung an.

Diese beinhaltet u.a. Features, die eine datenschutzrechtliche Nutzung gewährleisten sollen. So besteht z.B. die Möglichkeit einen AV-Vertrag abzuschließen. Dies geschieht automatisch, sobald Sie die App downloaden und die Nutzungsbedingungen akzeptieren.

Trotz dieser Möglichkeit gibt es Kritik an dem von WhatsApp bereitgestellten AV-Vertrag und seiner datenschutzrechtlichen Konformität.

Zudem greift die WhatsApp Business App auch auf die Kontakte der Nutzer zu. Eine Praxis, die wie beschrieben, vom Standpunkt der DSGVO, kritisch gesehen werden muss.

2. WhatsApp Business API

Auch wenn WhatsApp Business bezüglich der DSGVO-Standards der klassischen App einige Schritte voraus ist, gewährt auch dieser Messenger keine 100% DSGVO-konforme Nutzung für Ihr Unternehmen.

Zudem gibt es auch weitere Einschränkungen bei der Anwendung. So ist die maximale Anzahl an möglichen Nutzern limitiert bzw. die gleichzeitige Verwendung durch verschiedene Mitarbeiter und Nummern eingeschränkt.

Die WhatsApp Business API bietet Ihnen aktuell die beste Möglichkeit, WhatsApp DSGVO-konform einzusetzen.

Das Thema Datenschutz liegt hier nämlich bei Ihnen und dem jeweiligen API-Provider.

WhatsApp Business 100% DSGVO-konform mit Superchat

Die WhatsApp Business API ist eine Schnittstelle zu WhatsApp und keine fertige Applikation, die direkt von Ihnen und Ihren Mitarbeitern genutzt werden kann.

Um das volle Potential der WhatsApp Business API auszuschöpfen, müssen spezielle Benutzeroberflächen entwickelt werden. Hier kommen Messaging-Plattformen wie Superchat ins Spiel.

Superchat arbeitet gemeinsam mit WhatsApp API-Providern wie 360dialog zusammen und bietet Ihnen eine Messaging-Suite, in der Sie WhatsApp betrieblich einsetzen können.

Wie bereits beschrieben, liegen datenschutzrechtliche Verantwortungen bei Ihnen und Ihren Partnern. Superchat und auch andere Anbieter setzen hierbei auf Server, die sich in Deutschland befinden und gewähren dadurch einen 100% DSGVO-konformen Einsatz der Plattformen.

Zudem schließen Solution Provider wie Superchat spezifische AV-Verträge mit Kunden ab, um eine datenschutzkonforme Nutzung der personenbezogenen (Meta-)Daten zu gewährleisten.

Auch fällt das Problem bezüglich des Zugriffs auf Kontaktdaten weg, da keine WhatsApp Applikation zum Einsatz kommt. Die Softwarelösung von Superchat greift somit nicht auf Daten von Personen zu, die WhatsApp nicht nutzen.

Die DSGVO ist umfangreich. Auch bei der aktiven Nutzung von Superchat gibt es einige Regeln zu beachten, um eine 100% datenschutzkonforme Kommunikation zu gewährleisten. Hier weitere Tipps für eine optimalen Einsatz der Messaging-Suite:

  • Schreiben Kunden Sie initial über WhatsApp an, gilt dies aus Sicht der DSGVO als Einwilligung des Interessenten zur Verarbeitung der personenbezogenen Daten. Es ist kein zusätzliches Opt-In notwendig, um mit den jeweiligen Personen zu kommunizieren.

  • Möchten Sie Ihre Kunden zuerst anschreiben oder WhatsApp Newsletter versenden, ist ein Opt-In, also eine Einverständniserklärung seitens Ihrer Kundschaft, notwendig.

  • Opt-In’s können Sie sich über verschiedene Wege einholen. Möglichkeiten bestehen z.B. über Links/Buttons direkt auf Ihrer Webseite, über Flyer/QR-Codes oder direkt im WhatsApp Chat selbst.

Die folgende Tabelle zeigt Ihnen nocheinmal, wann ein Opt-In (✅) notwendig ist:

MediumKunde schreibt UnternehmenUnternehmen schreibt Kunden
WhatsApp Newsletter
WhatsApp Chat

Neben WhatsApp Business bietet Superchat auch weitere hilfreiche Features wie das Management von Online-Bewertungen, Team-Chats und einen universellen Posteingang.

Falls Sie Interesse haben, kontaktieren Sie uns ganz einfach und unverbindlich hier via WhatsApp.

Wir freuen uns auf Sie!

Fabian Rabenalt

Fabian ist Marketing Intern bei Superchat. Zu seinen Themenschwerpunkten gehören u.a. die Bereiche B2B Marketing und Unternehmenskommunikation.