Sie möchten WhatsApp in Ihrem Unternehmen einsetzen, haben aber noch Bedenken in Bezug auf datenschutzrechtliche Bestimmungen?
Für Sie gibt es mit der klassischen WhatsApp Applikation, der WhatsApp Business App, sowie der WhatsApp Business API drei Möglichkeiten, um den Messenger zu nutzen. Dabei ist ausschließlich die WhatsApp Business API für den unternehmerischen Einsatz empfehlenswert.
In unserem Artikel finden Sie Antworten auf folgende Fragen:
- Welche Daten erhebt WhatsApp von seinen Nutzern?
- Wieso ist die klassische WhatsApp Applikation nicht DSGVO-konform?
- Welche Limitierungen gibt es bei der WhatsApp Business App?
- Welche DSGVO-konformen Alternativen können Sie als Unternehmer nutzen?
Welche Daten erhebt WhatsApp von seinen Nutzern?
Chats sind generell End-to-End verschlüsselt.
WhatsApp hat zunächst keinen direkten Zugriff auf die Inhalte von Konversationen.
Allerdings werden gleichzeitig sogenannte Metadaten erfasst und gespeichert.
Metadaten sind, vereinfacht gesprochen, Daten über Daten. Darunter fallen Informationen über:
- Standort
- Uhrzeit
- Profilbilder
- Profilnamen
- Profilbeschreibungen
- Gerätenamen
- Kontakte
Auch wenn Metadaten auf den ersten Blick keine eindeutigen Auskünfte über die Inhalte von Unterhaltungen preisgeben, lässt sich mithilfe solcher Informationen trotzdem ein vergleichsweise klares Profil der Nutzer zeichnen.
Zudem können Inhalte, trotz End-to-End Verschlüsselung, unter bestimmten Bedingungen, (zwischen)gespeichert werden:
-
WhatsApp Nachrichten, die von einem Chatteilnehmer noch nicht empfangen wurden, werden für maximal 30 Tage auf den Servern von WhatsApp und Meta gelagert.
-
Chat Backups, die Sie automatisch erstellen, sind ebenfalls zugänglich, sofern Sie die End-to-End Verschlüsselung nicht aktiv in der App aktiviert haben.
Wieso ist WhatsApp nicht DSGVO-konform?
Die klassische WhatsApp Applikation ist, trotz End-to-End Verschlüsselung, nicht DSGVO-konfrom und sollte in der Unternehmenskommunikation keine Anwendung finden.
Hierfür gibt es 3 Gründe:
- Verarbeitung personenbezogener Metadaten.
- Zugriff auf Kontaktdaten.
- Unverschlüsselte Backups.
Verarbeitung personenbezogener Metadaten
WhatsApp erfasst diverse Metadaten (z.B. Profil- und Geräteinformationen) seiner Nutzer.
Die Verarbeitung solcher personenbezogenen (Meta-)Daten ist laut der DSGVO nur mit dem ausdrücklichen Einverständnis der Nutzer möglich.
In der Praxis wird eine solche Verarbeitung häufig durch einen sogenannten Vertrag zur Auftragsverarbeitung (kurz: AV-Vertrag) geregelt.
Im AV-Vertrag wird das Verhältnis zwischen dem Auftraggeber (Ihr Unternehmen) und dem Auftragnehmer (WhatsApp) bestimmt.
Die kommerzielle und widerrechtliche Verarbeitung von Daten durch den Auftragnehmer bzw. WhatsApp wird durch eine solche rechtliche Vereinbarung eingeschränkt. Nur so ist die Nutzung von personenbezogenen Daten im Rahmen der DSGVO möglich.
Jedoch bietet WhatsApp, in der klassischen App, keine Möglichkeit zum Abschluss eines AV-Vertrags an.
Für den Gebrauch von WhatsApp in einem betrieblichen Kontext müssten Sie sich also in der Theorie von jedem einzelnen Ihrer Kunden und Interessenten eine Einverständniserklärung einholen.
Maßnahmen, die im operativen Geschäft kaum umsetzbar sind.
Zugriff auf Kontaktdaten
WhatsApp und Meta greifen regelmäßig auf die Kontaktdaten Ihrer Nutzer zu und speichern diese Daten unverschlüsselt auf unternehmensinternen Servern in den USA.
Dieser automatische Upload dient zum Abgleich von Daten, um festzustellen, welche Personen dem Nutzer als WhatsApp Kontakt zur Verfügung stehen.
Das Hauptproblem, neben der unverschlüsselten Übermittlung, sind hierbei Kontakte, die keinen WhatsApp Account besitzen.
Theoretisch ist die Weiterleitung von Kontaktdaten an WhatsApp, auf Grundlage einer Interessenabwägung, nach DSGVO-Standards zulässig.
Jedoch greift diese Regelung nicht für Personen, die keinen WhatsApp Account besitzen.
Der Vorteil zur Interessensabwägung liegt in diesem Fall nichtmehr bei WhatsApp und Meta.
Somit ist in der Praxis der Zugriff auf Kontaktdaten datenschutzrechtlich bedenklich, da eine gewisse Wahrscheinlichkeit besteht, dass sich unter den Kontakten Personen befinden, die WhatsApp nicht nutzen.
Unverschlüsselte Backups
Die End-to-End Verschlüsselung von Chat Backups ist standardmäßig in WhatsApp deaktiviert.
Haben Sie das Speichern von Backups in einem Cloud Speicher wie Google Drive aktiviert, bedeutet dies, dass konkrete Inhalte aus Konversationen mit Kunden und Partnern auf den jeweiligen Servern zugänglich sind.
Limitierungen bei der WhatsApp Business App
WhatsApp bietet für Unternehmen eine dedizierte Version des Messengers in Form der WhatsApp Business App an.
Doch wird diese Anwendung den Standards der DSGVO gerecht?
Nein. Die WhatsApp Business App erfüllt nur unzureichend die in der DSGVO festgelegten Normen.
Die Probleme der WhatsApp Business App ähneln dabei denen der klassischen WhatsApp Applikation für den privaten Gebrauch:
- Metadaten können unverschlüsselt auf Servern in den USA gespeichert werden.
- Der angebotene AV-Vertrag wird als unzureichend eingestuft.
- Zugriff auf Kontakte im Adressbuch, die WhatsApp nicht nutzen.
- Chat Backups werden nur verschlüsselt, sofern die Sicherung in der App manuell aktiviert wurde.
📚 Lesetipp 👉🏻 WhatsApp Business Kontakte trennen, verwalten und mehr
Die WhatsApp Business API als datenschutzkonforme Alternative
Die WhatsApp Business API bietet Ihnen aktuell die einzige Möglichkeit, WhatsApp DSGVO-konform einzusetzen.
Das Thema Datenschutz wird hier nichtmehr ausschließlich von WhatsApp und Meta bestimmt. Rechtliche Kompetenzen liegen bei sogenannten API und Messaging Solution Providern. Durch diese Aufstellung können rechtliche Probleme behoben werden.
DSGVO-konformes Setup mit API und Messaging Solution Providern
Die WhatsApp Business API ist eine Schnittstelle zu WhatsApp und keine fertige Applikation, die direkt von Ihnen und Ihren Mitarbeitern genutzt werden kann.
Um das volle Potential der API auszuschöpfen und WhatsApp 100% datenschutzkonform einzusetzen, müssen spezielle Softwareanwendungen auf Basis der API entwickelt werden.
Dies können Sie natürlich mit entsprechenden Ressourcen auch ausschließlich unternehmensintern umsetzen. Ein Unterfangen, das für viele Unternehmen jedoch einen zu großen Aufwand darstellt.
Für einen solchen Fall stehen Ihnen sogenannte Messaging Solution Provider zur Verfügung.
Solution Provider entwickeln auf Basis der WhatsApp Business API, Messaging Plattformen für den unternehmerischen Einsatz.
Der Zugang zur Business API wird von sogenannten API Providern bereitgestellt. Diese sind von WhatsApp zertifizierte Unternehmen und werden als WhatsApp Business API Partner bezeichnet.
Die Nutzung der WhatsApp Business API ist innerhalb dieser Aufstellung DSGVO-konform, weil Wahl der Serverstandorte, Softwareentwicklung, und die Gestaltung von rechtlichen Bestimmungen bei den jeweiligen Providern liegen.
Anbieter wie Superchat arbeiten mit Unternehmen wie 360Dialog zusammen und bieten Ihnen datenschutzkonforme Lösungen:
- Serverstandorte in Deutschland.
- Spezifische AV-Verträge.
- Kein unbefugter Zugriff auf Kontakte durch die Messaging Plattformen.
- Standardmäßige End-to-End Verschlüsselung aller Daten, Konversationen und Backups.
Für detaillierte Informationen erhalten Sie auf Anfrage ein kostenloses, datenschutzrechtliches Gutachten. Schreiben Sie uns hierfür gerne via WhatsApp.
Exkurs: Opt In's
Die DSGVO ist umfangreich. Auch bei der aktiven Nutzung von Messaging Plattformen gibt es einige Regeln zu beachten, um eine datenschutzkonforme Kommunikation zu gewährleisten.
Einverständniserklärungen (Opt In's) Ihrer Kunden bezüglich der Kontaktaufnahme über WhatsApp sind entscheidend:
-
Schreiben Kunden Sie initial über WhatsApp an, gilt dies aus Sicht der DSGVO als Einwilligung des Interessenten. Es ist kein zusätzliches Opt In notwendig, um mit den jeweiligen Personen zu kommunizieren.
-
Möchten Sie Ihre Kunden initial anschreiben oder WhatsApp Newsletter versenden, ist ein Opt In notwendig.
-
Opt Ins können Sie sich über verschiedene Wege einholen. Möglichkeiten bestehen zum Beispiel. per Links/Buttons direkt auf Ihrer Webseite, über Flyer/QR-Codes oder im WhatsApp Chat selbst.
Die folgende Tabelle gibt Ihnen eine Übersicht, wann ein Opt In (✅) notwendig ist:
Medium | Kunde schreibt Unternehmen | Unternehmen schreibt Kunden |
---|---|---|
WhatsApp Newsletter | ✅ | ✅ |
WhatsApp Chat | ❌ | ✅ |
Die Messaging Plattform von Superchat
Superchat ist ein Messaging Solution Provider und betreut über 1.000 Kunden und Partner in ganz Deutschland. Die Messaging Plattform von Superchat bietet Ihnen, neben dem DSGVO-konformen Einsatz von WhatsApp, weitere Funktionen:
- Universeller Posteingang
- Webchat
- WhatsApp Newsletter
- Bewertungsmanagement
- Team Chat
- Mobile App
- Indirekte Integrationen mit CRM, Marketing Automation und eCommerce Systemen via Zapier