Kann man WhatsApp Business DSGVO konform nutzen? - So geht's

  • Marco Endrich
  • 28.2.2024
  • 5 min Lesezeit
WhatsApp-Datenschutz: Dürfen Unternehmen WhatsApp nutzen?

WhatsApp Business kann DSGVO-konform genutzt werden. Voraussetzung ist die Nutzung der WhatsApp API und dass diese DSGVO-konform in die jeweilige Messaging Plattform oder eigene Tools integriert wurde. Die Nutzung der klassischen WhatsApp App oder der WhatsApp Business App gilt generell nicht als DSGVO-konform und ist daher für Unternehmen innerhalb der EU nicht geeignet.

In unserem Artikel erfahren Sie:

🧑‍⚖️ Tooltip - 100% DSGVO-konform mit unsere kostenlosen Generatoren

Was ist WhatsApp Business?

Mit über 2 Milliarden Nutzern zählt WhatsApp zu den drei beliebtesten Apps weltweit. In Deutschland, Österreich und der Schweiz wird der Messenger auf fast 90 % aller Smartphones genutzt. Privat nutzt fast jeder WhatsApp – da liegt es nahe, dass auch Unternehmen WhatsApp verstärkt zur Kommunikation nutzen möchten.

Grundsätzlich gibt es drei Möglichkeiten, den Messenger als Kommunikationskanal zu nutzen.

  • Die klassische WhatsApp App
  • Die WhatsApp Business App
  • Die WhatsApp Business API (auch WhatsApp Business Plattform)

Für den unternehmerischen Einsatz ist allerdings nur die WhatsApp Business API zu empfehlen, da die fertigen Apps nicht als DSGVO-konform gelten. Das liegt daran, dass WhatsApp, auch bei der Business App Daten erhebt, deren Verarbeitung eine ausdrückliche Einwilligung der Nutzer erfordert.

Bei der WhatsApp Business API handelt es sich um eine Schnittstelle für Programmierer, die den Zugriff auf die WhatsApp Business Plattform ermöglicht. Alternativ können Unternehmen auch Messaging-Plattformen wie Superchat nutzen, die die API bereits integriert haben.

Die API ermöglicht es Ihnen Nachrichten über WhatsApp zu kommunizieren, ohne dass WhatsApp dafür personenbezogene Daten verarbeitet oder Nachrichten auf den eigenen Servern speichert. Die DSGVO-konforme Nutzung hängt hier also nicht von WhatsApp ab, sondern von dem Unternehmen, das die API integriert.

Warum sind die WhatsApp App und WhatsApp Business App nicht DSGVO-konform?

Die klassische WhatsApp App sowie die Business App sind, trotz Ende-zu-Ende-Verschlüsselung nicht DSGVO-konform und sollten daher in der Unternehmenskommunikation keine Anwendung finden.

Dafür gibt es 4 Gründe:

  1. WhatsApp verarbeitet Metadaten, die DSGVO-relevant sein können.
  2. WhatsApp hat in den Standardeinstellungen Zugriff auf Kontaktdaten.
  3. WhatsApp speichert Backups in den Standardeinstellung unverschlüsselt.
  4. WhatsApp speichert Nachrichten, die nicht zugestellt werden konnten, vorübergehend auf den eigenen Servern zwischen.

Als DSGVO-technisch relevant ist vor allem die Verarbeitung der Metadaten, da diese auch von den Unternehmen nicht unterbunden werden kann. Die Verschlüsselung der Backups kann hingegen in den Einstellungen der Apps vorgenommen werden.

Der Zugriff auf private Kontaktdaten kann verhindert werden, indem Sie entweder der App generell den Zugriff auf Ihre Kontakte untersagen, oder die Business App auf einem separaten Gerät nutzen, auf dem ausschließlich geschäftlich relevante Kontakte gespeichert werden.

Noch mehr informationen finden Sie in unserem kostenlosen E-book
Alles zum DSGVO-konformen Einsatz von WhatsApp Business. Vom Tracking bis zum Double-Opt-In über den Messanger
ebook

Welche Daten erhebt WhatsApp von Nutzern?

Wichtig ist: WhatsApp hat keinen direkten Zugriff auf die Inhalte von Konversationen. Alle Chats sind bereits seit 2016 generell Ende-zu-Ende verschlüsselt. WhatsApp kann also keine Inhalte der Nachrichten in irgendeiner Form verarbeiten und teilt auch keine Daten mit anderen Meta-Unternehmen wie Facebook oder Instagram.

Allerdings werden bei der Übertragung der Konversationen sogenannte Metadaten erfasst und gespeichert. Dies gilt sowohl für die WhatsApp App als auch die WhatsApp Business App.

Metadaten sind, vereinfacht gesagt, Daten über Daten. Darunter fallen Informationen wie:

  • Standort
  • Uhrzeit
  • Profilbilder
  • Profilnamen
  • Profilbeschreibungen
  • Gerätenamen
  • Kontakte

Auch wenn Metadaten auf den ersten Blick keine eindeutigen Auskünfte über die Inhalte von Unterhaltungen preisgeben, lässt sich mithilfe solcher Informationen mitunter trotzdem ein relativ klares Profil eines Nutzers erstellen.

Die Verarbeitung solcher personenbezogenen (Meta-)Daten ist laut der DSGVO nur mit dem ausdrücklichen Einverständnis der Nutzer möglich.

In der Praxis wird eine solche Verarbeitung häufig durch einen sogenannten Vertrag zur Auftragsverarbeitung (kurz: AV-Vertrag) geregelt. Im AV-Vertrag wird das Verhältnis zwischen dem Auftraggeber (Ihr Unternehmen) und dem Auftragnehmer (WhatsApp) bestimmt.

Die kommerzielle und widerrechtliche Verarbeitung von Daten durch den Auftragnehmer bzw. WhatsApp wird durch eine solche rechtliche Vereinbarung eingeschränkt. Nur so ist die Nutzung von personenbezogenen Daten im Rahmen der DSGVO möglich.

Jedoch bietet WhatsApp, in der klassischen App, keine Möglichkeit zum Abschluss eines AV-Vertrags an.

Für den Gebrauch von WhatsApp in einem betrieblichen Kontext müssten Sie sich also in der Theorie von jedem einzelnen Ihrer Kunden und Interessenten eine Einverständniserklärung einholen.

So nutzen Sie WhatsApp Business DSGVO-konform

Ob sich die WhatsApp App oder die WhatsApp Business App überhaupt DSGVO-konform eingesetzt werden kann, ist zumindest umstritten. Denn die WhatsApp Business App erfüllt die Standards der DSGVO nur unzureichend.

Das liegt vor allem an der Verarbeitung von Metadaten durch WhatsApp. WhatsApp bietet zwar einen Vertrag zur Auftragsverarbeitung für die WhatsApp Business App an, dieser wird jedoch als unzureichend eingestuft.

Wenn Sie die Business App trotzdem nutzen möchten, sollten Sie darauf achten, dass

Die WhatsApp Business API als datenschutzkonforme Alternative

Die WhatsApp Business API bietet aktuell die einzige Möglichkeit, WhatsApp DSGVO-konform einzusetzen.

Das Thema Datenschutz wird hier nicht mehr ausschließlich von WhatsApp und Meta bestimmt. Die rechtliche Verantwortung liegt bei den sogenannten API und Messaging Solution Providern. Also bei den Unternehmen, die die API anbinden und im Falle der WhatsApp Business API bei dem Unternehmen, das die API anbietet.

Um das volle Potenzial der API auszuschöpfen und WhatsApp 100% datenschutzkonform einzusetzen, müssen spezielle Softwareanwendungen auf Basis der API entwickelt werden.

Solution Provider entwickeln auf Basis der WhatsApp Business API, Messaging Plattformen für den unternehmerischen Einsatz. Die Nutzung der WhatsApp Business API kann hier DSGVO-konform sein, weil die Wahl der Serverstandorte, Softwareentwicklung, und die Gestaltung von rechtlichen Bestimmungen bei den jeweiligen Providern liegen.

💡 Hinweis

Superchat arbeitet beispielsweise mit dem Berliner Unternehmen 360Dialog zusammen und bietet:

  • Serverstandorte in Deutschland.
  • Spezifische AV-Verträge.
  • Kein unbefugter Zugriff auf Kontakte durch die Messaging-Apps.
  • Standardmäßige Ende-zu-Ende-Verschlüsselung aller Daten, Konversationen und Backups.

Für detaillierte Informationen erhalten Sie auf Anfrage ein kostenloses, datenschutzrechtliches Gutachten. Schreiben Sie uns hierfür gerne via WhatsApp.

WhatsApp Business im Marketing - nur mit Opt In

Um Kampagnen wie z.B. Newsletter über WhatsApp zu versenden, müssen die Nutzer vorher ihre Zustimmung geben. Dies ist eine Grundvoraussetzung, um diese Funktion überhaupt nutzen zu können.

Wird ein Newsletter über WhatsApp ohne vorherige Einwilligung versendet, verstößt dies gegen die Richtlinien von WhatsApp und die Datenschutzgrundverordnung. Bei einem Verstoß drohen die Sperrung des Accounts und im schlimmsten Fall rechtliche Konsequenzen.

Damit die Zustimmung der Kontakte auch den Anforderungen von WhatsApp bzw. Meta entspricht, müssen folgende Anforderungen erfüllt sein:

  • Es muss deutlich gemacht werden, dass die Person dem Empfang der Nachrichten zustimmt.

  • Der Name des Unternehmens muss eindeutig zu erkennen sein.

  • Unternehmen müssen sich an geltendes Recht (DSGVO) halten.

  • Es muss klare Informationen darüber geben, wie Nutzer sich wieder vom Newsletter abmelden können.

  • Opt Ins können Sie sich über verschiedene Wege einholen. Möglichkeiten bestehen zum Beispiel. per Links/Buttons direkt auf Ihrer Webseite, über Flyer/QR-Codes oder im WhatsApp Chat selbst.

Die folgende Tabelle gibt Ihnen eine Übersicht, wann ein Opt In (✅) notwendig ist:

MediumKunde schreibt UnternehmenUnternehmen schreibt Kunden
WhatsApp Newsletter
WhatsApp Chat
💡 Hinweis

Handelt es sich in der Regel um die reine Kommunikation über WhatsApp, reicht eine normale Einwilligungserklärung aus. Ein Kunde kontaktiert das Unternehmen z.B. über die Website und das Unternehmen weist dann auf die geltenden Datenschutzbestimmungen und die Nutzung von WhatsApp Business über z.B. Superchat hin.

Die Messaging Plattform von Superchat

Superchat ist ein Messaging Solution Provider und betreut über 1.000 Kunden und Partner in ganz Deutschland. Die Messaging Plattform von Superchat bietet Ihnen, neben dem DSGVO-konformen Einsatz von WhatsApp, weitere Funktionen:

Testen Sie Superchat jetzt 14 tage kostenlos.
Sie möchten Superchat selbst entdecken? Erstellen Sie jetzt Ihren kostenlosen Account und erkunden Sie die Messaging Plattform von Superchat.
Cover
Teilen
Marco Endrich
Marco Endrich
SEO & Content Marketing Manager, Superchat
Marco Endrich ist Marketing Manager bei Superchat. Sein Schwerpunkt ist organisches Marketing, insbesondere Suchmaschinenoptimierung und Content-Marketing.