WhatsApp Business und die DSGVO: Das müssen Sie beachten

WhatsApp ist eine der am meisten genutzten Kommunikationsplattformen in Europa, daher ist das Interesse bei Unternehmen groß, diesen auch für die Kommunikation mit potenziellen Kunden zu verwenden.

Die speziell für Unternehmen entwickelte Lösung WhatsApp Business und die Schnittstelle WhatsApp Business Platform können dabei unter gewissen Voraussetzungen mit minimierten Datenschutzrisiken genutzt werden. Entscheidend dafür ist, dass:

• Sie einen Auftragsverarbeitungsvertrag (AVV) mit WhatsApp schließen.
• WhatsApp Business ausschließlich auf Endgeräten ohne gespeicherte Kontakte betreiben, auf die WhatsApp zugreifen kann.
• Das automatische Backup von Daten deaktivieren.
• Sie für das Anschreiben von Kontakten eine Rechtsgrundlage schaffen.
• Sie über die Datenschutzbedingungen informieren und eine Möglichkeit zum Opt-Out geben.

Vollständige Rechtssicherheit ist hier allerdings nicht zu gewährleisten. Und auch für die interne Kommunikation im Unternehmen ist WhatsApp nach aktuellem Stand datenschutzrechtlich ungeeignet.

Was ist bei WhatsApp und der DSGVO grundsätzlich zu beachten?

Positiv hervorzuheben ist bei WhatsApp die Ende-zu-Ende-Verschlüsselung von Nachrichten, die somit vom Zugriff durch das Unternehmen selbst oder Ermittlungsbehörden in den USA nach derzeitigem Stand sicher geschützt sind.

Aus datenschutzrechtlicher Sicht gibt es dennoch einige Faktoren, die den Umgang mit WhatsApp nach den Vorgaben der DSGVO erschweren. Dazu gehören insbesondere die folgenden 3 Faktoren:

1. WhatsApp lädt Adressbuchdaten unverschlüsselt an Server in die USA

Eine der größten potenziellen Herausforderungen beim DSGVO-konformen Umgang mit WhatsApp ist der automatische Abgleich von Adressbuch- bzw. Kontaktdaten. Hierzu werden Daten zu im Adressbuch gespeicherten Kontakten automatisch an WhatsApp-Server in die USA gesendet.

Dies ist aus technischer Sicht insofern nachvollziehbar, als dass WhatsApp wissen muss, mit welchen anderen Nutzern der Nutzer eines Mobiltelefons über WhatsApp kommunizieren kann.

Allerdings findet diese Datenübertragung unverschlüsselt statt, weshalb WhatsApp und theoretisch auch Ermittlungsbehörden in den USA auf diese Daten zugreifen können. Zumindest in der Grundversion von WhatsApp ist das auch deshalb ein Problem, weil WhatsApp diese Daten für eigene Zwecke innerhalb des Meta-Konzerns nutzt und dafür keine Rechtsgrundlage besteht.

Dieser datenschutzrechtliche Mangel lässt sich für Unternehmen etwa dadurch umgehen, dass WhatsApp ausschließlich auf dafür vorgesehenen Firmenhandys betrieben wird, die nur Kontaktdaten zu Nutzern enthalten, für die eine Rechtsgrundlage für die Übertragung der Daten besteht. Dies sicherzustellen, wird in der Praxis allerdings eine große Herausforderung darstellen.

Sie können zusätzlich auch den Abgleich der Daten unterbinden, indem Sie WhatsApp die Rechte zum Zugriff auf Ihre Kontaktdaten in den App-Einstellungen entziehen. Dies geht allerdings mit einem eingeschränkten Funktionsumfang einher und WhatsApp wird weiterhin auf rechtlich fragwürdiger Grundlage Metadaten der Kommunikation für eigene Zwecke verarbeiten. Etwas besser ist die Nutzung der WhatsApp Business Platform, da hier auf eine automatische Adressbuchsynchronisation vollständig verzichtet wird.

2. Weitere Metadaten werden automatisiert an WhatsApp übertragen

Neben den Kontakten aus dem Adressbuch des Telefons werden bei der Nutzung des Messengers noch weitere Metadaten ohne Ende-zu-Ende-Verschlüsselung an Server in den USA übertragen. Dazu gehören etwa der Standort, die IP-Adresse und Informationen zum verwendeten Gerät.

Damit dies einigermaßen DSGVO-konform geschehen kann, müssen Sie als Unternehmen einen Auftragsverarbeitungsvertrag (AVV) mit WhatsApp schließen, in dem die Rechte und Pflichten des Unternehmens im Bezug auf die Verarbeitung mit personenbezogenen Daten klar geregelt sind. Dies ist nur bei WhatsApp Business und der WhatsApp Business Platform möglich. An dieser Stelle sei darauf hingewiesen, dass rechtliche Risiken damit nicht vollständig eliminiert werden. Die verwendete AVV wurde vielfach, unter anderem von Aufsichtsbehörden, kritisiert.

3. Automatische Backups über Cloud-Dienste

WhatsApp bietet standardmäßig automatische Backups über Cloud-Dienste Google Drive oder Apple iCloud an, um im Falle des Verlusts eines Mobiltelefons Kontakte und Nachrichtenverläufe wiederherstellen zu können.

Hier gibt es gleich mehrere Probleme mit der DSGVO-Konformität. Es müssen etwa mit den Cloud-Anbietern weitere AVV-Verträge geschlossen werden, was sich je nach Anbieter als schwierig bis unmöglich gestalten kann.

Zudem können verschlüsselte Nachrichten zwar mittlerweile ebenfalls verschlüsselt gespeichert werden, doch die Funktion muss manuell aktiviert werden und es ist unklar, ob dies DSGVO-Anforderungen vollumfänglich genügt, da die Schlüsselverwaltung weiterhin unklar ist.

Der einzig sichere Weg ist daher, die automatische Backup-Funktion komplett zu deaktivieren.

Worin unterscheiden sich WhatsApp, WhatsApp Business und die WhatsApp Business Platform?

WhatsApp Business unterscheidet sich von der Anwendung für Privatnutzer vor allem in folgender Hinsicht:

• Es erlaubt, einen AVV mit dem Anbieter abzuschließen, was für eine DSGVO-konforme Nutzung in Unternehmen unverzichtbar ist.
• Es kann ein Unternehmensprofil angelegt werden, das seinerseits mit 5 bis 10 Geräten (je nach Tarif) verknüpft werden kann.
• Es können automatisierte Nachrichten bzw. automatische Antworten eingerichtet werden.

Aufgrund des Zuschnitts der Funktionen und der starken Einschränkung der verknüpfbaren Geräte ist WhatsApp Business auf den Kontakt mit potenziellen Kunden optimiert. Für die interne Nutzung ist es denkbar ungeeignet, hier würden sich außerdem weitere Datenschutzprobleme ergeben.

Die WhatsApp Business Platform ist keine eine eigene Anwendung, sondern eine Schnittstelle, über die Unternehmen WhatsApp Business über eine Drittanbieter-Plattform nutzen können. Diese Anbieter sind als sogenannte Business Solution Provider (BSP) allesamt bei WhatsApp zertifiziert.

Wird ein solcher Drittanbieter genutzt, muss auch mit diesem ein AVV abgeschlossen werden. Zudem sollte sichergestellt sein, dass dieser sich selbst an die Vorgaben der DSGVO hält. Ratsam sind daher Anbieter mit Server-Standort in Europa.

Kann ich WhatsApp Business DSGVO-konform nutzen?

WhatsApp Business ist nur auf den Einsatz im Kontakt zwischen Unternehmen und (potenziellen) Kunden zugeschnitten und sollte nicht für die unternehmensinterne Kommunikation genutzt werden. Hierfür gibt es Alternativen wie bspw. Slack, über das wir ebenfalls einen Artikel geschrieben haben.

Abschluss eines AVV

Die erste Voraussetzung für die möglichst rechtskonforme Nutzung von WhatsApp Business ist der Abschluss eines AVV mit dem Anbieter, was standardmäßig möglich ist.

Sollte das derzeit gültige EU-US Data Privacy Framework (DPF) scheitern, wofür zumindest einige Anzeichen sprechen, müssen weitere Maßnahmen ergriffen werden, um den Datentransfer in die USA abzusichern, also z. B. die Standardvertragsklauseln der EU abgeschlossen werden. Dieses Problem betrifft jedoch alle Dienste mit Anbietern in den USA. Ein Restrisiko bleibt daher immer.

Wird ein Drittanbieter als Schnittstellenanbindung an die WhatsApp Business Platform genutzt, muss auch mit diesem ein AVV abgeschlossen werden. Zudem sollte sichergestellt sein, dass dieser sich selbst an die Vorgaben der DSGVO hält. Ratsam sind daher Anbieter mit Standort in Europa.

Technische und organisatorische Maßnahmen

Die nächste Voraussetzung für die möglichst DSGVO-konforme Nutzung von WhatsApp Business ist die Umsetzung von technischen und organisatorischen Maßnahmen, um den Datenschutz bestmöglich zu wahren.

Konkret geht es hier vor allem um die Einstellungen auf den Geräten, auf denen WhatsApp Business installiert ist, sowie um die Einstellungen in WhatsApp selbst. Stellen Sie dabei folgende Dinge sicher:

• Deaktivieren Sie die automatische Kontaktsynchronisation, um sicherzustellen, dass keine personenbezogenen Daten von Nutzern übertragen werden, die den Nutzungsbedingungen von WhatsApp nicht zugestimmt haben. Alternativ können Sie auch sicherstellen, dass lediglich WhatsApp-Nutzer als Kontakte angelegt werden.
• Deaktivieren Sie die automatische Backup-Funktion.
• Legen Sie in Ihrem Unternehmensprofil ein Impressum an.
• Nehmen Sie WhatsApp Business in Ihre Datenschutzerklärung auf.
• Deaktivieren Sie die automatische Speicherung von Anhängen.
• Übertragen Sie keine besonders geschützten personenbezogenen Daten wie etwa Gesundheitsdaten über den Messenger.
• Bereiten Sie Mechanismen vor, um Nutzer zu entfernen, die der Datenverarbeitung per WhatsApp nachträglich widersprechen.

Schaffung einer Rechtsgrundlage

Damit Sie (potentielle) Kunden über WhatsApp kontaktieren dürfen, muss dafür zunächst eine passende Rechtsgrundlage identifiziert werden.

Wenn Endnutzer Sie als erstes über WhatsApp kontaktieren, ist dies meist unproblematisch. Hier können Sie sich auf das berechtigte Interesse an der Verarbeitung der Anfrage berufen.

Nutzen Sie umgekehrt WhatsApp Business, um Endnutzer anzuschreiben, müssen diese in den meisten Fällen zuvor eingewilligt haben. Das bloße Hinterlegen der Telefonnummer ist dafür nicht ausreichend, wenn nicht gleichzeitig explizit darauf hingewiesen wurde, dass diese für den Kontakt per WhatsApp genutzt wird. Regelmäßig ist die Bestätigung der Einwilligung per “Double Opt-in“ erforderlich.

In Ausnahmefällen, etwa bei Werbung gegenüber Bestandskunden, kann auch ein berechtigtes Interesse in Betracht kommen. Dies muss aber individuell geprüft werden.

Beachten Sie, dass Nutzer jederzeit die Möglichkeit haben müssen, ihre Einwilligung zu widerrufen, etwa indem sie im Chat das Wort „Stopp“ schreiben.

Lassen Sie sich im Zweifel professionell beraten

Die DSGVO-konforme Nutzung von Messenger-Diensten im Kontakt mit Endkunden kann gerade im Angesicht komplexer rechtlicher Umstände, wie etwa bei der Nutzung von US-basierten Anbietern, viel Unsicherheit schüren. Beachten Sie hierzu auch die Hinweise der Datenschutzkonferenz (DSK) und Empfehlungen Ihrer zuständigen Aufsichtsbehörde.

Tatsächlich gibt es zwischen den eingesetzten Diensten teilweise große Unterschiede, was die Umsetzung bestimmter technischer und organisatorischer Maßnahmen betrifft, um Compliance zu erreichen. Neben den datenschutzrechtlichen Herausforderungen werden weitere Themen zu lösen sein, wie z. B. ein effektives Berechtigungsmanagement oder Archivierungskonzept. Unserer Auffassung nach bieten andere Anbieter ähnlich gute Lösungen mit weniger rechtlichem Risiko.

Wenden Sie sich daher im Zweifel an einen professionellen Dienstleister. Als Experten für Datenschutz beraten wir Sie gerne bei der datenschutzkonformen Einbindung und Nutzung von Kommunikationsmitteln in Ihrem Unternehmen.