9 min. Lesezeit

WhatsApp und Datenschutz für Unternehmen? So nutzt du WhatsApp DSGVO-konform!

Conversations
Campaigns
WhatsApp und Datenschutz
Teilen über:

Kannst du als Unternehmen WhatsApp DSGVO-konform in der Kundenkommunikation nutzen? Ja! Doch es gibt einige Dinge zu beachten. Wir erklären, welche Regeln zu WhatsApp im Unternehmen und DSGVO gelten und welche WhatsApp-Lösung den besten Datenschutz bietet. 

WhatsApp ist Deutschlands beliebteste Messenger-App! Die Deutschen verschicken darüber nicht nur Nachrichten, Videos und Memes an Freund:innen und Bekannte, sie wollen zunehmend auch mit Unternehmen über WhatsApp kommunizieren. Für viele Unternehmen ist das aber eine Herausforderung. Denn sie müssen dabei die Einhaltung der Europäischen Datenschutzgrundverordnung (DSGVO) garantieren können.

Geht das mit WhatsApp überhaupt? Denn die App hat so einige Datenschutzskandale hinter sich und die Sicherheit des Messengers wird immer wieder hinterfragt (wenn auch zu Unrecht). Die gute Nachricht: Ja, WhatsApp und Datenschutz lassen sich für Unternehmen durchaus vereinbaren.

Dabei musst du aber einige Details beachten und vor allem die für dein Unternehmen passende Version von WhatsApp Business einsetzen. Wie das funktioniert und wie du WhatsApp DSGVO-konform für die Kundenkommunikation nutzen kannst, erklären wir in diesem Guide.


WhatsApp und Co. DSGVO-konform im Unternehmen nutzen

Finde heraus, wie Unternehmen WhatsApp zu 100 Prozent datenschutzkonform einsetzen: Tipps, Beispiele und DSGVO-Checkliste! 


Allgemeine Regeln zur WhatsApp und der DSGVO für Unternehmen

Die DSGVO ist am 25. Mai 2018 in Kraft getreten und regelt den Umgang und die Verarbeitung von Unternehmen von personenbezogenen Daten wie etwa Name, Adresse, E-Mail oder IP-Adresse.

Wenn Unternehmen WhatsApp in der Kundenkommunikation nutzen, fallen derartige personenbezogene Daten an. So ist etwa die Telefonnummer sichtbar oder auch im Gespräch können sensible Informationen wie die Adresse oder eine E-Mail-Adresse vorkommen. Dafür muss das Unternehmen dann garantieren, dass diese nach DSGVO-Richtlinien verarbeitet werden. 

Dabei ergeben sich bei WhatsApp mehrere Probleme. 

Diese Probleme gibt es mit WhatsApp und Datenschutz

Ende-zu-Ende-Verschlüsselung vs. Datenschutz

Zunächst einmal gilt es zu unterscheiden zwischen der Sicherheit von WhatsApp als Messenger (Verschlüsselungsprotokoll) und dem Datenschutz.

Wie die meisten Messenger nutzt auch WhatsApp eine Ende-zu-Ende-Verschlüsselung für seine Chats. Das heißt: Keine außenstehende Person außer Sender:in und Empfänger:in kann die Inhalte der Nachrichten lesen! 

Die Ende-zu-Ende-Verschlüsselung ist bei WhatsApp der Standard. In anderen Messengern, wie etwa Telegram, müssen Nutzer:innen diese aktiv einstellen, um den gleichen Sicherheitsstandard zu garantieren. Die Inhalte der WhatsApp-Chats sind also sicher!

Fragen zum Datenschutz ergeben sich daher nicht in diesem Bereich, sondern vielmehr beim Abgleich von Kontaktdaten und den Metadaten, die bei der Nutzung von WhatsApp entstehen.

Zugriff auf Kontakte (ohne vorherige Zustimmung)

Aus Datenschutzsicht ist der automatische Kontaktabgleich bei WhatsApp die größte Hürde. Denn sobald du WhatsApp auf dem Smartphone installierst, gleicht die App die Kontakte in deinem Adressbuch ab, um bereits existierende WhatsApp-Nummern zu synchronisieren. 

Das erlaubt es dir, WhatsApp-Kontakte direkt zu erkennen, was natürlich sehr nutzerfreundlich ist. Und alle privaten WhatsApp-Nutzer:innen stimmen diesem Abgleich auch über die AGB zu, wenn sie die App herunterladen. Das Problem sind aber alle Kontakte in deinem Telefonbuch, die kein WhatsApp haben. 

Denn diese haben diesem Abgleich nie zugestimmt. Ihre Daten werden aber trotzdem gezogen und landen unverschlüsselt auf WhatsApp- und Meta-Servern in den USA. Wenn das im Unternehmenskontext erfolgt, verstößt du damit gegen die DSGVO. 

Schließlich besteht kein berechtigtes Interesse oder eine Erlaubnis, diese Daten unverschlüsselt zu verarbeiten.

Weiterleiten von Metadaten

Die WhatsApp-Kommunikation (wie die anderer Messenger-Dienste auch) funktioniert über die Cloud. Im Fall von WhatsApp fallen dabei unverschlüsselte Metadaten an. Dazu gehören unter anderem deine Telefonnummer, dein Gerätehersteller, dein Standort und deine IP-Adresse.

Diese Daten fallen aber wiederum laut DSGVO in die Kategorie der personenbezogenen Daten. Als Unternehmen müsstest du dir also zur Verarbeitung dieser eine Erlaubnis einholen. 

Und selbst damit bist du nicht auf der sicheren Seite. Denn diese Daten werden auf Servern von Meta in den USA verarbeitet, wo die Einhaltung der EU-Datenschutzstandards nicht zu 100 Prozent gegeben ist.  

Ungesicherte Backups

Die DSGVO fordert auch, dass verschlüsselte Inhaltsdaten (Nachrichten) nicht unverschlüsselt vermittelt werden dürfen. Mit der Ende-zu-Ende-Verschlüsselung bei WhatsApp ist das nicht grundsätzlich der Fall. 

Wer aber seine Chats per Backup-Server sichert, kann so seine Nachrichten im Verlustfall wieder herstellen. Nur: Genau dafür werden die Chats unverschlüsselt bei Google oder Apple gespeichert, was datenschutzrechtlich problematisch ist. Denn in diesem Fall müsste dein Unternehmen auch noch einen Auftragsverarbeitungsvertrag mit Google und Apple abschließen. 

All dies macht die Nutzung von WhatsApp im Unternehmen für die Kundenkommunikation schwierig, aber nicht unmöglich. Genau genommen kommt es für Unternehmen darauf an, welche WhatsApp-Version sie nutzen, die private App, die WhatsApp Business App oder die WhatsApp Business Platform (API). 

Private App von WhatsApp und Datenschutz: Für Unternehmen nicht möglich

Die intuitivste Variante ist vermutlich, einfach die eigene WhatsApp App für die Kommunikation mit Kund:innen zu nutzen. Doch Vorsicht, das ist für Unternehmen nicht erlaubt. 

Denn damit verstoßen Unternehmen gegen die Richtlinien von WhatsApp. Die private App ist demnach von der kommerziellen Nutzung ausgeschlossen. 

Darüber hinaus ist diese Nutzung auch nicht DSGVO-konform. Denn bei der privaten App gibt es keinen Auftragsverarbeitungsvertrag, beziehungsweise keine Standarddatenschutzklausel, die für die Einhaltung der DSGVO erforderlich ist. 

Damit fällt die private App schon mal für Unternehmen weg. Doch seit 2018 bietet WhatsApp in Deutschland eine App für Unternehmen, die WhatsApp Business App. Wie sieht es hier mit der DSGVO aus? 

WhatsApp Business und Datenschutz für Unternehmen

WhatsApp Business ist die Unternehmenslösung von WhatsApp, die für Einzelunternehmen und Kleinstunternehmen von bis zu maximal fünf Mitarbeitenden gedacht ist. Sie ist kostenfrei und darum für viele Betriebe die erste Option für die Unternehmenskommunikation. Aber: In Sachen Datenschutz bist du dabei nicht auf der sicheren Seite!

Die WhatsApp Business App kannst du dir wie auch die reguläre App einfach auf dein Smartphone herunterladen. Und anders als bei der privaten App gibt es hier eine Standarddatenschutzklausel. 

WhatsApp, DSGVO und die Standarddatenschutzklausel

Seit Juni 2021 geben die Standarddatenschutzklauseln (Standardvertragsklauseln) klarere  Richtlinien für internationale Unternehmen zu den Datenschutzregelungen in der EU. 

Entsprechend bietet auch WhatsApp eine derartige Klausel für seine WhatsApp Business App an. Das ist schon mal eine gute Grundlage für Unternehmen, reicht aber in Sachen DSGVO-Konformität nicht zu 100 Prozent. 

Denn: 

  • in seiner Klausel erklärt WhatsApp nicht genau, wie personenbezogene Arbeiten verarbeitet werden und
  • es gibt keine Details zu Unterauftragsunternehmen

Beides ist laut DSGVO aber erforderlich. Zudem läuft die WhatsApp Business App auch übers Smartphone, womit sich weiterhin die bereits genannten Probleme durch den Kontaktabgleich, Metadatenweitergabe und ungesicherte Backups ergeben. 

Das gilt übrigens auch für WhatsApp Business Web, da dein Smartphone selbst bei der Browser- oder Desktopnutzung das Hauptgerät ist. 

Das heißt: Die WhatsApp Business App bietet keinen 100-prozentigen Datenschutz!

Tipps, um die WhatsApp Business App DSGVO-konform zu nutzen

Mit den folgenden Hacks ist es möglich, die Business App für deine Kundenkommunikation zu nutzen.

Erstens: Du brauchst ein dezidiertes Unternehmenshandy für WhatsApp. Darauf dürfen keine privaten Kontakte gespeichert sein. 

Zweitens: Du musst sicherstellen, dass alle Kontakte auf diesem Unternehmenshandy selbst WhatsApp-Nutzer:innen sind oder dir andernfalls vorab die explizite Zustimmung einholen, dass WhatsApp ihre Telefonnummern verarbeiten darf. Das gilt zum Zeitpunkt der Installation, aber auch für sämtliche neue Kontakte, die ins Telefonbuch eingefügt werden.

Drittens: Alle Mitarbeitenden müssen diese Regeln einhalten und dürfen auch nicht auf ihren privaten Handys mit Kund:innen über WhatsApp kommunizieren

Viertens: Du kannst ohne vorheriges Opt-in keine Marketing-Nachrichten an deine Kund:innen per WhatsApp schicken (wobei die Möglichkeiten bei der Business App ohnehin sehr eingeschränkt sind). 

Fünftens: Du musst ein deutlich sichtbares Impressum auf deinem WhatsApp-Business-Profil verlinken sowie beim ersten Kontakt deine Datenschutzrichtlinien vermitteln. 

Sechstens: Du musst außerdem stets alle Updates durchführen, das Cloud-Back-up deaktivieren und du darfst zudem keine Anhänge wie Fotos oder PDF-Dateien speichern.

Daran merkst du schon: Es ist möglich, aber insbesondere wenn du mehr als fünf Mitarbeitende hast, extrem unpraktisch, die WhatsApp Business App im Unternehmen zu nutzen, wenn du dies datenschutzkonform tun möchtest.

Zitat Michael Schmittner Radio Arabella

Wenn du also wirklich den Datenschutz der Kundenkommunikation per WhatsApp garantieren möchtest, musst du die WhatsApp Business Platform (API) nutzen!

WhatsApp Business Platform (API) und Datenschutz

Die WhatsApp Business Platform (ehemals: WhatsApp Business API) ist die offizielle Schnittstelle zu WhatsApp. Die WhatsApp Business Platform ist für den professionellen Einsatz von WhatsApp im Unternehmen gedacht und nur hier erhältst du als Betrieb entsprechend Zugang zu allen wichtigen Business-Funktionen von WhatsApp (Newsletter, Chatbots, CRM-Integration, etc.).

Zugriff zur API gibt es entsprechend nicht über eine App, sondern über spezielle Unternehmenslösungen (Software). Das bedeutet, dass diese WhatsApp-Lösungen unabhängig von der App und den Servern von Meta und WhatsApp laufen können. 

Darum bietet die WhatsApp Business API die einzige 100-prozentige Garantie, dass Unternehmen mit WhatsApp die DSGVO einhalten können. 

Den Zugang zur API erhalten Unternehmen über verifizierte WhatsApp-Partner (Business Solution Provider). Diese haben die offizielle Erlaubnis von Meta, WhatsApp-Software-Lösungen für Unternehmen anzubieten. 

Das ist absichtlich so geregelt, um sicherzustellen, dass Unternehmen nur seriöse Lösungen einsetzen und nicht etwa riskante WhatsApp-Mods wie GB WhatsApp oder WhatsApp Plus.  Ob ein Unternehmen ein offizieller Meta-Partner ist, kannst du über das Partner Directory von Meta einsehen.

Sinch Engage Business Solution Provider
Das Partnerverzeichnis von Meta zeigt dir alle offiziellen Business Solution Provider. (Quelle: Meta)

Auch hier musst du natürlich vorab prüfen, ob die angebotene Software-Lösung den Datenschutz garantiert. Denn es gibt unterschiedliche Anbieter, die auch außerhalb der EU sitzen und damit nicht automatisch WhatsApp und die DSGVO im Blick haben. 

WhatsApp und Datenschutz mit einem Business Solution Provider

Um den Datenschutz per WhatsApp zu garantieren, solltest du bei deinem Business Solution Provider vorher folgende Fragen klären: 

  • Wo genau werden die anfallenden Nutzerdaten verarbeitet? Stelle sicher, dass dies innerhalb der EU erfolgt.
  • Gibt es eine Desktop-Lösung? Nur eine Desktop-Lösung garantiert dir, dass kein Datenabgleich am Smartphone stattfindet. 
  • Gibt es einen offiziellen Auftragsverarbeitungsvertrag, der garantiert, dass der Provider die Daten verarbeitet und nicht etwa Meta?

Ernsthafte Anbieter von WhatsApp-Lösungen für Unternehmen wie etwa Sinch Engage werden dir das garantieren, sodass du dir um WhatsApp und den Datenschutz keine Sorgen mehr machen musst. 

Zitat Andreas Jerchel Autohaus Ostermaier DSGVO WhatsApp

WhatsApp und Datenschutz: Das musst du als Unternehmen tun

Der erste Schritt zur datenschutzkonformen Nutzung von WhatsApp in der Kundenkommunikation ist also die WhatsApp Business Platform über eine rechtssichere Lösung wie zum Beispiel Sinch Engage. 

Darüber hinaus musst du dir als Unternehmen vorab die ausdrückliche Einwilligung (Legitimation) der Kund:innen einholen und ihnen ausführlich erklären, was mit ihren Daten passiert (Legitimationstatbestände).

1. Legitimation einholen

Um die Einwilligung deiner Kund:innen für einen Austausch per WhatsApp zu bekommen, gibt es zwei einfache Lösungen:

  • Anmelde-Widget: Über ein Widget, das du auf deiner Webseite einbaust, gelangen die Nutzer in den Chat mit deinem Unternehmen, nachdem sie der Datenschutzerklärung zugestimmt und initiativ eine Nachricht an dich versendet haben. (Hinweis: Das Card Widget und Chip Widget von Sinch Engage ist bereits datenschutzkonform.)
Faie-datenschutz-MessengerPeople
Einbindung des Anmelde-Widget auf der Webseite von FAIE.
  • Chatbot: Ein:e Nutzer:in klickt auf deiner Webseite oder auf einer Social-Media-Plattform auf einen Link von dir und landet per Click to Chat direkt im WhatsApp-Chat mit deinem Unternehmen. Ein Chatbot übernimmt die Nutzeranfrage. Neben der Einwilligung fragt er ebenfalls die wichtigsten Daten des Kunden ab, um ihn an den richtigen menschlichen Kolleg:innen weiterzuleiten.

2. Legitimationstatbestände darlegen

Bei diesem Aspekt geht es darum, deine Kund:innen darüber zu informieren, welche Daten verarbeitet werden (Legitimationstatbestände in Artikel 6 DSGVO).

So ist es für die Kundenkommunikation per WhatsApp unerlässlich, dass dein Unternehmen die Kund:innen darüber umfassend informiert, was mit ihren Daten passiert und wie diese verarbeitet werden, sagt DSGVO-Experte und Rechtsanwalt Dr. Carsten Ulbricht.

WhatsApp Datenschutz DSGVO Dr. Carsten Ulbricht

Zusammenfassend lässt sich also sagen, dass sich WhatsApp und Datenschutz durchaus vereinbaren lassen, wenn du die richtige Plattform nutzt.

FAQ zu WhatsApp und DSGVO

Können Unternehmen WhatsApp DSGVO-konform nutzen? 

Ja! Allerdings ist nur mit der WhatsApp Business Platform (API) und einem Business Solution Provider, der per Auftragsverarbeitungsvertrag eine DSGVO-konforme Datenverarbeitung garantiert. 

Lässt sich WhatsApp zu Werbezwecken nutzen? 

"Werbung" ist ein sehr breiter Begriff. Unternehmen müssen sich klar sein, dass dies von der Einladung zum Winterbasar über den Unternehmensnewsletter bis hin zu einem Sonderangebot reichen kann. Hier gilt: Nutzer:innen müssen dieser Art von Kommunikation vorher per Opt-in zustimmen. 

Über die WhatsApp Business Platform ist dies unkompliziert über DSGVO-konforme Widgets oder Click-to-Chat-Links möglich.

Wofür können Unternehmen WhatsApp nicht nutzen? 

WhatsApp stößt bei der internen Unternehmenskommunikation an seine Grenzen. Denn theoretisch dürfen firmeninterne Informationen nicht über das private WhatsApp-Konto ausgetauscht werden. 

Es ist zwar theoretisch möglich, über Firmenhandys mit einer anderen WhatsApp-Nummer dann reine Betriebschats zu haben. Das ist rechtlich aber sehr komplex und nicht sonderlich alltagstauglich, insbesondere, wenn es einfachere Lösungen gibt, entweder über Apps wie Signal oder Threema oder fertige Enterprise-Lösungen wie Slack oder Microsoft Teams.


🔐Du hast Fragen zu WhatsApp im Unternehmen und der DSGVO? Unser Team berät dich gern persönlich zu allen Fragen. 

 

Sichere dir deine persönliche Beratung!

Unser Expertenteam zeigt dir Sinch Engage, gibt Tipps und beantwortet dir alle Fragen.

Kai Viertel, Head of Demand Generation, Sinch
Autor:in: Kai Viertel
Head of Demand Generation