WhatsApp Business gemäß DSGVO nutzen - So geht's [2024]

WhatsApp ist in Deutschland mit Abstand der beliebteste Messenger unter Privatpersonen (Quelle: Statista 2022). Seit einigen Jahren bietet der WhatsApp Eigentümer Meta Platforms, Inc. (ehemals Facebook) mit den Produkten WhatsApp Business und WhatsApp Business API auch Unternehmen eine Möglichkeit, den Messenger zur Kundenkommunikation zu verwenden. Immer mehr Unternehmen sind darüber zu erreichen und größtenteils sehr zufrieden mit WhatsApp als Kommunikationskanal. Die Öffnungsrate von WhatsApp Nachrichten liegt mit 98% nämlich deutlich höher als bei E-Mails (ca. 20%) (Quelle: AiSensy.com). Und in einem immer kompetitiver werdenden Marktumfeld müssen sich Unternehmen zunehmend auf den Plattformen positionieren, wo sich die Konsumenten ohnehin schon aufhalten. Die Verwendung von WhatsApp ist für Unternehmen aufgrund der geltenden Datenschutzgesetze in Deutschland und der EU jedoch nicht ganz trivial.

Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 und beinhaltet europaweit harmonisierte Regelungen zum Umgang mit personenbezogenen Daten. Dadurch wird die Kontrolle von Verbrauchern über ihre Daten gestärkt. Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen die DSGVO einhalten und riskieren andernfalls ein hohes Bußgeld. Wie Unternehmen rechtliche Schwierigkeiten aufgrund der DSGVO vermeiden und durch die Einhaltung der Datenschutzgesetze außerdem ein höheres Kundenvertrauen genießen können, wird in diesem Beitrag erläutert.

‍

Zu Beginn: Kurze Antworten auf die wichtigsten Fragen

‍

Welche Unternehmen müssen die DSGVO einhalten?

Die DSGVO (Datenschutz-Grundverordnung) muss von allen Unternehmen eingehalten werden, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob das Unternehmen in der EU ansässig ist oder nicht. Das schließt sowohl große Konzerne als auch kleine und mittlere Unternehmen sowie Einzelunternehmer ein, sofern sie Daten von Personen in der EU verarbeiten.
‍

‍

Warum sollten Unternehmen die normale WhatsApp Business App nicht nutzen?

Ohne besondere Einstellungen und deutlichen Einschränkungen in der Funktionsweise werden von WhatsApp Metadaten der Nutzer und deren Kontakte erhoben. Dafür braucht es einen Vertrag zur Auftragsverarbeitung im Sinne des Art. 28 DSGVO. Besonders kritisch: WhatsApp greift üblicherweise auf das Adressbuch des Nutzers zu und speichert Nutzerdaten und Chats auf US-Amerikanischen Servern.
‍

‍

Wie können Unternehmen DSGVO-konform über WhatsApp kommunizieren?

Es gibt zwei Möglichkeiten:
1.: Die Nutzung der herkömmlichen WhatsApp Business App mit diversen Einschränkungen und limitierter Funktionsweise (Kontakte aus Adressbuch löschen, die kein WhatsApp installiert haben; Cloud-Backups deaktivieren; Einwilligung der Kunden einholen; Impressum auf WhatsApp verlinken etc...)

2.: Die professionelle WhatsApp Business API Schnittstelle nutzen und von zusätzlichen Funktionen wie z.B. WhatsApp Newsletter, Integrationen, Mitarbeiterzuweisungen, unbegrenzter Geräte- und Nutzeranzahl, automatischen Antworten, etc. profitieren.
‍

‍

Was ist die WhatsApp Business API Schnittstelle?

Die kostenpflichtige WhatsApp Business API ist eine Programmierschnittstelle, mit der Unternehmen direkt auf WhatsApp zugreifen können, ohne die WhatsApp Benutzeroberfläche zu nutzen. Die Software wird i.d.R. von Drittanbietern bereitgestellt und enthält, zumindest bei Mateo, deutlich mehr Funktionen als die herkömmliche WhatsApp Business Version. Mit der WhatsApp Business API können Kundenservice, Marketing und Unternehmenskommunikation professionell gestaltet und automatisiert werden.

‍

Critical with regard to the GDPR: WhatsApp collects various metadata

WhatsApp-Chats sind in der Regel Ende-zu-Ende-verschlüsselt. Das bedeutet, dass WhatsApp und der Mutterkonzern Meta Platforms keinen direkten Zugriff auf die Inhalte von Gesprächen wie Texte, Medien und sonstige Daten haben. Unter bestimmten Bedingungen können allerdings Chats auf den Servern von WhatsApp zwischengespeichert werden. Beispielsweise, wenn Nachrichten aufgrund einer fehlenden Internetverbindung des empfangenden Nutzers diesem vorübergehend nicht zugestellt werden können. Auch Backups von in die Cloud hochgeladenen Chatverläufen werden auf WhatsApp Servern gespeichert. Aus datenschutzrechtlicher Sicht sind insbesondere die sogenannten Metadaten relevant, die ebenfalls erfasst und gespeichert werden. Dazu gehören folgende Informationen:

Smartphone model
Device name
Phone number
Profile picture
Profile name
Profile description
Address book
Position
Date & Time

Auch wenn diese Daten auf den ersten Blick keine eindeutigen Informationen über den Inhalt des Gesprächs preisgeben, lassen sich mit Hilfe solcher Informationen relativ aussagekräftige Nutzerprofile erstellen.

‍

Privacy issues when using WhatsApp

‍

Processing of personal metadata

Ein großes Problem ist die bereits erwähnte Nutzung und Verarbeitung von Metadaten durch WhatsApp. Für die Datenverarbeitung personenbezogener Daten bedarf es einer Rechtfertigung auf gesetzlicher Grundlage. Da Dienste wie WhatsApp nicht dem Fernmeldegeheimnis unterliegen, schließt das Gesetz die Nutzung dieser Informationen zumindest vorerst nicht ausdrücklich aus. Dieses Problem wird in der Regel durch den Abschluss eines Vertrages zur Auftragsverarbeitung im Sinne des Art. 28 DSGVO gelöst. Vereinfacht gesagt verbietet der Vertrag die eigenständige Nutzung von Kundendaten durch den Auftragnehmer. Durch einen Vertrag zur Auftragsverarbeitung ist die Übermittlung solcher Metadaten an den Dienstleister (WhatsApp) datenschutzrechtlich gerechtfertigt. Die Verarbeitung personenbezogener Daten erfolgt mit AV-Vertrag datenschutzkonform und bedarf keiner gesonderten Einwilligung des Kunden. Die Standard-Version von WhatsApp bietet keine Möglichkeit, einen Auftragsverarbeitungsvertrag abzuschließen. Bei WhatsApp Business wird ein AV-Vertrag mit dem Herunterladen der App und dem Akzeptieren der Nutzungsbedingungen automatisch abgeschlossen.

‍

Access to contact data

Das vielleicht bekannteste Datenschutzproblem ist der Upload von Adressbuchdaten des Nutzers zu WhatsApp. Kontaktdaten werden auf WhatsApp-Servern in den USA gespeichert und mit den Daten anderer Nutzer abgeglichen. Im Gegensatz zu einigen anderen Messengern werden Kontaktdaten bei WhatsApp unverschlüsselt gespeichert. Unternehmen müssen die Rechtsgrundlage für die Datenübermittlung einzelner Kontakte nachweisen können. Eine Übermittlung der Kontaktdaten an WhatsApp ist auf Grundlage einer Interessenabwägung im Sinne von Art. 6 Abs. 1 lit. f) DSGVO zulässig, sofern der übermittelte Kontakt WhatsApp benutzt. Wenn der Kontakt nicht über ein eigenes WhatsApp-Konto verfügt, ist diese Rechtsgrundlage nicht anwendbar, da die Interessen des Betroffenen aufgrund der Übermittlung der Daten in ein Drittland überwiegen. Zusammengefasst ist der Zugriff auf Kontaktdaten also nur in dem Ausnahmefall, dass sämtliche übermittelte Kontakte bereits ein WhatsApp Konto besitzen, datenschutzrechtlich unbedenklich. Daher ist das Hochladen von Adressdaten auch der Hauptkritikpunkt von Behörden in Deutschland und Europa.

‍

Unencrypted backups

Ein weiteres Problem betrifft Backups von Nachrichtenverläufen, die in der Cloud gespeichert werden. Auch wenn alle WhatsApp Nachrichten, Sprachnotizen, Fotos, Videos, Dokumente und sonstige Daten grundsätzlich durch die Ende-zu-Ende Verschlüsselung geschützt sind, unterliegen Backups in der Regel nicht diesem zusätzlichen Schutz. Die Verwendung von Backups mag im Hinblick auf die Wiederherstellung im Falle eines Verlustes sinnvoll erscheinen, ist aber nicht mit der DSGVO vereinbar. Diese Funktion sollte von Unternehmen ständig deaktiviert sein, um personenbezogene Daten von Kunden zu schützen und sich in diesem Aspekt datenschutzkonform zu verhalten.

‍

Ways to use WhatsApp in a GDPR-compliant way

Die Verwendung der Standard-Version von WhatsApp ist laut den geltenden AGB für Unternehmen nicht gestattet. Durch die fehlende Option, einen Vertrag zur Auftragsverarbeitung zu unterzeichnen, ist diese WhatsApp Version auch aus datenschutzrechtlicher Sicht höchst problematisch. Für Unternehmen gibt es trotz der strengen Vorschriften zwei Möglichkeiten, WhatsApp zur Kundenkommunikation zu verwenden.‍

‍

Use WhatsApp Business GDPR compliant

WhatsApp Business is a free app available for Android and Apple smartphones, designed specifically for the self-employed and small businesses. WhatsApp Business simplifies interaction with customers by providing tools to automate, sort, and quickly reply to messages. The user interface and many features are similar to those of the WhatsApp Messenger app for individuals, so using the WhatsApp Business app is very easy for most businesses.

Mit einigen Einschränkungen kann WhatsApp Business DSGVO-konform verwendet werden. Die beschriebenen Hauptprobleme der Verarbeitung personenbezogener Metadaten, des Zugriffs auf Kontaktdaten und der unverschlüsselten Backups können mit folgenden Tricks vermieden werden:

The WhatsApp business app should only be used on dedicated mobile devices
Das Adressbuch darf nur Kontakte enthalten, deren Telefonnummern bereits mit einem WhatsApp Konto verknüpft sind
Es sollte stets die aktuelle Version der App installiert sein
Cloud-Backups (über Google Drive/Apple iCloud) müssen deaktiviert sein
Das automatische Speichern von Fotos und Anhängen im internen oder externen Speicher muss deaktiviert sein
Verlinkung eines Impressums im Unternehmensprofil in der WhatsApp Business App (§ 5 DDG) muss vorhanden sein
Holen Sie im Zweifelsfall eine Einwilligung Ihrer Kunden zur Datenverarbeitung personenbezogener Daten ein

Dabei ist zu beachten, dass mit den empfohlenen Einstellungen einige WhatsApp Business Funktionen nicht nutzbar sind und die Bearbeitung von Kundenanfragen womöglich weniger effizient abläuft. Gegebenenfalls scheuen sogar manche Kunden die Kontaktaufnahme, wenn Sie eine durchgehende Verschlüsselung der Kundendaten nicht gewährleisten können. Und trotz aller Vorsichtsmaßnahmen können DSGVO-Konflikte bei der Kommunikation über WhatsApp Business nie ausgeschlossen werden. Daher empfiehlt Mateo einen WhatsApp Unternehmensaccount, der via API funktioniert. Die Nutzung der WhatsApp API ist nämlich zu 100% datenschutzkonform und zugleich die einzige Möglichkeit, den WhatsApp Messenger datenschutzkonform einzusetzen. Dadurch sparen Sie sich die Kosten von externen Datenschutz-Beratern und Rechtsanwälten und Prozesskosten im Falle einer Abmahnung. Und Sie müssen keinerlei Einwilligungen Ihrer Kunden zur Verarbeitung der Daten einholen. Doch das ist erst der Anfang: Die WhatsApp API hat für Unternehmen etliche weitere Vorteile zu bieten, wie Sie in dem folgenden Abschnitt erfahren werden.

‍

Using the WhatsApp Business API in a GDPR-compliant way

Um professionellen Unternehmen eine sichere, skalierbare und DSGVO-konforme Lösung zu bieten, die auf ihre Bedürfnisse zugeschnitten ist, hat Facebook im August 2018 die WhatsApp Business API eingeführt. Diese Anwendungsprogrammierschnittstelle (API) ermöglicht es Unternehmen, unbegrenzt WhatsApp-Nachrichten von ihren Kunden zu empfangen und zu beantworten.

Im Gegensatz zur WhatsApp Business App kommt die API selbst ohne eine Benutzeroberfläche aus. Die API verbindet WhatsApp mit einem professionellen Messaging-Tool, wie es zum Beispiel Mateo anbietet. Unternehmen integrieren den Endpunkt der WhatsApp API in die Software eines offiziellen WhatsApp Business Solution Anbieters. Mateo ist ein solcher Provider und offeriert Unternehmenskunden mit der hauseigenen Software die entsprechende Integration in eine übersichtliche Benutzeroberfläche.

The fact that the user interface, including all its technical peculiarities, is not provided by WhatsApp, but by a business solution provider, means that GDPR compliance can differ depending on the provider.

Die Verwendung von Mateos Messaging Software ist 100% DSGVO-konform. WhatsApp und dritte Unternehmen können nicht auf das im Endgerät gespeicherte Adressbuch zugreifen. Auch das aus datenschutzrechtlicher Sicht problematische Cloud-Backup ist deaktiviert. Die Übermittlung von Metadaten an WhatsApp kann aus technischen Gründen durch alle Business Solution Anbieter, also auch durch Mateo, nicht vermieden werden. Durch den Vertrag zur Auftragsverarbeitung mit WhatsApp ist das Messaging-Tool von Mateo auch in diesem Aspekt datenschutzkonform. Die Stationierung von Mateos Servern in Deutschland und die Möglichkeit zur Löschung einzelner oder sämtlicher Kommunikations- und Kundendaten bieten zusätzliche Sicherheit beim Datenschutz.

‍

Weitere Vorteile der WhatsApp Business API mit Mateo

Mateos Messaging Software bietet weit mehr als eine schlichte Benutzeroberfläche von WhatsApp API. Diverse Eigenschaften und Tools führen dazu, dass durch Mateos zentrale Messaging Software die Kundenkommunikation deutlich effizienter wird.
‍

‍Centraluser interface: Mateo combines WhatsApp Business API, email, Instagram, SMS and Facebook Messenger in one central inbox. The intuitive user interface includes various tools for efficient customer communication and saves you valuable working time.

Integrations: With Mateo you can integrate WhatsApp with over 6,000 software programs and send fully automated messages such as invitations, order confirmations, shipping information, invoices or reminders.
‍
Newsletter marketing: Send GDPR-compliant newsletters via WhatsApp or SMS and benefit from open rates of over 95%.

‍‍

Review management: Mateo can automatically request online reviews from your customers, boosting your Google ranking and trust in your business.
‍
‍Data protection: Mateo complies with all German and European data protection requirements and offers end-to-end encryption for secure customer communication.
‍
Scalability: Our software is suitable for companies of any size and can be expanded indefinitely depending on the package.‍
‍
Cost-effective provider: With an entry-level price of just 79 euros per month, Mateo offers excellent value for money.
‍

‍Vereinbaren Sie ein unverbindliches und kostenloses Beratungsgespräch und wir zeigen Ihnen, wie MATEO Ihre Kommunikationsbedürfnisse abdeckt! Buchen Sie dazu einfach hier einen Termin oder schreiben Sie uns über unser Web-Widget.

‍

Hinweis: Sämtliche Angaben in diesem Beitrag sind ohne Gewähr und stellen keine rechtliche Beratung dar. Bitte kontaktieren Sie im Zweifelsfall einen Datenschutz-Experten oder Ihren Anwalt.

WhatsApp Business und DSGVO – Nutzung im Einklang mit dem Datenschutz [Juli 2024]