Worum geht's?
Aus der privaten Kommunikation ist WhatsApp längst kaum mehr wegzudenken. Auch viele Unternehmen nutzen den Messenger-Dienst für ihre alltägliche Kommunikation mit Kunden und Mitarbeitenden. Datenschutzrechtlich unbedenklich ist dies aber nicht – denn die DSGVO stellt hohe Anforderungen an die Nutzung von WhatsApp im Unternehmenskontext. Wir verraten Ihnen, ob und wenn ja, wie Sie WhatsApp datenschutzkonform verwenden können und wie sich die beiden Business-Lösungen App und Platform voneinander unterscheiden.
1. Datenschutz bei WhatsApp: Was gilt generell für Unternehmen?
Wer als Unternehmen WhatsApp für die interne Kommunikation oder den Kontakt mit Kunden nutzen möchte, sollte sich im Klaren sein, dass der Messenger datenschutzrechtlich bedenklich ist. Das liegt vor allem an den personenbezogenen Daten, die WhatsApp verarbeitet. Gemeint sind damit Informationen, die Rückschlüsse auf eine konkrete Person zulassen – beispielsweise Telefonnummer, Profilbild oder Namen.
Gemäß der Datenschutz-Grundverordnung (DSGVO) stehen diese Daten unter einem besonderen Schutz. Jeder, der nicht als Privatperson handelt, muss sich an die Vorgaben der DSGVO halten. Der Schutz von personenbezogenen Daten betrifft damit auch Unternehmen.
Möchten Sie im Unternehmen WhatsApp für die geschäftliche Kommunikation nutzen, liegt der Datenschutz nicht nur in der Verantwortung des Messengers, sondern auch in Ihrer – denn im Sinne der DSGVO und des Datenschutzes verarbeitet WhatsApp die Daten Ihrer Kunden in Ihrem Auftrag. Für Sie bedeutet das: Sie müssen sich vom Meta-Konzern bestätigen lassen, dass ein angemessener Datenschutz sichergestellt ist.
GUT ZU WISSEN
Auch wenn mit dem Data Privacy Framework (DPF) die Übertragung von personenbezogenen Daten in die USA wieder möglich und WhatsApp DPF-zertifiziert ist, heißt das nicht, dass der Messenger-Dienst automatisch datenschutzkonform ist.
Um WhatsApp rechtssicher zu verwenden, benötigen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag) und die Einwilligung der betroffenen Personen in die Datenverarbeitung. Außerdem dürfen Sie nur eine der Business-Lösungen verwenden, nicht aber den privaten WhatsApp-Messenger.
Insbesondere die erforderliche Einwilligung ist in puncto WhatsApp und Datenschutz tendenziell problematisch: Der Messenger synchronisiert sämtliche Kontakte, die im Telefonbuch gespeichert sind, um zu prüfen, ob diese bereits WhatsApp nutzen. Das passiert automatisiert mit allen Kontakten – auch mit denen, die das gar nicht möchten.
Sowohl Ihnen als Unternehmen als auch WhatsApp selbst fehlt es an der rechtlichen Grundlage einer solchen Datenverarbeitung – denn zu diesem Zeitpunkt haben Sie keine Einwilligung Ihrer Kunden. Auch ein berechtigtes Interesse gemäß Artikel 6 DSGVO liegt nicht vor. Die personenbezogenen Daten werden somit unzulässig verarbeitet. Passiert das im Unternehmenskontext, verstoßen Sie gegen die DSGVO.
2. Auf welche Daten kann WhatsApp zugreifen?
Möchten Sie WhatsApp im Unternehmen nutzen, geht das nicht ohne das Akzeptieren der Datenschutzbestimmungen. Durch dieses Einverständnis erhält WhatsApp weitreichende Rechte und kann unter anderem auf folgende Daten zugreifen:
- Namen
- Telefonnummer
- Profilbild
- Online Status
- Geburtsdatum
- Kontakte
- Kamera und Mikrofon
- Fotos
- Standort
Beim Datenzugriff und der Datenverarbeitung (Speicherung, Übermittlung) wird zwischen Nachrichtendaten und Metadaten unterschieden. Nachrichten, die Sie auf WhatsApp mit Kunden oder Mitarbeitenden austauschen, sind Ende-zu-Ende verschlüsselt. Hier müssen Sie sich keine Sorgen machen, dass jemand Unbefugtes mitlesen kann. Anders sieht es aus bei den sogenannten Metadaten.
SCHON GEWUSST?
Nutzen Sie WhatsApp, werden Metadaten wie Telefonnummer, Informationen über Art und Häufigkeit der Nutzung und weitere Gerätedaten unverschlüsselt übermittelt. WhatsApp kann somit jederzeit nachvollziehen, wann Sie mit wem von wo aus über welches Gerät wie lange geschrieben oder Sprachnachrichten ausgetauscht haben.
Der Meta-Konzern nutzt die erhobenen Metadaten, um aus den Informationen Rückschlüsse auf das Verhalten seiner Nutzer zu ziehen, Profile zu erstellen und diese für personalisierte Werbung zu verwenden. Aufgrund der unverschlüsselten Übertragung ist WhatsApp aus Sicht des Datenschutzes daher problematisch.
Die Metadaten werden nicht nur beim privaten Messenger (den Sie im Unternehmen ohnehin nicht nutzen dürfen) unverschlüsselt übertragen, sondern auch bei beiden WhatsApp-Business-Lösungen.
3. Darf ich WhatsApp als Unternehmen geschäftlich nutzen?
Das kommt darauf an, welche Variante Sie nutzen. WhatsApp gibt es nicht nur für den privaten Gebrauch, sondern auch als Business-Anwendung für Firmen. Die Business-Varianten von WhatsApp dürfen Sie im Unternehmen verwenden, um mit Ihren Kunden zu kommunizieren – den privaten Messenger hingegen nicht.
ACHTUNG
Verwenden Sie nicht Ihr privates WhatsApp für die geschäftliche Kommunikation – weder mit Mitarbeitenden noch mit Kunden. Das verstößt nicht nur gegen den Datenschutz, sondern auch gegen die Nutzungsbedingungen von WhatsApp.
Für Ihre rein private Kommunikation im Unternehmen können Sie natürlich trotzdem das normale WhatsApp nutzen – das interessiert die Datenschutz-Grundverordnung nicht. Es ist kein Problem, sich privat über den Messenger auszutauschen, um etwa gemeinsame Teamevents, Geburtstagsgeschenke oder die alljährliche Weihnachtsfeier zu planen.
Betriebliche Angelegenheiten sind jedoch tabu. Um sicherzustellen, dass Ihre Mitarbeiter (auch Auszubildende, Praktikanten, freie Mitarbeiter und Leiharbeiter) nicht via WhatsApp geschäftliche Informationen austauschen, sollten Sie sie für das Thema WhatsApp und Datenschutz sensibilisieren.
Möchten Sie WhatsApp geschäftlich nutzen – beispielsweise für Ihr WhatsApp Marketing – geht das datenschutzrechtlich konform nur über eine der beiden WhatsApp-Business-Lösungen.
4. WhatsApp Business App oder WhatsApp Business Platform? So unterscheiden sich die beiden Lösungen
Für die geschäftliche Nutzung können – und sollten – Sie sich entweder für die WhatsApp Business App oder die WhatsApp Business Platform (bis 2022: WhatsApp Business API) entscheiden. Wie sich die beiden Anwendungen unterscheiden, klären wir jetzt.
WhatsApp Business App
Die WhatsApp Business App bietet Unternehmen die Möglichkeit, mit Kunden über automatisierte Antworten zu interagieren, einen Katalog mit Produkten sowie Schnellantworten auf häufig gestellte Fragen zu erstellen und Öffnungszeiten zu hinterlegen. Im Gegensatz zum privaten Messenger legen Sie dafür ein Unternehmensprofil an.
Kosten fallen für die Nutzung der WhatsApp Business App nicht an. Wenn Sie möchten, steht es Ihnen jedoch offen, mit dem kostenpflichtigen Premium-Upgrade bis zu zehn Geräte mit Ihrem Hauptgerät zu verknüpfen und weitere Funktionen freizuschalten. Ohne Extra-Kosten ist die WhatsApp Business App auf maximal fünf Geräte und eine Telefonnummer beschränkt.
WhatsApp Business Platform
Die WhatsApp Business Platform (früher: WhatsApp Business API) ist im Gegensatz zur WhatsApp Business App keine Anwendung von Meta, sondern eine externe WhatsApp-Marketing-Software. Diese verknüpfen Sie über eine Programmierschnittstelle (API) mit Ihrem WhatsApp-Unternehmenskonto.
Die Software wird von verschiedenen Dienstleistern angeboten, den sogenannten Business Solution Providern (BSP). Jeder BSP ist als offizieller Partner von WhatsApp zertifiziert.
Über die BSP-Software können Sie WhatsApp via API in Ihr bestehendes CRM-System, Ihre Helpdesk-Software und andere Unternehmensanwendungen integrieren. Nachrichten an Ihre Kundschaft verschicken Sie nicht direkt in WhatsApp, sondern über die Software.
GUT ZU WISSEN
Während die WhatsApp Business App von Meta vorrangig für die Kommunikation kleiner Unternehmen mit bis zu fünf Mitarbeitenden entwickelt wurde, richtet sich die WhatsApp Business Platform an mittlere und große Firmen, die ihre Kundenkommunikation per WhatsApp in bestehende Unternehmenssysteme integrieren möchten.
Beide Business-Lösungen eignen sich jedoch weniger für die interne Kommunikation im Unternehmen, sondern wurden für den (automatisierten) Kundenkontakt entwickelt.
5. Ist der Datenschutz bei WhatsApp Business oder der Business Platform besser?
Sowohl die WhatsApp Business App als auch die WhatApp Business Platform lassen sich datenschutzkonform verwenden – sofern Sie die Vorgaben der DSGVO umsetzen. Die sieht unter anderem vor, dass Nutzer der Verarbeitung ihrer Daten ausdrücklich zustimmen müssen, bevor Sie diese kontaktieren dürfen.
Wie stelle ich den Datenschutz bei der WhatsApp Business App sicher?
Die automatische Kontakt-Synchronisation findet nicht nur in der privaten Messenger-App, sondern auch in der Business-App statt. Damit es keine Probleme beim Datenschutz und Whatsapp gibt, geht es nicht ohne die korrekten Datenschutz-Einstellungen. Folgendes ist wichtig:
- Firmenhandy: Verwenden Sie ein Firmenhandy, auf dem keine privaten Kontakte gespeichert sind.
- Kontakt-Synchronisation unterbinden: Um Kunden, die den Messenger nicht nutzen (und damit den Nutzungsbedingungen nicht zugestimmt haben), nicht ungefragt zu involvieren, deaktivieren Sie die automatische Synchronisation der Kontakte oder stellen Sie sicher, dass sich in Ihrem Telefonbuch nur WhatsApp-Nutzer befinden.
- Anmeldeprozess in zwei Schritten: Holen Sie die Zustimmung Ihrer Kunden in die Datenverarbeitung per Double-Opt-In-Verfahren ein.
- Fragen Sie Kunden z. B. über ein Kontaktformular, ob diese von Ihnen kontaktiert werden möchten, lassen Sie sich die Telefonnummer geben und teilen Sie Ihre eigene mit.
- Lassen Sie sich von Ihren Kunden zuerst anschreiben, um den Prozess abzuschließen.
- Keine automatischen Backups: Deaktivieren Sie Cloud-Backups über Google Drive/Apple iCloud am besten komplett, damit diese nicht (versehentlich) unverschlüsselt gespeichert werden.
- Datenschutzerklärung für WhatsApp Business: Nehmen Sie WhatsApp in Ihre Datenschutzerklärung auf und verweisen Sie in dieser auf die Datenschutzrichtlinie des Messengers.
- Impressum: Hinterlegen Sie in Ihrem Unternehmensprofil ein vollständiges Impressum.
WICHTIG
Die ausdrückliche Einwilligung in die Kontaktaufnahme via WhatsApp benötigen Sie als Unternehmen immer – auch dann, wenn Sie bereits die Handynummer des Kunden haben. Allein die Telefonnummer berechtigt Sie nicht, Ihren Kunden ungefragt zu kontaktieren.
Die genannten Regeln gelten natürlich nicht nur für Sie, sondern für alle Mitarbeitenden im Unternehmen, die mit Kunden über WhatsApp kommunizieren.
Wie steht es um den Datenschutz bei der WhatsApp Business Platform?
Da die Daten bei der Business Platform nicht durch WhatsApp, sondern durch den Business Solution Provider verarbeitet werden, haben Sie bei der Nutzung mehr Handhabe hinsichtlich des Datenschutzes. Auch die problematische Synchronisation der Kontakte spielt keine Rolle, da die Kommunikation nicht über den Messenger-Dienst, sondern über die BSP-Software läuft.
Allerdings werden auch bei der Platform (unverschlüsselte) Metadaten übermittelt. Gänzlich verhindern lässt sich dies nicht, da es nicht möglich ist, den Dienst ohne den Messenger zu verwenden. Um den bestmöglichen WhatsApp-Datenschutz sicherzustellen, sollten Sie Folgendes berücksichtigen:
- DSGVO-konformer BSP: Wählen Sie einen Business Solution Provider mit Hauptsitz und Serverinfrastruktur in Deutschland oder der EU – dieser muss sich an die Vorgaben der DSGVO halten.
- Desktop-Anwendung: Achten Sie darauf, dass die BSP-Software eine Desktop-Lösung beinhaltet – dies garantiert, dass kein Datenabgleich über die App stattfindet.
- AV-Vertrag: Schließen Sie einen offiziellen Auftragsverarbeitungsvertrag mit dem BSP ab. AV-Verträge können Sie mit unserem Datenschutz-Management-System auf eRecht24 Premium erstellen und verwalten.
- Einwilligung per Double-Opt-In: Denken Sie auch bei der Platform an die Einwilligung Ihrer Kunden in die Kontaktaufnahme und lassen Sie sich diese per Double-Opt-In bestätigen.
- Datenschutzerklärung: Informieren Sie in der Datenschutzerklärung Ihre Nutzer darüber, dass Sie WhatsApp und die BSP-Software verwenden.
- Impressum: Vergessen Sie nicht, ein Impressum mit allen erforderlichen Pflichtangaben zu hinterlegen.
Erstellen Sie jetzt ein rechtssicheres Impressum mit dem eRecht24 Impressum Generator
- Einfache Integration in Ihre Website
- Anwaltlich geprüfter Generator
- Für Sie kostenfrei in wenigen Schritten
6. Gibt es datenschutzkonforme Alternativen zu WhatsApp?
Auch wenn Sie mit den richtigen Vorkehrungen sowohl die WhatsApp Business App als auch die Business Platform datenschutzrechtlich sicher verwenden können, kann es sinnvoll sein, als Unternehmen über eine alternative Kommunikationsmöglichkeit nachzudenken. Es gibt zahlreiche andere Messenger-Dienste, bei denen der Datenschutz einen höheren Stellenwert einnimmt. Dazu gehören beispielsweise die folgenden Dienste:
Signal
- Sicherheit: Ende-zu-Ende-Verschlüsselung
- DSGVO-Konformität: Datensparsamkeit
- Funktionen: Textnachrichten, Sprachanrufe, Videotelefonie, Gruppenchats
- Nachteile: Keine spezifischen Business-Funktionen
Threema.Work
- Sicherheit: Ende-zu-Ende-Verschlüsselung mit Serverstandorten in der Schweiz
- DSGVO-Konformität: Minimaler Datenzugriff, keine Speicherung von Metadaten, optionale Kontaktsynchronisation
- Funktionen: Textnachrichten, Sprachanrufe, Gruppenchats, Umfragen, Verteilerlisten, Ruhezeiten-Regelung
- Vorteile: Keine Telefonnummer erforderlich, Identifizierung durch Threema-ID
Wire
- Sicherheit: Ende-zu-Ende-Verschlüsselung
- DSGVO-Konformität: Serverstandorte in der EU
- Funktionen: Textnachrichten, Sprachanrufe, Videotelefonie, Dateiübertragung, Bildschirmfreigabe, Integrationen, Konferenz-Tools
- Business-Version: Wire Pro, Wire Enterprise und Wire Red
Alternativ können Sie erwägen, eine eigene Messenger-App programmieren zu lassen, die den Anforderungen an den Datenschutz und den Ansprüchen Ihres Unternehmens genügt.
7. Fazit: WhatsApp Datenschutz
Wer als Unternehmen auf WhatsApp zurückgreifen möchte, sollte vorsichtig sein, denn Meta nimmt es mit dem WhatsApp-Datenschutz nicht ganz genau. Zwar sind die Chats, die Sie mit Kunden und Kollegen auf WhatsApp austauschen, Ende-zu-Ende-verschlüsselt – doch Metadaten wie Telefonnummer, Statusnachrichten und Informationen über Art und Häufigkeit der Nutzung werden unverschlüsselt übertragen.
Nicht nur die Übermittlung von Metadaten, sondern auch die automatische Kontakte-Synchronisation beim privaten Messenger und der Business App sind mehr als bedenklich. Ersteren dürfen Sie für Ihre geschäftliche Kommunikation aber ohnehin nicht verwenden.
Doch auch wenn Sie eine der beiden Business-Lösungen nutzen möchten, braucht es gewisse Vorkehrungen und die richtigen Datenschutz-Einstellungen. Sie benötigen in jedem Fall eine Einwilligung Ihrer Kunden, bevor Sie diese kontaktieren dürfen. Das gilt sowohl für die Business App als auch für die Business Platform. Daneben müssen Sie einen AV-Vertrag abschließen: Bei der Business App mit WhatsApp, bei der Platform mit dem jeweiligen Business Solution Provider.
Achten Sie zudem darauf, ein separates Firmenhandy für die Business App zu verwenden und die Kontaktsynchronisation zu deaktivieren. Informieren Sie Ihre Kunden in Ihrer Datenschutzerklärung darüber, dass Sie WhatsApp nutzen, benennen Sie Zweck und Umfang der Datenverarbeitung und verweisen Sie auf WhatsApps Datenschutzrichtlinie.
Eine rechtssichere Datenschutzerklärung inklusive der WhatsApp Business App erstellen Sie mit unserem Datenschutz-Generator in wenigen Schritten online.
Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator
- Einfache Integration in Ihre Website
- Anwaltlich geprüfter Generator
- Für Sie kostenfrei in wenigen Schritten
8. FAQ: Häufige Fragen zum Datenschutz bei WhatsApp
Weiterlesen:
- Zurück zur Übersicht: "Datenschutz"
- So nutzen Sie Social Media Netzwerke rechtssicher
- Datenschutzerklärung für Social-Media-Kanäle einstellen
- Facebook Fanpage
- Facebook, Google & Co.: So löschen Sie Ihren Account
- DSGVO-konforme Linktr.ee Alternativen
- YouTube DSGVO-konform nutzen
- Ist Instagram datenschutzkonform?
- Facebook & Instagram kostenpflichtig: Meta trackt Daten
- TikTok & Datenschutz
Alles, was Sie wissen müssen