Messenger-Dienste wie WhatsApp werden neben Diensten wie Microsoft Teams und Slack vermehrt als Alternative zur Kommunikation in Unternehmen eingesetzt. Wegen zahlreicher Anfragen unserer Mandanten, haben wir WhatsApp noch einmal unter die Lupe genommen und die wesentlichen Kritikpunkte und Lösungsansätze in dem folgenden Beitrag für Sie zusammengefasst.
WhatsApp vs. WhatsApp Business
WhatsApp bietet sowohl für Privatkunden als auch für Unternehmen einen Messenger-Dienst an, welche wir in diesem Beitrag daher gesondert betrachten.
Der herkömmliche WhatsApp Messenger richtet sich an Privatkunden und zählte in 2023 knapp 2,8 Milliarden monatlich aktive Nutzer:innen. Laut Umfragen wird der Messenger in Deutschland von 80% aller Smartphone-Nutzer:innen verwendet und hat somit weitestgehend die Kommunikation via SMS ersetzt.
Seit 2018 hat WhatsApp in Deutschland einen zusätzlichen Kanal für (Klein)Unternehmen gestartet. Über WhatsApp Business können Unternehmen eigene Profile anlegen und so geschäftlich mit Kunden in Kontakt treten. Auch hier sind die Nutzerzahlen in den letzten Jahren stark angestiegen. Laut letzter Mitteilung von Marc Zuckerberg verwenden rund 200 Millionen Unternehmen den Service für ihre Dienste. Die wesentlichen Chat-Funktionen sind dabei gleich, zusätzlich bietet der Dienst aber verschiedene automatisierbare Antwortoptionen, die insbesondere Service-Anfragen mit Kunden erleichtern sollen. WhatsApp Business ist eine eigenständige App, die neben der herkömmlichen Installation auf Smartphones auch als Schnittstelle (API) für CRM-Systeme genutzt werden kann.
WhatsApp als Kommunikationskanal in Unternehmen
Die betriebliche Nutzung von WhatsApp ist vielfältig und nicht jede Kommunikation steht dabei im Konflikt mit dem Datenschutz. Unternehmen müssen aber immer dann die Vorgaben der DSGVO beachten, wenn die Nutzung betrieblich vorgegeben und der Messenger somit zur Organisation betrieblicher Angelegenheiten eingesetzt wird. Hierzu zählen beispielsweise interne Abstimmungen zu Dienst- oder Schichtplänen oder auch der betriebliche Austausch zu Kundenprojekten. Selbst die Organisation der Weihnachtsfeier kann betrieblicher Natur sein, wenn die dazugehörige Kommunikation in WhatsApp durch das Unternehmen vorgegeben wird. Die Aufsichtsbehörde NRW hat sich dazu mit der Übermittlung von Krankmeldungen in einem Unternehmen auseinandergesetzt und diese als unzulässig eingestuft (weitere Informationen im 25. Datenschutzbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, S. 51-52). Auch die Kommunikation mit Kunden, sei es zur Terminabsprache und zur Übermittlung von Dokumenten, stellt eine betriebliche Nutzung dar. Dabei ist es datenschutzrechtlich erst einmal unerheblich, dass die meisten Kunden den Dienst bereits für private Zwecke nutzen.
Sofern WhatsApp durch Beschäftigte hingegen eigenverantwortlich für private Themen genutzt wird, ist die DSGVO in aller Regel nicht anwendbar. Das europäische Datenschutzrecht findet nämlich dann keine Anwendung, wenn personenbezogenen Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeitet werden. So ist beispielsweise die Organisation von Sportgruppen oder auch Geburtstagsgeschenken in aller Regel unbedenklich und somit aus Unternehmenssicht datenschutzrechtlich nicht relevant. Unabhängig davon, können natürlich arbeitsrechtliche Vorgaben gegen eine solche Privatnutzung sprechen, was wir hier aber nicht näher beleuchten wollen.
Halten wir also fest: Sofern WhatsApp einen zusätzlichen betrieblichen Kommunikationskanal darstellt und dieser von der Geschäftsführung zumindest gebilligt wird, müssen die Vorgaben der DSGVO beachtet werden.
Alle aktuellen Entwicklungen zu WhatsApp Business haben Sie mit unserem Newsletter im Blick.
Ist die DSGVO überhaupt anwendbar?
In unserer Beratung hören wir häufig den Einwand, dass die Kommunikation innerhalb von WhatsApp verschlüsselt sei und deshalb keine personenbezogenen Daten an Dritte übermittelt würden. Durch die Verschlüsselung müsste somit das Datenschutzrecht nicht beachtet werden.
Diese Argumentation ist so nicht korrekt, denn sie unterschlägt die Verarbeitung der sogenannten Metadaten, die bei jeder Kommunikationshandlung unverschlüsselt an WhatsApp übermittelt werden. Hierzu zählen neben der Telefonnummer auch diverse weitere Informationen wie Geräteinformationen, Art und Häufigkeit der Nutzung, IP-Adresse oder neuerdings auch die Facebook Messenger-ID (bei gleichzeitiger Installation des Facebook Messengers). WhatsApp kann somit jederzeit nachvollziehen, wer mit wem von welchem Standort über welches Endgerät wie lange kommuniziert hat. Diese Metastellen sind dabei unstrittig von der DSGVO erfasst, da zumindest mittelbar mittels Zuordnung zu einer Kennung ein Rückschluss zu einer natürlichen Person möglich ist (vgl. Art. 4 Nr. 1 DSGVO).
Trotz Verschlüsselung der Inhaltsdaten werden somit zahlreiche personenbezogene Informationen an WhatsApp bzw. Meta übermittelt. Aus Unternehmenssicht müssen die Vorgaben der DSGVO somit beachtet werden.
Datenschutzrechtliche Probleme beim WhatsApp Messenger
Durch die Verarbeitung personenbezogener Metadaten ergeben sich eine Reihe datenschutzrechtlicher Herausforderungen. Im Datenschutzrecht dürfen personenbezogene Daten nämlich nur aufgrund einer Rechtsgrundlage oder Einwilligung verarbeitet oder auch an Dritte übermittelt werden.
1. Upload der Kontaktdaten
Das wohl prominenteste Problem ist der ständige Upload von Adressbuchdaten zu WhatsApp. Die Kontaktdaten werden dabei auf Servern von WhatsApp in den USA gespeichert und mit den Daten anderer Nutzer abgeglichen. Dies ist technisch auch nachvollziehbar, da WhatsApp wissen muss, an welche Personen Nachrichten und Anfragen übermittelt werden können und wer generell als WhatsApp-Kontakt dem Nutzer zur Verfügung steht. Im Gegensatz zu anderen Anbietern, wie beispielsweise Threema, werden die Kontaktdaten dabei unverschlüsselt bei WhatsApp gespeichert. Da zudem nicht ausgeschlossen werden kann, dass Kontakte im Adressbuch keinen WhatsApp-Account besitzen, bietet dieser automatisierte Upload eine gewisse datenschutzrechtliche Brisanz. Als Unternehmen müssen Sie nämlich für jeden einzelnen Kontakt eine Rechtsgrundlage für die Übermittlung der Daten vorweisen können. Da weder eine vertragliche Grundlage für gemeinsame Nutzung besteht (oder ist in Ihren Verträgen die Nutzung von WhatsApp vertraglich vorgeschrieben?) noch die Einwilligung jedes Einzelnen vorliegen dürfte, wäre die Übermittlung allein auf Grundlage einer Interessenabwägung im Sinne von Art. 6 Abs. 1 lit. f) DSGVO zulässig. Diese Rechtsgrundlage greift aber immer dann nicht, wenn der jeweilige Kontakt keinen eigenen WhatsApp-Account besitzt, denn in diesem Fall überwiegen bereits aufgrund des Drittlandtransfers die Interessen der Betroffenen.
Kurz gesagt: Es fehlt in aller Regel an der datenschutzrechtlichen Befugnis zum Abgleich der Kontaktdaten. Der Upload von Adressdaten ist daher auch der wesentliche Kritikpunkt der Aufsichtsbehörden in Deutschland.
2. Nutzung der Metadaten durch WhatsApp
Ein weiteres Problem ist die bereits erwähnte Nutzung der Metadaten durch WhatsApp. Auch hierfür ist jeweils die Rechtfertigung mittels Rechtsgrundlage notwendig. Normalerweise wird dieses Problem über die Vereinbarung eines Vertrages zur Auftragsverarbeitung im Sinne von Art. 28 DSGVO geregelt. Durch den Vertrag ist – vereinfacht gesagt – die eigenständige Nutzung von Kundendaten durch den Auftragnehmer untersagt, wodurch die Übermittlung dieser Informationen an den Dienstleister (WhatsApp) datenschutzrechtlich gerechtfertigt werden kann. Da der WhatsApp Messenger aber allein für den privaten Gebrauch konzipiert ist, bietet WhatsApp diesen Vertrag für Unternehmen nicht an. Denn es gehört vielmehr zum Geschäftsmodell der Konzernmutter Meta, diese Informationen auch für werbliche Zwecke in eigener Verantwortung nutzen zu können. Eine Verarbeitung der (personenbezogenen) Metadaten durch WhatsApp ist somit regelmäßig ohne ausdrückliche Einwilligung Ihrer Kunden ebenfalls nicht zulässig.
3. Unverschlüsselte Backups
Ein zusätzliches Problem betrifft die verschlüsselten Inhaltsdaten. Diese Informationen können in bestimmten Situationen unverschlüsselt an Dritte übermittelt werden, was (Sie ahnen es) ebenfalls nicht zulässig ist. Auch wenn alle Inhalte grundsätzlich Ende-zu-Ende verschlüsselt sind, sind die Backups regelmäßig nicht von diesem besonderen Schutz umfasst. Wenn beispielsweise Mitarbeiter:innen WhatsApp auf dem privaten Smartphone installiert haben, ist häufig eine automatische Backupfunktion aktiviert. Diese ermöglicht eine einfache Wiederherstellung im Falle eines Verlustes. Um dies zu ermöglichen, werden jedoch alle Inhalte des Telefons (auch die Chats) unverschlüsselt bei Google oder Apple gespeichert, was natürlich eine gewisse datenschutzrechtliche Relevanz besitzt. Auch diese Übermittlung lässt sich nicht vertraglich in den Griff bekommen (insbesondere Apple bietet selbst für Unternehmen keinen AV-Vertrag an), wodurch es auch hier an der erforderlichen Rechtfertigung der Datenverarbeitung mangelt.
Holen Sie die Datenschutzkanzlei an Bord
Rechtsberatung für Daten, Tech und Marketing
Beratung zu WhatsApp Business
Externe Datenschutzbeauftragte für Ihr Unternehmen
Zwischenfazit zu WhatsApp Messenger
Der herkömmliche WhatsApp Messenger ist sowohl für die interne Kommunikation im Unternehmen als auch extern mit Kunden aus Datenschutzsicht ungeeignet. In aller Regel fehlt es an den erforderlichen Rechtsgrundlagen bzw. Einwilligungen der Kunden. Dieses Fazit ergibt sich übrigens nicht nur aus den oberhalb aufgeführten Bedenken, selbst WhatsApp verbietet „irgendeine nicht-private Nutzung des Dienstes “ innerhalb der eigenen Dienstbedingungen (AGB). Unabhängig vom Datenschutz verstoßen Unternehmen im Falle einer betrieblichen Nutzung somit auch gegen die Vertragsbedingungen von WhatsApp.
WhatsApp Business als Alternative?
Mit WhatsApp Business wurde im Jahr 2018 ein eigener Dienst für Kleinunternehmen geschaffen, der die Kommunikation mit Kunden per Chat erleichtern soll. Im Gegensatz zur privaten Version, bietet diese Version verschiedene Vorteile für Unternehmen.
1. Vertag zur Auftragsverarbeitung
Im Gegensatz zur herkömmlichen Version bietet WhatsApp Business einen Vertrag zur Auftragsverarbeitung für Unternehmen an. Dieser wird bereits im Rahmen der Installation über die allgemeine Dienstvereinbarung mit vereinbart. Der Vertrag selbst enthält zwar die wesentlichen Inhalte, leider fehlen aus unserer Sicht aber konkrete Angaben zu weiteren Unterauftragnehmern, was gemäß Art. 28 Abs. 3 DSGVO erforderlich ist. Auch wenn uns hierzu noch kein aufsichtsbehördliches Verfahren bekannt ist, besteht hier dennoch ein gewisses Risiko. Es ist aber schon einmal ein Fortschritt, dass WhatsApp mit diesem Vertrag die Verantwortlichkeit der Daten beim nutzenden Unternehmen belässt und eine eigene Nutzung (zumindest auf dem Papier) ausschließt.
2. Impressumspflicht
Als sogenannter Diensteanbieter sind Sie dazu verpflichtet, bestimmte Pflichtangaben für Ihre Kunden bereitzuhalten. Diese Impressumspflicht ergibt sich aus § 5 DDG, ist regelmäßig auf Websites anzuwenden, muss aber auch im Rahmen eines WhatsApp-Accounts beachtet werden. Bei WhatsApp Business besteht die Möglichkeit im Rahmen der Unternehmensbeschreibung, diese Pflicht zu erfüllen. Da WhatsApp hierzu kein eigenes Datenfeld enthält, empfehlen wir eine Verlinkung auf das bestehende Impressum der Website. Wichtig ist dabei, dass der Link „sprechend“ dargestellt wird, was bedeutet, dass Nutzer direkt erkennen müssen, wohin sie der Link führt.
3. Datenschutzhinweise
Ein weiteres Erfordernis sind die datenschutzrechtlichen Informationspflichten gemäß der Artikel 13 und 14 DSGVO. Sofern Sie als Unternehmen Daten von Betroffenen verarbeiten, müssen Sie über den Zweck der Verarbeitung sowie weiterer Pflichtangaben in einer Datenschutzerklärung informieren. Eine ausführliche Erläuterung, wie man solche Hinweise erstellt, haben wir Ihnen hier zusammengestellt.
Über WhatsApp Business können Unternehmen automatisierte Nachrichten erstellen, die bei der ersten Kontaktaufnahme eines Kunden durch das System verschickt werden. Da die Datenschutzhinweise unmittelbar nach Speicherung mitgeteilt werden müssen, kann die automatische Nachrichtenfunktion für diese Hinweispflichten der DSGVO genutzt werden. Aus Gründen der Übersichtlichkeit bietet sich auch hier eine Verlinkung auf die (um WhatsApp ergänzten) Datenschutzhinweise Ihrer Website an:
Mögliche Nutzungen von WhatsApp Business in Unternehmen
WhatsApp Business ist allein für die Kommunikation zwischen Unternehmen und ihren Kunden konzipiert. So lassen sich beispielsweise der Kundensupport oder auch erste Kontaktanfragen über den Dienst steuern. Wichtig ist dabei, dass die erste Kontaktaufnahme durch den Kunden erfolgen sollte. Andernfalls ist es schwierig die Betroffenen über die Pflichtangaben zum Datenschutz entsprechend zu informieren.
WhatsApp Business sollte zudem auf der IT-Infrastruktur (z.B. dienstliches Smartphones) des Unternehmens laufen, um etwaige Datenverluste (z.B. durch Backups der Mitarbeiter) auszuschließen. Auch wenn der vorliegende AV-Vertrag die eigenständige Nutzung durch WhatsApp grundsätzlich ausschließt, empfehlen wir dennoch den allgemeinen Zugriff auf das bestehende Adressbuch zu unterbinden. Auf diese Weise werden auch nur diejenigen Daten übermittelt, die für konkrete Kommunikationshandlung erforderlich sind.
Wofür kann ich WhatsApp Business nicht verwenden?
WhatsApp Business ist nicht für die interne Kommunikation in Unternehmen konzipiert und sollte daher auch nicht für diesen Zweck verwendet werden. Da die betroffenen Mitarbeiter:innen auch bei WhatsApp Business über ihre privaten Accounts kommunizieren müssten, besteht weiterhin das Problem der Datenhoheit, denn Sie haben keinen Einfluss auf das Backup der privaten Mitarbeitergeräte. WhatsApp Business ist demnach kein Ersatz für interne Absprachen über E-Mails. Hierzu müssten alternative Anbieter wie Slack, Microsoft Teams oder auch intern gehostete Chat-Clients in Betracht gezogen werden.
Darf ich meine WhatsApp-Kontakte zu Werbezwecken anschreiben?
Die werbliche Ansprache ist über WhatsApp Business nur sehr eingeschränkt möglich. Dabei ist der Begriff „Werbung“ sehr weit zu verstehen. Selbst die jährliche Weihnachtskarte oder der Geburtstagsgruß werden laut Rechtsprechung darunter gefasst. Auch Ankündigungen zu Sommerfesten oder sonstigen Veranstaltungen Ihres Betriebs dienen der „mittelbaren Absatzförderung“ und sind somit als Werbung Ihres Unternehmens einzustufen.
Eine Werbenachricht darf grundsätzlich nur mit Einwilligung des Empfängers versendet werden. Dies gibt übrigens nicht (nur) die DSGVO, sondern in Deutschland § 7 UWG vor, der in dieser Form bereits seit 2009 existiert. Die Einwilligung muss dabei ausdrücklich und nachweisbar erklärt werden. Eine mündliche Erklärung ist grundsätzlich zwar nicht ausgeschlossen, lässt sich im Streitfall aber kaum beweisen. Sie müssten Ihre Kunden also vorab schriftlich (oder über den jeweiligen Chat) fragen, ob sie mit werblichen Nachrichten über WhatsApp einverstanden sind. Erst wenn der Kunde zusagt, dürfen Sie loslegen.
Übrigens sieht WhatsApp den Versand von Werbenachrichten selbst nur sehr ungern. Seit Ende 2019 wurden entsprechende Einstellungen bei WhatsApp noch einmal eingeschränkt und es wurde kommuniziert, dass der massenhafte Versand von Werbenachrichten verboten sei.
Fazit zu WhatsApp Business
Mit WhatsApp Business können grundsätzlich die formellen Voraussetzungen nach der DSGVO und dem DDG eingehalten werden. Zudem bietet WhatsApp für Unternehmen einen Vertrag zur Auftragsverarbeitung an, der aus unserer Sicht aber bislang nicht alle Voraussetzungen des Art. 28 DSGVO erfüllt. Wenn Sie als Unternehmen einen zusätzlichen Kommunikationskanal mit Kunden suchen, bietet WhatsApp Business hierzu eine mögliche Alternative. Ein Ersatz für die interne Kommunikation via E-Mail lässt sich über den Dienst aber weiterhin nicht bewerkstelligen.
Rechtsanwalt David Oberbeck hat seinen Beratungsschwerpunkt im Datenschutzrecht, Wettbewerbsrecht und IT-Recht. Er berät Unternehmen als externer Datenschutzbeauftragter und beratender Rechtsanwalt.