Nicht nur in Corona-Zeiten werden Messenger-Dienste wie WhatsApp vermehrt zur Kommunikation in Unternehmen eingesetzt. Wegen zahlreicher Anfragen unserer Mandanten, haben wir WhatsApp noch einmal unter die Lupe genommen und die wesentlichen Kritikpunkte und Lösungsansätze in dem folgenden Beitrag für Sie zusammengefasst.
Bild von IPhone mit Whatsapp

WhatsApp vs. WhatsApp Business

WhatsApp bietet sowohl für Privatkunden als auch für Unternehmen einen Messenger-Dienst an, welche wir in diesem Beitrag daher gesondert betrachten.

Der herkömmliche WhatsApp Messenger richtet sich an Privatkunden und erreichte im Februar 2020 erstmals die Grenze von zwei Milliarden monatlich aktiven Nutzern. Laut Umfragen wird der Messenger in Deutschland von 95% der Smartphone-Nutzer verwendet und hat somit weitestgehend die Kommunikation via SMS ersetzt.

Seit 2018 hat WhatsApp in Deutschland einen zusätzlichen Kanal für (Klein)Unternehmen gestartet. Über WhatsApp Business können Unternehmen eigene Profile anlegen und so geschäftlich mit Kunden in Kontakt treten. Die wesentlichen Chat-Funktionen sind dabei gleich, zusätzlich bietet der Dienst aber verschiedene automatisierbare Antwortoptionen, die insbesondere Service-Anfragen mit Kunden erleichtern sollen. WhatsApp Business ist eine eigenständige App, die neben der herkömmlichen Installation auf Smartphones auch als Schnittstelle (API) für CRM-Systeme genutzt werden kann.

WhatsApp als Kommunikationskanal in Unternehmen

Die betriebliche Nutzung von WhatsApp ist vielfältig und nicht jede Kommunikation steht dabei im Konflikt mit dem Datenschutz. Unternehmen müssen aber immer dann die Vorgaben der DSGVO beachten, wenn die Nutzung betrieblich vorgegeben und der Messenger somit zur Organisation betrieblicher Angelegenheiten eingesetzt wird. Hierzu zählen beispielsweise interne Abstimmungen zu Dienst- oder Schichtplänen oder auch der betriebliche Austausch zu Kundenprojekten. Selbst die Organisation der Weihnachtsfeier kann betrieblicher Natur sein, wenn die dazugehörige Kommunikation in WhatsApp durch den Vorgesetzen vorgegeben wird. Die Aufsichtsbehörde NRW hat sich kürzlich mit der Übermittlung von Krankmeldungen in einem Unternehmen auseinandergesetzt und diese als unzulässig eingestuft (weitere Informationen im 25. Datenschutzbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, S. 51-52). Auch die Kommunikation mit Kunden, sei es zur Terminabsprache und zur Übermittlung von Dokumenten, stellt eine betriebliche Nutzung dar. Dabei ist es datenschutzrechtlich erst einmal unerheblich, dass die meisten Kunden den Dienst bereits für private Zwecke nutzen.

Sofern WhatsApp durch Beschäftigte hingegen eigenverantwortlich für private Themen genutzt wird, ist die DSGVO in aller Regel nicht anwendbar. Das europäische Datenschutzrecht findet nämlich dann keine Anwendung, wenn personenbezogenen Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeitet werden. So ist beispielsweise die Organisation von Sportgruppen oder auch Geburtstagsgeschenken in aller Regel unbedenklich und somit aus Unternehmenssicht datenschutzrechtlich nicht relevant. Unabhängig davon, können natürlich arbeitsrechtliche Vorgaben gegen eine solche Privatnutzung sprechen, was wir hier aber nicht näher beleuchten wollen.

Halten wir also fest: Sofern WhatsApp einen zusätzlichen betrieblichen Kommunikationskanal darstellt und dieser von der Geschäftsführung zumindest gebilligt wird, müssen die Vorgaben der DSGVO beachtet werden.

Ist die DSGVO überhaupt anwendbar?

In unserer Beratung hören wir häufig den Einwand, dass die Kommunikation innerhalb von WhatsApp verschlüsselt sei und deshalb keine personenbezogenen Daten an Dritte übermittelt würden. Durch die Verschlüsselung müsste somit das Datenschutzrecht nicht beachtet werden.

Diese Argumentation ist so nicht korrekt, denn sie unterschlägt die Verarbeitung der sogenannten Metadaten, die bei jeder Kommunikationshandlung unverschlüsselt an WhatsApp übermittelt werden. Hierzu zählen neben der Telefonnummer auch diverse weitere Informationen wie Geräteinformationen, Art und Häufigkeit der Nutzung, IP-Adresse oder neuerdings auch die Facebook Messenger-ID (bei gleichzeitiger Installation des Facebook Messengers). WhatsApp kann somit jederzeit nachvollziehen, wer mit wem von welchem Standort über welches Endgerät wie lange kommuniziert hat. Diese Metastellen sind dabei unstrittig von der DSGVO erfasst, da zumindest mittelbar mittels Zuordnung zu einer Kennung ein Rückschluss zu einer natürlichen Person möglich ist (vgl. Art. 4 Nr. 1 DSGVO).

Trotz Verschlüsselung der Inhaltsdaten werden somit zahlreiche personenbezogene Informationen an WhatsApp bzw. Facebook übermittelt. Aus Unternehmenssicht müssen die Vorgaben der DSGVO somit beachtet werden.

Datenschutzrechtliche Probleme beim WhatsApp Messenger

Durch die Verarbeitung personenbezogener Metadaten ergeben sich eine Reihe datenschutzrechtlicher Herausforderungen. Im Datenschutzrecht dürfen personenbezogene Daten nämlich nur aufgrund einer Rechtsgrundlage oder Einwilligung verarbeitet oder auch an Dritte übermittelt werden.

 

1. Upload der Kontaktdaten

Das wohl prominenteste Problem ist der ständige Upload von Adressbuchdaten zu WhatsApp. Die Kontaktdaten werden dabei auf Servern von WhatsApp in den USA gespeichert und mit den Daten anderer Nutzer abgeglichen. Dies ist technisch auch nachvollziehbar, da WhatsApp wissen muss, an welche Personen Nachrichten und Anfragen übermittelt werden können und wer generell als WhatsApp-Kontakt dem Nutzer zur Verfügung steht. Im Gegensatz zu anderen Anbietern, wie beispielsweise Threema, werden die Kontaktdaten dabei unverschlüsselt bei WhatsApp gespeichert. Da zudem nicht ausgeschlossen werden kann, dass Kontakte im Adressbuch keinen WhatsApp-Account besitzen, bietet dieser automatisierte Upload eine gewisse datenschutzrechtliche Brisanz. Als Unternehmen müssen Sie nämlich für jeden einzelnen Kontakt eine Rechtsgrundlage für die Übermittlung der Daten vorweisen können. Da weder eine vertragliche Grundlage für gemeinsame Nutzung besteht (oder ist in Ihren Verträgen die Nutzung von WhatsApp vertraglich vorgeschrieben?) noch die Einwilligung jedes Einzelnen vorliegen dürfte, wäre die Übermittlung allein auf Grundlage einer Interessenabwägung im Sinne von Art. 6 Abs. 1 lit. f) DSGVO zulässig. Diese Rechtsgrundlage greift aber immer dann nicht, wenn der jeweilige Kontakt keinen eigenen WhatsApp-Account besitzt, denn in diesem Fall überwiegen bereits aufgrund des Drittlandtransfers die Interessen der Betroffenen. Kurz gesagt: Es fehlt in aller Regel an der datenschutzrechtlichen Befugnis zum Abgleich der Kontaktdaten. Der Upload von Adressdaten ist daher auch der wesentliche Kritikpunkt der Aufsichtsbehörden in Deutschland.

 

2. Nutzung der Metadaten durch WhatsApp

Ein weiteres Problem ist die bereits erwähnte Nutzung der Metadaten durch WhatsApp. Auch hierfür ist jeweils die Rechtfertigung mittels Rechtsgrundlage notwendig. Da Dienste wie WhatsApp zumindest derzeit nicht unter das TK-Geheimnis fallen, ist eine eigene Verwendung dieser Informationen auch gesetzlich nicht explizit ausgeschlossen. Normalerweise wird dieses Problem über die Vereinbarung eines Vertrages zur Auftragsverarbeitung im Sinne von Art. 28 DSGVO ausgeräumt. Durch den Vertrag ist – vereinfacht gesagt – die eigenständige Nutzung von Kundendaten durch den Auftragnehmer untersagt, wodurch die Übermittlung dieser Informationen an den Dienstleister (WhatsApp) datenschutzrechtlich gerechtfertigt werden kann. Da der WhatsApp Messenger aber allein für den privaten Gebrauch konzipiert ist, bietet WhatsApp diesen Vertrag für Unternehmen nicht an. Denn es gehört vielmehr zum Geschäftsmodell der Konzernmutter Facebook, diese Informationen auch für werbliche Zwecke in eigener Verantwortung nutzen zu können. Eine Verarbeitung der (personenbezogenen) Metadaten durch WhatsApp ist somit regelmäßig ohne ausdrückliche Einwilligung Ihrer Kunden ebenfalls nicht zulässig.

 

3. Unverschlüsselte Backups

Ein zusätzliches Problem betrifft die verschlüsselten Inhaltsdaten. Diese Informationen können in bestimmten Situationen unverschlüsselt an Dritte übermittelt werden, was (Sie ahnen es) ebenfalls nicht zulässig ist. Auch wenn alle Inhalte grundsätzlich Ende-zu-Ende verschlüsselt sind, sind die Backups regelmäßig nicht von diesem besonderen Schutz umfasst. Wenn beispielsweise ein Mitarbeiter WhatsApp auf dem privaten Smartphone installiert hat, ist häufig eine automatische Backupfunktion aktiviert. Diese ermöglicht eine einfache Wiederherstellung im Falle eines Verlustes. Um dies zu ermöglichen, werden jedoch alle Inhalte des Telefons (auch die Chats) unverschlüsselt bei Google oder Apple gespeichert, was natürlich eine gewisse datenschutzrechtliche Relevanz besitzt. Auch diese Übermittlung lässt sich nicht vertraglich in den Griff bekommen (insbesondere Apple bietet selbst für Unternehmen keinen AV-Vertrag an), wodurch es auch hier an der erforderlichen Rechtfertigung der Datenverarbeitung mangelt.

Zwischenfazit zu WhatsApp Messenger

Der herkömmliche WhatsApp Messenger ist sowohl für die interne Kommunikation im Unternehmen als auch extern mit Kunden aus Datenschutzsicht ungeeignet. In aller Regel fehlt es an den erforderlichen Rechtsgrundlagen bzw. Einwilligungen der Kunden. Dieses Fazit ergibt sich übrigens nicht nur aus den oberhalb aufgeführten Bedenken, selbst WhatsApp verbietet eine „nicht-private Nutzung“ innerhalb der eigenen Dienstbedingungen (AGB). Unabhängig vom Datenschutz verstoßen Unternehmen im Falle einer betrieblichen Nutzung somit auch gegen die Vertragsbedingungen von WhatsApp.

WhatsApp Business als Alternative?

Mit WhatsApp Business wurde im Jahr 2018 ein eigener Dienst für Kleinunternehmen geschaffen, der die Kommunikation mit Kunden per Chat erleichtern soll. Im Gegensatz zur privaten Version, bietet diese Version verschiedene Vorteile für Unternehmen.

 

1. Vertag zur Auftragsverarbeitung

Im Gegensatz zur herkömmlichen Version bietet WhatsApp Business einen Vertrag zur Auftragsverarbeitung für Unternehmen an. Dieser wird bereits im Rahmen der Installation über die allgemeine Dienstvereinbarung mit vereinbart. Der Vertrag selbst enthält zwar die wesentlichen Inhalte, leider fehlen aus unserer Sicht aber konkrete Angaben zu weiteren Unterauftragnehmern sowie Angaben zu den konkreten Sicherheitsvorkehrungen bei WhatsApp (beides muss gemäß Art. 28 Abs. 3 DSGVO erfüllt werden). Auch wenn uns hierzu noch kein aufsichtsbehördliches Verfahren bekannt ist, besteht hier dennoch ein gewisses Risiko. Es ist aber schon einmal ein Fortschritt, dass WhatsApp mit diesem Vertrag die Verantwortlichkeit der Daten beim nutzenden Unternehmen belässt und eine eigene Nutzung (zumindest auf dem Papier) ausschließt.

 

2. Impressumspflicht

Als sogenannter Diensteanbieter sind Sie dazu verpflichtet, bestimmte Pflichtangaben für Ihre Kunden bereitzuhalten. Diese Impressumspflicht ergibt sich aus § 5 TMG, ist regelmäßig auf Websites anzuwenden, muss aber auch im Rahmen eines WhatsApp-Accounts beachtet werden. Bei WhatsApp Business besteht die Möglichkeit im Rahmen der Unternehmensbeschreibung, diese Pflicht zu erfüllen. Da WhatsApp hierzu kein eigenes Datenfeld enthält, empfehlen wir eine Verlinkung auf das bestehende Impressum der Website. Wichtig ist dabei, dass der Link „sprechend“ dargestellt wird, was bedeutet, dass Nutzer direkt erkennen müssen, wohin sie der Link führt. Unsauber wird es leider dann, wenn der Name der Domain etwas zu lang ist, wie Sie an unserem Beispiel sehen können:

 

Beispielbild Datenschutzkanzlei Facebook Impressum

3. Datenschutzhinweise

Ein weiteres Erfordernis sind die datenschutzrechtlichen Informationspflichten gemäß der Artikel 13 und 14 DSGVO. Sofern Sie als Unternehmen Daten von Betroffenen verarbeiten, müssen Sie über den Zweck der Verarbeitung sowie weiterer Pflichtangaben in einer Datenschutzerklärung informieren. Eine ausführliche Erläuterung, wie man solche Hinweise erstellt, haben wir Ihnen hier zusammengestellt.

Über WhatsApp Business können Unternehmen automatisierte Nachrichten erstellen, die bei der ersten Kontaktaufnahme eines Kunden durch das System verschickt werden. Da die Datenschutzhinweise unmittelbar nach Speicherung mitgeteilt werden müssen, kann die automatische Nachrichtenfunktion für diese Hinweispflichten der DSGVO genutzt werden. Aus Gründen der Übersichtlichkeit bietet sich auch hier eine Verlinkung auf die (um WhatsApp ergänzten) Datenschutzhinweise Ihrer Website an:

 

Beispielchat Impressum per Whatsappnachricht

Mögliche Nutzungen von WhatsApp Business in Unternehmen

WhatsApp Business ist allein für Kommunikation zwischen Unternehmen und ihren Kunden konzipiert. So lassen sich beispielsweise der Kundensupport oder auch erste Kontaktanfragen über den Dienst steuern. Wichtig ist dabei, dass die erste Kontaktaufnahme durch den Kunden erfolgen sollte. Andernfalls ist es schwierig die Betroffenen über die Pflichtangaben zum Datenschutz entsprechend zu informieren.

WhatsApp Business sollte zudem auf der IT-Infrastruktur (z.B. dienstliches Smartphones) des Unternehmens laufen, um etwaige Datenverluste (z.B. durch Backups der Mitarbeiter) auszuschließen. Auch wenn der vorliegende AV-Vertrag die eigenständige Nutzung durch WhatsApp grundsätzlich ausschließt, empfehlen wir dennoch den allgemeinen Zugriff auf das bestehende Adressbuch zu unterbinden. Auf diese Weise werden auch nur diejenigen Daten übermittelt, die für konkrete Kommunikationshandlung erforderlich sind.

Wofür kann ich WhatsApp Business nicht verwenden?

WhatsApp Business ist nicht für die interne Kommunikation in Unternehmen konzipiert und sollte daher auch nicht für diesen Zweck verwendet werden. Da die betroffenen Mitarbeiter auch bei WhatsApp Business über ihre privaten Accounts kommunizieren müssten (ein WhatsApp Business Account lässt sich nicht auf beliebigen Endgeräten installieren), besteht weiterhin das Problem der Datenhoheit, denn Sie haben keinen Einfluss auf das Backup der privaten Mitarbeitergeräte. WhatsApp Business ist demnach kein Ersatz für interne Absprachen über E-Mails. Hierzu müssten alternative Anbieter wie Slack, Microsoft Teams oder auch intern gehostete Chat-Clients in Betracht gezogen werden.

Darf ich meine WhatsApp-Kontakte zu Werbezwecken anschreiben?

Die werbliche Ansprache ist über WhatsApp Business nur sehr eingeschränkt möglich. Dabei ist der Begriff „Werbung“ sehr weit zu verstehen. Selbst die jährliche Weihnachtskarte oder der Geburtstagsgruß werden laut Rechtsprechung darunter gefasst. Auch Ankündigungen zu Sommerfesten oder sonstigen Veranstaltungen Ihres Betriebs dienen der „mittelbaren Absatzförderung“ und sind somit als Werbung Ihres Unternehmens einzustufen.

Eine Werbenachricht darf grundsätzlich nur mit Einwilligung des Empfängers versendet werden. Dies gibt übrigens nicht (nur) die DSGVO, sondern in Deutschland § 7 UWG vor, der in dieser Form bereits seit 2009 existiert. Die Einwilligung muss dabei ausdrücklich und nachweisbar erklärt werden. Eine mündliche Erklärung ist grundsätzlich zwar nicht ausgeschlossen, lässt sich im Streitfall aber kaum beweisen. Sie müssten Ihre Kunden also vorab schriftlich (oder über den jeweiligen Chat) fragen, ob sie mit werblichen Nachrichten über WhatsApp einverstanden sind. Erst wenn der Kunde zusagt, dürfen Sie loslegen.

Übrigens sieht WhatsApp den Versand von Werbenachrichten selbst nur sehr ungern. Seit Ende 2019 wurden entsprechende Einstellungen bei WhatsApp noch einmal eingeschränkt und es wurde kommuniziert, dass der massenhafte Versand von Werbenachrichten verboten sei.

Fazit zu WhatsApp Business

Mit WhatsApp Business können grundsätzlich die formellen Voraussetzungen nach der DSGVO und dem TMG eingehalten werden. Zudem bietet WhatsApp für Unternehmen einen Vertrag zur Auftragsverarbeitung an, der aus unserer Sicht aber bislang nicht alle Voraussetzungen des Art. 28 DSGVO erfüllt. Wenn Sie als Unternehmen einen zusätzlichen Kommunikationskanal mit Kunden suchen, bietet WhatsApp Business hierzu eine mögliche Alternative. Ein Ersatz für die interne Kommunikation via E-Mail lässt sich über den Dienst aber weiterhin nicht bewerkstelligen.

Rechtsanwalt David Oberbeck hat seinen Beratungsschwerpunkt im Datenschutzrecht, Wettbewerbsrecht und IT-Recht. Er berät Unternehmen als externer Datenschutzbeauftragter und beratender Rechtsanwalt.