Zurück zu Blog

Löst WhatsApp Business das DSGVO Problem?

Licht am Ende des Tunnels! WhatsApp Business kommt und liefert einige spannende Lösungen für die zuvor heiß diskutierten Patzer im Datenschutz. Bei allen, die WhatsApp im geschäftlichen Kontext bisher aus Gründen des Datenschutzes, teilweise zu Recht, abgelehnt haben, herrscht jetzt Aufbruchstimmung.

Doch zunächst “Was bisher geschah”. Wir fassen einmal die wichtigsten rechtlichen Stolpersteine für die gewerbliche Nutzung von WhatsApp zusammen:

Einführung

WhatsApp ist mit mehr als 1,5 Milliarden Nutzern weltweit der populärste Messenger. Laut einer Bitkom Umfrage nutzen 81% aller Deutschen den Dienst(1) und eine weitere Umfrage YouGov fand heraus, dass jeder Fünfte findet, dass Kontakt über WhatsApp mit Unternehmen längst überfällig ist und Alltag sein sollte.

Gewerbliche Nutzung von WhatsApp

WhatsApp war bisher nur für die private Nutzung ausgelegt. Sinngemäß hieß es in den AGB von WhatsApp, dass der Einsatz für gewerbliche Zwecke grundsätzlich erlaubt ist, solange der Nutzer sich dabei nicht als Adressat von Spam „fühlt“. Ansonsten schien die Zulässigkeit aus Sicht von WhatsApp zu bestehen, jedoch behielt sich das Unternehmen die Möglichkeit vor, die Nutzung von einer gesonderten Genehmigung und einer Gegenleistung abhängig zu machen (T3N berichtete).

Diese Formulierung lässt ziemlich viel Interpretationsspielraum und birgt rechtliche Risiken, zum Beispiel bei großflächiger Anwendung auf und gleichzeitiger Änderung der Regelungen plötzlich aufgrund Verstößen gegen die Lizenzbedingungen zur Kasse gebeten zu werden. Denn ein überschreiten der Lizenz könnte als Verstoß gegen das Urheberrecht gelten und gem. § 106 UrhG sogar ein Straftatbestand sein.

 

Aufzeichnungsanforderungen und Aufbewahrungspflichten

In einigen Fällen oder Branchen könnte es die Anforderung geben, die Konversationen langfristig abzuspeichern, wie z.B. die Aufzeichnungspflichten für Banken im Rahmen von MiFID II, oder, noch viel naheliegender, bei Vertragskommunikation gemäß der Aufbewahrungspflicht nach § 257 HGB und Aufbewahrungspflicht nach § 147 AO sowie den Anforderungen an die Datenarchivierung gemäß den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD).

Ein nicht archivierter Chatverlauf, der sich ausschließlich auf dem Telefon eines Mitarbeiters befindet, könnte demnach bereits zum Verhängnis werden. Dies würde aufgrund der bisher fehlenden technischen Schnittstellen bedeuten, dass Unternehmen Chatverläufe manuell exportieren und in andere Systeme übertragen müssten.

Skalierbar und rechtssicher sieht anders aus.

 

Datenschutz

Rechtsgrundlage der Verarbeitung

Im Rahmen der DSGVO bedarf es bei der Nutzung von WhatsApp zum Zwecke der Kundenkommunikation, wie bei allen anderen Verarbeitungen von personenbezogenen Daten, einer Rechtsgrundlage. Die bevorzugte Grundlage wäre die “Einwilligung des Betroffenen” (Art. 6 Abs.1a DSGVO), die Alternative ggf. “Berechtigtes Interesse”, d.h. Im Fall, dass die Interessen des werbenden Unternehmens im Einzelfall denjenigen des Betroffenen überwiegen (Art 6 Abs.1f DSGVO). Die DSGVO erkennt die Direktwerbung ausdrücklich als berechtigtes Interesse eines Unternehmens an, sodass man bei einer Abwägung der Interessen durchaus zu Gunsten des Unternehmens entscheiden könnte und damit die Kommunikation per WhatsApp auch ohne explizite Einwilligung legal wäre.

Wer auf der sicheren Seite sein will, muss sich die Einwilligung des Betroffenen vor Beginn der Kommunikation einholen. Dies würde beispielsweise über eine bestehende Website gehen. Ein sicheres, kanalbezogenes Management von Einwilligungen ist über die bisherige private WhatsApp Lösung kaum möglich. Unternehmen müssten bei jeder erstmaligen Kontaktaufnahme manuell den Kunden einwilligen lassen und diese Einwilligung manuell protokollieren.

Informationspflichten

Ferner muss das Unternehmen seinen Informationspflichten gem. Art 13 DSGVO nachkommen und den Betroffenen in einer klaren, einfachen und verständlichen Sprache über seine Rechte – wie zum Beispiel sein Widerspruchsrecht – aufgeklären. Ob es ausreicht, dies bspw. auf einem anderen Kanal wie z.B. die Website zu tun ist nicht abschließend für den Fall WhatsApp geklärt. Alternativ bliebe wieder nur die manuelle Aufklärung bei erstmaliger Kontaktaufnahme via WhatsApp. Ohne technisch automatisierte Verfahren, die innerhalb des privaten WhatsApp Messengers nicht möglich sind, sind menschliche Fehler fast “vorprogrammiert”.

Löschpflichten

Unternehmen müssen personenbezogene Daten dann löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art. 5 Abs. 1 lit. b DSGVO). Auch diese Anforderung gestaltet sich mit den aktuell verfügbaren Methoden mit WhatsApp schwierig. Denn alle Daten müssten manuell analysiert und gelöscht werden. Dies kann nur vom jeweiligen WhatsApp Nutzer selbst (Mitarbeiter mit Smartphone) vorgenommen werden.

Unerlaubte Übertragung von personenbezogenen Daten

Außerdem ist noch nicht abschließend geklärt, wie die Tatsache zu bewerten ist, dass WhatsApp zum Zeitpunkt der Installation das komplette Adressbuch an WhatsApp überträgt und dabei massenweise personenbezogene Daten von Betroffenen in die USA übermittelt, ohne dass diese explizit hierzu eingewilligt hätten.

Dies ist einer der Hauptgründe, warum Datenschützer gegen die Nutzung von WhatsApp im geschäftlichen Umfeld Sturm laufen und warum einige Unternehmen die Nutzung von WhatsApp auf Diensthandys untersagt haben.

Zusammenfassung

Zusammengefasst kann durchaus nachvollzogen werden, warum einige Unternehmen lieber die Finger von WhatsApp gelassen haben. Wer möchte schon 4% seines Jahresumsatzes dafür riskieren. Auf der anderen Seite gibt es auch zahlreiche Unternehmen, die Mitarbeitern die Nutzung theoretisch verboten, aber in der Praxis zwei Augen zugedrückt haben. Man mag es Ihnen nicht übel nehmen, denn beim Kontakt mit Unternehmen;

  • Bevorzugen mehr als 50% der Kunden eine Messaging App im Vergleich zu Telefon*
  • Bevorzugen mehr als 45% der Kunden eine Messaging App im Vergleich zu E-Mail*

*Quelle: The 2016 Mobile Messaging Report

Ein zeitgemäßes Kommunikationsangebot für Kunden könnte durchaus einen entscheidenden Wettbewerbsvorteil mit sich bringen.

 

Was hat sich nun geändert?

WhatsApp hat zwei Business Lösungen auf den Markt gebracht: WhatsApp Business und WhatsApp Business API:

WhatsApp Business ist eine aktuell auf Android verfügbare Applikation für kleine Unternehmen, die es ermöglicht, über eine von WhatsApp entwickelte und leicht angepasste, dedizierte Business App mit Kunden über WhatsApp zu kommunizieren.

WhatsApp Business API ermöglicht es mittleren und großen Unternehmen über eine selbst gehostete Version von WhatsApp und einer technische Schnittstelle über WhatsApp mit Kunden zu kommunizieren und dabei in den Genuss der kompletten Datenhoheit zu kommen. Wir beschäftigen uns im weiteren ausschließlich mit WhatsApp Business API, der Lösung für größere Unternehmen.

Warum WhatsApp Business API aus datenschutzrechtlicher Sicht und aus Sicht der IT-Sicherheit wirklich die Extrameile geht und warum ich für WhatsApp an dieser Stelle einmal eine Lanze brechen möchte:

WhatsApp will auch in der Unternehmenskommunikation die Ende-zu-Ende Verschlüsselung aufrecht erhalten. Um dies zu gewährleisten müssen Unternehmen eine eigene WhatsApp Instanz hosten. Dies beinhaltet ebenfalls die komplette Datenbank, auf der sämtliche Nachrichtendaten lagern. WhatsApp ist damit “on-premise” fähig und die Daten können innerhalb der Europäischen Union gehostet werden. Aufgrund der Ende-zu-Ende Verschlüsselung kann, nach engerer Auslegung, argumentiert werden, dass an WhatsApp ausschließlich Telefonnummern übertragen werden, denn die eigentlichen Inhalte der Nachrichten werden nicht an WhatsApp direkt übermittelt. Dadurch, dass WhatsApp eine gültige PrivacyShield Zertifizierung vorhält, kann die Übertragung solcher personenbezogener Informationen rechtlich legitimiert nach Art. 45 DSGVO stattfinden.

Nach dieser kurzen Einführung nehmen wir im Folgenden wieder die einzelnen, oben aufgeführten, Punkte auf, die zuvor rechtlich sehr heikel waren und erläutern, welche Antworten WhatsApp Business APi hierauf geben kann:

Gewerbliche Nutzung von WhatsApp

Mit den Business Lösungen gibt WhatsApp einen eindeutigen rechtlichen Rahmen für die gewerbliche Nutzung. WhatsApp hat die AGB für Kunden an den entsprechenden Stellen ergänzt:

WhatsApp AGB Komm mit Unternehmen Auch existieren für Unternehmen schon seit einiger Zeit dedizierte Business-AGB.

Aufzeichnungsanforderungen und Aufbewahrungspflichten

Was zuvor manuelles Aufzeichnen über dezentral verteilte Datenbanken (die Smartphones aller Mitarbeiter) benötigte, kann nun zentral erfolgen. Denn Unternehmen erhalten einen zentralen Zugriff auf sämtliche Nachrichtendaten und können diese automatisiert und programmatisch auf andere Systeme übertragen, kategorisieren und dokumentieren. Damit kann eine skalierbare und rechtlich tragfähige Lösung für sämtliche sich ergebende Pflichten geschaffen werden. Das notwendige Budget für derartige Integrationskosten darf hier nicht unterschätzt werden. Jedoch können Unternehmen auf Software-Anbieter zurückgreifen, die bereits schlüsselfertige Lösungen bieten, den Integrationsaufwand minimieren können oder zumindest aus fachlicher Sicht beraten können.

 

Datenschutz

Rechtsgrundlage der Verarbeitung

Durch WhatsApp Business API können Einwilligungen ebenfalls automatisiert und strukturiert eingeholt und verwaltet werden. Zunächst kann ein Kunde seine Einwilligung über einen anderen Kanal geben: bspw. Website, Telefon, E-Mail. Durch automatisierte Nachrichten von Seiten des Unternehmens an den Kunden ist ein beim E-Mail Verkehr gebräuchliches Double-Opt-In Verfahren möglich, dass den Kunden bspw. durch die Eingabe der Nachricht “JA” der Verarbeitung einwilligen lassen kann. Diese Einwilligung kann durch den vollständigen Zugriff ordnungsgemäß auch außerhalb der WhatsApp Umgebung für die spätere Beweislage gespeichert werden.

Informationspflichten

Unternehmen können den Informationspflichten beispielsweise durch das automatisierte Versenden von Informationen hinsichtlich Datenschutz bei erstmaliger Kontaktaufnahme nachkommen. Der Versand dieser Information kann dann ebenfalls wieder automatisch protokolliert werden. Außerdem bietet WhatsApp Unternehmen ein Mini-Unternehmensprofil an, auf welchem stets diese Informationen und weitere Links zum Thema Datenschutz angezeigt werden können, sowie auch weitere rechtliche Informationspflichten.

Datenlöschung

Da Unternehmen kompletten Zugriff auf die Datenbank haben, kann auch dem Thema Löschpflichten nachgekommen werden. Es ließen sich z.B. auch automatische Löschroutinen programmieren. Außerdem haben Unternehmen nicht mehr das Problem, dass Daten verteilt auf den Smartphones aller Mitarbeiter ohne zentralen Zugriff liegen.

Unerlaubte Übertragung von personenbezogenen Daten

Da WhatsApp nicht mehr auf den Smartphones installiert werden muss, kann auch kein Zugriff mehr auf das Adressbuch erfolgen. Damit sollte die viel diskutierte Datenschutzpanne der Vergangenheit angehören .

Zusammenfassung

In Summe kann die neue Business Lösung von WhatsApp durchaus einige bisher kritische Themen lösen und liefert zumindest für viele datenschutzrechtliche Fragen gute Ansätze, die mancher vielleicht nicht erwartet hätte. Die Umsetzung sämtlicher Aspekte ist sicherlich nicht leicht, die technischen Grundlagen hat WhatsApp jedoch zumindest eindeutig geschaffen.

So auch Andreas Dölker, Senior Consultant bei der ISiCO Datenschutz GmbH: “Derartige technische Lösungen haben das Potential die großen Hindernisse aus dem Weg zu räumen, die Unternehmen aktuell vor dem Einsatz von WhatsApp zurückschrecken lassen.”

 

Fragt sich am Ende noch in welchem datenschutzrechtlichen Vertragsverhältnis eigentlich Unternehmen zu WhatsApp stehen. Wer ist Verantwortlicher und wer ist Auftragsverarbeiter? Das erörtern wir in einem separatem Whitepaper.

Erfahren Sie hier mehr

Jetzt das Whitepaper lesen

 


 

Sie möchten mehr darüber erfahren wie Sie WhatsApp Business innerhalb Ihres Unternehmens einführen können? Zum Thema Datenschutz bei Flexperto haben für Sie weitere Informationen aufbereitet:

Erfahren Sie mehr über Datenschutz bei Flexperto