Datenschutz für Kundenservice per WhatsApp – Podcast mit RA Dr. Carsten Ulbricht

 In Meist gelesen, Messenger Kommunikation

Datenschutz und WhatsApp für Unternehmen? DSGVO und professionelle Messenger Kommunikation? Kundenservice per WhatsApp und rechtliche Pflichten? Im Gespräch mit Rechtsanwalt und Internet-Experte Dr. Carsten Ulbricht erfährst du alles zu aktuellen Themen rund um Messenger, WhatsApp, Datenschutz, Kundenservice und die DSGVO. Dieser Leitartikel fasst für dich die wichtigsten Aussagen zum Thema Datenschutz für Kundenservice per WhatsApp zusammen. 


Carsten Ulbricht ist Rechtsanwalt bei der Firma Menold Belzer Rechtsanwälte und beschäftigt sich schon seit vielen Jahren mit dem Internet bzw. den sozialen Medien. Neben seinem Vollzeitjob betreibt er das Blog rechtzweinull.de und hat sich in den vergangenen Jahren hauptsächlich mit der DSGVO beschäftigt. Er half bereits zahlreichen Unternehmen bei der Umsetzung der DSGVO, speziell auch beim Thema Datenschutz WhatsApp. Das ist auch das heutige Thema in diesem Podcast.


Im Beitrag erfährst du

  1. Sind Messenger wie WhatsApp tendenziell mehr „gefährdet“ als andere digitale Kanäle wie Social Media oder E-Mail?
  2. Darf ich als Unternehmen mit meinem Kunden über WhatsApp kommunizieren?
  3. Welche Punkte der DSGVO sind für das Thema Messenger Kommunikation relevant?
  4. Datenschutz WhatsApp: Ist Messenger Marketing über die Software von MessengerPeople eine DSGVO konforme Lösung?
  5. Kundenservice via Messenger: Gibt es besondere Empfehlungen oder Hinweispflichten, wenn Messenger (WhatsApp, Apple Business Chat) für die Kommunikation sensibler persönlicher Daten wie z. B. Bankdaten, Gesundheitsdaten angeboten wird?
  6. Nach welcher Zeit sollten Daten einer Kundenservice-Anfrage gelöscht werden (Löschkonzepte)?
  7. Ganz allgemein: Wie ist der Apple Business Chat datenschutzrechtlich (DSGVO) zu bewerten?

Datenschutz für Kundenservice per WhatsApp auf Soundcloud: Höre dir jetzt den Podcast!


Datenschutz und Messenger Marketing: Die wichtigsten Aussagen

1. Über Messenger Kommunikation und die DSGVO

  • 3 Dinge müssen erfüllt sein: Legitimation, Informationen und Datensicherheit
  • Der Anmeldeprozess bei MessengerPeople ist super rechtssicher
  • Das Opt-in über das MessengerPeople Widget ist besonders transparent und auch besonders gut dokumentiert

2. Über Datenweitergabe an WhatsApp

  • Problem: Die WhatsApp App, die jeder von uns auf seinem Smartphone nutzt, greift auf Daten im Telefonbuch zu und verarbeitet diese (wenn auch nur kurz) in den USA
  • Der Kunde von MessengerPeople agiert über die speziell entwickelte Software und benötigt keinen Installationsvorgang der WhatsApp App – somit besteht das Problem nicht

3. Über Kundenservice via WhatsApp

  • Wichtig ist, dass das Unternehmen vorher darüber umfassend aufklärt, was mit den Daten passiert und eine Legitimation des Kunden vorliegt
  • Die WhatsApp Ende-zu-Ende Verschlüsselung ist sehr gut und ein geeigneter Kanal für Kundenservice
  • Generell gibt es keine Einschränkungen, welche Daten Unternehmen und Kunden über Messenger austauschen
  • Speziell und im Einzelfall muss man sich das im Bereich Gesundheitsdaten anschauen

WhatsApp und Datenschutz: Interview mit Dr. Carsten Ulbricht

whatsapp dsgvo carsten ulbricht

1) Sind Messenger wie WhatsApp tendenziell mehr „gefährdet“ als andere digitale Kanäle wie Social Media oder E-Mail?

Nein, so allgemein kann man das natürlich nicht sagen. Was ein besonderes Problem von Datenschutz WhatsApp ist – das werden viele auch gehört haben – wenn ich WhatsApp auf meinem Endgerät installiere, liest WhatsApp, ohne mich zu fragen alle meine Kontaktdaten aus, überträgt diese in die USA und da werden sie wahrscheinlich auch verarbeitet. Warum macht WhatsApp das? Weil WhatsApp sagt: „Wenn wir Leute vernetzen wollen brauchen wir auch die Telefonnummern.“ – und das ist technisch auch erstmal nachvollziehbar.

Das ist das wesentliche Identifikationskriterium, und insoweit ist das auch aus der Sicht von WhatsApp nachvollziehbar. Aus einer datenschutzrechtlichen Sicht aber problematisch, weil ich eben nicht alle Telefonnummern von meinen Kontakten an WhatsApp weitergeben darf.

Ein Hinweis noch dazu, weil auch das immer öfter behauptet wird: Im privaten Bereich halte ich das rechtlich für völlig unproblematisch, weil ich mit meiner privaten Datenverarbeitung gar nicht unter die DSGVO falle. Sonst müsstest du dir überlegen, ob du nicht einen Datenschutzbeauftragten brauchst, wenn du Telefonnummern weitergibst und das wäre schlecht. Aber wo es natürlich eingreift ist, wenn ich das auf einem Unternehmens-Gerät tue oder als Unternehmen WhatsApp nutze, und damit personenbezogene Daten, Telefonnummern, zum Beispiel an WhatsApp, weitergebe, brauche ich dafür eine Legitimation. In aller Regel habe ich die Leute nicht gefragt und das ist das Kernproblem bei WhatsApp.


2) Darf ich denn als Unternehmen mit meinem Kunden über WhatsApp kommunizieren?

Dafür muss ich eben diese Datenweitergabe an WhatsApp verhindern. Das kann ich entweder machen indem ich entsprechende Tools auf meinem Handy installiere, die einfach diese Datenweitergabe verhindern oder den Zugriff von WhatsApp auf mein Telefon verhindern, damit habe ich das wesentliche Problem gelöst.

Bei MessengerPeople ist es überhaupt kein Problem, weil es diesen Vorgang ja gar nicht gibt. Der Unternehmenskunde, der mit seinen Kunden kommunizieren möchte, agiert ja über die MessengerPeople Plattform. Er braucht diesen Installationsvorgang gar nicht und insoweit kann man bei euch diesen Einwand auch nicht vorbringen.


3) Welche Punkte der DSGVO sind für das Thema Messenger Kommunikation relevant?

Um Datenschutz, und dazu zählt auch Datenschutz WhatsApp, mal ganz einfach in drei Sätzen zu erklären:

1. Immer dann, wenn ich als Unternehmen personenbezogene Daten verarbeite brauche ich dafür eine Legitimation.

2. Das heißt es gibt verschiedene Legitimationstatbestände die stehen in Artikel 6, DSGVO. Die sagen mir, wann darf ich Daten verarbeiten.

3. Dann gibt es noch Artikel 13, DSGVO der mir als Unternehmen sagt, welche Informationen muss ich denn dem Betroffenen geben, damit der weiß was mit seinen Daten passiert.

Das spielen wir jetzt mal durch für Messenger Marketing: Nehmen wir an ich verhindere die Datenweitergabe an WhatsApp eurem Dienst, dann muss ich als Unternehmen dafür Sorge tragen, dass meine Datenverarbeitung, meine Kommunikation mit dem Kunden legitimiert ist, das heißt: Ich hole mir eine Einwilligung ein.

Ich sage also meinem Kunden: „Lieber Kunde pass mal auf, wenn du mit mir über WhatsApp kommunizieren möchtest wird folgendes mit deinen Daten getan 1. 2. 3.“. Ich muss alles auflisten und der Kunde muss eine aktive Entscheidung treffen. Er muss also aktiv sagen: „JA! Ich bin einverstanden“ Und damit ist dann der Legitimationstatbestand erstmal erfüllt.

Ich muss zwar, wie gesagt, noch verschiedene Informationen bereitstellen, wie zum Beispiel welche Daten werden denn hier verarbeitet, wer verarbeitet die Daten, an wen werden diese weitergegeben, da müsste man dann auch ein Beispiel reinschreiben wie, dass auch Meta-Daten von WhatsApp in den USA zur Kenntnis genommen werden können. Dann muss ich reinschreiben wie ich die Daten selber verarbeite, zu welchen Zwecken usw. Und natürlich muss ich den Kunden auch über seine Betroffenenrechte informieren. Kann der Mensch Löschung verlangen? Kann er Auskunft verlangen? Darüber muss ich ihn informieren.

Und das gilt für jeden digitalen Kanal! Somit auch für Messenger Marketing und so wie ich es gerade geschildert habe, kriegt man das auch ganz gut hin. Zusammengefasst:

1. Umfassend informieren, wie ich die Daten verarbeiten möchte.

2. Wie die Daten von Dritten verarbeitet werden.

3. Einwilligung einholen. Alles gut.


4) Ist Messenger Marketing über die Software von MessengerPeople eine DSGVO konforme Lösung? Stichwort Opt-in?

Was ist der Double Opt-in eigentlich beim E-Mail Marketing? Das Problem ist, wenn ich dich ärgern will dann nehme ich deine E-Mail-Adresse und trage die in tausend Newsletter ein. Dann hast du zwar einmal eigentlich zugestimmt, weil du deine E-Mail-Adresse eingetragen hast, aber die können halt nicht beweisen, dass das du warst. Und deshalb gibt es beim E-Mail-Marketing diesen zweiten Opt-in-Prozess. Wenn der dann sagt „Ja, ich bin einverstanden“ dann ist es ja klar, dass das der Inhaber des E-Mail-Postfaches sein muss.

Diesen Gedanken habt ihr übertragen auf Messenger Marketing und WhatsApp Datenschutz. Ihr sagt „Naja, die Telefonnummer kann da erstmal jeder eintragen, da weiß ich noch nicht ob das auch wirklich der Inhaber dieser Telefonnummer ist.“ Und daher dieser zweite Opt-in-Prozess. Das ist super rechtssicher. Um das mal so zu formulieren, man braucht das jedoch gar nicht zwingend, sondern man braucht eigentlich nur eine. Und deshalb gibt es bei euch eben diesen Double Opt-in-Prozess, der auch gut ist.  

Mehr zum Opt-in über das MessengerPeople Widget erfährst du im Beitrag Tool-Update: Individuelle Widgets mit dem neuen Editor erstellen.


5) Kundenservice via Messenger: Gibt es besondere Empfehlungen oder Hinweispflichten, wenn Messenger (WhatsApp, Apple Business Chat) für die Kommunikation sensibler persönlicher Daten wie z. B. Bankdaten, Gesundheitsdaten angeboten wird?  (Stichworte: Metadaten, US-Server etc.)

Wenn ich personenbezogene Daten verarbeite, brauche ich dafür eine Legitimation. Für „normale“ Daten stehen die Legitimationstatbestände in Artikel 6 DSGVO, für besondere personenbezogene Daten wie zum Beispiel Gesundheitsdaten, stehen die in Artikel 9 DSGVO. Das sind also ein bisschen andere. Im Ergebnis ist es aber trotzdem so, dass ich durch eine informierte Einwilligung jeden dieser Vorgänge aus meiner Sicht legitimieren kann. Ich habe da schon viel drüber diskutiert mit Datenschutzbehörden, die es teilweise auch anders sehen, aber ich möchte meinen Standpunkt kurz begründen. Denn im Prinzip sind es ja meine Daten.

In dem Moment, wo ich alle Informationen zur Verfügung habe, um darüber entscheiden zu können „Das möchte ich“, „Das möchte ich nicht“, dann muss ich das doch entscheiden können.

Und zwar alles was wir im Datenschutz tun fällt zurück auf das Recht „Informationelle Selbstbestimmung“. Wenn man so will, hat das Bundesverfassungsgericht dieses Gesetz mal erfunden, um jedem selbst die Entscheidung zu überlassen, was er mit seinen Daten machen möchte.

Das heißt, ich finde es richtig und wichtig, dass diese Informationen sehr umfassend gegeben werden. Sodass der Nutzer wirklich eine informierte Entscheidung treffen kann und wenn er dann sagt, er möchte WhatsApp oder einen anderen Kommunikationskanal nutzen, weil er eben so praktikabel und einfach ist, dann ist das auch in Ordnung.

Lange Rede, kurzer Sinn: Mit einer Einwilligung wird man auch das Thema Kundenservice und WhatsApp Datenschutz regeln können. Bei Gesundheitsdaten wird man noch einmal weitergehende Voraussetzungen absichern müssen wie z. B. mehr Datensicherung. Bei Gesundheitsdaten wäre ich also noch etwas vorsichtig, aber alle anderen Daten für den Kundenservice via WhatsApp sind aus meiner Sicht nicht ausgeschlossen, sondern mit einer Einwilligung auch gestaltbar.


6) Nach welcher Zeit sollten Daten einer Kundenservice-Anfrage gelöscht werden? (Löschkonzepte)

Der Datenschutz möchte ja möglichst wenig Daten speichern und wenig Daten aufbewahren. Die Frage, die man sich da stellen kann, ist, wenn ich dadurch Daten bekomme, darf ich die ja nur eine gewisse Zeit speichern. Das heißt, ich brauche ein sogenanntes Löschkonzept als Unternehmen und da muss man sich ein paar Gedanken zu machen.

Wie bilde ich das sinnvoll ab? Weil bei mir selbst kann ich natürlich alles löschen, aber was irgendwo anders gespeichert wird, wie zum Beispiel bei WhatsApp, kann ich natürlich nur bedingt löschen. Aber, um wieder zurückzukommen: Dadurch, dass wir eine Ende-zu-Ende Verschlüsselung haben, haben wir wahrscheinlich gar keine personenbezogenen Daten bei WhatsApp und somit brauche ich mir in diesem Fall um die Löschung keine Gedanken zu machen.

Jedoch sollte ich für mich selber ein Löschkonzept aufsetzen. Ich sollte mir also Gedanken machen, wie lang habe ich ein valides, tragbares Interesse an den Daten? Solange sollte ich die auch aufbewahren. Wenn ich sie mir über eine Einwilligung legitimieren lasse, sollte ich das auch sagen, damit der Mensch das weiß, und ich muss ihn aber auch aufklären darüber, dass er dem ja jederzeit widersprechen kann und Löschung verlangen kann, wenn ich besondere Voraussetzung vorlege. Das sind die Informationen, die ich ihm geben muss.


7) Seit Anfang Oktober bieten wir auch den Apple Business Chat an – eine spannende Lösung für viele Unternehmen, besonders im lokalen Bereich. Ganz allgemein, wie bewertest du Apple Business Chat in Bezug auf das Thema Datenschutz?

Also ganz genau habe ich mir das Ganze noch gar nicht angeschaut, muss ich sagen. Ich hatte ein bisschen was damit zu tun, aber ich kann ganz einfach nochmal das wiederholen, was ich auch vorhin schon gesagt habe. Es gibt drei Punkte zu beachten, wenn ich als Unternehmen den Apple Business Chat einsetzen möchte.

1. Dafür Sorge tragen, dass ich an Apple keine Daten weitergebe, die ich nicht weitergeben darf.

2. Dann muss ich dafür Sorge tragen, dass die Leute, die mit mir über Apple Business Chat kommunizieren wollen, mir eine informierte Einwilligung erteilen. Da muss ich mir überlegen, wie bilde ich das ab? Mach ich da ein Double Opt-in oder etwas Ähnliches? Das muss ich einfach technisch lösen und muss die Informationen bereitstellen.

3. Wenn ich einen solchen Kanal nutze für Kundenkommunikation, muss ich natürlich ein Stück weit Sorge dafür tragen, dass der auch sicher ist.

Da weiß ich gar nicht wie das genau beim Apple Business Chat funktioniert, dafür habe ich wie gesagt, zu wenig reingeschaut. Die WhatsApp End-to-End Verschlüsselung ist sicherlich gut, wenn die da etwas Ähnliches anbieten ist das wahrscheinlich genauso gut, ich kann es nur tatsächlich nicht absolut beantworten, weil ich konkret noch nichts damit zu tun hatte.

Vielen Dank Carsten!


Tipp: Wir bieten mit unserer Messenger Communication Platform das erste professionelle und datenschutzkonforme Ticketsystem speziell für Kundenservice via WhatsApp, Apple Business Chat, Facebook Messenger und Telegram. Hier kannst du einen ersten Eindruck von unserem Produkt gewinnen.

Daneben kannst du immer wieder an kostenlosen Webinaren teilnehmen. Darin wirst du live durch das Produkt geführt und bekommst Tipps rundum Content und Strategie für deinen Kundenservice per Messenger.

Übrigens: MessengerPeople ist wie Netflix! Monatlich kündbar!


Wenn auch du eine tolle Idee mit WhatsApp oder anderen Messengern umsetzen willst, dann tritt mit uns in Kontakt (gern per WhatsApp)!

 

push-pull-messenger-kommunikation