Interview mit Rechtsanwalt Dr. Carsten Ulbricht zum Thema WhatsApp und Datenschutz
Im Gespräch mit Matthias Mehner erklärt Rechtsanwalt Dr. Carsten Ulbricht, was Unternehmen beim Thema WhatsApp und Datenschutz beachten müssen. Er zeigt auf, welche Anforderungen der Datenschutz-Grundverordnung (DSGVO) von Unternehmen umgesetzt werden müssen. Daneben begründet er, warum die Software von MessengerPeople datenschutzkonform ist. Schließlich macht Dr. Carsten Ulbricht deutlich, das Unternehmen ihre Kunden bzw. Nutzer ausreichend darüber informieren müssen, was mit ihren Daten passiert, die sie im Zuge der Kundenkommunikation per Messenger weitergeben.
Zur Person: Dr. Carsten Ulbricht ist Rechtsanwalt bei der Firma Menold Belzer Rechtsanwälte. Er beschäftigt sich schon seit vielen Jahren mit dem Internet bzw. den sozialen Medien. Neben seinem Vollzeitjob betreibt er das Blog rechtzweinull.de. Ulbricht half bereits zahlreichen Unternehmen bei der Umsetzung der DSGVO, speziell auch beim Thema WhatsApp und Datenschutz.
🎧 Tipp: Wenn du dir das Gespräch von Dr. Carsten Ulbricht zu WhatsApp lieber anhören möchtest, ist das kein Problem. Wir haben es als Podcast aufgezeichnet.
Gespräch mit Rechtsanwalt Dr. Carsten Ulbricht zu WhatsApp & Co.
Sind Messenger wie WhatsApp tendenziell mehr „gefährdet“ als andere digitale Kanäle, etwa Social Media oder E-Mail?
Nein, so allgemein kann man das natürlich nicht sagen. Was ein besonderes Problem von WhatsApp & Datenschutz ist – das werden viele auch gehört haben – wenn ich WhatsApp auf meinem Endgerät installiere, liest WhatsApp, ohne mich zu fragen alle meine Kontaktdaten aus, überträgt diese in die USA und da werden sie wahrscheinlich auch verarbeitet. Warum macht WhatsApp das? Weil WhatsApp sagt: „Wenn wir Leute vernetzen wollen brauchen wir auch die Telefonnummern.“ – und das ist technisch auch erstmal nachvollziehbar. Das ist das wesentliche Identifikationskriterium, und insoweit ist das auch aus der Sicht von WhatsApp nachvollziehbar.
Aus einer datenschutzrechtlichen Sicht aber problematisch, weil ich eben nicht alle Telefonnummern von meinen Kontakten an WhatsApp weitergeben darf.
Ein Hinweis noch dazu, weil auch das immer öfter behauptet wird: Im privaten Bereich halte ich das rechtlich für völlig unproblematisch, weil ich mit meiner privaten Datenverarbeitung gar nicht unter die DSGVO falle. Sonst müsstest du dir überlegen, ob du nicht einen Datenschutzbeauftragten brauchst, wenn du Telefonnummern weitergibst und das wäre schlecht. Aber wo es natürlich eingreift ist, wenn ich das auf einem Unternehmens-Gerät tue oder als Unternehmen WhatsApp nutze, und damit personenbezogene Daten, Telefonnummern, zum Beispiel an WhatsApp, weitergebe, brauche ich dafür eine Legitimation. In aller Regel habe ich die Leute nicht gefragt und das ist das Kernproblem bei WhatsApp.
💡 Tipp: Lade dir jetzt den 8 Punkte umfassende Checkliste von Carsten Ulbricht zum datenschutzkonformen Einsatz von WhatsApp & Co. herunter.
Darf ich denn als Unternehmen mit meinem Kunden über WhatsApp kommunizieren?
Dafür muss ich eben diese Datenweitergabe an WhatsApp verhindern. Das kann ich entweder machen indem ich entsprechende Tools auf meinem Handy installiere, die einfach diese Datenweitergabe verhindern oder den Zugriff von WhatsApp auf mein Telefon verhindern, damit habe ich das wesentliche Problem gelöst.
Bei MessengerPeople ist es überhaupt kein Problem, weil es diesen Vorgang ja gar nicht gibt. Der Unternehmenskunde, der mit seinen Kunden kommunizieren möchte, agiert ja über die MessengerPeople Plattform.
Er braucht diesen Installationsvorgang gar nicht und insoweit kann man bei euch diesen Einwand auch nicht vorbringen.
Welche Punkte der DSGVO sind für das Thema Messenger Kommunikation relevant?
Um Datenschutz & WhatsApp für Unternehmen mal ganz einfach in drei Sätzen zu erklären:
Immer dann, wenn ich als Unternehmen personenbezogene Daten verarbeite, brauche ich dafür eine Legitimation. Das heißt, es gibt verschiedene Legitimationstatbestände, die in Artikel 6 der DSGVO stehen. Die sagen mir, wann ich Daten verarbeiten darf. Dann gibt es noch Artikel 13, DSGVO der mir als Unternehmen sagt, welche Informationen ich denn dem Betroffenen geben muss, damit der weiß, was mit seinen Daten passiert.
Das spielen wir jetzt mal durch für Messenger Marketing: Nehmen wir an ich verhindere die Datenweitergabe an WhatsApp eurem Dienst, dann muss ich als Unternehmen dafür Sorge tragen, dass meine Datenverarbeitung, meine Kommunikation mit dem Kunden legitimiert ist, das heißt: Ich hole mir eine Einwilligung ein.
Ich sage also meinem Kunden: „Lieber Kunde pass mal auf, wenn du mit mir über WhatsApp kommunizieren möchtest wird folgendes mit deinen Daten getan 1. 2. 3.“. Ich muss alles auflisten und der Kunde muss eine aktive Entscheidung treffen. Er muss also aktiv sagen: „Ja! Ich bin einverstanden.“ Und damit ist dann der Legitimationstatbestand erstmal erfüllt.
Ich muss zwar, wie gesagt, noch verschiedene Informationen bereitstellen, wie zum Beispiel welche Daten werden denn hier verarbeitet, wer verarbeitet die Daten, an wen werden diese weitergegeben, da müsste man dann auch ein Beispiel reinschreiben wie, dass auch Meta-Daten von WhatsApp in den USA zur Kenntnis genommen werden können. Dann muss ich reinschreiben wie ich die Daten selber verarbeite, zu welchen Zwecken usw. Und natürlich muss ich den Kunden auch über seine Betroffenenrechte informieren. Kann der Mensch Löschung verlangen? Kann er Auskunft verlangen? Darüber muss ich ihn informieren.
Und das gilt für jeden digitalen Kanal! Somit auch für Messenger Marketing und so wie ich es gerade geschildert habe, kriegt man das auch ganz gut hin. Zusammengefasst:
1. Umfassend informieren, wie ich die Daten verarbeiten möchte.
2. Wie die Daten von Dritten verarbeitet werden.
3. Einwilligung einholen. Alles gut.
Ist Messenger Kommunikation über die Software von MessengerPeople eine DSGVO konforme Lösung? Stichwort Opt-in?
Was ist der Double Opt-in eigentlich beim E-Mail Marketing? Das Problem ist, wenn ich dich ärgern will dann nehme ich deine E-Mail-Adresse und trage die in tausend Newsletter ein. Dann hast du zwar einmal eigentlich zugestimmt, weil du deine E-Mail-Adresse eingetragen hast, aber die können halt nicht beweisen, dass das du warst. Und deshalb gibt es beim E-Mail-Marketing diesen zweiten Opt-in-Prozess. Wenn der dann sagt „Ja, ich bin einverstanden“ dann ist es ja klar, dass das der Inhaber des E-Mail-Postfaches sein muss.
Diesen Gedanken habt ihr (MessengerPeople) übertragen auf Messenger Marketing und WhatsApp Datenschutz. Ihr sagt „Naja, die Telefonnummer kann da erstmal jeder eintragen, da weiß ich noch nicht ob das auch wirklich der Inhaber dieser Telefonnummer ist.“
Und daher dieser zweite Opt-in-Prozess. Das ist super rechtssicher. Um das mal so zu formulieren, man braucht das jedoch gar nicht zwingend, sondern man braucht eigentlich nur eine. Und deshalb gibt es bei euch eben diesen Double Opt-in-Prozess, der auch gut ist.
💡Tipp: Mehr zum Opt-in über das MessengerPeople Widget erfährst du in unserem Beitrag Tool-Update: Individuelle Widgets mit dem neuen Editor erstellen.
Kundenkommunikation per Messenger: Gibt es besondere Empfehlungen oder Hinweispflichten, wenn Messenger (WhatsApp, Apple Business Chat) für die Kommunikation sensibler persönlicher Daten wie z. B. Bankdaten oder Gesundheitsdaten angeboten wird? (Stichworte: Metadaten, US-Server etc.)
Wenn ich personenbezogene Daten verarbeite, brauche ich dafür eine Legitimation. Für „normale“ Daten stehen die Legitimationstatbestände in Artikel 6 DSGVO, für besondere personenbezogene Daten wie zum Beispiel Gesundheitsdaten, stehen die in Artikel 9 DSGVO. Das sind also ein bisschen andere. Im Ergebnis ist es aber trotzdem so, dass ich durch eine informierte Einwilligung jeden dieser Vorgänge aus meiner Sicht legitimieren kann. Ich habe da schon viel drüber diskutiert mit Datenschutzbehörden, die es teilweise auch anders sehen, aber ich möchte meinen Standpunkt kurz begründen. Denn im Prinzip sind es ja meine Daten.
In dem Moment, wo ich alle Informationen zur Verfügung habe, um darüber entscheiden zu können „Das möchte ich“, „Das möchte ich nicht“, dann muss ich das doch entscheiden können.
Und zwar alles was wir im Datenschutz tun fällt zurück auf das Recht „Informationelle Selbstbestimmung“. Wenn man so will, hat das Bundesverfassungsgericht dieses Gesetz mal erfunden, um jedem selbst die Entscheidung zu überlassen, was er mit seinen Daten machen möchte.
Das heißt, ich finde es richtig und wichtig, dass diese Informationen sehr umfassend gegeben werden. Sodass der Nutzer wirklich eine informierte Entscheidung treffen kann und wenn er dann sagt, er möchte WhatsApp oder einen anderen Kommunikationskanal nutzen, weil er eben so praktikabel und einfach ist, dann ist das auch in Ordnung.
Lange Rede, kurzer Sinn: Mit einer Einwilligung wird man auch das Thema Kundenservice und WhatsApp Datenschutz regeln können. Bei Gesundheitsdaten wird man noch einmal weitergehende Voraussetzungen absichern müssen wie z. B. mehr Datensicherung. Bei Gesundheitsdaten wäre ich also noch etwas vorsichtig, aber alle anderen Daten für den Kundenservice per WhatsApp sind aus meiner Sicht nicht ausgeschlossen, sondern mit einer Einwilligung auch gestaltbar.
💡Tipp: Wenn du wissen möchtest, warum die Softwarelösung von MessengerPeople datenschutzkonform ist, dann empfehle ich dir unseren Beitrag WhatsApp & Co. mit MessengerPeople datenschutzkonform nutzen.
Nach welcher Zeit sollten Daten einer Kundenservice-Anfrage gelöscht werden? (Löschkonzepte)
Der Datenschutz möchte ja möglichst wenig Daten speichern und wenig Daten aufbewahren. Die Frage, die man sich da stellen kann, ist, wenn ich dadurch Daten bekomme, darf ich die ja nur eine gewisse Zeit speichern. Das heißt, ich brauche ein sogenanntes Löschkonzept als Unternehmen und da muss man sich ein paar Gedanken zu machen.
Wie bilde ich das sinnvoll ab? Weil bei mir selbst kann ich natürlich alles löschen, aber was irgendwo anders gespeichert wird, wie zum Beispiel bei WhatsApp, kann ich natürlich nur bedingt löschen. Aber, um wieder zurückzukommen: Dadurch, dass wir eine Ende-zu-Ende Verschlüsselung haben, haben wir wahrscheinlich gar keine personenbezogenen Daten bei WhatsApp und somit brauche ich mir in diesem Fall um die Löschung keine Gedanken zu machen.
Jedoch sollte ich für mich selber ein Löschkonzept aufsetzen. Ich sollte mir also Gedanken machen, wie lang habe ich ein valides, tragbares Interesse an den Daten? Solange sollte ich die auch aufbewahren. Wenn ich sie mir über eine Einwilligung legitimieren lasse, sollte ich das auch sagen, damit der Mensch das weiß, und ich muss ihn aber auch aufklären darüber, dass er dem ja jederzeit widersprechen kann und Löschung verlangen kann, wenn ich besondere Voraussetzung vorlege. Das sind die Informationen, die ich ihm geben muss.
💡 Tipp: Lade dir jetzt den 8 Punkte umfassende Checkliste von Carsten Ulbricht zum datenschutzkonformen Einsatz von WhatsApp & Co. herunter.
Seit Anfang Oktober 2018 bieten wir den Apple Business Chat an – eine spannende Lösung für viele Unternehmen, besonders im lokalen Bereich. Ganz allgemein, wie bewertest du Apple Business Chat in Bezug auf das Thema Datenschutz?
Also ganz genau habe ich mir das noch gar nicht angeschaut, muss ich sagen. Ich hatte ein bisschen was damit zu tun, aber ich kann ganz einfach nochmal das wiederholen, was ich auch vorhin schon gesagt habe. Es gibt drei Punkte zu beachten, wenn ich als Unternehmen den Apple Business Chat einsetzen möchte.
1. Dafür Sorge tragen, dass ich an Apple keine Daten weitergebe, die ich nicht weitergeben darf.
2. Dann muss ich dafür Sorge tragen, dass die Leute, die mit mir über Apple Business Chat kommunizieren wollen, mir eine informierte Einwilligung erteilen. Da muss ich mir überlegen, wie bilde ich das ab? Mach ich da ein Double Opt-in oder etwas Ähnliches? Das muss ich einfach technisch lösen und muss die Informationen bereitstellen.
3. Wenn ich einen solchen Kanal nutze für Kundenkommunikation, muss ich natürlich ein Stück weit Sorge dafür tragen, dass der auch sicher ist.
Da weiß ich gar nicht wie das genau beim Apple Business Chat funktioniert, dafür habe ich wie gesagt, zu wenig reingeschaut. Die WhatsApp End-to-End Verschlüsselung ist sicherlich gut, wenn die da etwas Ähnliches anbieten ist das wahrscheinlich genauso gut, ich kann es nur tatsächlich nicht absolut beantworten, weil ich konkret noch nichts damit zu tun hatte.
Vielen Dank Carsten!
💡Tipp: Wir bieten mit unserer Messenger Communication Platform das erste professionelle und datenschutzkonforme Ticketsystem speziell für Kundenservice via WhatsApp, Apple Business Chat, Facebook Messenger und Telegram. Hier kannst du einen ersten Eindruck von unserem Produkt gewinnen.
Daneben kannst du immer wieder an kostenlosen Webinaren teilnehmen. Darin wirst du live durch das Produkt geführt und bekommst Tipps rundum Content und Strategie für deinen Kundenservice per Messenger.
