WhatsApp Business und Datenschutz für Unternehmen? So bleibt deine Kundenkommunikation DSGVO-konform!

Kannst du als Unternehmen WhatsApp in der Kundenkommunikation nutzen und die Datenschutzgrundverordnung einhalten? Ja! Doch es gibt einige Dinge zu beachten. Wir erklären, welche Regeln zu WhatsApp im Unternehmen und Datenschutz gelten und welche WhatsApp-Business-Lösung den besten Datenschutz bietet. 

WhatsApp ist Deutschlands beliebteste Messenger-App! Die Deutschen verschicken darüber nicht nur Nachrichten, Videos und Memes an Freund:innen und Bekannte, sie wollen zunehmend auch mit Unternehmen über WhatsApp kommunizieren. Für viele Unternehmen ist das aber eine Herausforderung. Denn sie müssen dabei die Einhaltung der Europäischen Datenschutzgrundverordnung (DSGVO) garantieren können.

Geht das mit WhatsApp überhaupt? Denn die App hat so einige Datenschutzskandale hinter sich und die Sicherheit des Messengers wird immer wieder hinterfragt (wenn auch zu Unrecht). Die gute Nachricht: Ja, WhatsApp im Unternehmen und Datenschutz lassen sich durchaus vereinbaren. Dabei musst du aber einige Details beachten und vor allem die für dein Unternehmen passende Version von WhatsApp Business einsetzen. Wie das funktioniert und wie du WhatsApp DSGVO-konform für die Kundenkommunikation nutzen kannst, erklären wir in diesem Guide.


Allgemeine Regeln zur DSGVO und WhatsApp für Unternehmen

Die DSGVO ist am 25. Mai 2018 in Kraft getreten und regelt den Umgang und die Verarbeitung von personenbezogenen Daten. Als personenbezogene Daten gelten unter anderem:

  • Name
  • Adresse
  • Geburtsdatum
  • E-Mail-Adresse
  • IP-Adresse
  • Telefonnummer
  • Kundennummer
  • Standort
  • Kontoinformationen
  • Kraftfahrzeugkennzeichen
  • Sozialversicherungsnummer (oder andere Identifikationsnummern)

Die DSGVO regelt, dass Unternehmen, die diese Form von Daten verarbeiten, dies unter bestimmten Voraussetzungen tun müssen. Dazu gehören die folgenden Grundsätze:

  • Datensparsamkeit: Nie mehr Daten verarbeiten, als wirklich erforderlich ist.
  • Zweckbindung: Als Unternehmen brauchst du einen festgelegten, eindeutigen und legitimen Grund, um personenbezogene Daten zu verwenden.
  • Richtigkeit: Nur Daten, die korrekt sind, dürfen verarbeitet werden.
  • Rechenschaftspflicht: Als Unternehmen bist du dafür verantwortlich, nachzuweisen, dass du die Kundendaten DSGVO-konform verarbeitest.
  • Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist.

Warum ist die DSGVO wichtig?

Mit der Datenschutzgrundverordnung will die EU die persönlichen Informationen von Bürger:innen besser schützen und ihnen umfassendere Rechte einräumen, damit sie selbst entscheiden können, wer ihre Daten in welcher Form nutzen darf. So heißt es in der DSGVO:

Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Insbesondere bei der Nutzung von digitalen Diensten, von Facebook über Amazon bis WhatsApp, fallen personenbezogene Daten an. Im Idealfall werden diese genutzt, um User:innen interessantere Angebote zu zeigen oder die Seiten so anzuzeigen, wie es für die jeweilige Person am besten ist.

Doch es besteht auch Missbrauchsgefahr, wenn etwa diese Daten, die persönliche Rückschlüsse auf rechtliche Personen zulassen, für unlautere Zwecke eingesetzt werden. Wenn Unternehmen sich daher nicht an die Vorgaben der DSGVO halten, drohen hohe Bußgelder.

Gleichzeitig ist es nicht im Interesse von Unternehmen, die Kundendaten zu missbrauchen. Das kann auch den Ruf eines Unternehmens nachhaltig ruinieren.

Wer seinen Kund:innen also zeigt, dass die persönlichen Daten mit Sorgfalt und rechtskonform bearbeitet werden, baut auch ein besseres Vertrauensverhältnis auf.

WhatsApp, Unternehmen und die DSGVO

Wenn du als Unternehmen mit Kund:innen über WhatsApp kommunizierst, fallen dabei zwangsläufig personenbezogene Daten wie etwa der Name, Telefonnummer oder auch eine Lieferadresse oder Kundennummer an. Wird der Erstkontakt von den Kund:innen initiiert, ist dies rechtlich weniger problematisch. Denn damit hast du als Unternehmen automatisch ein berechtigtes Interesse (Zweckbindung), um die Kundendaten zu verarbeiten.

Problematischer wird es aber, wenn der Kontakt von deinem Unternehmen ausgeht, also etwa, weil du einen WhatsApp-Newsletter oder ein neues Sonderangebot verschickst. Dann verarbeitet WhatsApp nämlich die anfallenden Daten nicht mehr im Auftrag der Kund:innen, sondern deines Unternehmens.

Du bist dann der oder die „Verantwortliche“ für die Datenverarbeitung und musst sicherstellen, dass WhatsApp diese Daten DSGVO-konform verarbeitet.

Der Verantwortliche entscheidet über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten. Wenn Ihr Unternehmen/Ihre Organisation also entscheidet, „wofür“ und „wie“ die personenbezogenen Daten verarbeitet werden sollen, ist es/sie der Verantwortliche.

Europäische Union

Bis 2020 war dieser Prozess für WhatsApp (und andere US-Unternehmen) durch das US-EU-PrivacyShield geregelt. Doch am 16. Juli 2020 entschied die EU, dass diese Regelung ungültig sei, weil sie keinen ausreichenden Datenschutz garantiere. Nach einer Periode der Unsicherheit, setzte die EU schließlich im Juni 2021 mit den Standarddatenschutzklauseln (Standardvertragsklauseln) klarere Richtlinien und WhatsApp besserte seine Datenschutzregelungen für die EU so nach, dass diese nun den neuen Standards entsprechen würden.

Doch auch diese neuen Regelungen garantieren keinen 100-prozentigen Datenschutz.


Diese Probleme gibt es in der Kundenkommunikation per WhatsApp

Ende-zu-Ende-Verschlüsselung vs. Datenschutz

Zunächst einmal gilt es zu unterscheiden zwischen der Sicherheit von WhatsApp als Messenger (Verschlüsselungsprotokoll) und dem Datenschutz.

Wie die meisten Messenger nutzt auch WhatsApp eine Ende-zu-Ende-Verschlüsselung für seine Chats. Das heißt: Keine außenstehende Person außer Sender:in und Empfänger:in kann die Inhalte der Nachrichten lesen! (Ausnahme: Du speicherst deine Unterhaltungen per Back-up in der Cloud und diese wird gehackt).

Was viele übrigens nicht wissen: Die Ende-zu-Ende-Verschlüsselung ist bei WhatsApp der Standard. In anderen Messengern, wie etwa Telegram, müssen Nutzer:innen diese aktiv einstellen, um den gleichen Sicherheitsstandard zu garantieren.

Die Inhalte der WhatsApp-Chats sind also sicher! Fragen zum Datenschutz ergeben sich daher nicht in diesem Bereich, sondern vielmehr bei den Meta-Daten, die bei der Nutzung von WhatsApp entstehen.

Metadaten

Die WhatsApp-Kommunikation (wie die anderer Messenger-Dienste auch) funktioniert über die Cloud. Im Fall von WhatsApp fallen dabei unverschlüsselte Metadaten an. Dazu gehören unter anderem deine Telefonnummer, dein Gerätehersteller, dein Standort und deine IP-Adresse.

Diese Daten fallen aber wiederum laut DSGVO in die Kategorie der personenbezogenen Daten. Da diese aber auf den Servern von Meta in den USA verarbeitet werden, kann nicht garantiert werden, dass dies nach EU-Datenschutzstandards rechtskonform erfolgt. Und selbst wenn Meta dies tun würde: Die DSGVO fordert auch, dass Verbraucher:innen die gleichen Rechte an ihren Daten haben wie innerhalb der EU. Das ist aber bei der US-Rechtssprechung nicht unbedingt garantiert.

Zugriff auf Kontakte (ohne vorherige Zustimmung)

Und schließlich gibt es noch ein technisches Problem bei der Nutzung von WhatsApp von Unternehmen und dem Datenschutz. Wenn du als Unternehmen WhatsApp auf dem Smartphone nutzt, erlaubst du der App damit automatisch den Zugriff auf all deine Telefonkontakte.

Dies Kontaktsynchronisierung ist eine Funktion von WhatsApp, bei der die App alle deine Telefonkontakte mit seiner Nutzerbasis abgleicht, um festzustellen, welche deiner Kontakte ebenfalls WhatsApp installiert haben. Hier bedarf es einiger technischer Kniffe, um dabei doch noch den Datenschutz zu garantieren.

All dies macht die Nutzung von WhatsApp im Unternehmen für die Kundenkommunikation schwierig, aber nicht unmöglich. Denn es gibt durchaus Optionen, um den Messenger datenschutzkonform einzusetzen.

WhatsApp und Datenschutz für Unternehmen: Die WhatsApp Business App

Als Unternehmen hast du zwei legitime Möglichkeiten, um WhatsApp in der Kundenkommunikation zu nutzen: die WhatsApp Business App und die WhatsApp Business Platform (API). Die private App ist für die geschäftliche Nutzung nicht erlaubt.

WhatsApp Business ist die Unternehmenslösung von WhatsApp, die für Einzelunternehmen und Kleinstunternehmen von bis zu maximal fünf Mitarbeitenden gedacht ist. Sie ist kostenfrei und darum für viele Betriebe die erste Option für die Unternehmenskommunikation. Aber: In Sachen Datenschutz bist du dabei nicht auf der sicheren Seite!

Die WhatsApp Business App kannst du dir wie auch die reguläre App einfach auf dein Smartphone herunterladen. Als Unternehmen bietet sie dir aber Optionen, die die private App nicht hat. Dazu gehört etwa:

  • ein Unternehmenskonto (Achtung: kein grüner Haken!)
  • Produktkatalog
  • Details zu deinem Unternehmen (Öffnungszeiten)
  • Versand von unternehmensinitiierten Nachrichten (sehr eingeschränkt in Art und Anzahl)

Was ist dabei problematisch für den Datenschutz?

1. Die App funktioniert über dein Smartphone

Wie auch die private App von WhatsApp ist auch WhatsApp Business eine mobile Applikation. Du kannst sie zwar in einer Web-Version auf dem Desktop nutzen, doch alle Prozesse sind dabei mit deinem Smartphone synchronisiert. Das bedeutet auch, dass WhatsApp Business auf deine Telefonkontakte zugreift.

Damit du hier Datenschutz garantieren kannst, musst du also  erstens ein dezidiertes Unternehmenshandy für WhatsApp nutzen, auf dem keine privaten Kontakte gespeichert sind.

Zweitens musst du sicherstellen, dass diese Kontakte alle WhatsApp-Nutzer:innen sind oder dir andernfalls vorab die explizite Zustimmung einholen, dass WhatsApp ihre Telefonnummern verarbeiten darf. Das gilt zum Zeitpunkt der Installation, aber auch für sämtliche neue Kontakte, die ins Telefonbuch eingefügt werden.

Alternativ kannst du WhatsApp den Zugriff auf die Kontakte verweigern oder deine Kund:innen nicht im Telefonbuch speichern (damit weißt allerdings auch du nicht, zu welcher Person eine Nummer gehört).

Du musst außerdem stets alle Updates durchführen, das Cloud-Back-up deaktivieren und du darfst zudem keine Anhänge wie Fotos oder PDF-Dateien speichern.

Daran merkst du schon: Es ist extrem unpraktisch, die WhatsApp Business App im Unternehmen zu nutzen, wenn du dies datenschutzkonform tun möchtest.

WhatsApp und DSGVO in der Radiobranche

2. Du nutzt die Meta-Cloud und Server in den USA

Die WhatsApp Business App nutzt die Cloud und die Server von Meta in den USA. Damit ist eine rechtskonforme Verarbeitung deiner Kundendaten nicht zu 100 Prozent garantiert.

Wenn du also wirklich den Datenschutz der Kundenkommunikation per WhatsApp garantieren möchtest, musst du die WhatsApp Business Platform (API) nutzen!

WhatsApp Business rechtlich / WhatsApp & Datenschutz


WhatsApp und Datenschutz für Unternehmen: Die WhatsApp Business Platform (API)

Die WhatsApp Busines Platform (ehemals: WhatsApp Business API) ist die offizielle Schnittstelle zu WhatsApp. Zugriff dazu gibt es aber nicht etwa über eine App, sondern über offizielle Business Solution Provider, also offizielle Partner von Meta. Diese haben in der Regel bereits eine sofort einsatzbereite Software entwickelt, mit der du als Unternehmen WhatsApp für deine Kundenkommunikation nutzen kannst.

Ob ein Unternehmen ein offizieller Meta-Partner ist, kannst du über das Partner Directory von Meta einsehen.

MessengerPeople ist beispielsweise offizieller Business Solution Provider für Meta. (Quelle: Meta)

Diese Option ist nicht kostenfrei, bietet dir aber 100-prozentigen Datenschutz. Denn offizielle Business Solution Provider wie MessengerPeople nutzen Server innerhalb der EU. Damit umgehst du also bereits die Problematik der Meta-Daten-Verarbeitung.

Hinzu kommt, dass etwa die Software von MessengerPeople nur als Desktop-Variante existiert. Ein Abgriff von Telefonkontakten ist damit gar nicht möglich. Der komplette Austausch der Daten erfolgt zudem über MessengerPeople (und nicht über Meta!).

Darüber hinaus schließt MessengerPeople vorab einen Aufgragsverarbeitungs-Vertrag mit seinen Kund:innen ab. Das bedeutet, dass alle personenbezogenen Daten bei MessengerPeople (und nicht bei Meta!) gespeichert werden.

Demzufolge werden alle personenbezogenen Daten bei MessengerPeople gespeichert. Per Auftragsverarbeitungs-Vertrag (kurz AV-Vertrag) mit dem jeweiligen Unternehmen und anderen DSGVO bzw. Datenschutz relevanten Maßnahmen können Unternehmen Messenger für ihre Kundenkommunikation rechtssicher nutzen.

Damit legen also Business Solution Provider wie MessengerPeople über die WhatsApp Business Platform den Grundstein dafür, dass du WhatsApp 100 Prozent datenschutzkonform in deinem Unternehmen nutzen kannst.

WhatsApp DSGVO-konform im Autohaus einsetzen mit MessengerPeople

Stets die wichtigsten Informationen zu Messengern bietet dir unser Newsletter!

Jetzt anmelden


So garantierst du 100 Prozent Datenschutz in der Kundenkommunikation

Der erste Schritt zur datenschutzkonformen Nutzung von WhatsApp in der Kundenkommunikation ist also die WhatsApp Business Platform über einen Business Solution Provider wie MessengerPeople.

Darüber hinaus musst du dir als Unternehmen vorab die ausdrückliche Einwilligung (Legitimation) der Kund:innen einholen und ihnen ausführlich erklären, was mit ihren Daten passiert (Legitimationstatbestände).

1. Legitimation einholen

Um die Einwilligung deiner Kund:innen für einen Austausch per WhatsApp zu bekommen, gibt es zwei einfache Lösungen:

  • Anmelde-Widget: Über ein Widget, das du auf deiner Webseite einbaust, gelangen die Nutzer in den Chat mit deinem Unternehmen, nachdem sie der Datenschutzerklärung zugestimmt und initiativ eine Nachricht an dich versendet haben. (Hinweis: Das Card Widget und Chip Widget von MessengerPeople ist bereits datenschutzkonform.)
faie-datenschutz-messengerpeople

Einbindung des Anmelde-Widget auf der Webseite von FAIE

  • Chatbot: Ein:e Nutzer:in klickt auf deiner Webseite oder auf einer Social-Media-Plattform auf einen Link von dir und landet per Click to Chat direkt im WhatsApp-Chat mit deinem Unternehmen. Ein Chatbot übernimmt die Nutzeranfrage. Neben der Einwilligung fragt er ebenfalls die wichtigsten Daten des Kunden ab, um ihn an den richtigen menschlichen Kolleg:innen weiterzuleiten.

💡 Tipp: Lade dir jetzt die 8 Punkte umfassende Checkliste zum datenschutzkonformen Einsatz von Messengerdiensten von Rechtsanwalt Carsten Ulbricht herunter.

2. Legitimationstatbestände darlegen

Bei diesem Aspekt geht es darum, deine Kund:innen darüber zu informieren, welche Daten verarbeitet werden (Legitimationstatbestände in Artikel 6 DSGVO).

Generell gibt es keine Einschränkungen, welche Daten Unternehmen und Kunden über Messenger austauschen. Zwei Punkte sollten aber von deinem Unternehmen berücksichtigt werden.

Rechtsanwalt Dr. Carsten Ulbricht

Dennoch ist es für die Kundenkommunikation per WhatsApp unerlässlich, dass dein Unternehmen die Kund:innen darüber umfassend informiert, was mit ihren Daten passiert und wie diese verarbeitet werden.

Zweitens solltest du speziell im Bereich Gesundheitsdaten noch einmal juristischen Rat suchen, bevor du die Messenger Kommunikation startest (siehe auch Legitimationstatbestände in Artikel 9 DSGVO).

Im Ergebnis ist es aber trotzdem so, dass ich durch eine informierte Einwilligung jeden dieser Vorgänge aus meiner Sicht legitimieren kann.

Rechtsanwalt Dr. Carsten Ulbricht

whatsapp datenschutz dsgvo carsten ulbricht


Tipp: Vereinbare jetzt eine Live-Demo für die Messenger Communication Platform. Wir werden dich per Web-Demo durch das Produkt führen und neben Experten-Tipps auch Antworten auf alle Fragen geben.


Mehr zum Thema WhatsApp und Datenschutz


Push-Messenger-NewsletterWhatsApp Chatbot