Wie man WhatsApp für Unternehmen nutzt und dabei DSGVO-konform bleibt

Trotz seiner Beliebtheit steht WhatsApp vor großen Herausforderungen bei der Einhaltung von Datenschutzbestimmungen.

Im Jahr 2021 wurde die internationale Messaging-App, die zu Meta (ehemals Facebook) gehört, von der irischen Datenschutzbehörde zu einer Geldstrafe von 225 Millionen Euro verurteilt, weil sie gegen Datenschutzbestimmungen verstoßen hatte. Diese Strafe war die höchste, die jemals von der irischen Datenschutzkommission verhängt wurde, und die zweithöchste nach den neuen EU-Regeln der DSGVO.

Die Untersuchung der Compliance-Probleme von WhatsApp begann 2018 und konzentrierte sich auf die Frage, ob das Unternehmen transparent genug im Umgang mit Nutzerdaten war. Die Aufsichtsbehörden stellten fest, dass die Datenschutzrichtlinien von WhatsApp nicht klar genug waren, insbesondere in Bezug auf die Speicherung und Verarbeitung von Daten. Dieser Mangel an Transparenz führte zu erheblichen Bedenken, insbesondere angesichts der doppelten Nutzung von WhatsApp für private und berufliche Kommunikation. Anwälte und Datenschutzexperten:innen raten aufgrund dieser Mängel oft davon ab, WhatsApp für die geschäftliche Kommunikation zu nutzen.

Verwandter Artikel:  Auftragsvereinbarungsvertrag (AVV) - heyData schafft Transparenz

Um WhatsApp DSGVO-konform zu nutzen, müssen Unternehmen einige wichtige Grundsätze beachten:

• Datenminimierung: Erfasse nur Daten, die für den jeweiligen Zweck notwendig sind.
• Zweckbeschränkung: Verwende Daten nur für die Zwecke, die zum Zeitpunkt der Erhebung ausdrücklich angegeben wurden.
• Zustimmung: Hole die ausdrückliche Zustimmung der Nutzer:innen ein, bevor ihr die Daten verarbeitet.
• Rechte der Betroffenen: Sicherstellen, dass die Nutzer:innen ihre Rechte auf Zugang, Berichtigung und Löschung ihrer Daten wahrnehmen können.

Seit 2016 sind alle Chats auf WhatsApp Ende-zu-Ende-verschlüsselt. Das bedeutet, dass WhatsApp den Inhalt der Nachrichten nicht lesen, verarbeiten oder mit unerwünschten Dritten wie Facebook oder Instagram teilen kann.

Anders verhält es sich jedoch bei unverschlüsselten Metadaten, die bei der Kommunikation in der Cloud entstehen. Einfach ausgedrückt sind Metadaten Daten über Daten. Dazu gehören Informationen wie:

• Gerätename und -typ
• IP-Adresse
• Standort
• Tageszeit
• Profilfotos, Namen und Beschreibungen
• Kontakte

Auch wenn die Metadaten nicht den eigentlichen Inhalt der Unterhaltungen zeigen, können sie doch ein ziemlich klares Bild vom Verhalten eines Nutzers zeichnen. WhatsApp sendet diese Daten derzeit in andere EU-Länder und teilt sie mit ihrer Muttergesellschaft Meta, um den Dienst zu erhalten und zu sichern.

Das gilt sowohl für die WhatsApp App als auch für die WhatsApp Business App.

Nach der DSGVO erfordert die Verarbeitung personenbezogener (Meta-)Daten die ausdrückliche Zustimmung der Nutzer:innen. Dies wird in der Regel durch einen Auftragsverarbeitungsvertrag (AVV) geregelt, die festlegt, wie dein Unternehmen und WhatsApp mit Daten umgehen. Die persönliche WhatsApp-App unterstützt jedoch keine AVVs. Um WhatsApp für dein Unternehmen zu nutzen, müsstest du also theoretisch von jedem Kunden und Interessenten einzeln die Zustimmung einholen.

Wie kann dein Unternehmen dieses Hindernis also überwinden?

Neben der regulären App für den privaten Gebrauch bietet WhatsApp zwei Optionen für Unternehmen an: die Whatsapp Business App und die Whatsapp Business API, auch bekannt als Whatsapp Business Plattform. Obwohl beide für die geschäftliche Nutzung konzipiert sind, unterscheiden sich ihre Funktionen, Möglichkeiten und Kosten erheblich.

Kurz gesagt: Die Business App ist ideal für Unternehmer und sehr kleine Support-Teams, während die Business Plattform für größere, professionelle Vertriebs- und Marketingteams geeignet ist.

Trotz der Ende-zu-Ende-Verschlüsselung ist die WhatsApp Business App nicht DSGVO-konform und sollte nicht für die Unternehmenskommunikation verwendet werden. Vier Hauptpunkte können mit den Datenschutzgesetzen in Konflikt geraten:

1. WhatsApp verarbeitet für die DSGVO relevante Metadaten, was Unternehmen nicht verhindern können.
2. WhatsApp hat standardmäßig Zugriff auf Kontaktdaten. Dies kann vermieden werden, indem du der App nicht erlaubst, auf deine Kontakte zuzugreifen oder indem du die Business-App auf einem separaten Gerät mit ausschließlich geschäftlichen Kontakten verwendest.
3. WhatsApp speichert Backups standardmäßig unverschlüsselt. Du kannst Backups in den Einstellungen der App verschlüsseln.
4. WhatsApp speichert nicht zugestellte Nachrichten auf seinen Servern, was nicht verhindert werden kann.

Bleibt noch die WhatsApp Business Plattform, die allgemein empfohlene Lösung für Geschäftskunden. Es handelt sich um einen kostenpflichtigen Service, der für mittlere bis große Unternehmen entwickelt wurde. Die API ermöglicht es dir, Nachrichten über WhatsApp zu versenden, ohne dass WhatsApp personenbezogene Daten verarbeitet oder Nachrichten auf seinen Servern speichert. Daher hängt die Einhaltung der DSGVO vom Unternehmen ab, das die API integriert, und nicht von WhatsApp.

WhatsApp bietet jedoch keine App für die Nutzung von APIs an. Stattdessen müssen Unternehmen eine externe Messaging-Software für Kund:innen verwenden und diese mit der WhatsApp-Schnittstelle verbinden, um Nachrichten zu versenden und mit Kund:innen zu kommunizieren. Die API fungiert also als Backend-System, das mit CRM-Tools, Helpdesk-Software und anderen Messaging-Plattformen verbunden wird, damit Unternehmen ihre Kundenkommunikation effizient verwalten können.

Diese externen Messaging-Tools werden Business Solution Provider (BSP) genannt und sind von WhatsApp speziell zertifiziert. 

Eine Liste der WhatsApp Business Solution Provider findest du auf der Meta-Website. Es ist wichtig, einen BSP mit Sitz in der EU oder dem EWR oder mit einer zertifizierten Serverinfrastruktur in diesen Regionen zu wählen und sicherzustellen, dass er alle Daten und die Kommunikation mit einzelnen Kund:innen auf Anfrage löschen kann.

Beispiel aus der Praxis: KLM Royal Dutch Airlines

KLM Royal Dutch Airlines ist ein Paradebeispiel für ein Unternehmen, das die WhatsApp Business API nutzt und gleichzeitig die DSGVO einhält. KLM nutzt die API, um Kund:innen mit Buchungsbestätigungen, Flugstatus-Updates und Serviceanfragen zu versorgen.

KLM stellt die Einhaltung der DSGVO sicher durch:

• Einholung einer ausdrücklichen Zustimmung: KLM stellt sicher, dass sich die Kund:innen für den Erhalt von Mitteilungen über WhatsApp entscheiden. Dies geschieht durch klare Einverständniserklärungen während des Buchungsprozesses.
• Datenminimierung: Es werden nur die notwendigen Kundendaten gesammelt und verarbeitet, und zwar ausschließlich zum Zweck der Kommunikation über ihre Buchungen und Flüge.
• Verwendung zertifizierter BSPs: KLM arbeitet mit in der EU ansässigen und von WhatsApp zertifizierten Business Solution Providern (BSPs) zusammen und stellt damit sicher, dass die gesamte Datenverarbeitung den Standards der DSGVO entspricht.
• Sicherstellung der Rechte der Betroffenen: Kund:innen können Zugang zu ihren Daten beantragen, Korrekturen vornehmen oder die Löschung verlangen.

Durch die Befolgung dieser Schritte erhält KLM die Transparenz und das Vertrauen seiner Kunden aufrecht und nutzt WhatsApp für einen verbesserten Kundenservice.

Die Einhaltung der DSGVO kann für Unternehmen eine komplexe Aufgabe sein, vor allem wenn sie Kommunikationstools wie WhatsApp in ihren Betrieb integrieren. Hier sind praktische Schritte, die sicherstellen, dass dein Unternehmen bei der Nutzung von WhatsApp hohe Datenschutzstandards einhält:

1. Hole die ausdrückliche Zustimmung der Nutzer:innen ein

• Implementiere klare und unkomplizierte Opt-in-Formulare, die deutlich machen, wozu die Nutzer:innen ihre Zustimmung geben.
• Verwende Double-Opt-In-Methoden, um die Absicht der Nutzer:innen zu überprüfen, indem du eine Bestätigungs-E-Mail oder -Nachricht schickst.
• Informiere in den Einwilligungsformularen ausführlich über die Verwendung, Speicherung und Weitergabe von Daten. 

2. Auftragsverarbeitungsvertrag (AVV) effektiv handhaben

1. Identifiziere alle Drittanbieter:innen und Partner:innen, die an der Datenverarbeitung beteiligt sind.
2. Erstelle umfassende DPAs, die Klauseln zu Datenschutzverantwortlichkeiten, Benachrichtigungen bei Verstößen und Datenlöschungsprotokollen enthalten.
3. Führe ein geordnetes Verzeichnis aller unterzeichneten Vereinbarungen, damit du sie leicht einsehen und überprüfen kannst.

3. Regelmäßige Compliance-Audits durchführen

• Plane regelmäßige interne Audits, um die Datenverarbeitungsprozesse zu überprüfen und eventuelle Lücken in der Einhaltung der Vorschriften zu ermitteln.
• Ziehe externe Prüfer zur unvoreingenommenen Bewertung deiner DSGVO-Praktiken hinzu.
• Dokumentiere die Ergebnisse und setze umgehend Korrekturmaßnahmen um.
• Bewahre Audit-Protokolle für spätere Nachweise und behördliche Inspektionen auf.

4. Implementierung von Verschlüsselungsprotokollen

1. Verschlüssele sensible Daten sowohl im Ruhezustand als auch bei der Übertragung mit aktuellen Verschlüsselungsstandards wie AES-256.
2. Setze eine Ende-zu-Ende-Verschlüsselung für die Kommunikation mit Kund:innen ein, um die Vertraulichkeit zu schützen.
3. Aktualisiere regelmäßig die Verschlüsselungsschlüssel und verwalte sie sicher in einem Schlüsselmanagementsystem (KMS).

5. Sichere Datenspeicherung gewährleisten

• Speichere personenbezogene Daten in sicheren, zugriffskontrollierten Umgebungen wie verschlüsselten Datenbanken oder Cloud-Diensten, die den Standards der DSGVO entsprechen.
• Implementiere rollenbasierte Zugriffskontrollen (RBAC), um den Datenzugriff auf autorisierte Personen zu beschränken.
• Führe regelmäßig sichere Datensicherungen durch und stelle sicher, dass die Sicherungen ebenfalls verschlüsselt und getrennt von den Primärsystemen gespeichert werden.

6. Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen

• Halte dich über neue Sicherheitsbedrohungen und aufkommende Technologien auf dem Laufenden, indem du Branchenwarnungen und Updates abonnierst.
• Führe regelmäßig Penetrationstests durch, um Schwachstellen in deinem Netzwerk und deinen Anwendungen zu identifizieren.
• Aktualisiere die Sicherheitssoftware, einschließlich Antivirenprogramme, Firewalls und Intrusion Detection Systeme (IDS), auf die jeweils neuesten Versionen.

Eine transparente Kommunikation der Datenschutzrichtlinien und regelmäßige Aktualisierungen von Änderungen sind unerlässlich, um das Vertrauen der Kund:innen zu erhalten und das Engagement für die Einhaltung der DSGVO zu demonstrieren. Hier sind unsere Tipps für effektive Strategien zur Kundenkommunikation bei der Nutzung der Whatsapp Business API:

• Kommuniziere deine Datenschutzrichtlinien klar und deutlich: Unternehmen sollten sicherstellen, dass ihre Datenschutzrichtlinien leicht zugänglich sind und den Kund:innen mitgeteilt werden. Dies kann erreicht werden, indem die Richtlinien in der Kundenkommunikation verlinkt, auf der Website gut sichtbar angezeigt und in die App-Oberflächen aufgenommen werden.
• Informiere die Kunden regelmäßig über Änderungen der Richtlinien: Es ist wichtig, die Kund:innen über alle Änderungen der Datenschutzrichtlinien zu informieren. Regelmäßige Aktualisierungen können über Newsletter, In-App-Benachrichtigungen oder Website-Ankündigungen erfolgen. Diese Praxis zeigt, dass du dich für Transparenz und Einhaltung der Vorschriften einsetzt.
• Stelle leicht verständliche Datenschutzhinweise zur Verfügung: Datenschutzhinweise sollten in einfacher Sprache verfasst sein und juristischen Fachjargon vermeiden. Sie sollten klar darlegen, welche Daten erhoben werden, wie sie verwendet werden und welche Rechte die betroffenen Personen haben. Leicht verständliche Datenschutzhinweise tragen dazu bei, dass die Kund:innen wissen, wie mit ihren Daten umgegangen wird.

WhatsApp bietet enorme Potenziale für die Kundenkommunikation – doch ohne klare Datenschutzmaßnahmen drohen DSGVO-Verstöße und hohe Bußgelder. Die WhatsApp Business App ist für Unternehmen nicht geeignet, da sie grundlegende Anforderungen nicht erfüllt.

Wer WhatsApp DSGVO-konform nutzen will, kommt an der Business API in Kombination mit einem zertifizierten EU-Business Solution Provider nicht vorbei. Ergänzt um klare Einwilligungen, AVVs und technische Schutzmaßnahmen kannst du so sicher, effizient und rechtskonform mit deinen Kund:innen kommunizieren.

Mit der heyData-Lösung Vendor Risk Management  findest du in wenigen Schritten heraus, ob dein Unternehmen rechtssicher aufgestellt ist. Buche noch heute eine Demo , um sicherzustellen, dass deine Geschäftskommunikation sicher und konform bleibt.

1. Ist WhatsApp Business DSGVO-konform?
Nein – die WhatsApp Business App selbst ist nicht DSGVO-konform. Nur die Nutzung der WhatsApp Business API in Kombination mit einem zertifizierten Anbieter kann den Datenschutzanforderungen gerecht werden.

2. Welche Daten verarbeitet WhatsApp von Nutzer:innen?
Neben Ende-zu-Ende-verschlüsselten Nachrichten verarbeitet WhatsApp auch Metadaten wie IP-Adresse, Geräteinformationen, Standort, Kontakte und Nutzungszeiten – diese Daten werden mit Meta geteilt.

3. Wie kann ich WhatsApp datenschutzkonform im Unternehmen einsetzen?
Nur über die WhatsApp Business API, integriert über einen EU-zertifizierten Business Solution Provider. Zudem ist eine ausdrückliche Einwilligung der Kund:innen erforderlich.

4. Welche Unternehmen nutzen WhatsApp DSGVO-konform?
Ein Beispiel ist KLM Royal Dutch Airlines: Das Unternehmen nutzt die Business API mit explizitem Opt-in, Datenminimierung und zertifizierten Partnern aus der EU