Die Verbreitung von WhatsApp im privaten wie im unternehmerischen Bereich ist kaum noch aufzuhalten. Allen datenschutzrechtlichen Bedenken zum Trotz zögern Unternehmen, den Messenger-Dienst auf den dienstlichen Smartphones der Mitarbeiter ausdrücklich zu verbieten und nehmen das damit verbundene Risiko lieber in Kauf, als bei den eigenen Mitarbeiter auf Unverständnis und Gegenwehr zu stoßen. Denn WhatsApp hat sich längst – still und heimlich – auch im dienstlichen Kontext als Kommunikationstool etabliert. Die Abhängigkeit von WhatsApp geht teilweise so weit, dass der Unternehmenserfolg davon abhängen kann. So ist etwa im Handwerk die schnelle und einfache Kontaktmöglichkeit mit Kunden via WhatsApp ein echter Wettbewerbsvorteil gegenüber den Mitbewerbern – teilweise nur zur Kundenanfrage nach einem Kostenvoranschlag, oder aber zur Übermittlung von Fotos an die Bauherren direkt von der Baustelle.
Diesen Markt hat auch die WhatsApp Inc. im Blick. Sie hat Ihren Messenger WhatsApp schon Anfang 2018 geschäftsfähig gemacht und lockt Unternehmen nun zur Nutzung von WhatsApp Business Produkten mit erweiterten Funktionen wie dem eigenen Unternehmensprofil oder automatisierten Antworten.
Doch wie steht es bei WhatsApp Business um den Datenschutz – hat WhatsApp seine Business-Produkte DSGVO-konform gestaltet und ist insbesondere die kostenlose WhatsApp Business App nun unbedenklich einsetzbar?
Zum Problemkind „WhatsApp“
Wohl alle Datenschutzexperten sprechen sich gegen einen dienstlichen Gebrauch von WhatsApp aus. Denn um via WhatsApp mit anderen Nutzern Kontakt aufnehmen zu können, synchronisiert die App regelmäßig das gesamte Adressbuch des Smartphones mit den WhatsApp-Servern. Über einen Abgleich der Telefonnummern werden vorhandene WhatsApp-Nutzer erkannt und dann in der App als mögliche Empfänger bereitgestellt.
Eben diese Synchronisation des lokalen Adressbuchs ist äußerst problematisch. Denn durch den automatischen Upload werden auch Kontaktdaten von Nicht-WhatsApp-Nutzern synchronisiert, was gar nicht nötig wäre, denn diese Nutzer können keine WhatsApp-Nachrichten empfangen. Die Synchronisation dieser Kontaktdaten ist datenschutzrechtlich nicht zu rechtfertigen.
Erschwerend kommt hinzu, dass WhatsApp laut der eigenen Datenschutzrichtlinie den Austausch der Daten zwischen WhatsApp und der Facebook-Unternehmensgruppe offen eingesteht. Die Zwecke des Datenaustauschs bleiben unbekannt. WhatsApp schreibt dazu
„Derzeit benutzt Facebook deine WhatsApp Account-Infos nicht zur Verbesserung der Produkterlebnisse auf Facebook oder um dir auf Facebook für dich interessantere Werbung anzuzeigen.“
Aber WhatsApp verschlüsselt doch, oder?
WhatsApp nutzt zur Verschlüsselung der Nachrichteninhalte das derzeit als sicher geltende Signal-Protokoll mit einer echten Ende-zu-Ende Verschlüsselung. Das klingt gut, denn die WhatsApp Inc. kann deshalb keine Nachrichten mitlesen. Es wird jedoch nicht alles verschlüsselt. Natürlich müssen die für den Service erforderlichen Metadaten gegenüber WhatsApp offengelegt werden, also insbesondere die Mobilfunknummern aus der Adressbuch-Synchronisation.
Weniger problematisch ist, dass die WhatsApp Server in den USA stehen. Für Übermittlung der Daten in die USA gewährleistet das EU-US Privacy Shield Abkommen, in dem WhatsApp aktives Mitglied ist, das erforderliche angemessene Datenschutzniveau. Vor kurzem hat die EU-Kommission den Privacy Shield wiederum bestätigt (wir berichteten).
Was macht WhatsApp bei Business-Kunden anders?
Für Business-Kunden steht die kostenfreie WhatsApp-Business App zur Verfügung. (Größere Unternehmen können auch die kostenpflichtige WhatsApp Business API nutzen, die sogar eine Anbindung an das eigene CRM-System zulässt.) Die WhatsApp Business App unterscheidet sich dabei im technischen Unterbau nicht von der Consumer-Variante. Die App wird auf dem Smartphone installiert und synchronisiert das vorhandene Adressbuch mit den WhatsApp-Servern.
Ein scheinbarer Vorteil gegenüber der Consumer-App: Für seine Business-Produkte betrachtet sich WhatsApp als Auftragsverarbeiter nach Art. 28 DSGVO und stellt mit den Datenverarbeitungsbedingungen einen auffallend übersichtlichen Auftragsverarbeitungsvertrag bereit. Dieser „Auftragsverarbeitungsvertrag“ enthält jedoch nicht einmal die Mindestangaben nach Art. 28 Abs. 3 DSGVO. So fehlen bereits Angaben zur Datenverarbeitung, zu der WhatsApp beauftragt werden soll. Auch wird nicht aufgeklärt, wie die Datenübermittlung an Facebook gerechtfertigt werden könnte. Es bleibt nur zu hoffen, dass WhatsApp hier bald nachbessert.
Offenbar ernüchterndes Zwischenergebnis
Datenschutzrechtlich unbedenklich ist die WhatsApp Business App somit genauso wenig wie das klassische WhatsApp in der Consumer-Variante, jedenfalls nicht ohne weitere Einschränkungen.
Denn um nicht auch auf die Kundenkommunikation per WhatsApp verzichten zu müssen, ist eine weitgehend datenschutzkonforme Voreinstellung von WhatsApp Business App durchaus denkbar. Dazu können die neuen Funktionen zum Unternehmensprofil und für automatisierte Antworten sinnvoll einbezogen werden.
Zunächst muss die Adressbuch-Synchronisation datenschutzgerecht gestaltet werden:
Hierzu wird WhatsApp Business auf einem ausschließlich zur Kundenkommunikation verwendeten verschlüsselten Smartphone installiert, dabei bleibt das Adressbuch auf diesem Smartphone zunächst leer. Die Telefonnummer dieses Smartphones wird den Kunden zur Kontaktaufnahme (beispielsweise auf der Webseite) zur Verfügung gestellt.
Nun können Kunden selbstständig Kontakt mit dem Unternehmen aufnehmen und werden durch eine automatisierte Nachricht zum Datenschutz entsprechend den Anforderungen nach Art. 13 DSGVO informiert und über die Sicherheit der Kommunikation via WhatsApp aufgeklärt. Per Link stehen diese Informationen zum Datenschutz auch auf dem WhatsApp-Unternehmensprofil zum jederzeitigen Abruf bereit.
Ob sich der Aufwand lohnt, nun die Mobilfunknummer des Kunden im Adressbuch des Smartphones zu speichern, muss das Unternehmen selbst entscheiden. Wer hier sicher gehen will, lässt einen Zugriff auf das Adressbuch durch die App nicht zu, damit eine Synchronisation gar nicht erst stattfinden kann und diese Problematik umgangen wird.
Anders muss dies wohl beurteilt werden, wenn das Unternehmen den Kunden selbst erstmals per WhatsApp kontaktiert. Dazu müsste der Kunde nachweislich eingewilligt haben.
Was ist mit der Datenübermittlung an Facebook?
Facebook ist und bleibt ein Unsicherheitsfaktor. Auch bei den Business-Produkten behält sich WhatsApp vor, „Daten“ mit Facebook zu teilen (siehe hier).
Wäre die Rolle von WhatsApp Inc. bei der Nutzung der Services tatsächlich durch den Vertrag zur Auftragsverarbeitung beschränkt, wäre die Übermittlung an Facebook ein Verstoß gegen den Vertrag. Die Weisungsabhängigkeit des Auftragsverarbeiters nach Art. 28 Abs. 3 lit. a DSGVO erlaubt keine Weitergabe an Dritte zu eigenen Zwecken oder zu Zwecken des Dritten (Facebook). Sehr wahrscheinlich liegt auch hierin der Grund, weshalb der Auftragsverarbeitungsvertrag von WhatsApp zum eigentlichen Inhalt der Auftragsverarbeitung schlicht schweigt.
Aber es werden doch trotzdem Daten an WhatsApp übermittelt, was nun?
Abgesehen von den Nachrichteninhalten – diese sind ja für WhatsApp durch die Verschlüsselung nicht einsehbar – liegt zumindest die Telefonnummer des Kunden der WhatsApp Inc. offen. Anzunehmen ist, dass diese mit jeder Nachricht übermittelt wird.
Man könnte nun meinen, der Kunde bei WhatsApp sei doch bereits bekannt, wo liegt also das Problem? Nun, nach geltendem Recht wird bei einer Übermittlung von Daten nicht unterschieden, ob der Empfänger die Daten bereits kennt oder nicht. Das Unternehmen muss bei jeder Datenübermittlung deren Rechtmäßigkeit gewährleisten und diese auch nachweisen können.
Doch initiiert der Kunde die Kommunikation via WhatsApp, drückt er hierdurch gleichzeitig seinen Wunsch aus, dass das Unternehmen ihm über diesen Kanal antwortet. Die Übermittlung der Telefonnummer zurück an WhatsApp durch die Antwort des Unternehmens ist damit durch die mutmaßliche Einwilligung des Kunden gerechtfertigt. Das Unternehmen muss den Kunden jedoch frühestmöglich und umfassend über die Umstände der Datenverarbeitung aufklären. Hierzu kann in der automatisierten Empfangsbestätigung per Link auf eine eigene Datenschutzerklärung hingewiesen werden.
Fazit
Die WhatsApp Business App bietet derzeit leider keinen DSGVO-konformen Ersatz für WhatsApp im Unternehmen. Für eine dienstliche Kommunikation unter den Mitarbeitern ist die App genauso ungeeignet wie das klassische WhatsApp. Doch mit Einschränkungen und dem hier aufgezeigten Weg kann die WhatsApp Business App mit vertretbarem Risiko für die Kundenkommunikation genutzt werden.
Benjamin
4. Januar 2022 @ 19:47
Hallo. Sehr guter Beitrag – vielen Dank dafür. Nach Recherche hat sich seit September 2021 etwas getan. Im Dokument https://www.whatsapp.com/legal/business-data-transfer-addendum-20210927 wird nun beschrieben, dass WhatsApp Irland europäische Daten an WhatsApp USA und Facebook via SCC Modul 3 (P2P) übermittelt. Sieht doch auf dem ersten Blick ganz gut aus – oder was halten Sie davon?
Jan Philip Kroll
5. Januar 2022 @ 14:16
Hallo Benjamin,
vielen Dank für Deinen Kommentar! Tatsächlich hat sich seit 2019 bei WhatsApp einiges getan, neben den neuen SCC die Schrems II Entscheidung und das hohe Bußgeld gegen WhatsApp aus Luxemburg dieses Jahr. Durch die neuen SCC mit der US-Muttergesellschaft können die hier und in unserem aktuellen Artikel zu WhatsApp dargestellten Probleme leider nicht final geklärt werden.
Viele Grüße
Philip