Der Messenger-Dienst WhatsApp bietet Unternehmen vielfältige Möglichkeiten, mit ihren Kund:innen in Kontakt zu treten. Die Business-Version der bekannten App erlaubt es dir, deinen Kund:innen Produkte zu empfehlen, Transaktionsnachrichten zu schicken und Fragen zu beantworten. Außerdem kannst du einen WhatsApp-Kanal erstellen.
Alles schön und gut – aber ist WhatsApp überhaupt mit der europäischen Datenschutz-Grundverordnung (DSGVO) vereinbar? Für Unternehmen ist das eine wichtige Frage, die es zu klären gilt, um rechtlich auf der sicheren Seite zu sein. In unserem Artikel erfährst du, was es bei der gewerblichen Nutzung des Messengers zu beachten gilt und wie du WhatsApp Business DSGVO-konform nutzen kannst.
Das Wichtigste in Kürze
Worum geht es?
Wir erklären dir, ob und unter welchen Bedingungen WhatsApp Business DSGVO-konform eingesetzt werden kann – inklusive Risiken und praktischer Tipps für dein Unternehmen.
Warum ist das wichtig für dich?
Bei Verstößen gegen die DSGVO drohen nicht nur hohe Bußgelder, sondern du setzt zusätzlich das Vertrauen deiner Kund:innen aufs Spiel.
Unser Tipp für dich:
Achte vor allem darauf, wie personenbezogene Daten verarbeitet werden und ob deine Art der Datennutzung mit WhatsApp Business DSGVO-konform ist. Die WhatsApp Business API ist da die sicherste Lösung.
Inhaltsverzeichnis
Was ist die DSGVO?
Hinweis
Wir wollen dir mit unserem Artikel Anregungen geben, wie du WhatsApp Business DSGVO-konform nutzen kannst. Allerdings handelt es sich hierbei lediglich um einen Informationsartikel. Für eine rechtliche Absicherung raten wir dir, professionelle juristische Unterstützung hinzuzuziehen.
Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, die die Verarbeitung von personenbezogenen Daten regelt. Sie ist am 25.05.2018 in Kraft getreten und gilt in der gesamten EU, also auch in Deutschland. Demnach müssen personenbezogene Daten rechtmäßig, fair und transparent nur für die festgelegten Zwecke, ausschließlich im notwendigen Umfang und mit angemessener Sicherheit verarbeitet werden, wobei die Verantwortlichkeit stets beim Datenverarbeiter liegt (Quelle: DSGVO-Gesetz).
Unternehmen, die personenbezogene Daten von EU-Bürger:innen verarbeiten, müssen sich an die DSGVO halten – ansonsten drohen hohe Bußgelder von bis zu 20 Millionen € (Quelle: DSGVO-Gesetz). Kurz gesagt: Wenn du der DSGVO Folge leistest, bist du rechtlich auf der sicheren Seite. Außerdem genießt du ein höheres Kundenvertrauen als solche Unternehmen, die sich nicht oder nicht vollständig an geltendes Datenschutzrecht halten.
Auch beim Versand von E-Mails spielen DSGVO und Datenschutz eine Rolle. In diesem Artikel erfährst du, was du zu dem Thema wissen musst.
WhatsApp Business DSGVO-konform nutzen: Das musst du wissen
WhatsApp als Marketing-Kanal erfreut sich großer Beliebtheit. Kein Wunder, nutzen doch knapp 87 % der Deutschen die Messenger App regelmäßig (Quelle: Statista, 2024). Aber: Wenn du dich dafür entscheidest, mit deinen Kund:innen über WhatsApp zu kommunizieren, verarbeitest du deren personenbezogene Daten. Das sind Daten, die einer Person zugeordnet werden können – also Informationen wie Telefonnummer, Geburtsdatum oder Adresse. Willst du WhatsApp Business DSGVO-konform nutzen, bist du in der Pflicht, verantwortungsbewusst mit den Kundendaten umzugehen. Aber das ist noch nicht alles. Wenn du und deine Kund:innen WhatsApp nutzen, dann werden zwangsläufig Metadaten erhoben. Dazu gehören:
- die Telefonnummer
- IP-Adresse
- Geräteinformationen
- Standort
- Nutzungsverhalten, zum Beispiel Häufigkeit
Diese Daten werden wiederum an WhatsApp beziehungsweise den Mutterkonzern Meta (ehemals Facebook) gesendet.
Wichtig ist an dieser Stelle die Unterscheidung zwischen Nachrichteninhalten und Metadaten. Während Metadaten von WhatsApp eingesehen werden können, garantiert dir die sogenannte Ende-zu-Ende-Verschlüsselung, dass niemand – auch nicht WhatsApp selbst – Informationen aus deinen Chats einsehen kann.
Erfahre, warum sich Unternehmen für Brevo entscheiden
Brevo ist ein hervorragendes Tool
Brevo ist ein hervorragendes Tool zum versenden von Newslettern. Macht weiter so!
Sabrina Hofbauer,
Trustpilot-Rezensentin
Brevo: effizient, viele Funktionen, guter Support
Schnelle Migration von sendinblue auf Brevo. Effiziente Nutzung von Brevo mit gutem Preis-Leistungsverhältnis. Mit relevanten Funktionen, die weit über ein Newsletter-Tool hinausgehen. Im Fall der Fälle gab es guten und zügigen Support.
Thomas Urbaniak,
Trustpilot-Rezensent
Die beste Lösung für mein E-Mail Marketing
Ich nutze Brevo um meinen Newsletter zu verschicken und so z.B. meine Kurse zu bewerben.
Nina S.,
G2-Rezensentin
WhatsApp Business und WhatsApp Business API: Was passt zu dir?
So viel vorab: Ob deine Nutzung von WhatsApp Business DSGVO-konform ist oder nicht, hängt davon ab, welche Anwendung du nutzt. Denn es gibt nicht nur das eine WhatsApp, das viele Privatpersonen auf ihren Smartphones installiert haben. Neben der bekannten App für den Privatgebrauch bietet der US-Konzern 2 weitere, auf die gewerbliche Nutzung ausgelegte Lösungen an: die WhatsApp Business App und die WhatsApp Business API (kürzlich umbenannt in WhatsApp Business Platform).
Wir erklären, wie sich die drei Anwendungen voneinander unterscheiden, und wie es um die DSGVO-Konformität der jeweiligen Lösung steht.
WhatsApp für den privaten Gebrauch: Für Unternehmen ungeeignet
Diese Anwendung dürfte den meisten von euch bekannt sein, gerade weil WhatsApp in Deutschland eine der beliebtesten Messaging Apps ist. Genutzt wird die Anwendung vor allem zum Versenden von Text- und Sprachnachrichten, Fotos und Videos ende-zu-ende-verschlüsselt unter Freund:innen und Verwandten.
Wenn du über die private WhatsApp-Anwendung mit deinen Kund:innen in Kontakt treten willst, erwarten dich nicht nur datenschutzrechtliche Probleme. Im Dezember 2019 hat das US-Unternehmen den Versand von Marketing-Nachrichten über die private App nämlich ganz verboten.
Erfahre hier, wie du im Handumdrehen professionelle WhatsApp Newsletter erstellst.
Zudem synchronisiert die Anwendung automatisch Kontakte, die du auf deinem Telefon gespeichert hast, mit WhatsApp. Entsprechend können Daten von allen Kund:innen, die in deinem Adressbuch stehen, an WhatsApp übertragen werden – auch, wenn diese dem nicht zugestimmt haben. Eine solche Zustimmung ist laut DSGVO jedoch ein Muss.
Die automatische Synchronisierung kann umgangen werden – wie, das zeigen wir dir im Laufe des Artikels. Da jegliche Marketing-Aktivitäten über die private App jedoch von WhatsApp verboten wurden, lautet unser Fazit: Nutze das normale WhatsApp nicht für gewerbliche Zwecke – DSGVO hin oder her.
WhatsApp Marketing ist für dich noch Neuland? Dann wirf doch einmal einen Blick in unseren WhatsApp Business Guide für Einsteiger:innen.
WhatsApp Business: Eingeschränkt DSGVO-konform
WhatsApp Business ist eine Anwendung, die der normalen App für private WhatsApp-Nutzer:innen stark ähnelt. Das besondere: Die Kommunikation zwischen Unternehmen und Kund:innen ist hier ausdrücklich erlaubt. Über WhatsApp Business lassen sich Marketing-Kampagnen ausspielen, Transaktionsnachrichten versenden und Fragen an den Kundenservice beantworten. Mit der sogenannten Broadcast-Funktion kannst du außerdem Nachrichten an bis zu 256 Kontakte auf einmal schicken.
Die App richtet sich vorwiegen an kleine Unternehmen. Diese können sich auf der Plattform einen Unternehmens-Account einrichten und anschließend über die WhatsApp-Web-Anwendung oder ein mobiles Endgerät mit einzelnen Kund:innen chatten. So zum Beispiel, um den Lieferstatus zu teilen:
Quelle: WhatsApp
Aber ist WhatsApp Business DSGVO-konform? Da hat die Anwendung einen weiteren, entscheidenden Vorteil gegenüber dem Standard-WhatsApp: Die Lösung erlaubt es dir, einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem US-Unternehmen abzuschließen. Denn WhatsApp verarbeitet die Daten deiner Kund:innen ja im Auftrag deines Unternehmens. Dass WhatsApp dies nicht etwa für eigene Zwecke tut, garantiert dir der AV-Vertrag. Er versichert dir außerdem, dass all dies datenschutzkonform geschieht.
Das Problem der automatischen Synchronisation der Smartphone-Kontakte bleibt jedoch weiter bestehen. Auch die automatische Backup-Funktion der App sollte kritisch betrachtet werden: Ist diese eingeschaltet, werden Chat-Verläufe von deinem Smartphone unverschlüsselt in der Google oder Apple Cloud gespeichert, um bei Bedarf WhatsApp Chats wiederherstellen zu können. Das heißt im Umkehrschluss aber auch: Theoretisch könnten Unbefugte auf die Chat-Verläufe mit deinen Kund:innen zugreifen.
Sowohl die Synchronisierung des Adressbuchs als auch die automatische Erstellung von Backups solltest du deaktivieren, wenn du WhatsApp Business DSGVO-konform nutzen willst.
In diesem Artikel erfährst du, wie du in nur wenigen Schritten WhatsApp Business einrichtest.
WhatsApp Business API: Die sicherste Lösung für mehr Datenschutz
Die WhatsApp Business API ist eine technische Schnittstelle, die es dir erlaubt, deinen Unternehmens-Account mit einem Marketing Tool wie Brevo zu verbinden. Einfach gesagt übernimmt dieses Tool für dich den Versand von WhatsApp-Nachrichten an deine Kund:innen. Du benötigst dafür dann keine App mehr auf deinem Smartphone. Stattdessen können beliebig viele deiner Kundendienst-Mitarbeiter:innen vom Computer aus mit deinen Kund:innen kommunizieren und zum Beispiel über Termine oder Versandbestätigungen informieren.
In unserem WhatsApp Guide für Unternehmen erfährst du alles, was du zur gewerblichen Nutzung des Messengers wissen solltest.
Die WhatsApp Business API bietet Marketers nicht nur viel mehr Funktionen als die Business App, zum Beispiel den Versand von Massennachrichten – sie ist auch die datenschutztechnisch beste aller drei WhatsApp-Lösungen. Das hat vor allem damit zu tun, dass die WhatsApp Business API keine App ist.
Personenbezogene Daten deiner Kund:innen werden nicht von WhatsApp, sondern von einem Drittanbieter – dem sogenannten Business Solution Provider (BSP) – deiner Wahl gespeichert. Den AV-Vertrag schließt du folglich nicht mit WhatsApp, sondern mit einem von dir gewählten Anbieter ab. Das bringt einen entscheidenden Vorteil: Du kannst dich für denjenigen Anbieter entscheiden, der deine Datenschutzansprüche am besten erfüllt – zum Beispiel für einen Provider, dessen Serverstandort sich in der EU befindet.
Wir bei Brevo erfüllen diese Anforderung und bieten unseren Kund:innen Zugang zur WhatsApp Business API.
So funktioniert's: Registriere dich also einfach bei uns oder dem BSP deiner Wahl, erstelle danach deinen WhatsApp Business Account über den BSP, lasse dich verifizieren und schon kannst du deine erste Kampagne versenden.
4 Kriterien, um mit WhatsApp Business DSGVO-konform zu arbeiten
WhatsApp stellt für immer mehr Unternehmen einen wichtigen Kommunikationskanal dar. Schließlich hält sich ein Großteil der Deutschen täglich auf der Plattform auf. Viele Menschen wünschen sich sogar explizit, mit Unternehmen auf die gleiche Art und Weise zu kommunizieren, wie mit Freund:innen – und was läge da näher als der schnelle Chat per WhatsApp!
Unsicherheiten über die DSGVO-Konformität von WhatsApp Business sollten dich also nicht davon abhalten, den Messenger zu Marketing- und Service-Zwecken zu verwenden. Unsere 4 Tipps helfen dabei, mit WhatsApp Business DSGVO-konform zu arbeiten.
Tipp 1: Füge deinem WhatsApp-Business-Profil ein Impressum hinzu
Genauso wie deine Website benötigt auch dein WhatsApp Unternehmens-Account ein Impressum, gerade wenn du WhatsApp Business DSGVO-konform nutzen möchtest. Das kannst du ganz einfach beim Erstellen deines Unternehmensprofils auf WhatsApp Business erledigen, zum Beispiel, indem du auf das Impressum deiner Website verlinkst.
Tipp 2: Hol dir das Einverständnis deiner Kund:innen
Du willst mit WhatsApp Business DSGVO-konform arbeiten? Dann müssen deine Nutzer:innen laut DSGVO ihre Einwilligung geben, bevor du als Unternehmen diese kontaktieren kannst. Das gilt auch, wenn du Kundenkommunikation über WhatsApp Marketing betreiben willst. Dieses sogenannte Opt-in kannst du beispielsweise über ein Formular auf deiner Website einholen. Frag deine Kund:innen darin, ob sie von dir über WhatsApp kontaktiert werden möchten, und bitte sie anschließend, ihre Mobilfunknummer einzugeben. Damit gehst du sicher, dass deine Kund:innen auch wirklich den Kontakt über WhatsApp wünschen.
Hinweis
Deine Kund:innen müssen ihre ausdrückliche Einwilligung geben, speziell über WhatsApp kontaktiert zu werden. Eine eventuelle Checkbox darf nicht vorausgewählt sein und der Text muss klar und verständlich die Art der Nachrichten und die Widerrufsmöglichkeit benennen. Selbst wenn du bereits die Handynummer deiner Kund:innen hast, musst du sicherstellen, dass diese mit der Kontaktaufnahme über den Messenger-Dienst einverstanden sind.
Am besten ist es hier, wie auch beim Newsletter-Versand, wenn du deine Kund:innen ein Double-Opt-in durchführen lässt. Darunter versteht man einen Anmeldeprozess in zwei Schritten. Für WhatsApp Business könnte dies so aussehen: Nachdem deine Kund:innen auf einem Formular auf deiner Website ihre Telefonnummer angegeben haben, bekommen sie die Nummer deines Unternehmens mitgeteilt. Anschließend kannst du deine Kund:innen bitten, dieser Nummer per WhatsApp eine Nachricht zu schreiben, um den Opt-in-Prozess abzuschließen. Auf diese Weise arbeitest du mit WhatsApp Business DSGVO-konform.
Tipp 3: Kläre deine Kund:innen über die Verarbeitung ihrer Daten auf
Seit dem Ende des EU-US Privacy Shields gibt es keine einheitliche Vorgaben mehr dazu, wie personenbezogene Daten von EU-Bürger:innen DSGVO-konform in die USA vermittelt werden können. Deshalb gilt: Aufklärung ist das A und O. Willst du mit Auf diese Weise arbeitest du mit WhatsApp Business DSGVO-konform arbeiten, solltest du deine Kund:innen wissen lassen, dass und vor allem zu welchen Zwecken ihre Daten verarbeitet werden.
Zwar haben Personen, die einen WhatsApp Account besitzen, den Nutzungsbedingungen des Messengers bereits zugestimmt. Dennoch kann es nicht schaden, deine Kund:innen nochmals darauf hinzuweisen. Zum Beispiel kannst du ihnen zu Beginn der WhatsApp-Unterhaltung die Datenschutzrichtlinien des Messengers beziehungsweise einen Link dazu schicken. Das schafft Transparenz.
Hier haben wir einen Auszug der wichtigsten Punkte, die du nennen solltest:
- Verantwortlicher: Nenne dein Unternehmen als Verantwortlichen.
- Zweck der Verarbeitung: Erkläre klar, wofür du WhatsApp Business nutzt (z.B. Kundenservice, Marketing-Kommunikation, Bestellinformationen).
- Rechtsgrundlage: Gib die relevante Rechtsgrundlage an.
- Arten der verarbeiteten Daten: Welche Daten werden über WhatsApp verarbeitet (z.B. Mobilfunknummer, Name/Benutzername, Chatverläufe, Metadaten)?
Tipp 4: Füge deinem Adressbuch nur WhatsApp-Kontakte hinzu
Wie bereits beschrieben, scannt WhatsApp dein Adressbuch automatisch nach Kontakten, die WhatsApp auf ihren Geräten installiert haben. So kann es schnell passieren, dass die Kontaktdaten von Personen, die dir kein Opt-in gegeben haben, an den Messenger-Dienst übermittelt werden. Auf diese Weise kannst du natürlich nicht WhatsApp Business DSGVO-konform nutzen.
Aber du kannst 2 Maßnahmen ergreifen. Zum einen macht es Sinn, ein Diensthandy ausschließlich für die Nutzung von WhatsApp Business einzurichten. Auf diesem kannst du dann nur die Kontakte speichern, die WhatsApp nutzen. Denn: Haben Nutzer:innen bereits WhatsApp installiert, heißt das im Umkehrschluss, dass sie die Nutzungsbedingungen des Messengers akzeptiert haben. Das Problem komplett umgehen kannst du übrigens mit der WhatsApp Business API: Da dies keine App ist, kommt es gar nicht erst zur automatischen Synchronisierung des Adressbuches.
WhatsApp Business DSGVO-konform nutzen: Im Zweifel zum Profi
Zugegeben, die Datenschutz-Grundverordnung ist komplex. Dementsprechend gibt es auf die Frage, ob du zu 100 % mit WhatsApp Business DSGVO-konform arbeiten kannst, keine pauschale Antwort. Die gute Nachricht: Du selbst kannst beeinflussen, wie datenschutzkonform dein Einsatz der WhatsApp-Anwendung für Unternehmen ist! Was klar ist: Die WhatsApp Business API ist aktuell die sicherste der drei WhatsApp Lösungen, da es sich dabei um keine von WhatsApp gestellte App handelt.
Wenn du den privaten WhatsApp Messenger nicht gewerblich nutzt und unsere Hinweise beherzigst, solltest du auf der sicheren Seite sein. Falls du dennoch Fragen dazu hast, wie du WhatsApp Business DSGVO-konform einsetzen kannst, raten wir dir, einen Datenschutzprofi zu Rate zu ziehen.
