Der Messenger-Dienst WhatsApp bietet Unternehmen vielfältige Möglichkeiten, mit ihren Kund:innen in Kontakt zu treten. Die Business-Version der bekannten App erlaubt es dir, deinen Kund:innen Produkte zu empfehlen, Transaktionsnachrichten zu schicken und Fragen zu beantworten. Dazu kommt, dass WhatsApp von knapp 87% der Deutschen regelmäßig genutzt wird. Kein Wunder, dass sich WhatsApp als Marketing-Kanal hoher Beliebtheit erfreut.
Alles schön und gut – aber ist WhatsApp überhaupt mit der europäischen Datenschutz-Grundverordnung (DSGVO) vereinbar? Für Unternehmen ist das eine wichtige Frage, die es zu klären gilt, um rechtlich auf der sicheren Seite zu sein. In unserem Artikel erfährst du, was es bei der gewerblichen Nutzung des Messengers zu beachten gilt und wie du WhatsApp Business DSGVO-konform nutzen kannst.
Inhaltsverzeichnis
Was ist die DSGVO und warum ist sie wichtig?
Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, die die Verarbeitung von personenbezogenen Daten regelt. Sie ist am 25. Mai 2018 in Kraft getreten und gilt in der gesamten EU, also auch in Deutschland.
Unternehmen, die personenbezogene Daten von EU-Bürger:innen verarbeiten, müssen sich an die DSGVO halten – ansonsten drohen hohe Bußgelder. Kurz gesagt: Wenn du der DSGVO Folge leistest, bist du rechtlich auf der sicheren Seite. Außerdem genießt du ein höheres Kundenvertrauen als solche Unternehmen, die sich nicht oder nicht vollständig an geltendes Datenschutzrecht halten.
Auch beim Versand von E-Mails spielen DSGVO und Datenschutz eine Rolle. In diesem Artikel erfährst du, was du zu dem Thema wissen musst.
WhatsApp Business trifft DSGVO: Was Unternehmen wissen sollten
Wenn du mit deinen Kund:innen über WhatsApp kommunizierst, verarbeitest du deren personenbezogene Daten. Das sind Daten, die einer Person zugeordnet werden können – also Informationen wie Telefonnummer, Geburtsdatum oder Adresse. Deshalb bist du in der Pflicht, verantwortungsbewusst mit diesen Daten umzugehen. Aber das ist noch nicht alles. Wenn du und deine Kund:innen WhatsApp nutzen, dann werden zwangsläufig Metadaten erhoben. Dazu gehören:
- die Telefonnummer
- IP-Adresse
- Geräteinformationen
- Standort
- Nutzungsverhalten, zum Beispiel Häufigkeit
Diese Daten werden wiederum an WhatsApp beziehungsweise den Mutterkonzern Meta (ehemals Facebook) gesendet.
Wichtig ist an dieser Stelle die Unterscheidung zwischen Nachrichteninhalten und Metadaten. Während Metadaten von WhatsApp eingesehen werden können, garantiert dir die sogenannte Ende-zu-Ende-Verschlüsselung, dass niemand – auch nicht WhatsApp selbst – Informationen aus deinen Chats einsehen kann.
WhatsApp, WhatsApp Business und WhatsApp Business API im DSGVO-Check
So viel vorab: Ob deine Nutzung von WhatsApp DSGVO-konform ist oder nicht, hängt davon ab, welche Anwendung du nutzt. Denn es gibt nicht nur das eine WhatsApp, das viele Privatpersonen auf ihren Smartphones installiert haben. Neben der bekannten App für den Privatgebrauch bietet der US-Konzern zwei weitere, auf die gewerbliche Nutzung ausgelegte Lösungen an: die WhatsApp Business App und die WhatsApp Business API (kürzlich umbenannt in WhatsApp Business Platform).
Wir erklären, wie sich die drei Anwendungen voneinander unterscheiden, und wie es um die DSGVO-Konformität der jeweiligen Lösung steht.
WhatsApp für den privaten Gebrauch: Für Unternehmen gänzlich ungeeignet
Diese Anwendung dürfte den meisten von euch bekannt sein – immerhin ist WhatsApp in Deutschland die beliebteste Messaging App. Genutzt wird die Anwendung vor allem zum Versenden von Text- und Sprachnachrichten, Fotos und Videos unter Freunden und Verwandten.
Wenn du über die private WhatsApp-Anwendung mit deinen Kund:innen in Kontakt treten willst, erwarten dich nicht nur datenschutzrechtliche Probleme. Im Dezember 2019 hat das US-Unternehmen den Versand von Marketing-Nachrichten über die private App nämlich ganz verboten.
Der WhatsApp Newsletter feiert sein Comeback, und zwar in Form eines neuen Features, das Brevo-Nutzer:innen zur Verfügung steht!
Zudem synchronisiert die Anwendung automatisch Kontakte, die du auf deinem Telefon gespeichert hast, mit WhatsApp. Entsprechend können Daten von allen Kund:innen, die in deinem Adressbuch stehen, an WhatsApp übertragen werden – auch, wenn diese dem nicht zugestimmt haben. Eine solche Zustimmung ist laut DSGVO jedoch ein Muss.
Die automatische Synchronisierung kann umgangen werden – wie, das zeigen wir dir im Laufe des Artikels. Da jegliche Marketing-Aktivitäten über die private App jedoch von WhatsApp verboten wurden, lautet unser Fazit: Nutze das normale WhatsApp nicht für gewerbliche Zwecke – DSGVO hin oder her.
WhatsApp Business: Eingeschränkt DSGVO-konform
WhatsApp Business ist eine Anwendung, die der normalen App für Privatnutzer:innen stark ähnelt. Das besondere: Die Kommunikation zwischen Unternehmen und Kund:innen ist hier ausdrücklich erlaubt. Über WhatsApp Business lassen sich Marketing-Kampagnen ausspielen, Transaktionsnachrichten versenden und Fragen an den Kundenservice beantworten.
Die App richtet sich vorwiegen an kleine Unternehmen. Diese können sich auf der Plattform einen Unternehmens-Account einrichten und anschließend über die WhatsApp-Web-Anwendung oder ein mobiles Endgerät mit einzelnen Kund:innen chatten.
Quelle: WhatsApp
Was die DSGVO angeht, hat WhatsApp Business einen weiteren, entscheidenden Vorteil gegenüber dem Standard-WhatsApp: Die Lösung erlaubt es dir, einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit dem US-Unternehmen abzuschließen. Denn WhatsApp verarbeitet die Daten deiner Kund:innen ja im Auftrag deines Unternehmens. Dass WhatsApp dies nicht etwa für eigene Zwecke tut, garantiert dir der AV-Vertrag. Er versichert dir außerdem, dass all dies datenschutzkonform geschieht.
Das Problem der automatischen Synchronisation der Smartphone-Kontakte bleibt jedoch weiter bestehen. Auch die automatische Backup-Funktion der App sollte kritisch betrachtet werden: Ist diese eingeschaltet, werden Chat-Verläufe von deinem Smartphone unverschlüsselt in der Google oder Apple Cloud gespeichert, um bei Bedarf WhatsApp Chats wiederherstellen zu können. Das heißt im Umkehrschluss aber auch: Theoretisch könnten Unbefugte auf die Chat-Verläufe mit deinen Kund:innen zugreifen.
Sowohl die Synchronisierung des Adressbuchs als auch die automatische Erstellung von Backups solltest du deaktivieren, wenn du nicht gegen die DSGVO verstoßen willst.
In diesem Artikel erfährst du, wie du in nur wenigen Schritten WhatsApp Business einrichtest.
WhatsApp Business API: Die datenschutztechnisch sicherste Lösung
Die WhatsApp Business API ist eine technische Schnittstelle, die es dir erlaubt, deinen Unternehmens-Account mit einem Marketing Tool wie Brevo (ehemals Sendinblue) zu verbinden. Einfach gesagt übernimmt dieses Tool für dich den Versand von WhatsApp-Nachrichten an deine Kund:innen. Du benötigst dafür dann keine App mehr auf deinem Smartphone. Stattdessen können beliebig viele deiner Kundendienst-Mitarbeiter:innen vom Computer aus mit deinen Kund:innen kommunizieren. Ein WhatsApp-Business-Profil brauchst du dennoch.
In unserem WhatsApp Guide für Unternehmen erfährst du alles, was du zur gewerblichen Nutzung des Messengers wissen solltest.
Die WhatsApp Business API bietet Marketers nicht nur viel mehr Funktionen als die Business App, zum Beispiel den Versand von Massennachrichten – sie ist auch die datenschutztechnisch beste aller drei WhatsApp-Lösungen.
Das hat vor allem damit zu tun, dass die WhatsApp Business API keine App ist.
Personenbezogene Daten deiner Kund:innen werden nicht von WhatsApp, sondern von einem Drittanbieter – dem sogenannten Business Solution Provider – deiner Wahl gespeichert. Den AV-Vertrag schließt du folglich nicht mit WhatsApp, sondern mit einem von dir gewählten Anbieter ab. Das bringt einen entscheidenden Vorteil: Du kannst dich für denjenigen Anbieter entscheiden, der deine Datenschutzansprüche am besten erfüllt – zum Beispiel für einen Provider, dessen Serverstandort sich in der EU befindet.
Brevo erfüllt diese Anforderung und bietet seinen Kund:innen Zugang zur WhatsApp Business API!
So nutzt du WhatsApp Business DSGVO-konform: 4 Kriterien, die du erfüllen solltest
WhatsApp stellt für immer mehr Unternehmen einen wichtigen Kommunikationskanal dar. Schließlich hält sich ein Großteil der Deutschen täglich auf der Plattform auf. Viele Menschen wünschen sich sogar explizit, mit Unternehmen auf die gleiche Art und Weise zu kommunizieren, wie mit Freund:innen – und was läge da näher als der schnelle Chat per WhatsApp!
Unsicherheiten über die DSGVO-Konformität von WhatsApp Business sollten dich also nicht davon abhalten, den Messenger zu Marketing- und Service-Zwecken zu verwenden. Unsere 4 Tipps helfen dabei, dir die DSGVO-konforme Nutzung von WhatsApp zu erleichtern.
1. Füge deinem WhatsApp-Business-Profil ein Impressum hinzu
Genauso wie deine Website benötigt auch dein WhatsApp Unternehmens-Account ein Impressum. Das kannst du ganz einfach beim Erstellen deines Unternehmensprofils auf WhatsApp Business erledigen, zum Beispiel, indem du auf das Impressum deiner Website verlinkst.
2. Hol dir das Einverständnis deiner Kund:innen
Laut DSGVO müssen Nutzer:innen ihre Einwilligung geben, bevor du als Unternehmen diese kontaktieren kannst. Das gilt auch, wenn du Kundenkommunikation über WhatsApp Marketing betreiben willst. Dieses sogenannte Opt-in kannst du beispielsweise über ein Formular auf deiner Website einholen. Frag deine Kund:innen darin, ob sie von dir über WhatsApp kontaktiert werden möchten, und bitte sie anschließend, ihre Mobilfunknummer einzugeben. Damit gehst du sicher, dass deine Kund:innen auch wirklich den Kontakt über WhatsApp wünschen.
Wichtig ist hierbei, dass deine Kund:innen ihr ausdrückliches Einverständnis geben, speziell über WhatsApp kontaktiert zu werden. Selbst wenn du bereits die Handynummer deiner Kund:innen hast, musst du sicherstellen, dass diese mit der Kontaktaufnahme über den Messenger-Dienst einverstanden sind.
Am besten ist es hier, wie auch beim Newsletter-Versand, wenn du deine Kund:innen ein Double-Opt-in durchführen lässt. Darunter versteht man einen Anmeldeprozess in zwei Schritten. Für WhatsApp Business könnte dies so aussehen: Nachdem deine Kund:innen auf einem Formular auf deiner Website ihre Telefonnummer angegeben haben, bekommen sie die Nummer deines Unternehmens mitgeteilt. Anschließend kannst du deine Kund:innen bitten, dieser Nummer per WhatsApp eine Nachricht zu schreiben, um den Opt-in-Prozess abzuschließen.
3. Kläre deine Kund:innen über die Verarbeitung ihrer Daten auf
Seit dem Ende des EU-US Privacy Shields gibt es keine einheitliche Vorgaben mehr dazu, wie personenbezogene Daten von EU-Bürger:innen DSGVO-konform in die USA vermittelt werden können. Deshalb gilt: Aufklärung ist das A und O. Du solltest deine Kund:innen wissen lassen, dass und vor allem zu welchen Zwecken ihre Daten verarbeitet werden.
Zwar haben Personen, die einen WhatsApp Account besitzen, den Nutzungsbedingungen des Messengers bereits zugestimmt. Dennoch kann es nicht schaden, deine Kund:innen nochmals darauf hinzuweisen. Zum Beispiel kannst du ihnen zu Beginn der WhatsApp-Unterhaltung die Datenschutzrichtlinien des Messengers beziehungsweise einen Link dazu schicken. Das schafft Transparenz.
4. Füge deinem Adressbuch nur WhatsApp-Kontakte hinzu
Wie bereits beschrieben, scannt WhatsApp dein Adressbuch automatisch nach Kontakten, die WhatsApp auf ihren Geräten installiert haben. So kann es schnell passieren, dass die Kontaktdaten von Personen, die dir kein Opt-in gegeben haben, an den Messenger-Dienst übermittelt werden. Das ist natürlich nicht datenschutzkonform.
Um das zu vermeiden, kannst du zwei Maßnahmen ergreifen. Zum einen macht es Sinn, ein Diensthandy ausschließlich für die Nutzung von WhatsApp Business einzurichten. Auf diesem kannst du dann nur die Kontakte speichern, die WhatsApp nutzen. Denn: Haben Nutzer:innen bereits WhatsApp installiert, heißt das im Umkehrschluss, dass sie die Nutzungsbedingungen des Messengers akzeptiert haben. Das Problem komplett umgehen kannst du übrigens mit der WhatsApp Business API: Da dies keine App ist, kommt es gar nicht erst zur automatischen Synchronisierung des Adressbuches.
Fazit: Sind WhatsApp Business und die DSGVO vereinbar?
Zugegeben, die Datenschutz-Grundverordnung ist komplex. Dementsprechend gibt es auf die Frage, ob WhatsApp Business zu 100% DSGVO-konform ist, keine pauschale Antwort. Die gute Nachricht: Du selbst kannst beeinflussen, wie datenschutzkonform dein Einsatz der WhatsApp-Anwendung für Unternehmen ist! Was klar ist: Die WhatsApp Business API ist aktuell die datenschutztechnisch sicherste der drei WhatsApp Lösungen, da es sich dabei um keine von WhatsApp gestellt App handelt.
Wenn du von der gewerblichen Nutzung der privaten WhatsApp-Anwendung absiehst und unsere Hinweise beherzigst, solltest du auf der sicheren Seite sein. Wenn du dennoch Zweifel hast, ob die Art und Weise, wie du WhatsApp Business nutzt, 100% DSGVO-konform ist, raten wir dir, einen Datenschutzprofi zu Rate zu ziehen.
P.S.: WhatsApp Marketing ist für dich noch Neuland? Dann wirf doch einmal einen Blick in unseren WhatsApp Business Guide für Einsteiger:innen.
