Nutzung von WhatsApp im Unternehmenskontext
WhatsApp ist auf fast jedem Handy installiert und macht es somit zum schnellen und einfachen Mittel, um Informationen im Kollegium oder Nachrichten an (potenzielle) Kundenkontakte zu senden.
Dazu hat WhatsApp die Möglichkeit eingeführt, Unternehmensaccounts anzulegen. Doch wodurch unterscheidensich WhatsApp und WhatsApp Business und ist WhatsApp ein geeignetes Tool zur internen und externen Unternehmenskommunikation?
WhatsApp (Messenger)
Datenschutzrechtliche Probleme
WhatsApp ist Teil des Meta-Konzerns und verarbeitet bei jeder Kommunikationshandlung sogenannte Metadaten, welche unverschlüsselt an WhatsApp übermittelt werden.
Hierzu zählen neben der Telefonnummer auch diverse weitere Informationen wie Geräteinformationen, Art und Häufigkeit der Nutzung, IP-Adresse oder neuerdings auch die Facebook Messenger-ID (bei gleichzeitiger Installation des Facebook Messengers). WhatsApp kann somit jederzeit nachvollziehen, wer mit wem von welchem Standort über welches Endgerät wie lange kommuniziert hat. Diese Metastellen sind dabei unstrittig von der DSGVO erfasst, da zumindest mittelbar mittels Zuordnung zu einer Kennung ein Rückschluss zu einer natürlichen Person möglich ist (vgl. Art. 4 Nr. 1 DSGVO). Trotz Verschlüsselung der Inhaltsdaten werden somit zahlreiche personenbezogene Informationen an WhatsApp bzw. Meta übermittelt.
Die meisten der Nutzer verwenden WhatsApp zur Kommunikation mit Freunden oder der Familie. Diese rein private Nutzung fällt schon nicht in den sachlichen Anwendungsbereich der DSGVO (Art. 2 Abs. 2 lit. c DSGVO). Anders sieht es aus, wenn in einem Unternehmen Angestellte untereinander oder mit Kunden über den Messenger-Dienst kommunizieren. Aus Unternehmenssicht müssen die Vorgaben der DSGVO somit beachtet werden.
Durch die Verarbeitung personenbezogener Metadaten ergeben sich eine Reihe datenschutzrechtlicher Herausforderungen. Im Datenschutzrecht dürfen personenbezogene Daten nur aufgrund einer Rechtsgrundlage oder informierten Einwilligung verarbeitet oder auch an Dritte übermittelt werden. In Bezug auf die Kommunikation mit Kunden, zum Beispiel zwecks Terminabsprache oder Projektkommunikation, fehlt es in aller Regel an den erforderlichen Rechtsgrundlagen bzw. Einwilligungen der Kunden.
Fazit
Der herkömmliche WhatsApp Messenger ist sowohl für die interne Kommunikation im Unternehmen als auch extern mit Kunden aus Datenschutzsicht ungeeignet. Dies wird durch die Unterscheidung von WhatsApp und WhatsApp Business durch den Anbieter selbst zusätzlich deutlich: Jegliche Kommunikation im Unternehmenskontext sollte über den eigens hierfür eingerichteten Dienst erfolgen.
WhatsApp Business
Mit WhatsApp Business wurde im Jahr 2018 ein eigener Dienst für Unternehmen geschaffen, der die Kommunikation mit Kunden per Chat erleichtern soll. Im Gegensatz zur privaten Version, bietet diese Version verschiedene Vorteile für Unternehmen.
Vertag zur Auftragsverarbeitung
Im Gegensatz zur herkömmlichen Version bietet WhatsApp Business einen Vertrag zur Auftragsverarbeitung für Unternehmen an. Dieser wird bereits im Rahmen der Installation über die allgemeine Dienstvereinbarung mit vereinbart. Der Vertrag selbst enthält zwar die wesentlichen Inhalte, leider fehlt es hier an konkreten Angaben zu weiteren Unterauftragnehmern, was gemäß Art. 28 Abs. 3 DSGVO erforderlich ist. Auch wenn hierzu aktuell noch kein Verfahren seitens der Aufsichtsbehörden bekannt ist, besteht hier dennoch ein gewisses Risiko. Es ist aber schon einmal ein Fortschritt, dass WhatsApp mit diesem Vertrag die Verantwortlichkeit der Daten beim nutzenden Unternehmen belässt und eine eigene Nutzung (zumindest auf dem Papier) ausschließt.
Impressumspflicht
Als sogenannte Diensteanbieter sind Unternehmen dazu verpflichtet, bestimmte Pflichtangaben für Ihre Kunden bereitzuhalten. Diese Impressumspflicht ergibt sich aus § 5 TMG, ist regelmäßig auf Websites anzuwenden, muss aber auch im Rahmen eines WhatsApp-Accounts beachtet werden. Bei WhatsApp Business besteht die Möglichkeit im Rahmen der Unternehmensbeschreibung, diese Pflicht zu erfüllen. Da WhatsApp hierzu kein eigenes Datenfeld enthält, empfiehlt sich eine Verlinkung auf das bestehende Impressum der Website. Wichtig ist dabei, dass der Link „sprechend“ dargestellt wird, was bedeutet, dass Nutzer direkt erkennen müssen, wohin sie der Link führt.
Datenschutzhinweise
Ein weiteres Erfordernis sind die datenschutzrechtlichen Informationspflichten gemäß der Artikel 13 und 14 DSGVO. Sofern Sie als Unternehmen Daten von Betroffenen verarbeiten, müssen Sie diese im Rahmen einer Datenschutzerklärung über den Zweck der Verarbeitung sowie weiterer Pflichtangaben informieren.
Über WhatsApp Business können Unternehmen automatisierte Nachrichten erstellen, die bei der ersten Kontaktaufnahme eines Kunden durch das System verschickt werden. Da die Datenschutzhinweise unmittelbar nach Speicherung mitgeteilt werden müssen, kann die automatische Nachrichtenfunktion für diese Hinweispflichten der DSGVO genutzt werden. Aus Gründen der Übersichtlichkeit bietet sich auch hier eine Verlinkung auf die (um WhatsApp ergänzten) Datenschutzhinweise Ihrer Website an.
Mögliche Nutzungen von WhatsApp Business in Unternehmen
WhatsApp Business ist allein für die Kommunikation zwischen Unternehmen und ihren Kunden konzipiert. Über diesen Dienst lassen sich so beispielsweise der Kundensupport oder auch erste Kontaktanfragen steuern. Wichtig ist dabei, dass die erste Kontaktaufnahme durch den Kunden erfolgen sollte. Andernfalls ist es schwierig die Betroffenen über die Pflichtangaben zum Datenschutz entsprechend zu informieren.
WhatsApp Business sollte zudem auf der IT-Infrastruktur (z.B. dienstliches Smartphones) des Unternehmens laufen, um etwaige Datenverluste (z.B. durch Backups der Mitarbeiter) auszuschließen. Auch wenn der vorliegende AV-Vertrag die eigenständige Nutzung durch WhatsApp grundsätzlich ausschließt, empfehlen wir dennoch den allgemeinen Zugriff auf das bestehende Adressbuch zu unterbinden. Auf diese Weise werden auch nur diejenigen Daten übermittelt, die für konkrete Kommunikationshandlung erforderlich sind.
Wofür kann ich WhatsApp Business nicht verwenden?
WhatsApp Business ist nicht für die interne Kommunikation in Unternehmen konzipiert und sollte daher auch nicht für diesen Zweck verwendet werden. Da die betroffenen Mitarbeiter:innen auch bei WhatsApp Business über ihre privaten Accounts kommunizieren müssten, besteht weiterhin das Problem der Datenhoheit, denn Sie haben keinen Einfluss auf das Backup der privaten Mitarbeitergeräte. WhatsApp Business ist demnach kein Ersatz für interne Absprachen über E-Mails. Hierzu müssten alternative Anbieter wie Slack, Microsoft Teams oder auch intern gehostete Chat-Clients in Betracht gezogen werden.
Fazit zu WhatsApp Business
Mit WhatsApp Business können grundsätzlich die formellen Voraussetzungen nach der DSGVO und dem TMG eingehalten werden. Zudem bietet WhatsApp für Unternehmen einen Vertrag zur Auftragsverarbeitung an, der aus unserer Sicht aber bislang nicht alle Voraussetzungen des Art. 28 DSGVO erfüllt. Wenn Sie als Unternehmen einen zusätzlichen Kommunikationskanal mit Kunden suchen, bietet WhatsApp Business hierzu eine mögliche Alternative. Ein Ersatz für die interne Kommunikation via E-Mail lässt sich über den Dienst aber weiterhin nicht bewerkstelligen.
