Da wir in unserer Beratungspraxis immer wieder Fragen zur Verwendung von WhatsApp beantworten, haben wir im Folgenden die wichtigsten Fakten zusammengetragen.
Worum geht es?
WhatsApp wird, neben anderen Messagingsystemen wie Teams, Slack oder Viber, regelmäßig in Unternehmen als Kommunikationskanal eingesetzt. In den überwiegenden Fällen müssen wir unsere Mandanten dahingehend beraten, die Nutzung umgehend einzustellen. Das stößt oft auf Unverständnis im Unternehmen, denn augenscheinlich kann man die Nutzung doch rechtfertigen. Die häufigsten Argumente dabei sind:
„Aber die Kommunikation ist doch Ende-zu-Ende verschlüsselt!“
„Alle, die WhatsApp nutzen, haben es doch selbst installiert!“
„Wir versenden nur allgemeine Infos und keine personenbezogene Daten!“
Alle diese Argumente helfen aber nicht bei der datenschutzrechtlichen Betrachtung und der Rechtfertigung des Einsatzes. Wir raten dringend davon ab, WhatsApp im Unternehmen einzusetzen. Im Folgenden Schritt für Schritt begründet:
Was bietet WhatsApp für Dienste an?
WhatsApp bietet sowohl einen Messenger für Privatkunden als auch einen Messenger für Unternehmen an. Wir bewerten beide Produkte im Hinblick auf die Nutzung in Unternehmen.
Das klassische WhatsApp ist ein Messenger für Privatkunden und hat sich in den letzten Jahren zum Quasi-Standard für Kurznachrichten entwickelt. Die Nutzung der herkömmlichen SMS wurde durch WhatsApp fast völlig verdrängt. Im Jahr 2023 hatte WhatsApp monatlich ca. 3 Milliarden aktive Anwender, in Deutschland ist WhatsApp auf ca. 80 Prozent der Smartphones installiert.
Für gewerbliche Nutzer bietet WhatsApp außerdem den Dienst WhatsApp Business an. Dieser Service zielt auf kleine und mittlere Unternehmen ab und soll eine einfache Lösung bieten, um mit ihren Kunden zu kommunizieren. Der Fokus liegt auf automatisierten Antworten und der Abwicklung von Serviceanfragen, das System bietet aber auch die klassische Messaging- und Chatfunktion der Privatversion. Circa 200 Millionen Unternehmen weltweit nutzen diesen Dienst laut Angaben des Betreibers, er bietet neben der klassischen Smartphone-App auch eine Schnittstelle für CRM-Systeme, die als API zur Verfügung gestellt wird.
Wie stelle sich die Verwendung von WhatsApp im betrieblichen Umfeld dar?
Die Nutzung von WhatsApp ist auch in Unternehmen zu einer üblichen Kommunikationsform geworden. Allerdings sind wir Datenschützer immer wieder Mahner und Spielverderber, denn Unternehmen müssen, bei betrieblicher Nutzung von WhatsApp, die Vorgaben der Datenschutzgesetzgebung beachten, wenn die Nutzung betrieblich veranlasst ist und der Messenger somit zur Organisation betrieblicher Angelegenheiten genutzt wird. Sobald der Zweck der Nutzung dem Unternehmen zugeordnet werden kann, muss die Rechtmäßigkeit geprüft werden. Bereits einfache interne Prozesse wie die Kommunikation mit Beschäftigten, sei es zur Urlaubsplanung, zu Dienstplänen, Kundenprojekten oder der Planung eines Afterwork-Events, eröffnet den Anwendungsbereich der DSGVO oder des BDSG.
Die Datenschutz-Aufsichtsbehörde in Nordrhein-Westfalen hat in ihrem Jahresbericht (25. Datenschutzbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, S. 51-52) z.B. die Übermittlung von Krankmeldungen in einem Unternehmen per WhatsApp auseinandergesetzt und sie als unzulässig eingestuft. Damit ist eine klare Linie der deutschan Aufsichtsbehörden erkennbar, da auch andere Landesbehörden zu gleicehn Ergebnissen in anderen Beispielen kamen. Auch die Kommunikation mit Kunden, sei es zur Vereinbarung von Projekten, Meetings oder zur Übermittlung von Unterlagen, ist demnach eine geschäftliche Nutzung. Dabei ist es datenschutzrechtlich völlig irrelevant, dass die meisten Kunden WhatsApp ohnehin bereits als privaten Messenger nutzen.
Anders verhält es sich, wenn Beschäftigte WhatsApp ohne betriebliche Veranlassung für eigene, private Zwecke verwenden. Denn dann ist die DSGVO in der Regel nicht anwendbar, solange die betriebliche Nutzung sicher ausgeschlossen werden kann. Das Datenschutzrecht findet keine Anwendung, wenn personenbezogene Daten von natürlichen Personen ausschließlich zu persönlichen Zwecken verarbeitet werden. Zum Beispiel ist die Organisation von Kinderspielgruppen, Geburtstagsfeiern oder Familienfeiern in der Regel unproblematisch und damit aus Unternehmenssicht datenschutzrechtlich nicht relevant. Unabhängig davon können allerdings arbeitsrechtliche Bestimmungen einer solchen privaten Nutzung im Unternehmen und während der Arbeitszeit entgegenstehen, was wir hier jedoch nicht weiter betrachten.
Erstes Zwischenfazit:
Sobald WhatsApp der betrieblichen Kommunikation dient und von der Geschäftsführung genehmigt ist oder zumindest gebilligt wird, ist der Anwendungsbereich der DSGVO eröffnet. Beginnen wir also mit den Datenschutzüberlegungen zur Verwendung von WhatsApp in der geschäftlichen Kommunikation:
Was ist also das Problem an WhatsApp?
Verschlüsselung bei WhatsApp: Ein trügerisches Sicherheitsgefühl
Es ist eine weit verbreitete Ansicht unter unseren Mandanten, dass die Ende-zu-Ende-Verschlüsselung von WhatsApp eine sichere Plattform für den Austausch personenbezogener Daten darstellt, da keine personenbezogenen Daten an externe Parteien weitergegeben würden. Diese Annahme ist jedoch irreführend. Die Verschlüsselung schützt zwar die Inhalte der Nachrichten, jedoch nicht die umfangreichen Metadaten, die bei jeder Kommunikation erfasst und an WhatsApp übermittelt werden. Diese Metadaten beinhalten unter anderem Telefonnummern, Gerätedetails, Nutzungshäufigkeit und -art, IP-Adressen und bei gleichzeitiger Nutzung des Facebook Messengers auch die Facebook Messenger ID. Diese Informationen erlauben es WhatsApp, detaillierte Analysen darüber anzustellen, wer, wann, wo und wie lange kommuniziert. Da diese Daten personenbezogen sein können, wie in Artikel 4 Nr. 1 der DSGVO definiert, wird somit der Anwendungsbereich der DSGVO eindeutig eröffnet.
Herausforderungen im Umgang mit personenbezogenen Metadaten
Die Verarbeitung dieser Daten wirft eine Vielzahl von datenschutzrechtlichen Fragen auf, da personenbezogene Daten nur auf Basis einer rechtlichen Erlaubnis oder der ausdrücklichen Zustimmung der betroffenen Person verarbeitet und weitergegeben werden dürfen.
Problem 1: Kontaktdaten-Upload
Ein besonderes Problem stellt der fortlaufende Upload von Adressbüchern der Nutzer zu WhatsApp dar. Diese Daten werden auf Servern in den USA gespeichert und ermöglichen es WhatsApp, zu erkennen, wer potenziell erreichbar ist. Anders als Dienste wie Threema, speichert WhatsApp diese Informationen unverschlüsselt. Das Problem verschärft sich dadurch, dass nicht alle Kontakte im Adressbuch eines Nutzers auch WhatsApp-Benutzer sein müssen, was den Upload ohne deren Zustimmung besonders problematisch macht. In der Regel fehlt die rechtliche Grundlage für solch eine Datenübermittlung, was sie zu einem Hauptkritikpunkt von Datenschutzbehörden macht. Mögliche Rechtsgrundlagen wären entweder eine vertragliche Regelung mit allen (!) Betroffenen aus dem Adressbuch, egal ob sie WhatsApp nutzen oder nicht, oder eine Abwägung nach Art. 6 Abs. 1 lit. f) DSGVO, also dem berechtigten Interesse des Unternehmens. Das berechtige Interesse kann jedoch nur geltend gemacht werden, wenn jeder Kontakt auch WhatsApp nutzt, ansonsten überwiegt immer das Interesse des Betroffenen bereits durch die Übertragung der Daten in ein unsicheres Drittland, namentlich den USA.
Problem 2: Nutzung von Metadaten durch WhatsApp
Die Nutzung der Metadaten durch WhatsApp selbst stellt ein weiteres Problem dar, denn es fehlt auch hierfür eine Rechtsgrundlage. Normalerweise könnte dies durch einen Auftragsverarbeitungsvertrag im Sinne des Artikels 28 DSGVO geregelt werden, der die Weitergabe und Nutzung dieser Daten reguliert. WhatsApp bietet jedoch solche Verträge für Unternehmenskunden nicht an, da WhatsApp zum einen ausschließlich für den Privatgebrauch konzipiert ist und für die Privatnutzung die Regelungen zur Auftragsverarbeitung nicht einschlägig sind, zum anderen gehört es zum Geschäftsmodell von Meta, die Daten selbst zu nutzen, oft auch für Werbezwecke.
Problem 3: Unverschlüsselte Backups
Auch die Praxis der unverschlüsselten Backups ist problematisch. Obwohl die Nachrichteninhalte beim Transport Ende-zu-Ende verschlüsselt sind, werden Backups regelmäßig ohne diese Verschlüsselung gespeichert. Damit ist gemeint, dass (anders als beim Transport) die Daten auf dem Telefon des Nutzers unverschlüsselt abgelegt werden und bei aktivierter Backupfunktion des Telefons (nicht WhatsApp) auf den Servern von Apple (iCloud) oder Google abgelegt werden. Damit werden die Daten, sofern sie denn geschäftlich genutzt werden, an einen Dritten übergeben, mit dem zur Absicherung, wie oben beschrieben, ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 2 DSGVO abgeschlossen werden müsste. Vor allem Apple bietet für iCloud keinen Auftragsverarbeitungsvertrag an, da die Nutzung der Plattform gemäß der Nutzungsbedingungen ausschließlich für private Zwecke vorgesehen ist. Also ein Teufelskreis.
Fazit zu WhatsApp
Aus den vorher genannten Gründen ist WhatsApp für die interne wie externe Kommunikation von Unternehmen äußerst problematisch. Es mangelt in der Regel an den notwendigen Rechtsgrundlagen in Form einer Erlaubnis oder Einwilligung. Außerdem untersagt WhatsApp selbst in den Nutzungsbedingungen verbietet WhatsApp in seinen Nutzungsbedingungen explizit die nicht-private Nutzung und überträgt darüber hinaus die Verantwortung für die Rechtmäßigkeit des Hochladens des Adressbuches an den Nutzer.
Wir raten daher dringend von der Nutzung von WhatsApp im betrieblichen Umfeld ab. Nutzen Sie stattdessen Dienste, die für diesen Zweck vorgesehen und geeignet sind. Wir beraten Sie gerne.
WhatsApp Business als Alternative?
Mit der Einführung von WhatsApp Business in 2018 versucht der Meta, einige der vorher genannten Probleme anzugehen. Diese Version bietet speziell für Unternehmen Funktionen an, die eine datenschutzkonforme Kommunikation ermöglichen sollen.
So zum Beispiel ein Auftragsverarbeitungsvertrag: WhatsApp Business ermöglicht den Abschluss solcher Verträge bereits bei Installation der Software, die jedoch nicht immer vollständig den Anforderungen des Artikels 28 Abs. 3 DSGVO entsprechen. So wird zum Beispiel weitere Unterauftragsverarbeiter nicht genannt, ob wohl WhatsApp Daten explizit an andere Unternehmen im Meta Konzern weitergeben. Daher ist auch die implizite Zusicherung als Grund für einen AVV, dass der Auftraggeber einziger Verantwortlicher für die Verarbeitung der Daten ist, nicht einwandfrei. Es besteht daher ein unklares Risiko bei der Nutzung dieser Verträge.
Außerdem bietet WhatsApp Business die Möglichkeit der automatischen Information der Teilnehmer bei der ersten Kontaktaufnahme. Grundsätzlich eher für eine Willkommensmail gedacht, lässt sich hier datenschutzrechtskonform eine Information von Betroffenen nach Art. 13 Abs. 1 DSGVO korrekt unterbringen. Ebenso bietet WA Business auch die Möglichkeit, die Impressumspflicht nach dem Digitale-Dienste-Gesetz (DDG) zu erfüllen. Auch wenn das etwas umständlich über die Unternehmensbeschreibung erfolgen muss, kann damit die rechtliche Verpflichtung sauber erfüllt werden.
Einsatzmöglichkeiten von WhatsApp Business in Unternehmen
WhatsApp Business ist speziell für die Interaktion zwischen Unternehmen und ihren Kunden entwickelt worden. Es ermöglicht beispielsweise den Kundensupport sowie die Bearbeitung von Erstkontaktanfragen. Dabei ist es essentiell, dass der erste Kontakt stets vom Kunden ausgehen muss. Andernfalls gestaltet es sich schwierig, die betroffenen Personen angemessen über die datenschutzrechtlichen Bestimmungen zu informieren.
Außerdem sollte WhatsApp Business auf Ihrer eigenen IT-Infrastruktur, z.B. auf dienstlichen Smartphones, betrieben werden. Dadurch können potenzielle Datenschutzverstösse vermieden werden, etwa durch unverschlüsselte Backups von Mitarbeitern. Zusätzlich ist es ratsam, den Zugriff auf das Adressbuch zu beschränken, auch wenn das WhatsApp Business von sich aus bereits tun soll. Auf diese Weise werden nur die Daten übermittelt, die für die konkrete Kommunikation erforderlich sind.
WhatsApp Business wurde nicht für die interne Kommunikation innerhalb von Unternehmen entwickelt und sollte daher nicht zu diesem Zweck genutzt werden. Wenn Mitarbeiter WhatsApp Business für interne Kommunikation verwenden müssten, würden sie weiterhin ihre privaten Konten nutzen müssen, was das Problem der Datenhoheit auf den privaten Geräten der Mitarbeiter ungelöst lässt. WhatsApp Business kann daher nicht als Ersatz für interne E-Mail-Absprachen dienen.
Die Nutzung von WhatsApp Business für werbliche Ansprachen ist stark eingeschränkt, wobei der Begriff "Werbung" selbst scheinbar harmlose Nachrichten wie die jährliche Weihnachtsnachricht oder die Einladung zu einer Firmenmesse beinhaltet. Grundsätzlich darf eine Werbenachricht nur mit ausdrücklicher Einwilligung des Empfängers versendet werden. Diese Anforderung ergibt sich nicht nur aus der DSGVO, sondern auch aus § 7 des deutschen Gesetzes gegen den unlauteren Wettbewerb (UWG), der bereits seit 2009 besteht. Die Einwilligung muss klar und nachweisbar erfolgen. Daher ist es ratsam, Kunden vorab schriftlich oder im Chat um ihre Zustimmung zu werblichen Nachrichten über WhatsApp Business zu bitten. Erst nach Zustimmung des Kunden dürften Sie mit dem Versand beginnen. Dabei ist es jedoch wichtig zu beachten, dass WhatsApp den Versand von Werbenachrichten stark einschränkt und den Versand von Massenwerbenachrichten untersagt.
Fazit zu WhatsApp Business
Mit WhatsApp Business können die formalen Anforderungen der Datenschutzgrundverordnung und des Telemediengesetzes zwar grundsätzlich erfüllt werden. Für Unternehmen, die einen zusätzlichen Kommunikationskanal zu ihren Kunden suchen, bietet WhatsApp Business eine mögliche Alternative. Die interne Kommunikation per E-Mail kann der Dienst aber nach wie vor nicht ersetzen.