fbpx

Tel: +49 0711 40070720   info@barth-datenschutz.de

DSGVO-konforme Nutzung von Whatsapp im Unternehmen

Handlungsempfehlungen für den geschäftlichen Einsatz

Kostenloses Expertengespräch

Whatsapp im Job im Einklang mit der DSGVO

Wenn Sie mit Datenschutzverantwortlichen über Whatsapp sprechen, werden Sie immer die gleiche Aussage hören:

„Whatsapp kann nicht datenschutzkonform in Unternehmen eingesetzt werden.“ Diese Aussage ist korrekt. Übrigens gilt diese Aussage auch für Whatsapp Business.

Der Anbieter der App kommuniziert zwar, dass die Anwendung speziell auf die Bedürfnisse kleiner Unternehmen ausgelegt ist, das DSGVO-relevante Hauptproblem bleibt aber bestehen: Die App greift auf das Adressbuch Ihres Smartphones zu.

Nur wenn Sie dies technisch verhindern, haben Sie hier die größte Datenschutzbaustelle gelöst. Kümmern müssen Sie sich aber auch um einen Auftragsverarbeitungsvertrag, um die Datenschutzinformation für Betroffene und um den Datentransfer in die USA.

Im Alltag scheitert es regelmäßig schon daran, dass der Zugriff auf das Adressbuch gewährt wird. Denn ohne diesen Zugriff ist der Messenger lange nicht so komfortabel. Und selbst dann gibt es viele Datenschutzaktivisten, die den Dienst ablehnen. Denn Whatsapp gibt (Meta-)Daten an den Mutterkonzern in die USA weiter.

Wie Unternehmen und Vereine dennoch Whatsapp Business DSGVO-konform nutzen können, erklären wir in diesem Leitfaden.

Whatsapp Business und die DSGVO:

Nur Whatsapp Business erfüllt die Kriterien der DSGVO

Wie bereits in unserem Whitepaper zu Whatsapp (Link) beschrieben, ist der Inhalt einer Nachricht sicher durch eine Ende-zu-Ende Verschlüsselung (End-to-End-Encryption, abgekürzt E2EE) geschützt.

Das heißt, Chats, Anrufe sowie alle versendeten Medien werden am Endgerät verschlüsselt und erst am Endgerät des Empfängers wieder entschlüsselt. Während der Übertragung sind die Daten verschlüsselt. Die Ende-zu-Ende-Verschlüsselung ist bei Whatsapp Standard und kann nicht deaktiviert werden.

  • Bei Whatsapp (Zielgruppe Privatanwender) und der Whatsapp Business App (Zielgruppe: KMU) ist die Einhaltung des Datenschutzes nicht gegeben. Unabhängig vom Datenschutz erlaubt Whatsapp selbst die kommerzielle Nutzung (geschäftliche Nutzung) nur in der Businessvariante. Bei Whatsapp heißt dies „Commerce-Policy“
  • Wenn Sie Whatsapp im Unternehmen DSGVO-konform nutzen wollen müssen Sie zwingend die Whatsapp Business API nutzen. Mit dem richtigen Partnerunternehmen können Sie Whatsapp für Ihre Kundenkommunikation datenschutzkonform einsetzen.

Was ist die Whatsapp Business API?

Der Zugriff auf die Whatsapp Business API erfolgt nur über ausgewählte Whatsapp Business Solution Provider.

Alle personenbezogene Daten werden bei diesem Provider gespeichert. Datenschutzrechtlich ist der Provider ein Auftragsverarbeiter, mit dem Sie einen entsprechenden Vertrag (AV-Vertrag) abschließen müssen.

Datenschutz für kleinere und
mittlere Unternehmen:

Datenschutzrichtlinien können kompliziert sein. Firmeninhaber stellen sich die Frage, was überhaupt konkret umgesetzt werden muss. Die browserbasierte Datenschutzzentrale von Achim Barth bietet Ihnen eine Plattform, mit der Sie auf alle Informationen zum Thema Datenschutz in Ihrem Unternehmen zugreifen können.

Whatsapp und Datenschutz:

Entscheidende Probleme in Unternehmen und ihre Lösungen

Keine vertrauliche Kommunikation über Whatsapp

Datenweitergabe an Whatsapp

Datenschutzkonformer Umgang mit Kundenkontakten

Problem: Wie bereits erwähnt, versucht Whatsapp auf das Adressbuch der Nutzer zuzugreifen. Das gilt sowohl für die private Nutzung von Whatsapp als auch bei der Verwendung der Whatsapp Business App durch kleine Unternehmen.

Lösung: Unternehmen, die die die Whatsapp Business API  über einen Solution-Provider (aus Deutschland) für ihre Kundenkommunikation nutzen, benötigen keine App-Installation von Whatsapp. Wichtig: Der  Provider muss seine Software und Dienstleistung nach europäischem Recht anbieten. (AV-Vertrag, Datenschutzerklärung, Einwilligung (Opt-In) usw.).

Eine Weitergabe von Daten an Whatsapp ist ausgeschlossen.

Die Nutzung von Whatsapp ist freiwillig
Die Mitarbeiter werden darüber aufgeklärt, dass Whatsapp auch die Metadaten der Kommunikation erhält, also wer mit wem wann kommuniziert hat. Ob Mitarbeiter den Dienst unter diesen Umständen nutzen, entscheiden sie selbst.
Speichern der Kontaktdaten
Kontaktdaten aller geschäftlichen Kontakte werden in speziellen Telefonbuch-Apps gespeichert. So stellen Sie sicher, dass Whatsapp nicht auf Kontakte ohne Einwilligung zugreifen kann. Mögliche Apps sind für iOS z.B. „SecureContact“ und für Android „Whatsbox“.
  • Datenweitergabe an Whatsapp

    Problem: Wie bereits erwähnt, versucht Whatsapp auf das Adressbuch der Nutzer zuzugreifen. Das gilt sowohl für die private Nutzung als auch bei der Verwendung der Whatsapp Business App durch kleine Unternehmen.

    Lösung: Unternehmen, die die Whatsapp Business API  über einen Solution-Provider (aus Deutschland) für ihre Kundenkommunikation nutzen, benötigen keine App-Installation von Whatsapp. Wichtig: Der  Provider muss seine Software und Dienstleistung nach europäischem Recht anbieten. (AV-Vertrag, Datenschutzerklärung, Einwilligung (Opt-In) usw.)

    Eine Weitergabe von Daten an Whatsapp ist ausgeschlossen.

    💡 Tipp: Laden Sie sich jetzt das Whitepaper zur Nutzung von Whatsapp herunter.

  • Legitimation der Kundenkommunikation per Messenger

    Problem: Um mit Kunden per Messenger kommunizieren zu können, benötigen Unternehmen die Legitimation durch den Kunden, sprich dessen Einwilligung. Technisch kann dies durch ein Opt-In, also einen Haken bei der ersten Kommunikation erfolgen. Wenn der Kunde von sich aus die Kommunikation über Whatsapp beginnt müssen Sie als Verantwortlicher sicherstellen, dass der Kunde die Möglichkeit hat die Datenschutzhinweise zu lesen.

    Ein DSGVO-konformer Solution-Provider bietet Ihnen hier standardmäßige Lösungen, die bereits installiert sind.

    Daher ist es wichtig, dass Sie, bevor Sie den Dienst ausrollen, sich mit Ihrem Datenschutzbeauftragten austauschen. Dieser prüft, ob alle organisatorischen, rechtlichen und technischen Voraussetzungen erfüllt sind, um den Dienst zu nutzen.

  • Inhaltliche Kundenkommunikation per Whatsapp

    Problem: Welche personenbezogenen Daten können zwischen Unternehmen und Kunden im Rahmen der Kommunikation per Whatsapp & Co. ausgetauscht werden?

    Die DSGVO verlangt zum Beispiel für sensible Daten wie Gesundheitsdaten besonders hohe Schutzmaßnahmen.

    Lösung: Generell gibt es keine Einschränkungen, welche Daten Unternehmen und Kunden über Messenger austauschen.

    Wichtig ist nur, dass die Kunden die Möglichkeit haben, die Datenschutzhinweise zu lesen.

    💡 Tipp: Ob die Kunden diese lesen, bleibt ihnen überlassen. Sie müssen sich das also nicht bestätigen lassen. Es reicht, wenn Sie nachweisen können, dass die Information zur Verfügung stand.

    Wenn der Schwerpunkt der Kommunikation tatsächlich auf Patientendaten / Gesundheitsdaten liegt, empfehle ich dringend die Durchführung einer Datenschutzfolgenabschätzung zusammen mit dem Datenschutzbeauftragten und die saubere technische Umsetzung zum Einholen einer Einwilligung zur Nutzung der Whatsapp API für Gesundheitsdaten.

Sie haben Fragen?

Tel: 0711 / 40070720
Fax: 0711 / 40070729
info@barth-datenschutz.de

EU-U.S. Privacy Shield Abkommen: Nach einem EuGH-Urteil ist ein wichtiges Abkommen für den Datentransfer mit US-Dienstleistern gekippt.

Der Europäische Gerichtshof (EuGH) hat im Juli 2020 das Privacy-Shild gekippt. Das heißt, ein Datentransfer in die USA ist über diese Rechtsgrundlage nicht mehr möglich. Bestätigt hat das Gericht aber die sogenannten Standardvertragsklauseln. Dieser Vertrag zwischen Datenexporteur (Unternehmen) und Datenimporteur (Whatsapp) kann den Datentransfer in die USA legitimieren. Allerdings muss der Datenexporteur sicherstellen, dass beim Datenimporteur ein angemessenes Datenschutzniveau vorhanden ist. Das Unternehmen muss sich davon überzeugen, z.B. durch Garantie des Datenimporteurs.

Whatsapp hat auf das Urteil reagiert und die AGBs angepasst.

Die Aktualisierung der Whatsapp Geschäftsbedingungen für Business Services wie die Nutzung der Whatsapp Business API aufgrund des EuGH-Urteils ist erfolgt. Mit der Aktualisierung sind folgende Punkte geklärt:

  • die Details der Datenlöschpraktiken
  • der Austausch von Privacy Shield mit Standardvertragsklauseln
  • die Ergänzungen von Datensicherheitsbedingungen zur Erklärung, wie Whatsapp Daten aufbewahrt.

Der wichtigste Punkt für Unternehmen ist das Ersetzen von Privacy Shield durch Standardvertragsklauseln in den Geschäftsbedingungen, somit ist der Datentransfer in die USA legitimiert (wenn alle anderen Voraussetzungen auch zutreffen).

Exkurs

Whatsapp AGB Anpassungen 2021 – Was ist wichtig?

Anfang 2021 hat Whatsapp seine AGB aktualisiert, welche zum 15. Mai 2021 verpflichtend in Kraft treten sollten. Mit der Zustimmung gewährt der Nutzer nun u.a., dass bestimmte Daten auch mit Facebook-Unternehmen und Facebook-Dienstleistern geteilt werden können. Doch was ändert sich wirklich?

Für die private Kommunikation recht wenig. Auch wenn Medienberichte oft etwas anderes suggerieren.

Welche Daten sind von der Whatsapp AGB Änderung betroffen?

Primäres Ziel der Änderungen ist nicht, Daten an Facebook weiterzugeben, sondern die Nutzungsmöglichkeiten für Unternehmen und das Thema Shopping zu erweitern.

In einem FAQ-Beitrag erklärt Whatsapp die AGB-Änderungen und die Auswirkungen für Unternehmen:

  • Die AGB Änderungen betreffen in erster Linie das erweiterte Angebot von Whatsapp für Unternehmen. Hier soll die Änderung der Whatsapp AGB für Sicherheit sorgen. Konkret geht es um den Facebook Hosting Service, die neuen Möglichkeiten wie Shops und Warenkörbe zum Thema Conversational Commerce via Whatsapp und wie Nutzer mit Unternehmen per Whatsapp kommunizieren.
  • Die Privatsphäre und die Sicherheit deiner persönlichen Nachrichten und Anrufe ändern sich nicht. Sie sind durch Ende-zu-Ende-Verschlüsselung geschützt, weder Whatsapp noch Facebook können sie lesen bzw. anhören. Whatsapp / Facebook werden diese Sicherheit niemals schwächen oder aufweichen. Außerdem werden Whatsapp / Facebook jeden Chat kennzeichnen, um dich über unsere Selbstverpflichtung zu informieren.
Das ändert sich bei den Whatsapp AGB

Whatsapp / Facebook arbeiten daran, mehr als 175 Millionen Menschen, die jeden Tag Nachrichten mit Unternehmen austauschen, besser zu unterstützen. Bei diesen Aktualisierungen geht es um optionale Unternehmensfunktionen. Sie sind Teil unserer breiter angelegten Bestrebungen, die Kommunikation mit Unternehmen für alle sicherer, besser und einfacher zu machen. Bei den Aktualisierungen geht es unter anderem um Folgendes:

  • Kundenservice ermöglichen: Viele Kunden möchten gerne mit einem Unternehmen chatten, um Fragen zu stellen, Produkte zu kaufen oder hilfreiche Informationen wie etwa Zahlungsbelege zu erhalten. Whatsapp / Facebook möchten Chats mit Unternehmen vereinfachen, die möglicherweise Facebook-Unternehmensprodukte nutzen.
  • Ein Unternehmen entdecken:Oft werden Unternehmen auf Facebook oder Instagram über ihre Werbeanzeigen entdeckt. Diese können einen Button enthalten, über den Interessierte dem Unternehmen eine Nachricht über Whatsapp senden können. Wenn du auf solch eine Werbeanzeige klickst, kann dies, genau wie bei anderen Anzeigen auf Facebook, dazu verwendet werden, die Anzeigen, die du auf Facebook siehst, zu personalisieren.
  • Shopping-Erlebnisse:Viele Leute shoppen online, insbesondere jetzt bei den aktuellen Einschränkungen. Einige Unternehmen, die einen Shop auf Facebook oder Instagram haben, können diesen in ihr Whatsapp Unternehmensprofil einbinden. So kannst du dir die Produkte eines Unternehmens auf Facebook und Instagram ansehen und direkt in Whatsapp bei diesem Unternehmen einkaufen. Wenn du mit Shops interagieren möchtest, teilen wir dir in Whatsapp mit, wie deine Daten mit Facebook geteilt werden.

Mit der Zustimmung der neuen AGB gewährt der Nutzer nun u.a., dass gewisse Daten auch mit Facebook-Unternehmen und Facebook-Dienstleistern geteilt werden können, um Whatsapp mit anderen Produkten von Facebook-Unternehmen zu verbinden; um die Sicherheit und Integrität aller Produkte von Facebook-Unternehmen zu gewährleisten und um Werbeanzeigen- und Produkterlebnis hinsichtlich Produkten von Facebook-Unternehmen zu verbessern.

Zu den Informationen gehören zum Beispiel:

  • Informationen zur Account-Registrierung (Telefonnummer),
  • Transaktionsdaten,
  • dienstleistungsbezogene Informationen
  • Informationen darüber, wie wir mit anderen (einschließlich anderen Unternehmen) interagieren.

Diese Verarbeitung der Metadaten ist aber nicht neu und betrifft auch keine Nutzer innerhalb der EU, da hier zum einen die DSGVO gilt und zum anderen die Vereinbarung mit der EU-Kartellbehörde zur Übernahme von Whatsapp durch Facebook im Jahr 2014 eine Datenweitergabe untersagt.

Dies hat Whatsapp auch gegenüber Medien explizit bestätigt:

[…] Keine Änderungen an den Praktiken der Datenweitergabe von Whatsapp in der europäischen Region (einschließlich Großbritannien), die sich aus den aktualisierten Nutzungsbedingungen und der Datenschutzrichtlinie ergeben. Zur Vermeidung von Zweifeln: Es ist weiterhin der Fall, dass Whatsapp keine Whatsapp-Nutzerdaten aus der europäischen Region mit Facebook teilt, damit Facebook diese Daten zur Verbesserung seiner Produkte oder von Anzeigen nutzen kann.

Nicht eindeutig genug! Kritik an den Whatsapp-AGB-Änderungen

Die Datenschutzerklärung und Nutzungsbedingungen sind nicht so eindeutig, wie Facebook es in der FAQ schreibt. Johannes Caspar, Datenschutzbeauftragter in Hamburg, hat ein Verfahren gegen Facebook eingeleitet, damit Klarheit einzieht, welche Daten geteilt werden. Da dieses Verfahren allerdings noch läuft, gibt es jetzt zunächst eine Anordnung, die es Whatsapp untersagt, Daten mit Facebook zu teilen. Caspar kritisiert, dass die Erklärungen mindestens unklar sind, an verschiedenen Stellen unterschiedliche Aussagen getroffen würden und die Abgrenzung zu den internationalen Informationen kaum zu erkennen sei.

Fazit:

Es geht also weniger um die private Kommunikation mit Freunden und Familie auf Whatsapp, sondern mehr um die Kommunikation zwischen Kunden und Unternehmen per Whatsapp.

Die Verantwortlichen in den Unternehmen müssen dafür sorgen, dass Whatsapp DSGVO-konform eingesetzt wird.

Schluss mit der Datenschutz-Grundverwirrung

Ihr Datenschutz-Beauftragter

Sie möchten regelmäßig über Neuigkeiten aus dem Datenschutz und der IT Sicherheit informiert werden? Dann melden Sie sich hier kostenlos und unverbindlich an.

Ihr Name(erforderlich)

Barth Datenschutz

Seminare & Vorträge

Vorträge oder Ein-Tages-Seminare sind für kleine Unternehmen sinnvoll. Achim Barth kommt in Ihr Unternehmen und gibt Ihnen und Ihren Angestellten eine Mitarbeiterschulung.

Barth Datenschutz GmbH
Theodor-Veiel-Straße 94
70374 Stuttgart

Tel: 0711 / 40070720
Fax: 0711 / 40070729
info@barth-datenschutz.de

Sie wünschen mehr Informationen oder eine persönliche Beratung?

Rufen Sie gleich an unter +49 0711 40070720