MercuryonJan 19, 2021

Wie Unternehmen ohne Sorgen um den Datenschutz WhatsApp einsetzen

Messaging ist heute eine der wichtigsten Kommunikationsformen und Messenger Apps wie z.B. WhatsApp gehören zu den meistgenutzten Apps auf dem Smartphone. Auch für Unternehmen bieten diese einen interessanten Kommunikationskanal zu ihren Kunden. 

Die Gesetzeslage zum Datenschutz, nicht zuletzt die DSGVO und einige darin ungünstig formulierte Regelungen, wecken für viele Unternehmen den Eindruck dass Datenschutz eine große Hürde zur Nutzung dieser Messaging Kanäle darstellt. Es ist daher wichtig einfach aufzuzeigen, wie Unternehmen datenschutzkonform Messaging nutzen können, um mit ihren Kunden auch in diesem wichtigen Kommunikationskanal Service bieten zu können.

Dabei unterscheidet sich ein Messenger wie WhatsApp gar nicht so sehr von anderen digitalen Tools, die im Unternehmensalltag selbstverständlich sind, wie die Webseite, die Unternehmens App, oder E-Mail Marketing.

Welche Daten werden verarbeitet? 

Jedes Unternehmen, ist verantwortlich für die personenbezogenen Daten, die es erhebt und verarbeitet. Das gilt natürlich auch für die Nutzung von Messenger Diensten wie WhatsApp oder Facebook Messenger. 

Damit diese Verarbeitung rechtens ist, muss einer der Erlaubnistatbestände der DSGVO vorliegen und die Nutzer müssen entsprechend Art. 13 DSGVO über die Datenerhebung informiert werden. 

Am Anfang steht also die Frage, welche personenbezogenen Daten überhaupt verarbeitet werden. 

Ganz offensichtlich sind hier bei WhatsApp Benutzername und Handynummer, bei anderen Messengern auch User IDs, die notwendig sind um die Nutzer zu “erreichen”. 

Aber auch die Inhalte der Kommunikation zwischen Nutzer und Unternehmen sind hier ein wichtiger Punkt. Hier sollte beachtet werden, dass Nutzer im Chat über Freitext ein breites Spektrum an Informationen bereitstellen können.

Nicht zu vergessen sind abschließend noch Metadaten, die bei manchen Messaging Diensten, wie z.B. Facebook Messenger, noch erhoben werden.  

Die Daten und Verarbeitungsvorgänge müssen nun so dokumentiert werden, dass die Rechtmäßigkeit im Zweifel nachgewiesen werden kann. Es sollte also im Verarbeitungsverzeichnis dokumentiert werden,    

Erlaubnistatbestände? Legitimationsgrundlage prüfen und im Zweifel Einwilligung einholen

Damit die personenbezogene Daten verarbeitet werden dürfen, muss eine von drei Legitimationsgrundlagen erfüllt sein: 

  • Eine Vertragserfüllung erfordert die Daten (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden also benötigt um eine zwischen Nutzer und Unternehmen getroffene Vereinbarung zu erfüllen. 

  • Es gibt berechtigte Interessen, die die Datenverarbeitung legitimieren (Art. 6 Abs. 1 lit. f DSGVO) 

  • Die Nutzer stimmen der Verarbeitung ihrer Daten zu. (Art. 6 Abs. 1 lit. a DS-GVO). Hier ist es wichtig, wirklich eine aktive Zustimmung einzuholen, da Widerspruchsmöglichkeiten (Opt-out) nicht ausreichend sind. 

Da bei den beiden erstgenannten Punkten manchmal ein gewisser Interpretationsspielraum besteht, ist es im Zweifel zu empfehlen den Weg über die Einwilligung des Nutzers zu gehen und so die Messenger Kommunikation auf eine rechtlich sichere Grundlage zu stellen.   

Information der Nutzer

Damit die Einwilligung aber wirklich datenschutzrechtlich gültig ist, müssen die Nutzer ausreichend und verständlich informiert werden, wer welche Daten zu welchem Zweck verarbeitet. Das kann allerdings elektronisch oder und sogar durch “eindeutig bestätigendes Verhalten” geschehen. 

Die Nutzer müssen durch das Unternehmen bereits bei der ersten Datenerhebung über die weitere Datenverarbeitung zu informiert werden. Hier sollte den Nutzern die Datenschutzerklärung mit allen nach Art. 13 DS-GVO erforderlichen Informationen  bereitgestellt werden. 

Nutzerdaten vor Weitergabe an Dritte schützen

Hier liegt eine der bedeutendsten Hürden beim Einsatz von WhatsApp in Unternehmen und auch der Grund für eine weit verbreitete Skepsis. 

WhatsApp wird, in aller Regel, als App auf dem Smartphone installiert und greift auf die Telefonnummern im Adressbuch des Gerätes zu und überträgt diese an WhatsApp. 

Dabei wird nicht unterschieden zwischen Telefonnummern, von Nutzern die selber WhatsApp verwenden und solchen, die das nicht tun. Auch liegt hierfür keine Zustimmung der jeweiligen Kontakte vor. Dieses Vorgehen ist grundsätzlich problematisch und wird von den Datenschutzbehörden im Unternehmenseinsatz als eindeutig datenschutzwidrig bewertet. 

Um WhatsApp im Einklang mit dem Datenschutz im Unternehmen einzusetzen muss also unbedingt diese ungefragte Weitergabe von Kontaktdaten an den Messenger-Anbieter, wie WhatsApp, vermieden werden. 

Von kleinteiligen “Security Workarounds” abgesehen, besteht die sicherste und zuverlässigste Lösung dieses Problems in der Nutzung der WhatsApp Business API über spezialisierte Messaging Software für Unternehmen, wie Mercury.ai 

Dabei erfolgt die gesamte Messaging Kommunikation des Unternehmens über die Software as a Service (SaaS)-Plattform, so dass das Unternehmen auf den jeweiligen Mobilgeräten WhatsApp nicht installieren muss. 

Alle aus Datenschutz Sicht relevanten Aspekte werden hier im Auftrags Verarbeitung Vertrag geregelt und machen die Nutzung von WhatsApp datenschutzrechtlich unbedenklich.  

Datenübertragung außerhalb der Europäischen Union

  • Ein weiterer Kritikpunkt, der dem Einsatz von Messengern – gerade auch bei Whatsapp – oft entgegengehalten wird, ist die Übertragung der Daten in die USA. 

  • Auch unter Geltung der DSGVO ist eine Übertragung personenbezogener Daten in die USA nicht ausgeschlossen, sondern unter den spezifischen Anforderungen für die Übermittlung personenbezogener Daten in Drittländer aus den Art. 44 ff. DS-GVO ohne Weiteres zulässig. 

  • Unproblematisch ist eine Datenübertragung in die USA, wenn das empfangende Unternehmen den Abschluss der EU-Standardvertragsklauseln anbietet

Also...

Zusammenfassend muss man sagen, dass der Datenschutz ein gut zu managendes Thema ist und dem Einsatz von WhatsApp im Kundenservice nicht entgegensteht - vorrausgesetzt man macht die datenschutzkonforme Umsetzung zu einem klaren Bestandteild eines Umsetzungsprojekts und zieht die internen Verantwortlichen für für Rechts- und Datenschutzfragen frühzeitig mit hinzu. 

Die aktuellen Änderungen der WhatsApp Privatsphäre Regelungen stehen übrigens in direktem Zusammenhang mit der zunehmenden Nutzung von WhatsApp durch Unternehmen. Sie tragen daher der Entwicklung Rechnung, dass zu den meist privaten Einsatzzwecken zwischen Privatpersonen nun auch Unternehmenskommunikation eine wichtiger Aspekt geworden ist. Was das Update für die EU Region bedeutet hat WhatsApp hier zusammengefasst: https://www.whatsapp.com/legal/updates/key-updates-eea

Allgemeine  Fragen zur Privatsphäre beantwortet WhatsApp übrigens hier.

Mercury