Einsatz von WhatsApp Business in Unternehmen
Immer mehr Unternehmen bieten ihren Kundenservice auch über WhatsApp an. Damit soll dem Kunden Präsenz gezeigt werden und ein Kommunikationsmittel genutzt werden, das vor allem im privaten Alltag scheinbar nicht mehr wegzudenken ist. Gerade für die Kundenkommunikation ist WhatsApp Business gedacht.
Für den Einsatz im Unternehmen stellt WhatsApp zwei verschiedene Optionen zur Verfügung: WhatsApp Business und WhatsApp Business API.
WhatsApp Business wurde nach eigenen Angaben von WhatsApp für kleine Unternehmen entwickelt und wird – ebenso wie die „Nicht-Business-Version“ – über eine App genutzt. Kundenanfragen werden also über ein Mobiltelefon beantwortet und WhatsApp Business kann auf bis zu vier weiteren Geräten genutzt werden.
Die WhatsApp Business API Version ist für mittlere bis große Unternehmen gedacht. Hier docken die Unternehmen eine Kommunikationsplattform an WhatsApps technische Schnittstelle an. Dadurch können beliebig viele Mitarbeiter über beliebig viele Desktop-Geräte per WhatsApp mit ihren Kunden kommunizieren.
Der Einsatz von WhatsApp Business zur Kundenkommunikation ist datenschutzrechtlich jedoch als kritisch einzustufen, da auch in der Business Version folgende Risiken bestehen:
Wenn die Mitarbeiter WhatsApp über ihre dienstlichen Smartphones nutzen, wird automatisch das lokal hinterlegte Adressbuch des Mitarbeiters mit ausgelesen und all diese Kontaktdaten ungefragt an die WhatsApp Inc. übermittelt und auf deren Servern, die sich u.a. in den USA befinden, gespeichert. Die mit dem Einsatz des Messenger-Dienstes verbundene Übermittlung aller Namen und Telefonnummern der im Telefonverzeichnis des verwendeten Smartphones gespeicherten Kontakte kann dabei nicht auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Der Zugriff auf die Namen und Telefonnummern wäre also nur mit einer informierten Einwilligung der im Adressbuch hinterlegten Personen möglich.
Obwohl die Kommunikationsinhalte Ende-zu-Ende verschlüsselt sind, beanstandet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), dass Metadaten (z.B. Zeitpunkt des Nachrichtenversands, Empfänger einer Nachricht) von WhatsApp in den USA verarbeitet werden. Denn in den AGB holt sich WhatsApp die Zustimmung der Nutzer ein, genau solche Metadaten an WhatsApp LLC und Facebook Inc. in die USA zu übermitteln (Aus der Ergänzung für WhatsApp Business Datenübermittlungen: „1. Du erkennst an und stimmst zu, dass WhatsApp Ireland für die Bereitstellung der Business Services gemäß den Business Bedingungen europäische Daten an WhatsApp LLC und Facebook Inc. übermittelt (…)“). Dadurch werden also zahlreiche personenbezogene Daten übermittelt. Auch der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) hat darauf hingewiesen, dass aufgrund der beim Versenden von Nachrichten an WhatsApp gelieferten Metadaten zur Profilbildung bei Facebook beigetragen wird und den Einsatz von WhatsApp für Bundesbehörden daher ausgeschlossen.
Der Einsatz von WhatsApp Business API zur Kundenkommunikation ist ebenfalls datenschutzrechtlich als kritisch einzustufen. Zwar besteht hier aufgrund der Einbindung in eine Kommunikationsplattform nicht die Problematik mit der Auslesung des Adressbuchs auf dem Smartphone. Jedoch werden auch hier Metadaten von WhatsApp bzw. Facebook in den USA verarbeitet.
Jedes Unternehmen (= Verantwortlicher), das veranlasst oder zulässt, dass seine Mitarbeiter mittels WhatsApp personenbezogene Daten verarbeiten, für die das Unternehmen verantwortlich ist, muss sicherstellen, dass dabei die Vorgaben aus der Datenschutzgrundverordnung (DSGVO) eingehalten werden.
Die WhatsApp Business Version ermöglicht Unternehmen zwar einen für die Verwendung des Messengers notwendigen Auftragsverarbeitungsvertrag bzw. Standardvertragsklauseln mit WhatsApp zu schließen. An den oben bestehenden Risiken ändert sich dadurch gegenüber der „Nicht-Business-Version“ jedoch nichts, sodass datenschutzrechtlich nur von einem Einsatz der WhatsApp Business Versionen abgeraten werden kann.
Julia Bernard
Volljuristin
Consultant für Datenschutz