Kann WhatsApp in Unternehmen datenschutzkonform eingesetzt werden?

In sehr regelmäßigen Abständen werden wir als externe Datenschutzbeauftragte der CAS Datenschutz GmbH & Co. KG von unseren Kunden gefragt, ob WhatsApp im Unternehmen datenschutzkonform eingesetzt werden kann und was es dabei zu beachten gilt. Diese Frage wird teilweise mit vielen weiteren Fragestellungen, wie z.B. dem Einsatz von WhatsApp im Bewerbungsprozess, ergänzt bzw. verbunden.

Warum ist WhatsApp problematisch für Unternehmen?

WhatsApp ist einer der meistgenutzten Messenger weltweit – auch in Unternehmen. Doch die Nutzung von WhatsApp im geschäftlichen Umfeld birgt Datenschutzrisiken, insbesondere in Bezug auf die DSGVO (Datenschutz-Grundverordnung).

Der Messenger gehört zu Meta (ehemals Facebook) und überträgt standardmäßig Metadaten an Server außerhalb der EU. Zudem synchronisiert die App automatisch das Adressbuch, wodurch alle Kontakte an US-amerikanische WhatsApp-Server übertragen werden.

Personen, die WhatsApp nutzen, haben die Zustimmung konkludent abgegeben, da sie den Nutzungs- und Datenschutzbedingungen von WhatsApp zugestimmt haben. Problematisch gestaltet es sich bei Personen bzw. Telefonkontakten, die kein WhatsApp nutzen und entsprechend den Nutzungsbedingungen von WhatsApp und der Datenübermittlung in die USA nicht zugestimmt haben. Damit fehlt es bei diesen Telefonkontakten an einer Zustimmung bzw. einer Rechtsgrundlage für die Datenübermittlung außerhalb der EU. Dies verstößt gegen die DSGVO.

Auch bietet Meta nur begrenzte Transparenz in Ihren Nutzungsbedingungen über die Verarbeitung dieser Daten und gibt den Nutzern keine Möglichkeiten, die Bedingungen zu verhandeln.

Diese Problematik haben somit auch die Unternehmen, die WhatsApp einsetzen möchten. Denn diese müssen eine Rechtsgrundlage für die Datenübermittlung haben und nachweisen oder Schutzmaßnahmen ergreifen, damit eine Datenübermittlung an Meta weitestgehend verhindert bzw. „umgangen“ wird.

Lösungsansätze/Schutzmaßnahmen für eine DSGVO-konforme Nutzung

Da die automatische Adressbuchsynchronisation bei WhatsApp nicht verhindert werden kann, sollte man sich zunächst über gewünschte und denkbare Anwendungsfälle Gedanken machen.

1. Denkbare Anwendungsfälle und Vorgehensweise

Verwendungszwecke sind aus unternehmerischer Sicht nur sinnvoll bzw. datenschutzrechtlich möglich, wenn der User (Kunde, Bewerber, etc.), der mit dem Unternehmen kommunizieren will, WhatsApp bereits nutzt.

Hierzu müsste man zunächst die Anwendungsfälle genau definieren. Beispiele wären:

• Ein Bewerber (zukünftiger Mitarbeiter, Werkstudent, Praktikant etc.) will eine Bewerbung an das Unternehmen per WhatsApp übermitteln

• Ein Kunde möchte eine Bestellung oder ein eventuelles Foto eines defekten Teils für eine Ersatzteilbestellung per WhatsApp an das Unternehmen übermitteln

Ist der Anwendungsfall definiert und dokumentiert, so empfiehlt sich folgende grundlegende Vorgehensweise:

• Benutzung und Einrichtung eines „neuen“ Handys mit separater Nummer und leerem Adressbuch
  Eine Synchronisation von WhatsApp läuft bei leerem Kontaktbuch (zunächst) ins Leere.
  Hineinkommen in das Adressbuch werden (bei vorigen entsprechenden Hinweisen) nur bestehende WhatsApp-Nutzer.

• Kommunikation dieser WhatsApp-Nummer bei entsprechenden Anfragen (Bewerbungen, Bestellungen etc.) an das Unternehmen an die Bewerber, Kunden etc. bzw. auch auf der Webseite mit entsprechenden Informationshinweisen unter Beachtung der erforderlichen Informationspflichten

• Die weitere Kommunikation mit dem WhatsApp-Nutzer erfolgt über diese WhatsApp-Nummer

• Auch empfiehlt es sich keine weiteren Apps auf dem Gerät zu installieren, damit das Risiko der Datensynchronisation für diese Apps ausgeschlossen werden kann.

Sind diese Voraussetzungen erfüllt, so können weitere Komfortmöglichkeiten von WhatsApp genutzt werden

2. Nutzung von WhatsApp Business

WhatsApp Business bietet mehr Funktionen für Unternehmen, wie automatische Antworten und Kategorisierung von Chats. Dennoch bestehen Datenschutzprobleme, weshalb die Nutzung sorgfältig abgesichert werden muss. Wichtig ist es, keine private WhatsApp-Version geschäftlich im Unternehmen zu nutzen, um private und geschäftliche Kommunikation zu trennen.

Genauso wie auf Webseiten benötigt auch ein WhatsApp Unternehmens-Account ein Impressum. Dies kann beim Erstellen eines Unternehmensprofils auf WhatsApp Business durch z.B. einer Verlinkung auf das Impressum der Website erledigt werden.

3. Verschlüsselung und zusätzliche Sicherheitsmaßnahmen

Obwohl WhatsApp eine Ende-zu-Ende-Verschlüsselung nutzt, gibt es dennoch Risiken, insbesondere wenn Backups in der Cloud gespeichert werden. Unternehmen sollten darauf achten, dass keine automatischen Cloud-Backups aktiviert sind, da diese unverschlüsselt gespeichert werden können.

4. Nutzung über API-Schnittstellen

Unternehmen können WhatsApp Business API verwenden, um professionell mit Kunden zu kommunizieren. Dabei sollten sie jedoch auf europäische Hosting-Anbieter setzen, um den Datenschutz sicherzustellen. Hierbei ist es essenziell, dass die Kommunikation über sichere Server läuft und Meta möglichst keinen Zugriff auf die Daten erhält.

5. Rechtsgrundlage (Einwilligung)

Es muss geprüft werden, ob eine Rechtsgrundlage für die Datenverarbeitung bzw. Datenübermittlung vorliegt. Hierfür könnte z.B. die Einwilligung der betroffenen Person eingeholt werden. Laut der DSGVO könnten z.B. Nutzer ihre Einwilligung erteilen und müssen gemäß UWG vorab ihre explizite Einwilligung erteilen, bevor Unternehmen diese zu Marketingzwecken kontaktieren dürfen.

6. Datenschutzhinweise

Ein weiteres Erfordernis sind Datenschutzhinweise (Informationspflichten) gemäß den Artikel 13 und 14 DSGVO. Sofern Sie als Unternehmen Daten von Betroffenen verarbeiten, müssen Sie über den Zweck der Verarbeitung sowie weiterer Pflichtangaben in den Datenschutzhinweisen informieren. Dies kann in WhatsApp Business bei einer ersten Kontaktaufnahme (z.B. eines Kunden) durch eine automatisierte Nachricht mit Verlinkung auf die Datenschutzhinweise erfolgen. Die automatisierte Nachricht könnte wie folgt formuliert werden: „Vielen Dank, dass Sie CAS Datenschutz GmbH & Co. KG kontaktieren. Weitere Hinweise zur Datenverarbeitung finden Sie unter www.ABC-datenschutzhinweise.de“.

7. Erstellung einer internen Datenschutzrichtlinie

Ein wichtiger Schritt für Unternehmen ist die Dokumentation und Erstellung einer internen Datenschutzrichtlinie für die Nutzung von WhatsApp. Diese Richtlinie sollte klare Vorgaben dazu enthalten, wie und unter welchen Bedingungen WhatsApp im Unternehmen eingesetzt werden darf. Dazu gehören unter anderem die Festlegung von zulässigen Kommunikationsinhalten, die Einschränkung der Nutzung auf bestimmte Unternehmensbereiche sowie die verpflichtende Nutzung von WhatsApp Business anstelle der Standardversion. Zudem sollten Mitarbeitende regelmäßig geschult werden, um Datenschutzrisiken zu minimieren und den sicheren Umgang mit Messenger-Diensten zu gewährleisten.

8. Alternativen zu WhatsApp prüfen

Es gibt datenschutzfreundliche Alternativen wie Signal, Threema oder Matrix, die eine bessere Kontrolle über die Daten ermöglichen und als DSGVO-konform gelten.

Fazit

Zugegeben, die DSGVO ist komplex. Dementsprechend gibt es auf die Frage, ob WhatsApp zu 100% DSGVO-konform in Unternehmen einsetzbar ist, keine pauschale Antwort. Die gute Nachricht ist, dass Unternehmen durch Schutzmaßnahmen teilweise selbst beeinflussen können, wie der Einsatz von WhatsApp datenschutzkonform gestaltet werden kann. Alternativ lohnt es sich, auf datenschutzfreundliche Messenger umzusteigen, um den Anforderungen der DSGVO gerecht zu werden. Datenschutz sollte immer hohe Priorität haben, um rechtliche Risiken zu vermeiden und das Vertrauen der Kunden zu erhalten. Unternehmen sollten sich regelmäßig über neue Entwicklungen in der Datenschutzgesetzgebung informieren und ihre Kommunikationsstrategien entsprechend anpassen. Mitarbeiterschulungen und Datenschutzrichtlinien können zusätzlich zur sicheren Nutzung von Messengern beitragen, um Datenschutzverletzungen zu vermeiden. Gerne unterstützen wir Sie als externe Datenschutzbeauftragte bei diesen Themen. Nehmen Sie bei Bedarf gerne Kontakt zu uns auf.