23.01.2018

Wann Unternehmen gegen den Datenschutz verstoßen WhatsApp Business und DSGVO: Das gilt rechtlich beim Datenschutz

Wer WhatsApp oder WhatsApp Business auf dem Diensthandy nutzt, verstößt gegen den Datenschutz. Oder etwa nicht? Immer mehr Unternehmen möchten den Messenger zum Mitarbeiter- oder Kundenkontakt nutzen und sind verunsichert, was denn nun rechtlich gilt – auch im Hinblick auf die DSGVO. Antworten auf die wichtigsten Fragen.

Von Max Frehner

Fast 70 Prozent der Deutschen nutzen WhatsApp – das ist das Ergebnis einer YouGov-Studie aus dem Jahr 2017. Im selben Jahr nahm der Messenger auch den Spitzenplatz mit den meisten Downloads im Apple App Store ein. Kein Wunder also, dass immer mehr Unternehmen auf den Messenger aufmerksam werden und darüber nachdenken, WhatsApp oder WhatsApp Business für betriebliche Zwecke zu nutzen.

Verbraucher stehen der WhatsApp-Kommunikation mit Unternehmen größtenteils offen gegenüber, vor allem in den Bereichen Kundenservice und Beratung. Jeder fünfte Deutsche findet sogar, dass WhatsApp und Chats mit Unternehmen längst überfällig sind. Das sind ebenfalls Ergebnisse der YouGov-Studie.

Für Unternehmen klingt das eigentlich nach einem aussichtsreichen Kommunikationskanal. Wäre da nicht die Sache mit dem Datenschutz. Als Teil des Facebook-Unternehmens ist WhatsApp nicht für einen sicheren Umgang mit Daten bekannt. Da der Unternehmenssitz in den USA liegt, weiß niemand in Deutschland genau, welche Daten erhoben und für welche Zwecke sie verwendet werden.

Zwar gaben bei einer Online-Umfrage der Deutschen Handwerks Zeitung 59 Prozent der 391 Teilnehmer an, Messenger wie WhatsApp bereits zur Kommunikation mit und zwischen den Mitarbeitern oder zum Kontakt mit Kunden zu nutzen – dennoch bleibt die Verunsicherung.

Gemeinsam mit Rechtsanwalt Dr. Hauke Hansen, Fachanwalt für IT-Recht, beantwortet die Deutsche Handwerks Zeitung wichtige Fragen zur betrieblichen Nutzung von WhatsApp sowie zum Datenschutz nach der neuen Datenschutzgrundverordnung (DSGVO). Was ist erlaubt, was nicht – und welche Lösungen sind möglich.

3 Fragen zum Datenschutz: Was bei der WhatsApp-Nutzung rechtlich gilt Kurzfassung im Video: Was gilt rechtlich, wenn Unternehmen per WhatsApp mit Mitarbeitern oder Kunden schreiben? Die wichtigsten Regeln zum Datenschutz auf einen Blick.

WhatsApp im Unternehmen nutzen: Was sagt WhatsApp dazu?

"WhatsApp erlaubt in seinen AGB die Nutzung im Business-Kontext", erklärt Hansen. Allerdings muss das US-Unternehmen der nicht-privaten Nutzung vorher zustimmen. Wer diese Einwilligung nicht eingeholt hat, blieb bislang von Konsequenzen verschont. WhatsApp verfolgt die unerlaubte kommerzielle Nutzung strafrechtlich nicht. Im schlimmsten Fall droht Unternehmen eine Sperrung des WhatsApp-Accounts.

WhatsApp Business: Was kann die neue App?

Ohnehin scheint der Messenger-Dienst ganz andere Pläne zu haben. Im Januar startete das Unternehmen seinen neuen Dienst WhatsApp Business. Die App macht es für Betriebe einfacher, mit ihren Kunden zu kommunizieren. Auf häufig gestellte Fragen können Betriebe beispielsweise mit einem vorher angelegten Standardtext antworten - ohne diesen jedes Mal wieder neu eintippen zu müssen. Whatsapp Business bietet zudem die Möglichkeit, eine automatische Abwesenheits- oder Begrüßungsnachricht einzurichten.

Ebenfalls neu: Mit WhatsApp Business können Betriebe ein umfangreiches Unternehmensprofil einrichten. Dieses liefert auf einen Blick relevante Informationen wie etwa die Geschäftsadresse oder kann Auskunft über die Öffnungszeiten geben. Auch eine Auswertung ist mit WhatsApp Business erstmals möglich. So können Statistiken darüber abgerufen werden, wie oft eine Nachricht erfolgreich gesendet, übertragen und gelesen wurde.

Mit Hilfe von farbigen Labels können Betriebe ihre Chats besser organisieren. WhatsApp schlägt die Labels "Interessant", "Neue Bestellung", "Zahlung ausstehend", "bezahlt", "Bestellung vollständig" vor. WhatsApp-Business-Nutzer können aber auch selbst Labels anlegen, z.B. "Noch antworten".

Für private WhatsApp-Nutzer ändert sich durch den Start von WhatsApp Business nicht viel. Einzige Neuheit: Anhand eines Siegels neben dem Kontaktnamen erkennen Privatnutzer nun, ob sie mit einer Privatperson kommunzieren oder mit einem Unternehmen. Für mehr Sicherheit und Vertrauen sorgt dabei eine farbliche Kennzeichnung. WhatsApp unterteilt Business-Accounts in drei Stufen:

Verifiziert. WhatsApp hat verifiziert, dass dieser Account einer authentischen Marke gehört. Ein verifizierter Account hat ein grünes Siegel im Profil.

WhatsApp hat verifiziert, dass dieser Account einer authentischen Marke gehört. Ein verifizierter Account hat ein grünes Siegel im Profil. Bestätigt. WhatsApp hat bestätigt, dass die Telefonnummer dieses Accounts mit der Telefonnummer dieses Unternehmens übereinstimmt. Ein bestätigter Account hat ein graues Siegel im Profil.

WhatsApp hat bestätigt, dass die Telefonnummer dieses Accounts mit der Telefonnummer dieses Unternehmens übereinstimmt. Ein bestätigter Account hat ein graues Siegel im Profil. Unternehmens-Account. Dieser Account benutzt die WhatsApp Business App, wurde aber nicht von WhatsApp verifiziert oder bestätigt. Ein Unternehmens-Account hat ein Siegel mit einem grauen Fragezeichen im Profil.

Wichtigste Erkenntnis im Zusammenhang mit dem Datenschutz: Für die neue WhatsApp-Business-Version gelten dieselben Datenschutzvoraussetzungen wie für die Verbraucher-App. Seitens der Facebook-Tochter wurden keine Änderungen vorgenommen. Somit gelten die nachfolgend aufgelisteten Informationen sowohl für WhatsApp als auch für die Business-Version.

Welche Daten werden von WhatsApp erhoben?

"Nur die wenigsten Unternehmen sind sich bewusst, welche umfassenden Rechte sich WhatsApp einräumen lässt", warnt Hansen und verweist auf die Nutzungs- und Datenschutzbedingungen des Messenger-Dienstes.

Dort heißt es unter anderem:

"Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können."

Fraglich ist, ob diese Bedingungen überhaupt rechtmäßig sind. "Das ist nach Ansicht einiger Datenschützer durchaus zweifelhaft", gibt Hansen zu bedenken. Dennoch sind Unternehmen alarmiert. Denn in der Regel wurde von den Kontakten im Adressbuch keine Erlaubnis zur Weitergabe der Telefonnummer an WhatsApp erteilt.

Datenschutz: Wo liegt das Problem für Unternehmen, die WhatsApp betrieblich nutzen?

"Das Problem liegt vor allem in der Synchronisation der Kontaktdaten", erklärt Hansen. Wer den Messenger auf seinem Smartphone nutzt, gewährt WhatsApp Zugriff auf sein Adressbuch. Somit erhält der US-Konzern auch Telefonnummern von Kontakten, die den Messenger überhaupt nicht nutzen. Was die Facebook-Tochter mit diesen Daten anstellt, ist nicht bekannt. Fakt ist jedoch, dass die Telefonnummern so ohne Berechtigung an das US-Unternehmen weitergegeben werden. "Der Nutzer begeht wahrscheinlich Datenschutzverstöße", warnt Hansen.

Anders könne der Fall liegen, wenn alle Kontakte im Telefonbuch ebenfalls WhatsApp nutzen. Wer die App auf seinem Smartphone installiert und nutzt, hat den Geschäftsbedingungen zugestimmt. "Das Hauptproblem in diesem Zusammenhang ist die Wirksamkeit der Einwilligung", erklärt der IT-Rechtsexperte. Diese müsste seiner Meinung nach bei beidseitigem Einverständnis mit den WhatsApp-AGBs jedoch gegeben sein.

Betriebe wären in diesem Fall also aus dem Schneider. "Wenn der Kunde der Ansicht ist, dass seine Rechte durch die Art der Datenverarbeitung von WhatsApp verletzt würden, müsste er gegen WhatsApp klagen", erklärt Hansen.

Nicht jedoch, was die Synchronisation von Kontakten angeht, die den Messenger nicht nutzen. "Für jede Datenverarbeitung benötigen Unternehmen eine Rechtfertigung", weiß Hansen. In den meisten Fällen liegt ein solcher Rechtfertigungsgrund aber nicht für alle Kontakte vor. Der europäische Datenschutz sei diesbezüglich laut Hansen besonders deutsch geregelt: "Jede Datenverarbeitung ist erst einmal verboten, es sei denn, es wird ausdrücklich erlaubt."

In diesen Fällen dürfen Daten verarbeitet werden:

Fall A: Das Gesetz schreibt vor, Daten müssen von A nach B geschickt werden.

Fall B: Es liegt eine Einwilligung vor.

Fall C: Daten müssen zur Vertragserfüllung verarbeitet werden.

Erhält ein Unternehmer beispielsweise die Visitenkarte eines Kunden, dann darf er die Nummer auf seinem Smartphone speichern. Das Problem: Ist WhatsApp auf dem Gerät gespeichert, gleicht die App automatisch Kontaktdaten ab – die Nummer wird also auch an den Messenger-Dienst übermittelt. "Hierzu hat der Kunde in aller Regel keine Erlaubnis erteilt", warnt Hansen.

Wurde der Datenschutz bei WhatsApp Business verbessert?

Auch in der neuen WhatsApp-Business-Version halte der US-Konzern weiterhin an seinen rechtlich bedenklichen Datenschutzvoraussetzungen fest, sagt Hansen. Das Problem mit der unrechtmäßigen Synchronisation der Kontaktdaten sei auch in der Business-App der Knackpunkt. "Bis auf ein paar neue Funktionen hat sich in Bezug auf den Datenschutz kaum etwas geändert", sagt Hansen. Einzig die Möglichkeit, das Unternehmensprofil zu hinterlegen, sei aus rechtlicher Sicht positiv zu bewerten, da mit diesem der Impressumspflicht einfacher als bisher nachgekommen werden könne.

Was können Unternehmen tun, um diesem Problem zu entkommen?

Als Lösungsansatz nennt der IT-Rechtsexperte sogenannte Exchange-Container. Eine solche Lösung verhindert die Synchronisation von Apps innerhalb des Containers mit Apps außerhalb davon. Wird WhatsApp also in den geschützten Bereich gepackt, könnte kein Abgleich mit den Kontaktdaten aus dem Adressbuch außerhalb des Containers stattfinden. Dies würde zwar Einbußen hinsichtlich des Komforts nach sich ziehen, da nun etwa alle WhatsApp-Kontakte manuell eingepflegt werden müssen, dafür würde aber keine unerlaubte Datenverarbeitung mehr stattfinden.

"Die Container-Lösung ist sicherlich die sicherste, allerdings auch ein wenig aufwändig", weiß Hansen. "Tendenziell machen das eher große Unternehmen, da es Zeit und Kosten verursacht." Beides dürfte kleinen Handwerksunternehmen für dieses Thema fehlen.

Ein Alternative könnte sein, WhatsApp den Zugriff auf die Kontaktdaten zu verwehren. iPhone-Nutzer können die Synchronisation über die Einstellungen kappen. Im Menüpunkt Datenschutz sehen sie, welchen Apps der Zugriff auf Kontaktdaten gestattet wurde. Über den Schieberegler kann die Synchronisation individuell für ausgewählte Apps deaktiviert werden. Auf Android-Geräten besteht diese Einstellungsfunktion nicht. Der Zugriff von WhatsApp auf die Kontaktliste kann daher nur mithilfe von Apps gestoppt werden, die diese Funktion anbieten. Eine Schwäche dieser Variante zeigt sich jedoch darin, dass WhatsApp bestehende Kontakte bereits synchronisiert hat ehe der Zugriff deaktiviert wird.

WhatsApp: Was ändert sich durch die DSGVO?

"Im Großen und Ganzen bleiben dieselben Punkte kritisch, die es auch schon vor der DSGVO waren", sagt Hansen. Hauptproblem ist weiterhin die unerlaubte Synchronisation der Kontaktdaten. Was mit der DSGVO hinzukommt, ist die Dokumentationspflicht im Verarbeitungsverzeichnis. Dort müssen alle Vorgänge dokumentiert sein, in denen personenbezogene Daten verarbeitet werden. Der Einsatz von WhatsApp stellt in diesem jedoch nur einen von vielen Punkten dar. "Wird WhatsApp etwa zur Kundenansprache genutzt, dann könnte dies im Bereich 'Vertrieb' als 'Kundenkommunikation per WhatsApp' vermerkt werden", nennt Hansen ein Beispiel.

Ebenfalls neu sind die umfassenden Informationspflichten nach Art. 13 DSGVO. Laut Hansen sei jedoch noch unklar, wie strikt diese umzusetzen sind. Für praxisfern hält der Rechtsanwalt, dass kontaktierte Personen bei jeder Datenverarbeitung über eben diese informiert werden müssen. Streng ausgelegt, ist es jedoch vorgeschrieben. "Hierzu werden die Datenschutzbehörden vermutlich noch genauer Stellung beziehen", meint Hansen. Eine Maßnahme, die seiner Meinung nach jeder Betrieb umsetzen sollte, sei ein Hinweis auf der Homepage. Zudem sollte ein Betrieb generell all seine Mitarbeiter, Vertragskunden und Bewerber über die Datenverarbeitung informieren.

Um den eigenen Informationspflichten nach DSGVO nachzukommen, wurde das US-Unternehmen bereits aktiv. In der aktuellen Betaversion der Verbraucher-App ist es den Nutzern möglich, alle Daten abzufragen, die WhatsApp erhebt und verwendet. Ähnliches wird auch für WhatsApp Business erwartet. WhatsApp-Nutzer können in den Konto-Einstellungen ihre Daten anfordern. Darunter findet sich ein Hinweis, dass es bis zu 20 Tage dauern kann, bis der Report fertig gestellt wird. Lädt der Nutzer diesen runter, wird er automatisch gelöscht. Die Anfrage löscht WhatsApp automatisch nach 30 Tagen.

Auch am Mindestalter wurde geschraubt. Die Nutzung von WhatsApp ist seit Ende April nur noch Personen gestattet, die 16 Jahre oder älter sind. Vorher war ein Mindestalter von 13 Jahren vorgeschrieben. Der Messengerdienst kündigte jedoch an, die Altersgrenze nicht kontrollieren zu wollen.

Als weitere Reaktion auf die DSGVO richtete das Unternehmen eine Tochterfirma in Irland ein, die sich um die Datenverarbeitung europäischer Nutzer kümmern soll. Das bedeutet jedoch nicht, dass die Daten ausschließlich innerhalb der EU lagern werden.

Datenschutzverstoß durch WhatsApp-Nutzung: Welche Strafen drohen?

Haben Unternehmen weder eine wirksame Einwilligung aller Kontakte noch eine entsprechende Lösung auf ihren Smartphones integriert, drohen empfindliche Strafen. Mit der ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung erhöhen sich die Bußgelder bei Datenschutzverstößen auf bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Kläger könnten seiner Meinung nach Verbraucherzentralen oder Datenschutzbehörden sein.

Dürfen Unternehmen per WhatsApp mit ihren Mitarbeitern kommunizieren?

"Zum Mitarbeiterkontakt über WhatsApp muss der Chef seinen Arbeitnehmern ein Diensthandy ausgeben", gibt Hansen zu bedenken. Ist dies geschehen, sei es grundsätzlich egal, ob der Chef seinem Mitarbeiter eine SMS, E-Mail oder WhatsApp auf das Smartphone schickt.

"Unternehmen sollten sich jedoch fragen, ob sie es akzeptieren können, dass eine Menge unter Umständen sensibler Daten unkontrolliert an Dritte im Ausland weitergegeben werden", warnt der Rechtsanwalt. Es sei zudem nicht klar, inwiefern Regeln, die für Facebook gelten auch für die WhatsApp-Nutzung relevant sind. "Bei Facebook treten die Nutzer für die von ihnen geposteten Inhalte ihre Rechte ab", erklärt Hansen. Diese können laut AGB zumindest theoretisch zu Werbezwecken genutzt werden. Dasselbe steht auch in den WhatsApp-AGB.

Ob Inhalte tatsächlich ausgelesen werden, ist unklar. Der Messenger-Dienst selbst gab an, dass er durch die eingeführte End-to-End-Verschlüsselung keine Chats mehr mitlesen kann.

Dürfen Betriebe per WhatsApp kommunizieren, wenn der Erstkontakt vom Kunden ausging?

Gerade in den Bereichen Kundenservice und Beratung zeigen sich die Verbraucher aufgeschlossen, was den WhatsApp-Kontakt mit Unternehmen anbelangt. Rechtlich spricht nichts dagegen, sofern der Erstkontakt vom Kunden ausgeht. "Schreibt der Kunde den Handwerker per WhatsApp an, entscheidet er sich bewusst für diesen Kommunikationsweg", erläutert Hansen. Es bestehe also eine beidseitige Einwilligung, da auch der Handwerker durch die Bereitstellung eines WhatsApp-Kanals dem Kontakt auf diesem Wege erlaubt hat. " Theoretisch wissen beide auch, dass Daten in die USA übermittelt werden. Sie haben schließlich vorher den AGBs zugestimmt", erläutert er.

Darf ein Unternehmen Werbung per WhatsApp verschicken?

Zwar finden werbliche Inhalte per WhatsApp etwas weniger Zustimmung bei Verbrauchern als Kundenservice und Beratungsleistungen, dennoch könnten sich 28 Prozent der befragten Teilnehmer an der YouGov-Studie vorstellen, auch Newsletter per WhatsApp zu erhalten. Gewinnspielen stehen die Befragten ähnlich gegenüber. Eine Teilnahme an einer Verlosung per WhatsApp kommt für 27 Prozent der Teilnehmer in Frage.

Rechtlich spricht auch hier nichts dagegen, sofern vorab die Erlaubnis von WhatsApp und die Einwilligung des Kunden rechtmäßig eingeholt wurden. Wird Werbung per WhatsApp verschickt, benötigen Betriebe zwei Einwilligungen vom Empfänger: Die datenschutzrechtliche und die werbliche nach § 7 UWG. "Beide Einwilligungen können auch in einem Text zusammengefasst und kombiniert werden", rät Hansen. Er gibt jedoch zu bedenken, dass der Werbetreibende unter Umständen besser informieren muss als es WhatsApp selbst tut.

Weiter gibt der Rechtsanwalt zu beachten, dass Betriebe darauf hinweisen müssen, dass Empfänger ihre Werbeeinwilligung jederzeit widerrufen können.

Was gilt, wenn der WhatsApp-Newsletter über einen Dienstleister wie WhatsBroadcast verschickt wird?

"Sofern die Daten ausschließlich beim Dienstleister liegen und mit ihm ein Auftragsdatenverarbeitungsvertrag geschlossen wurde, ist der Newsletterversand für den Betrieb unbedenklich", sagt Hansen. Wichtig sei, dass der Auftragsdatenverarbeiter zudem zusichert, "technisch-organisatorische Maßnahmen (TOM)" zu treffen, um die Sicherheit der Daten zu gewährleisten.

Braucht ein betrieblicher WhatsApp-Kanal ein Impressum?

Der Verantwortliche müsse genannt werden, erklärt Hansen. Ein auf die mobile Nutzung angepasstes Impressum sei also notwendig. Für Homepages gilt die Regel: Höchstens zwei Klicks zum Impressum. "Die meisten Apps scheitern an dieser Vorgabe, da das Impressum nicht auf jeder Seite dargestellt werden kann", erklärt Hansen. "Hier wird aktuell angenommen, dass es ausreichend ist, wenn der Nutzer über die Home-Ansicht zum Impressum gelangt." Bezogen auf einen betrieblichen WhatsApp-Kanal könne man daraus schließen, dass ein Impressum im Status genügen könnte. Noch einfacher: Wer WhatsApp Business nutzt, kann relevante Informationen auch in das Unternehmensprofil packen.

