WhatsApp Business API und die DSGVO – das müssen Unternehmen beachten

So verschicken Sie WhatsApp-Nachrichten DSGVO-konform

Weltweit nutzen zwei Milliarden Menschen WhatsApp1, in Deutschland sind es 87 % der Bevölkerung.2 Das macht ihn hierzulande zum beliebtesten Messenger. Da ist es naheliegend, dass immer mehr Unternehmen diesen Kanal nutzen, um mit ihren Kunden in Kontakt zu treten. Worauf man als Unternehmen beim Einsatz von WhatsApp, unter Berücksichtigung der DSGVO, achten muss, das erläutern wir in diesem Whitepaper.

Whitepaper kostenlos herunterladen:

Download PDF [EN]

Keine Kontaktdaten notwendig.

Inhalt

1. WhatsApp, WhatsApp Business, WhatsApp Business API – was ist hier der Unterschied?

2. Darf ich Nutzern antworten, die mir bei WhatsApp geschrieben haben?

3. Darf ich meinen Kunden und Kontakten proaktiv WhatsApp Nachrichten schicken?

4. Kann jedes Unternehmen die WhatsApp Business API nutzen?

5. Was muss sonst noch beim Einsatz der WhatsApp Business API beachtet werden?

6. Ist die WhatsApp Business API wirklich DSGVO-konform?

7. Warum steht WhatsApp bei Datenschützern in der Kritik?

8. Fazit

1. WhatsApp, WhatsApp Business, WhatsApp Business API – was ist hier der Unterschied?

Während WhatsApp für die private Nutzung vorgesehen ist, können Unternehmen zwischen WhatsApp Business und der WhatsApp Business API wählen. Ersteres ist für kleine Unternehmen, wie z.B. kleine Einzelhandelsgeschäfte, gedacht. Die Applikation wird einfach auf dem Smartphone installiert. Diese Lösungen sind jedoch nicht DSGVO-konform. Bei der Installation von WhatsApp oder WhatsApp Business auf dem Smartphone versucht WhatsApp auf die Kontakte des Telefons zuzugreifen. Dadurch erfüllen diese Apps nicht die Datenschutzrichtlinien. Die WhatsApp Business API macht die Installation einer Applikation überflüssig. Sie kann nur über WhatsApp Business Solution Provider wie LINK Mobility genutzt werden, von WhatsApp zertifizierte Partnerunternehmen. Der Einsatz der WhatsApp API ist die einzige Variante, die Firmen eine DSGVO-konforme Nutzung von WhatsApp ermöglicht. Außerdem ist sie die einzige skalierbare Lösung, denn anders als WhatsApp Business können hier mehrere Mitarbeiter über mehrere Geräte auf den Account zugreifen.

2. Darf ich Nutzern antworten, die mir bei WhatsApp geschrieben haben?

Ja. Die Wahl des WhatsApp-Kanals zur Initialisierung der Kommunikation mit dem Unternehmen kommt einer Einwilligung gleich. Fachanwalt für IT-Recht Dr. Hauke Hansen erklärt im Interview mit der Deutschen Handwerks Zeitung: „Schreibt der Kunde den Handwerker per WhatsApp an, entscheidet er sich bewusst für diesen Kommunikationsweg. Theoretisch wissen beide auch, dass Daten in die USA übermittelt werden. Sie haben schließlich vorher den AGBs zugestimmt.”3 Und was für Handwerksbetriebe gilt, gilt auch für alle anderen Unternehmen.

WhatsApp selbst erlaubt zwei Arten von Nachrichten: die kundeninitiierten „Session Messages” und vom Unternehmen initiierte „Template Messages”. Eine Session Message setzt voraus, dass man als Unternehmen proaktiv vom Nutzer kontaktiert wird. Anschließend hat man 24 Stunden Zeit, um mit einer Session Message zu antworten. Ein Opt-In des Kunden wird innerhalb dieses Zeitraums nicht benötigt. Unternehmen sollten trotzdem den Hinweis auf die Datenverarbeitung nicht vergessen.

3. Darf ich meinen Kunden und Kontakten proaktiv WhatsApp Nachrichten schicken?

Ja, wenn Sie die ausdrückliche Einwilligung der Person vorliegen haben. Dabei reicht es übrigens nicht, die allgemeine Zustimmung zur Nutzung der Handynummer zu haben, es muss eine WhatsApp-spezifische Einwilligung sein. WhatsApp schreibt in seinen Richtlinien: „In der Opt-in-Erlaubnis muss (a) klar und deutlich ersichtlich sein, dass die Person ihre Einwilligung erteilt, Nachrichten von dir über WhatsApp zu erhalten, und (b) dein Unternehmensname eindeutig genannt werden.”4 Des Weiteren weist WhatsApp darauf hin, dass man beim Einholen des Opt-Ins selbst dafür verantwortlich ist, geltendes Recht einzuhalten. Der ehemals von WhatsApp vorgegebene Aufbau „Empfang von [Art der Information], [WhatsApp-Logo und Name], auf [Nummer]” ist seit Mitte 2020 keine zwingende Voraussetzung mehr. Einen Chat selbst initiieren können Unternehmen nur, wenn sie von WhatsApp freigegebene Template Messages nutzen. Diese dürfen jedoch nur in Form von Benachrichtigungen zu Aufträgen (Bestätigungen, Liefer-Updates, etc.) eingesetzt werden. Mehr dazu hier: https://www.whatsapp.com/legal/business-policy/?lang=de. Hierfür ist ein Opt-In unabdingbar.

Von den WhatsApp-Konditionen abgesehen, gilt es auch einige rechtliche Rahmenbedingungen zu beachten:

Beispiel einer WhatsApp Business Nachricht eines Unternehmens an einen Kunden - deutsche Sprache

Ein Double-Opt-In ist grundsätzlich nicht vorgeschrieben, wird jedoch von vielen Juristen empfohlen. So schreibt die VFR Verlag für Rechtsjournalismus GmbH auf ihrer Webseite: „Obwohl es für das Double-Opt-In keine bindende Rechtslage gibt, wird immer häufiger ein solches angeordnet, wenn es einen Streit über die Anmeldeverfahren gibt.”6 Hinsichtlich der Nutzung von WhatsApp könnte ein Double-Opt-In wie folgt aussehen: Der Nutzer willigt auf der Unternehmenswebsite ein, per WhatsApp kontaktiert zu werden und hinterlässt seine Handynummer in einem Online-Formular (1. Opt-In). Anschließend wird dem Nutzer die Mobilfunknummer des Unternehmens angezeigt, an die er per WhatsApp ein bestimmtes Kennwort (z.B. „START”) schicken soll. Erst wenn der Nutzer dieses Kennwort geschickt hat (2. Opt-In), darf das Unternehmen selbst eine Nachricht senden. WhatsApp bietet hierfür die Option, eine automatisierte Antwort zu senden. Bei der ersten Unternehmensnachricht, sollte man jedoch einiges beachten. Rechtsanwalt David Oberbeck rät: „Da die Datenschutzhinweise unmittelbar nach Speicherung mitgeteilt werden müssen, kann die automatische Nachrichtenfunktion für diese Hinweispflichten der DSGVO genutzt werden. Aus Gründen der Übersichtlichkeit bietet sich auch hier eine Verlinkung auf die (um WhatsApp ergänzten) Datenschutzhinweise Ihrer Website an.”7 Die erste Nachricht sollte also auch Informationen zum Datenschutz, der Datenverarbeitung und dem Opt-Out beinhalten.

4. Kann jedes Unternehmen die WhatsApp Business API nutzen?

Nein. Von Seiten WhatsApps gibt es Einschränkungen für gewisse Branchen und Produkte. Folgende Gewerbe dürfen WhatsApp nicht oder nur eingeschränkt nutzen:

Genaue Details zu den Einschränkungen finden Sie hier: https://www.whatsapp.com/legal/commerce-policy/

5. Was muss sonst noch beim Einsatz der WhatsApp Business API beachtet werden?

a) Impressumspflicht

Auch beim Einsatz von WhatsApp besteht die Impressumspflicht nach § 5 des Telemediengesetzes (TMG). Bei WhatsApp Business kann unter „Unternehmensinfo” ein „Impressum”, das dann auch im eingeklappten Zustand zu sehen ist, um es dem Kontakt so einfach wie möglich zu machen, das Impressum zu finden.

b) Datenschutzerklärung

Jedes WhatsApp Business Profil muss eine Datenschutzerklärung enthalten. Sollte diese aus Platzmangel nicht in die Unternehmensbeschreibung passen, kann man einen Link zur Datenschutzerklärung einfügen. Achten Sie jedoch darauf, dass es sich um einen „sprechenden“ Link handelt, er also das Wort „Datenschutzerklärung“ enthält.

6. Ist die WhatsApp Business API wirklich DSGVO-konform?

Ja. Auch wenn der Einsatz von WhatsApp aus Datenschutzsicht umstritten ist, können Unternehmen die WhatsApp Business API DSGVO-konform nutzen. Laut DSGVO Art. 49 Abs.1a dürfen personenbezogene Daten mit einer ausdrücklichen Einwilligung nach Aufklärung über die bestehenden möglichen Risiken in Drittländer übermittelt werden. Vergessen Sie nicht, dass alle Ihre Kontakte, die WhatsApp installiert haben, den Nutzungsbedingungen ohnehin schon zugestimmt haben. Ein Hinweis Ihrerseits darauf, kann trotzdem nur von Vorteil sein. Ist im Rahmen des Kundenservice ein Austausch von sensiblen personenbezogenen Daten notwendig, können Sie Ihren Kunden auch anbieten, hierfür auf einen anderen Kanal zu wechseln. Beachtet werden sollte, dass WhatsApp nicht die einzige Möglichkeit für den Kunden darstellen darf, um ein Unternehmen zu kontaktieren. Stehen neben dem Messenger auch weitere Kontaktmöglichkeiten, wie E-Mail, Telefon, Webchat oder Kontaktformular zur Verfügung, kann der Kunde frei wählen und ist auf die Nutzung von WhatsApp nicht angewiesen.

7. Warum steht WhatsApp bei Datenschützern in der Kritik?

In mehrerer Hinsicht hat WhatsApp einige datenschutzrechtliche Schwachstellen vorzuweisen. Zwar stellt eine End-to-End-Verschlüsselung der Chatinhalte sicher, dass keiner die Nachrichten mitlesen kann – auch WhatsApp nicht – anders sieht es jedoch mit den Metadaten aus. Zu den Metadaten können Absender, Empfänger, Standort, Uhrzeiten oder Nachrichtengröße gehören. Auf diese hat WhatsApp auch weiterhin Zugriff und hat Anfang 2021 seine AGB dahingehend geändert, dass Nutzerdaten nun auch mit anderen Facebook-Unternehmen geteilt werden dürfen. Wer den Dienst weiterhin nutzen möchte, muss den neuen Nutzungsbedingungen zustimmen. Dies ist vermutlich auch der Grund, weshalb WhatsApp keinen echten Auftragsverarbeitungsvertrag (AVV) anbietet. Die DSGVO verlangt den Abschluss eines AVV, wenn personenbezogene Daten im Auftrag eines Unternehmens verarbeitet werden. Die ist bei WhatsApp der Fall. Doch eine AVV untersagt die Weitergabe personenbezogener Daten an Dritte (Facebook). WhatsApp bietet derzeit lediglich „Datenverarbeitungsbedingungen” an, in denen erforderliche Angaben nach Art. 28 Abs. 3 DSGVO fehlen. Facebook hat bereits einen Auftragsverarbeitungsvertrag zur Verfügung gestellt, daher kann man davon ausgehen, dass WhatsApp hier bald nachzieht.

Ein weiterer Knackpunkt: Seit der Europäische Gerichtshof (EuGH) das Privacy Shield Abkommen, das bis dato den Transfer personenbezogener Daten in die USA regelte, am 16.07.2020 für ungültig erklärte, ist KEIN Softwaredienst einer US-amerikanischen Firma mehr DSGVO-konform. Zwar gelten die EU-Standardvertragsklauseln, die auch vor dem Privacy Shield Abkommen gültig waren und die Einhaltung der DSGVO bescheinigen, doch Datenschützer zweifeln an, dass US-Unternehmen diesen Standard überhaupt erfüllen können. Denn die US-Behörden haben die Erlaubnis auf personenbezogene Daten aller US-amerikanischer Unternehmen zuzugreifen. Aus diesem Grund wird von der Nutzung zahlreicher Programme abgeraten. Der Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern Heinz Müller warnt zum Beispiel vor dem Einsatz von Microsoft Programmen und fordert, dass öffentliche Einrichtungen und Behörden auf Open Source Anwendungen umsteigen.8 WhatsApp ist also nur einer von vielen Software-Services, die von der Ungültigkeit des Privacy Shield Abkommens betroffen sind. Doch jegliche Nutzung US-amerikanischer Software ab sofort einzustellen, ist für die meisten Unternehmen nahezu unmöglich.  Dennoch gilt wie unter 6. beschrieben: wer eine gültige Einwilligung vorliegen hat, kann weiterhin über WhatsApp Business kommunizieren. Für WhatsApp nutzende Unternehmen ist eine umfassende Aufklärung der Nutzer die beste Vorkehrung. Weisen Sie in Ihrer Datenschutzerklärung daraufhin, dass WhatsApp Daten eigenständig verarbeitet und verlinken Sie auf die Nutzungsbedingungen von WhatsApp. Yvonne Bachmann, Juristin beim Händlerbund, rät: „Manche APIs sind an weitere Dienstleister, wie eine Supportsoftware angebunden. Hier muss die Datennutzung und -weitergabe ebenfalls lückenlos abgesichert sein. Wichtig wäre auch, dass sich die Hosting-Server des Business Solution Providers in Deutschland oder der EU befinden.”9 Die Kundenchats werden nämlich auf den Servern der Partner gespeichert, nicht auf denen von WhatsApp. Daher setzt die LINK Mobility GmbH nur zertifizierte Server mit Standort in der EU ein.

8. Fazit

WhatsApp bleibt datenschutzrechtlich umstritten, doch die Kommunikation per WhatsApp Business API ist mit der ausdrücklichen Einwilligung des Nutzers DSGVO-konform möglich. Der Händlerbund weist darauf hin, dass es noch keine offizielle Stellungnahme oder Handlungsanweisung der Datenschutzkonferenz (DSK) zum Einsatz der WhatsApp Business API gibt.10 Mehr als 50 Millionen Unternehmen weltweit haben WhatsApp Business bereits im Einsatz, darunter auch Anwaltskanzleien wie Legal Smart.11 Wer seinen Kunden heutzutage keinen flexiblen Customer Support in deren Lieblingskanälen bietet, läuft Gefahr, den Anforderungen der Kunden nicht mehr gerecht zu werden und von seinen Wettbewerbern bei der Digitalisierung überholt zu werden. Rechtsanwalt Jan Lennart Müller geht davon aus „dass zumindest in nächster Zeit aller Wahrscheinlichkeit nach kaum Bußgelder oder Abmahnungen erfolgen werden.”12 Man sollte also abwägen, welches Risiko höher ist.

1 „Einführung von animierten Stickern, QR-Codes und mehr”, WhatsApp Ireland Limited, https://blog.whatsapp.com/introducing-animated-stickers-qr-codes-and-more, Stand 13.04.2021
2 David Hein, „Verliert Facebook bei jungen Nutzern den Anschluss?”, Horizont, 17.09.2020,  https://www.horizont.net/medien/nachrichten/auswertung-von-audience-project-facebook-verliert-bei-jungen-nutzern-den-anschluss-185778?fbclid=IwAR0brzp0vNHD81gV_Re5KBtKm4YK8Z-V1fOeSk4pzwzY5MpewQMRoCyRzwM
3 Max Frehner, „WhatsApp und DSGVO: Das gilt rechtlich beim Datenschutz”, Deutsche Handwerks Zeitung, 09.10.2018, https://www.deutsche-handwerks-zeitung.de/whatsapp-betrieblich-nutzen-was-beim-datenschutz-wirklich-gilt/150/3101/363865
4 WhatsApp Business Richtlinie, Stand 15.01.2021, https://www.whatsapp.com/legal/business-policy/?lang=de
5 Thomas Schwenke, „DSGVO: So holst du Einwilligungen richtig ein (Teil 3)”, t3n, 31.03.2018, https://t3n.de/news/dsgvo-einwilligungen-843918/
6 VFR Verlag für Rechtsjournalismus GmbH, „Was ist Opt-In: Das Zustimmungsverfahren”, 29.01.2021, https://www.datenschutz.org/opt-in/
7 David Oberbeck, „Ist WhatsApp in Unternehmen mit der DSGVO vereinbar?”, 27.05.2020, https://www.datenschutzkanzlei.de/ist-whatsapp-in-unternehmen-mit-der-dsgvo-vereinbar/
8 Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, „Land muss Schutz personenbezogener Daten sicherstellen”, 17.03.2021, https://www.datenschutz-mv.de/presse/?id=168438
9 Yvonne Bachmann, Juristin beim Händlerbund, persönliche Korrespondenz, 09.04.2021
10 Yvonne Bachmann, Juristin beim Händlerbund, persönliche Korrespondenz, 09.04.2021
11 Dave Sebastian, „WhatsApp’s Business-User Base Grew Tenfold From 2019”, The Wall Street Journal,  https://www.wsj.com/articles/whatsapps-business-user-base-grew-tenfold-from-2019-11594298961
12 Jan Lennart Müller, „EuGH erklärt sog. Privacy-Shield für ungültig! Wie ist nun zu verfahren?”, 17.07.2020, https://www.it-recht-kanzlei.de/privacy-shield-ungueltig-handlungsoptionen.html

Alle von uns aufgeführten Informationen dienen lediglich Informationszwecken. Sie stellen keine Rechtsberatung dar und können insbesondere eine individuelle rechtliche Beratung, welche die Besonderheiten eines Einzelfalles berücksichtigt, nicht ersetzen. Für Aktualität, Vollständigkeit und Richtigkeit der Informationen können wir keine Gewähr übernehmen.

Erfahren Sie:

  • den Unterschied zwischen WhatsApp, WhatsApp Business und der WhatsApp Business API,
  • wie Sie Ihre WhatsApp-Kommunikation DSGVO-konform gestalten,
  • für welche Branchen und Produkte der Kanal WhatsApp verwendet werden darf.
Whitepaper: WhatsApp Business API und die DSGVO – das müssen Unternehmen beachten

Hier gibt's das komplette Whitepaper als PDF:

Download PDF [DE]
Download PDF [EN]

Jetzt Kontakt aufnehmen!

Telefon: +49 (40) 88 88 08 - 44
E-Mail: kontakt(at)linkmobility.com

Referenzkunden

Logo unseres Messaging-Kunden Deutsche Post aus dem Bereich Logistik
Logo unseres Messaging-Kunden ING aus dem Bereich Finanzwesen
Logo unseres Messaging-Kunden comdirect aus dem Bereich Finanzwesen
Logo unseres Messaging-Kunden Telefonica aus dem Bereich Telekommunikation
Logo unseres Messaging-Kunden Vodafone aus dem Bereich Telekommunikation
Logo unseres Messaging-Kunden Techniker Krankenkasse aus dem Bereich Gesundheitswesen
Logo unseres Messaging-Kunden PayPal aus dem Bereich Finanzwesen
Logo unseres Messaging-Kunden DHL aus dem Bereich Logistik
Logo unseres Messaging-Kunden Siemens aus dem Bereich Technologie
Logo unseres Messaging-Kunden Postbank aus dem Bereich Finanzwesen
Logo unseres Messaging-Kunden Intersport aus dem Bereich Retail

Image Alt Tags
Image Alt Tags
100%
10

Logo unseres Messaging-Kunden ZARA aus dem Bereich Einzelhandel
Screenreader-Unterstützung aktiviert.
 
 
 		

Logo unseres Messaging-Kunden ZARA aus dem Bereich Einzelhandel
Logo unseres Messaging-Kunden IKEA aus dem Bereich Retail
Logo unseres Messaging-Kunden OBOS aus dem Bereich Immobilien
Logo unseres Messaging-Kunden ONEPARK aus dem Bereich Verkehr
Postnord Referenz
easypark Referenz
LINDEX Referenz
Logo unseres Messaging-Kunden Domino’s aus dem Bereich Lieferservice
Logo unseres Messaging-Kunden 1. FC Heidenheim aus dem Bereich Sport
Logo unseres Messaging-Kunden Bankbridge aus dem Bereich Finanzwesen

Kennen Sie schon...

SMS und DSGVO
Marketing SMS der DSGVO entsprechend versenden

Was Sie beachten müssen, um beim SMS-Messaging DSGVO-konform zu bleiben, erfahren Sie in diesem kostenlosen Whitepaper.

Zum DSGVO-Whitepaper
7 Tipps für SMS-Marketing
Mann liest SMS - So wird Ihre SMS-Kampagne ein voller Erfolg

Was Sie beachten sollten, damit Ihre SMS-Marketing-Kampagne ein voller Erfolg wird, erfahren Sie in diesem kurzen Artikel.

Zu den SMS-Marketing-Tipps
Handynummern erhebenChatbots auf dem Smartphone - Vorteile und Einsatzgebiete

Wie Sie die Handynummern Ihrer Kunden und Interessenten sowie ein rechtlich einwandfreies Opt-In erhalten, erfahren Sie in diesem Whitepaper.

Tipps zum Erheben von Handynummern