Nachrichtendienste Datenschutzkonforme B2B-Kommunikation über Whatsapp

Autor / Redakteur: Timoor Taufig* / Gary Huck

Mit etwa 2 Milliarden Nutzern ist Whatsapp eines der populärsten Kommunikations-Tools. Der Messenger eignet sich nicht nur für private Zwecke, sondern auch für die B2B-Kommunikation. Der Datenschutz muss dabei aber gesondert beachtet werden.

Firmen zum Thema

Immer mehr Unternehmen setzen bei der Kundenkommunikation auf Whatsapp. Wenn man den Datenschutz richtig umsetzt, ist der Nachrichtendienst ein gutes B2B-Kommunikationstool.
Immer mehr Unternehmen setzen bei der Kundenkommunikation auf Whatsapp. Wenn man den Datenschutz richtig umsetzt, ist der Nachrichtendienst ein gutes B2B-Kommunikationstool.
(Bild: gemeinfrei / Unsplash)

Whatsapp in der Kundenkommunikation anzubieten, ist sinnvoll – auch im B2B-Bereich. Denn der Messenger zählt derzeit etwa 2 Milliarden aktive Nutzer weltweit. Viele Unternehmen machen bereits erfolgreich vor, dass Whatsapp als vollwertiger Kanal in der Kundenkommunikation eingesetzt werden kann. Hinter jedem Unternehmen stecken echte Menschen. Und womit kommunizieren die meisten von Ihnen? Richtig, über Messaging Apps. Warum also nicht genau die Kanäle anbieten, die jeder nutzt?

Das ist bei der DSGVO und Whattsapp zu beachten

Die DSGVO legt fest, was mit personenbezogenen Daten innerhalb der EU passieren darf und was nicht. Im Vergleich zu Maßnahmenbündeln anderer Länder im Bereich Datenschutz gilt sie als streng. An die DSGVO müssen sich in diesem Fall nicht nur Unternehmen halten, welche mittels Messenger kommunizieren, sondern auch der Kurznachrichtendienst selbst. Denn wenn ein Unternehmen den Messenger als Kommunikationskanal anbietet, wird Whatsapp automatisch zum Auftragsverarbeiter. Zu den Daten, die verarbeitet werden, gehören zum Beispiel die hinterlegte Telefonnummer, Lieferanschriften oder mitgeteilte E-Mail-Adressen. Doch auf welche Weise wird festgelegt, welche Vorgaben eingehalten werden müssen?

Derzeit passiert das noch mittels einer Art Garantie, einem sogenannten Auftragsverarbeitungsvertrag. Whatsapp legt diesen in Form seiner Datenverarbeitungsbedingungen dar. Einige Kritiker bemängeln teilweise, dass einige wesentliche Aspekte der DSGVO in diesen Bedingungen keine Beachtung finden und fordern daher eine neue Version oder Überarbeitung des Dokuments. Angesichts der Tatsache, dass Facebook ein solches bereits vorgelegt hat, ist zu erwarten, dass auch Whatsapp diesen Forderungen demnächst nachkommt.

Wer liest bei Whatsapp mit und wer speichert die Daten?

Direkt vorweg: Niemand muss Angst haben, dass Nachrichten mitgelesen werden. Unternehmen nicht und Privatnutzer genauso wenig. Denn weder Telekommunikationsanbieter noch Facebook oder WhatsApp haben überhaupt die Möglichkeit dazu. Das wird durch Ende-zu-Ende-Verschlüsselung verhindert. Dies bedeutet, dass nur die jeweiligen Sender und Empfänger die Nachrichten entschlüsseln und somit lesen können. Instanzen, die in den Übertragungsprozess involviert sind, können das nicht. Eine Ende-zu-Ende-Verschlüsselung hat sich beim Instant-Messaging inzwischen weitestgehend durchgesetzt: Neben Whatsapp wird die Methode beispielsweise von Anbietern wie Threema oder Signal eingesetzt. Darüber hinaus hat Whatsapp in seinen FAQ noch einmal deutlich gemacht, dass beispielsweise keine Kontaktdaten mit Facebook geteilt werden.

Die Verschlüsselung der Nachrichten bedeutet jedoch nicht, dass WhatsApp gar keine Daten erfasst. Metadaten, wie das verwendete Endgerät oder die IP-Adresse der Nutzer, werden erhoben. Und diese Daten teilt Messengerdienst auch mit seinem Mutterkonzern Facebook. Das sogenannte Privacy Shield, eine Rahmenvereinbarung zwischen der EU und den USA, nahm einst die Funktion ein, diese Daten zu schützen. Dann erklärte der Europäische Gerichtshof sie jedoch für ungültig, da er die Datenschutzmaßnahmen auf amerikanischer Seite als unzureichend einstufte. Wer mit personenbezogenen Daten arbeitet und in diesen Prozess amerikanische Unternehmen involviert, muss den Datenschutz daher genau prüfen. Häufig verweisen Unternehmen dabei inzwischen auf die sogenannten EU-Standardvertragsklauseln. Hierbei handelt es sich um ein Regelwerk welches einen adäquaten Umgang mit besagten Daten sicherstellen soll. Wer die Klauseln also unterzeichnet, gewährleistet die Einhaltung eines angemessenen Datenschutzes. Darüber hinaus dürfen Unternehmen weiterhin gespannt auf einen Nachfolger des Privacy Shields warten.

Im Falle der Kommunikation zwischen Unternehmen und Kunden ist es letztendlich immer auch ratsam zu schauen, wofür der Kanal konkret genutzt wird und basierend darauf zu entscheiden. Wird Whatsapp für die Abfrage hochsensibler Daten oder für allgemeinere Anfragen genutzt? Für hochsensible Daten kann bei Bedarf auf einen eigenen Login-Bereich auf der Homepage verwiesen werden.

Whatsapp Business App oder API

Wer als Unternehmen über Whatsapp mit seinen Kunden kommunizieren möchte, hat zunächst scheinbar die Wahl zwischen der WhatsApp Business App und der Whatsapp Business API, also einer technischen Schnittstelle. Lange Zeit war diese API nur für mittlere und größere Unternehmen zugänglich. Jedoch haben inzwischen auch kleinere Unternehmen die Möglichkeit, diese ganz zu nutzen.

Die Whatsapp Business App ähnelt weitestgehend der App, wie wir sie aus dem privaten Gebrauch kennen. Die Anwendung ist auf ein mobiles Endgerät sowie eine Mobilfunknummer beschränkt, darüber hinaus gibt es nur eine begrenzte Anzahl an Kontakten. Das Handling läuft wie gewohnt manuell über ein mobiles Endgerät ab.

Neben der schlechten Skalierbarkeit ist ein großer Kritikpunkt bei Nutzung der App die automatisierte Kontaktsynchronisation. Sobald die Installation der Anwendung abgeschlossen ist, erfasst WhatsApp automatisch alle Kontakte des Smartphone-Adressbuches. Auf diese Weise erfasst die App auch Daten von Dritten ohne deren Zustimmung, was datenschutzrechtlich sehr bedenklich ist. So gelangen die Daten der Kontakte nicht nur zu WhatsApp, sondern auch zu Facebook.

Die DSGVO vereint die rechtlichen Vorgaben zur Verarbeitung personenbezogener Daten. Sie legt fest, dass diese Verarbeitung rechtmäßig ist, solange ein berechtigtes Interesse der Verantwortlichen oder eines Dritten vorzuweisen ist. Dies kann unter anderem auch ein wirtschaftliches Interesse seitens des Verantwortlichen sein. Im Falle der automatischen Kontaktsynchronisation ist allerdings keinesfalls eine Zustimmung des Betroffenen vorhanden. Darüber hinaus werden die Konversationen bei Nutzung der Whatsapp Business App auf den amerikanischen Facebook Servern gespeichert. Unter anderem aus diesen beiden Gründen ist die Business App als datenschutzrechtlich bedenklich für den professionellen Gebrauch einzustufen.

Die beste Alternative für Unternehmen zur WhatsApp Business App ist die bereits erwähnte WhatsApp Business API. Sie gewährleistet eine wesentlich datenschutzkonformere Kundenkommunikation, da keine Installation einer App notwendig ist. Eine professionelle Kommunikations- Software verbindet sich stattdessen mit Whatsapps technischer Schnittstelle. Ein großer Pluspunkt besteht darin, dass mehrere Mitarbeiter über mehrere Endgeräte mit den Kunden kommunizieren und somit einen umfangreichen Service bieten können.

Wenn die Wahl auf die Business API fällt, findet die Abwicklung der Kommunikation zudem über einen zertifizierten Partner statt. Der gewählte Partner ist dann statt Whatsapp für die Speicherung der Chats zuständig. Deshalb sollte die Wahl sorgfältig getroffen werden. Partnerunternehmen mit Hauptsitz und Server innerhalb Deutschlands sind empfehlenswert. Denn so bleiben die Daten der Kunden von den EU-Richtlinien geschützt. Außerdem sollten Unternehmen die Möglichkeit erhalten, Daten auf Anfrage exportieren und unkompliziert löschen zu können.

Alles in allem ist die Integration von Whatsapp als vollwertigen Kommunikationskanal eine gute Möglichkeit, Vorteile wie niedrige Einstiegsbarrieren sowie einen schnellen und unkomplizierten Austausch im Kundenkontakt zu nutzen. Wählen Unternehmen hierfür einen Partner, der datenschutzrechtlich gut aufgestellt ist, sind sie auch hier auf der sicheren Seite.

Was passiert nach der AGB-Änderung?

Eine Frage bleibt noch offen: Was passiert, nachdem die neuen AGBs von Whatsapp angenommen wurden? Der Nachrichtendienst hat in einem Statement versichert, dass die Änderungen nur die Kommunikation mit Unternehmen, nicht aber die private Kommunikation betreffen. Aufgrund der Änderungen sollen Unternehmen beispielsweise bestimmte Informationen für ihre eigenen Marketingzwecke festhalten können, wenn sie diese aus der Kundenkommunikation via Whatsapp erhalten. Unternehmen können so ihre Kundenansprache personalisieren. Für Whatsapp selber wiederum gilt das nicht.

*Timoor Taufig ist CEO von Userlike

(ID:47546606)