WhatsApp ist der erfolgreichste Messengerdienst weltweit. Was liegt da näher als WhatsApp auch im geschäftlichen Umfeld zu nutzen. Im folgenden Artikel gehe ich auf die datenschutzrechtlichen Voraussetzungen zur Nutzung von Whatsapp-Business im geschäftlichen Umfeld ein. Dabei werde ich eine Lösung vorstellen, welche in den meisten Fällen betrieblich anwendbar ist. Diese bietet Ihnen Antworten auf die drei kritischsten rechtlichen Probleme bei Einsatz von WhatsApp-Business:
- Vorheriges Einholen einer Einwilligung zur Kommunikation
- Nachkommen der Informationspflichten
- Separate Verwaltung der Kontaktdaten
Einwilligung und Informationspflichten
Um als Kunde mit einem Unternehmen über WhatsApp-Business in Kontakt zu treten, bieten sich zwei Möglichkeiten an:
- Die direkte Eingabe der WhatsApp-Business-Rufnummer durch den Kunden
- Die Nutzung eines QR-Codes oder Direkt-Verweises mit Verweis auf die WhatsApp-Business-Rufnummer[1]
Bevor Sie den Kunden Ihre WhatsApp-Business-Rufnummer "offenbaren", muss der Kunde Ihnen eine Einwilligung zur Verarbeitung personenbezogener Daten durch den WhatsApp-Business Dienst erteilen. Denkbar ist, dass der Kunde die WhatsApp-Business-Rufnummer nur erhält, wenn er auf Ihrer Internetseite der Datenverarbeitung durch den WhatsApp-Business-Dienst zustimmt und Sie ihm gleichzeitig die Informationen nach Art. 13 DSGVO zur Verfügung stellen.
Diese notwendige Einwilligung ist getrennt von der Einwilligung zu sehen, welche der Kunde geben muss, wenn er WhatsApp als App oder Desktop-Version installiert und benutzt. Beide Einwilligungen dürfen sich nicht widersprechen und sie müssen alle notwendigen Aspekte behandeln. Dies gilt auch für die Inhalte der Informationen nach Art. 13 DSGVO (Informationspflichten).
Um die Einwilligung und die Informationspflichten rechtssicher auf das Unternehmen und den Verwendungszweck anzupassen, ist eine individuelle, datenschutzrechtliche Beratung notwendig. Falls Sie - anstatt sich beraten zu lassen - Texte „von der Stange“ oder „aus dem Generator“ nutzen, sollten Sie die damit verbundenen rechtlichen Risiken kennen. Denn nicht umsonst sind die Haftungsausschlüsse solcher Texte länger als die Mustertexte selbst.
Der Kunde hat nun also die Einwilligungen erteilt, das Unternehmen ist den Informationspflichten nachgekommen und der Kunde tritt mit Ihnen per WhatsApp über Ihre WhatsApp-Businessnummer in Kontakt. Was ist aber nun, wenn der Kunde Ihre WhatsApp-Businessnummer von einem Bekannten erhalten hat? Er hätte vorher eben keine Einwilligung erteilt. Deswegen verfahren Sie hier nach dem Motto „doppelt hält besser“ und fordern bei der ersten Kontaktaufnahme (automatisiert über Textblöcke / die Begrüßungsnachricht in WhatsApp-Business) eine Einwilligung ab und informieren ihn nach Art. 13 DSGVO. Der Kunde bestätigt die Einwilligung, z. B. mit der Eingabe von "JA" und die Kommunikation kann stattfinden.
Doch reicht dieser doppelte Prozess tatsächlich aus, um eine Nachweisbarkeit nach Art. 7 Abs. 1 DSGVO sowie Art. 5 Abs. 2 DSGVO zu bejahen? Ich persönlich denke dies nicht, da der Prozess bis zum jetzigen Zeitpunkt noch nicht angemessen dokumentiert ist. Dazu bietet sich eine prozessuale Darstellung an. Aus dieser geht hervor, dass eine Einwilligung und die Bereitstellung der Informationen nach Art. 13 DSGVO (Informationspflichten) unumgänglich bei dem Kunden erfolgt sein muss.
Ergänzend sollte im WhatsApp ein klickbarer Verweis auf die Whatsapp Business-Datenschutzerklärung enthalten sein. Dies eröffnet dem Kunden die Möglichkeit die Datenschutzerklärung nochmals durchzulesen und beispielsweise die Kontaktwege zum Widerruf der getätigten Einwilligung herauszubekommen.
Verwaltung der Kontaktdaten
In allen Adressbüchern, auf die WhatsApp Zugriff hat, dürfen ausschließlich Personen verwaltet werden, die der Weitergabe ihrer personenbezogenen Daten an WhatsApp zugestimmt haben. Wird die Einwilligung zurückgezogen, müssen die Kontaktdaten dort entfernt/gelöscht werden. Falls eine Synchronisierung mit externen Diensten (z.B. GMail, iCloud) stattfinden soll, ist dies in der Einwilligung der Kunden zu berücksichtigen.
Idealerweise wird das WhatsApp-Business Konto also über eine Rufnummer eingerichtet, über die ausschließlich betriebliche Kommunikation mit WhatsApp Business läuft. Dazu eignet sich eine Festnetznummer oder eine neu beantragte Mobilfunknummer in Verbindung mit der Lösung WhatsApp für Desktop PC.
Nicht Bestandteil dieser Analyse war die grundsätzliche Frage, ob WhatsApp ein ähnliches Datenschutzniveau bietet wie andere Messenger. Denn natürlich gibt es vertrauenswürdigere Messenger – jedoch ist keiner davon so verbreitet wie WhatsApp. Darüber hinaus rate ich vor dem Einsatz von WhatsApp Business im eigenen Betrieb dazu, eine Datenschutz-Folgenabschätzung durchführen zu lassen.
Sie haben Fragen? Wenden Sie sich gerne an mich.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen
[1] Beispiel: https://api.whatsapp.com/send?phone=01234567890 oder https://web.whatsapp.com/send?phone=01234567890