WhatsApp Business DSGVO: Das musst du zum Thema Datenschutz beachten

WhatsApp Business DSGVO: Das musst du zum Thema Datenschutz beachten blog

By Anil Söyünmez

WhatsApp marketing

Posted: August 04, 2023

Updated: März 04, 2024

Wie kannst du WhatsApp Business DSGVO-konform einsetzen? Will man den Messenger geschäftlich nutzen, gibt es einiges zu beachten. Wir erklären, wo du aufpassen musst.

 

Ja, WhatsApp ist ein DSGVO-konformer Kommunikationskanal, wenn du das richtige Set-up hast und bestimmte Regeln befolgst. 

 

Vor allem bei Opt-ins, also beim Einholen der Zustimmung für Nachrichten, beim Versenden von Newslettern oder Kampagnen und bei der Datenspeicherung (hier vor allem die Kontaktsynchronisierung und Metadatenspeicherung von WhatsApp) musst du vorsichtig sein.

 

Was ist die DSGVO? Für wen gilt sie?

Die Datenschutzgrundverordnung (DSGVO) ist ein Gesetz für den Schutz von Verbraucherdaten in der EU. Sie wurde 2018 eingeführt und soll sicherstellen, dass "EU-Bürgerinnen und -Bürger das Recht auf Schutz ihrer personenbezogenen Daten haben", wie es in der EU-Grundrechtecharta heißt.

 

Laut der Europäischen Kommission gilt die DSGVO für dich, wenn:

  • dein Unternehmen persönliche Daten verarbeitet und dein Hauptsitz sich in der EU befindet, ungeachtet des Ortes der Datenverarbeitung
  • dein Unternehmen sich zwar außerhalb der EU befindet, aber persönliche Kundendaten von Menschen in der EU verarbeitet oder deren Verhaltensweisen aufzeichnet.

 

Unternehmen, die sich außerhalb der EU befinden, aber dennoch die Daten von EU-Bürgern verarbeiten, müssen einen Stellvertreter innerhalb der EU benennen.

 

Was bestimmt die DSGVO?

Die DSGVO bestimmt im allgemeinen, dass Unternehmen diese Grundsätze bei ihren Datenschutzrichtlinien beachten sollten:

  • Rechtmäßig, fair und transparent sein -  Daten rechtmäßig verwenden und transparent mit den Menschen und den Unternehmen umgehen, mit denen sie zusammenarbeiten.
  • Einen klaren Zweck angeben - deutlich machen, wie und warum das Unternehmen personenbezogene Daten sammelt
  • Daten minimieren - Nur Daten sammeln, die für einen bestimmten Zweck verwendet werden sollen
  • Genauigkeit - sicher stellen, dass die Daten, die das Unternehmen verarbeitet, genau sind und angemessen gespeichert werden
  • Speicherung begrenzen - Daten nicht ewig aufbewahren, sondern einen Zeitraum festlegen, in dem sie gelöscht werden.
  • Integrität und Vertraulichkeit - Daten sicher aufbewahren, um "versehentlichen Verlust, Zerstörung oder Beschädigung" zu verhindern
  • Verantwortlich sein - Datenschutzrichtlinien festlegen, aufzeichnen und kommunizieren

 

Alle Pflichten für Unternehmen kannst du dieser Seite der Europäischen Kommission entnehmen.

 

WhatsApp im Unternehmen und DSGVO: Probleme und Lösungen

Das Wichtigste vorweg: Ja, es ist gesetzlich kein Problem, WhatsApp für geschäftliche Zwecke DSGVO-konform zu nutzen.

 

Allerdings muss man einige Dinge beachten.

 

Wenn Unternehmen einen WhatsApp-Kanal eröffnen, beginnen sie ganz schnell viele Informationen über ihre Kunden zu sammeln:

  • Telefonnummern
  • Namen
  • Informationen wie Adressen, oder zur Nutzung (Dauer, Häufigkeit, etc.)
  • Standorte
  • Bestellverläufe
  • Kleider- bzw. Schuhgrößen
  • vielleicht sogar die Namen der Haustiere.

 

Natürlich spielen dann die Datenschutzgesetze der DSGVO auch bei WhatsApp eine Rolle. 

 

WhatsApp hat neben der privaten WhatsApp-App, die 99 % der Deutschen auf ihrem Smartphone haben, auch eine Business-App. 

 

WhatsApp Business erweitert die Funktionen der normalen App um einige, die die Arbeit von Unternehmen bei der WhatsApp-Kommunikation erleichtern.

 

Als nächstes zeigen wir euch, welche Probleme es beim Datenschutz auf WhatsApp Business gibt, was ihr beachten müsst und welche Lösungen es gibt.

 

Das erste Problem: WhatsApp's Server im EU-Ausland

Da WhatsApp ein US-Amerikanisches Unternehmen ist, gelangen die Daten deiner Kundinnen in ein Land außerhalb der EU und sind somit zunächst einmal nicht von der DSGVO geschützt. 

 

WhatsApp garantiert in seiner Datenschutzerklärung allerdings, dass alle Unterhaltungen, die in der Anwendung stattfinden, Ende-zu-Ende verschlüsselt sind. Außer deinem Unternehmen und der jeweiligen Kunden hat niemand Einblick in die Gesprächsinhalte - nicht WhatsApp, Meta oder sonstige Organisationen oder Behörden.

 

Nur die Metadaten, also Daten über die Unterhaltung, wie Dauer und Art der Unterhaltung, Standorte, Telefonnummern und mehr werden nicht verschlüsselt verarbeitet. Das führt uns zum nächsten Problem.

 

Das zweite Problem: Die unverschlüsselte Versendung von Metadaten ins EU-Ausland

Dieses Problem hat WhatsApp attackiert und versichert NutzerInnen und Unternehmen ihren Datenschutzbedingungen, dass ihre Metadaten nicht für gewerbliche Zwecke an andere Unternehmen des Meta-Konzerns oder staatliche Organe weitergeleitet werden.

 

Somit kann man sicher sein, dass auch die Metadaten der Kunden nicht zweckentfremdet werden, sobald diese dem Kontakt auf WhatsApp zustimmen (was sie durch das Kontaktieren deines Unternehmen auf der App stillschweigend tun). 

 

Wichtig ist aber noch, dass du in keinem Fall Daten von KundInnen mit WhatsApp teilst, die der Nutzung der App nicht zugestimmt haben. Das ist oft der Fall, wenn Unternehmen die Kontaktdaten auf einem Mobilen Endgerät mit WhatsApp synchronisieren und auch nicht WhatsApp-Kontakte in die an WhatsApp übermittelten Daten "hineinrutschen".

 

Das dritte Problem: Kontaktsynchronisierung mit WhatsApp auf mobilen Endgeräten

Vor allem für NutzerInnen der WhatsApp Business App, die eigens für die geschäftliche Nutzung von WhatsApp bereitgestellt wird, kann es häufig passieren, dass sich die App auf einem Geschäftshandy befindet, auf dem auch andere Kontakte, als die zur WhatsApp-Kommunikation gespeichert sind. 

 

Hier sind die Unternehmen selbst gefragt. Sie müssen sicherstellen, dass das nicht passiert. 

 

Am besten kannst du dieses Problem mit den folgenden Vorkehrungen lösen:

  1. Deaktiviere die Automatische Synchronisierung: In den Einstellungen deines Telefons kannst du die automatische Synchronisierung von Kontakten deaktivieren. Dadurch wird verhindert, dass WhatsApp automatisch deine Kontakte mit der App synchronisiert.
  2. Nutze ein separates WhatsApp-Handy: Statt ein Geschäftstelefon oder dein privates Smartphone für WhatsApp zu nutzen, solltest du dir ein Smartphone nur für die WhatsApp-Kommunikation anschaffen. Dadurch vermeidest du, dass die falschen Kontaktdaten auf das Handy gelangen.
  3. Schule deine Mitarbeiter: Zeige allen, die mit der WhatsApp Business-App arbeiten, wie sie die automatische Kontaktsynchronisierung abstellen und dass es wichtig ist, nicht private Endgeräte zu nutzen.

 

Da die WhatsApp Business-App sich vor allem an kleine und mittlere Unternehmen richtet, hält sich der Aufwand für DSGVO-konforme Chats noch in Grenzen. 

 

Anders sieht das aus, wenn man WhatsApp in einem größeren Unternehmen nutzen will.

 

WhatsApp in großen Unternehmen DSGVO-konform nutzen. Geht das?

Ja, Unternehmen können in WhatsApp DSGVO-konform arbeiten. Global agierende Unternehmen haben dieselben DSGVO-Verpflichtungen, wie kleine und mittlere Unternehmen (KMUs), wenn es um den Umgang mit EU-Bürgern geht.

 

Die Herausforderung hierbei besteht darin, einen globalen Kanal, mit vielen Dateneintritts- und -austrittspunkten 100% DSGVO-konform einzusetzen und zu verwalten. 

 

Um Sicherheitsrisiken durch unaufmerksame oder unwissende Mitarbeiter zu minimieren, empfehlen wir die WhatsApp Business Plattform (ehemals API) zu nutzen, wo gewährleistet werden kann, dass alle Daten auf europäischen Servern der DSGVO entsprechend verarbeitet werden.

 

WhatsApp Business-App vs Plattform (API): Was ändert sich hinsichtlich der DSGVO? 

Zunächst eine kurze Definition: Die WhatsApp Business App ist eine kostenlose App für kleine Unternehmen oder Einzelpersonen, die Nachrichten an eine kleine Anzahl von Personen senden. Die WhatsApp Business Plattform (ehemals WhatsApp Business API) ist eine reichlich ausgestattete technische Plattform für größere Unternehmen, die Nachrichten an hunderttausende Personen senden. Weitere Einzelheiten zu beiden Plattformen findest du hier. Die Softwarelösung von charles basiert auf der API und ist eine benutzerfreundliche, browserbasierte Benutzeroberfläche (UI), mit der du die Funktionen der API sowie Analyse- und Zusatzfunktionen nutzen kannst.

 

Was ändert sich hinsichtlich der DSGVO, wenn man die App oder die API nutzt?

  • Die Grundsätze sind die gleichen: Du musst dir immer erst ein Einverständnis in Form eines Opt-ins einholen und die Nutzerdaten sicher und verantwortungsbewusst verwalten.
  • Mit der API kannst du den Datenschutz besser automatisieren: Wer die WhatsApp Business-App nutzt, wird sehr viel Handarbeit anlegen müssen. Das gilt beispielsweise für das Einpflegen der Kundendaten in eine Datenbank und das Verwalten von Opt-ins, wenn diese z. B. entzogen werden. Mit der API kannst du dafür automatisierte Flows nutzen, die deine Unterhaltungen auf WhatsApp in jedem Fall absichern (z. B. durch Abfragen des Opt-in-Status). Auch die Abrufbarkeit von Kundendaten geht mit der API deutlich einfacher (wenn man ein Feature wie charles' Journeys nutzt).
  • Die Datenspeicherung ist sicherer über die API: Nutzerdaten müssen im Idealfall auf Servern in der EU gespeichert sein, um zu 100 % sichergehen zu können, dass sie DSGVO-konform behandelt werden. Mit der WhatsApp Business Plattform zur Verfügung gestellt von einem Business Solution Provider, der die Daten innerhalb der EU speichert, bist du auf der sicheren Seite. (natürlich nur für den Fall, dass dein Unternehmen nicht die On-Premises API nutzt und außerhalb der EU ansässig bist). Bei charles werden alle Daten in Frankfurt gespeichert, was unseren Kunden die Sicherheit gibt, DSGVO-konform zu sein. 

 

Hier, bei charles, baut unsere Softwarelösung für WhatsApp-Marketing auf der WhatsApp Business Plattform (API) auf und wir arbeiten mit mittleren bis großen Unternehmen zusammen. 

 

Wenn ihr mehr über den Datenschutz der WhatsApp Business-App erfahren möchtet, lest am Besten in diesem Artikel von WhatsApp weiter.

 

Diese Folgen der DSGVO sehen wir heute

🍪 Kennst du die Cookie-Popups, wenn du eine Webseite betrittst? Die DSGVO ist der Grund und gibt dir die Möglichkeit, deine Daten vor der Verwendung zu Marketingzwecken zu schützen.

🟩 Und diesen Haken bei Anmeldungsformularen, neben "Möchtest du Marketing-E-Mails erhalten"? Auch den gibt es wegen der DSGVO, um Spam zu bekämpfen (und der Haken darf nicht automatisch gesetzt sein ☝️)

✋ Die DSGVO ist außerdem der Grund, warum es einen Unsubscribe Button unter E-Mail-Newslettern gibt.

 

Auch in Bezug auf die Datentransparenz sind Unternehmen durch die DSGVO in der Bringschuld. Wenn sie von Kunden kontaktiert werden, die ihre Daten einsehen wollen oder die Löschung oder Aktualisierung fordern, sind die verpflichtet, dem Wunsch nachzukommen.

 

Das mag ein Pain-Point sein, aber die DSGVO stellt sicher, dass die Daten der EU-Bürger nicht missbraucht werden, die Unternehmen an Richtlinien gebunden sind und die Posteingänge spamfrei bleiben.

 

Obwohl die DSGVO ein EU-weites Gesetz ist, wird es von europäischen Firmen auch bei der Kundenkommunikation außerhalb der EU genutzt und von nicht europäischen Firmen als "Best Practice" befolgt.

 

Die Datenschutz-Grundverordnung gilt als der globale Gold-Standard des Datenschutzes. 

 

Auch deshalb fordern immer mehr Nicht-EU-Bürger, dass ihre Daten mit dem selben Respekt behandelt werden, wie durch die DSGVO verordnet.

 

Spam ist auch trotz der DSGVO möglich

Die DSGVO ist zwar ein Gesetz um Spam zu verhindern, aber es regelt nicht die Frequenz mit der Unternehmen mit Einverständnis des Nutzers E-Mail- oder WhatsApp-Newsletter versenden. 

 

Unternehmen sind angehalten das Einverständnis (Opt-in) einzuholen, ein Opt-out einfach zu gestalten und fair, transparent und sicher mit den Nutzerdaten umzugehen.

 

Wenn dein Unternehmen also ein Einverständnis erhalten hat, könntest du theoretisch Newsletter und Nachrichten im Minutentakt versenden. Bitte tu das nicht. Keiner möchte mit Sonderangeboten dauerbeschallt werden oder in einem Berg von Werbepost versinken. 

 

Natürlich würdest du das mit deinem kostbaren Kundenkontakten niemals tun. 😅 Aber diese Verantwortung Spam zu vermeiden, obliegt den Unternehmen und nicht der DSGVO.

 

Hier kannst du mehr über WhatsApp Spam nachlesen (auf Englisch).

 

WhatsApp und DSGVO zusammengefasst

Unternehmen in der EU müssen sich der DSGVO beugen. Andernfalls riskieren sie schwere Strafen. Aber auch immer mehr außerhalb der EU greifen die Standards der Datenschutz-Grundverordnung (auf englisch GDPR) auf, um Vertrauen bei ihren Kunden aufzubauen.

 

WhatsApp ist DSGVO-konform für Unternehmen. Egal ob KMUs oder große Unternehmen, wenn sie den Vorschriften der Europäischen Kommission folgen, steht der Nutzung von WhatsApp für die Kundenkommunikation nichts im Wege.

 

charles ist ein Softwareprovider für WhatsApp-Marketing mit Hauptsitz in der EU und großem Fokus auf die DSGVO. Die Vorkehrungen für die DSGVO-konforme Datenverwaltung sind in die Software bereits eingebaut und unsere Experten beraten tagtäglich Unternehmen in Datenschutzangelegenheiten. 

 

Unternehmen fällt es einfacher die DSGVO zu befolgen mit der WhatsApp Business Plattform (API). Vorausgesetzt der WhatsApp Business Solution Provider (BSP) hat seine Server in der EU und kennt sich mit Datenschutz aus.

 

Eine letzte Sache

Haftungsausschluss: Die Informationen in diesem Artikel beruhen auf unseren Erfahrungen und stellen keine Rechts- oder Datenschutzberatung dar. Umfassende Informationen über Ihre rechtlichen Verpflichtungen im Rahmen der DSGVO finden Sie auf der offiziellen Website der Europäischen Kommission zur DSGVO.

 

Wir hoffen, dass dieser Artikel hilft dir, den Zusammenhang zwischen WhatsApp und der DSGVO zu verstehen. Du willst mehr darüber erfahren, wie du die DSGVO einhalten kannst, dann buche deine unverbindliche Demo

FAQs zur DSGVO und WhatsApp

Ist WhatsApp für Unternehmen DSGVO-konform?

Ja, wenn du gewissenhafte Opt-in's und Opt-out's bereitstellst und verantwortungsvoll mit den persönlichen Daten deiner Kunden umgehst. Auch andere Aspekte spielen eine Rolle, besprich diese am Besten mit einem Experten von charles.

Ist die Nutzung von WhatsApp für Unternehmen legal? 

Ja, wenn du es richtig anstellst (siehe obere Frage). Trotzdem raten wir davon ab, die private WhatsApp-App für die interne Kommunikation bei der Arbeit zu nutzen.

Welches rechtliche Risiko gehe ich mit der Nutzung von WhatsApp für mein Unternehmen ein?

Wie bei allen anderen Kanälen auch, kann dich die Missachtung der DSGVO bis zu 20 Millionen Euro oder 4% deiner Einnahmen aus dem Vorjahr kosten. Vermutlich gibt es bei WhatsApp ein erhöhtes Risiko, weil es einfach ist Bildschirmaufnahmen zu machen und weiterzuversenden. Darüber hinaus können deine Kunden dich auf WhatsApp blocken, worunter dein WhatsApp Business Rating leiden kann.

Was ist der Unterschied zwischen der WhatsApp Business-App und der API hinsichtlich der DSGVO?

Für eine detaillierte Antwort kannst du oben im Artikel nachsehen aber kurz zusammengefasst: deine Verantwortungen sind unabhängig von der Plattform die gleichen. Die API hilft aber durch skalierbare Automatisierungen und der Speicherung der Daten auf EU-Servern während die App die Daten in der USA speichert. Das ist in Angesicht der DSGVO kritisch.

Ist WhatsApp DSGVO-konform?

Ja, aber es liegt an dir als Unternehmen die korrekten Maßnahmen zu ergreifen. WhatsApp bietet genügend Möglichkeiten, die Nutzung DSGVO-konform zu gestalten. Mehr erfährst du in unserem Artikel.



 


We hope this helps.

Want to see charles in action?

TRY IT OUT