WhatsApp und die EU-DSGVO - kann ich WhatsApp zur internen Kommunikation in meinem Business verwenden?
Mit seinen über zwei Milliarden Nutzern ist WhatsApp inzwischen aus der privaten Kommunikation nicht mehr wegzudenken. Da liegt es fast schon auf der Hand, dass WhatsApp oft auch für die unternehmensinterne Kommunikation verwendet werden soll. Doch leider ist WhatsApp datenschutzrechtlich nicht unproblematisch, denn WhatsApp gleicht die Kontaktdaten im Adressbuch ab. Außerdem steht hinter WhatsApp die Meta Platforms, Inc. - die Muttergesellschaft von Facebook, die nicht unbedingt für vorbildlichen Datenschutz bekannt ist.
Bild: WhatsApp
In diesem Artikel werden wir die DSGVO-Konformität von WhatsApp für die unternehmensinterne Kommunikation näher beleuchten.
Private Kommunikation mittels WhatsApp
Vorweg möchten wir klarstellen: Die private Kommunikation mittels WhatsApp ist aus datenschutzrechtlicher Sicht unproblematisch, da die EU-DSGVO für rein private Kommunikation nicht anwendbar ist. Sobald WhatsApp jedoch (auch) für gewerbliche Zwecke verwendet wird, ist der sachliche Anwendbarkeit der EU-DSGVO in der Regel eröffnet und es gelten die nun folgenden Ausführungen.
Das Problem des automatischen Kontaktdatenabgleichs
Problematisch an der Nutzung von WhatsApp in Unternehmen ist der automatische Kontaktdatenabgleich mit den Servern von Meta (ehemals Facebook), der Muttergesellschaft von WhatsApp Inc. Dieser Prozess erfolgt, wenn Nutzer WhatsApp auf ihren Geräten installieren und die App Zugriff auf ihr Adressbuch erhalten. Dabei werden die Telefonnummern der Kontakte an die Server von Meta übertragen, um festzustellen, welche Kontakte ebenfalls WhatsApp nutzen. Diese Datenübertragung ist integraler Bestandteil der Funktionsweise von WhatsApp, da sie die Grundlage für die schnelle und einfache Vernetzung der Nutzer untereinander bildet. WhatsApp bietet zwar auch die Möglichkeit an, den Kontaktdatenabgleich zu deaktivieren. Allerdings lässt sich WhatsApp dann nur noch sehr eingeschränkt verwenden, weil Sie dann keine Chats mehr selbst initiieren können.
Rechtsgrundlage für den automatischen Kontaktdatenabgleich?
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) erfordert für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. vgl. Art. 6 Abs. 1 EU-DSGVO. Die Verwendung von WhatsApp für die interne Kommunikation in Unternehmen wirft damit die Frage auf, welche Rechtsgrundlage für den Kontaktdatenabgleich herangezogen werden kann. Steifen wir also tiefer in die Prüfung ein, um zu verstehen, ob WhatsApp zur unternehmensinternen Kommunikation verwendet werden kann oder nicht. Als Rechtsgrundlage kommt hier die Einwilligung gem. Art. 6 Abs. 1 lit. a EU-DSGVO in Betracht und die Verarbeitung auf Basis einer Einwilligung (lit. a) oder die Verarbeitung zur Wahrung berechtigter Interessen gem. Art. 6 Abs. 1 lit. f EU-DSGVO. Die Verarbeitung auf der Grundlage berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO setzt voraus, dass die Interessen des Verantwortlichen an der Datenverarbeitung die Grundrechte und Freiheiten der betroffenen Person nicht überwiegen. Damit ist das wirtschaftliche Interesse des Unternehmens mit dem Grundrecht auf informationelle Selbstbestimmung des Betroffenen abzuwägen, wonach der Betroffene selbst darüber bestimmen kann, welche Daten über ihn (generischer Maskulinum, wie übrigens im gesamten Text) veröffentlicht werden. Ein solches überwiegendes Interesse des Verantwortlichen dürfte jedoch nicht vorliegen. Im Kontext des Kontaktdatenabgleichs durch WhatsApp ist insbesondere die Übertragung von Daten von Personen, die WhatsApp selbst nicht nutzen, problematisch. Diese Personen haben keinerlei Verbindung zu WhatsApp oder Meta und wollen WhatsApp vermutlich auch nicht verwenden. Andererseits haben sie auch keine Möglichkeit, auf den Kontaktdatenabgleich Einfluss zu nehmen. Daher überwiegt das informationelle Selbstbestimmungsrecht der Betroffenen, die WhatsApp selbst nicht einsetzen. Mithin kann ein überwiegendes Interesse von WhatsApp am Kontaktdatenabgleich nicht begründet werden; das überwiegende Interesse gem. Art. 6 Abs. 1 lit. f EU-DSGVO kann nicht Rechtsgrundlage sein. Vielmehr ist eine Einwilligung nach Art. 6 Abs. 1 lit. a EU-DSGVO erforderlich. Eine solche Einwilligung muss konkret und informiert sein. Das würde bedeuten, dass die Kontakte im Adressbuch des WhatsApp - Nutzers über den Kontaktdatenabgleich im Vorfeld einwilligen müssen. In der Praxis dürfte das jedoch kaum möglich sein. Daher lässt sich bereits sagen: Weil die Nutzung von WhatsApp nicht auf ein berechtigtes Interesse gestützt werden kann, sollte WhatsApp zur unternehmensinternen Kommunikation nicht verwendet werden.
Auftragsverarbeitungsvertrag
Dazu kommt, dass WhatsApp in seinen AGB die geschäftliche Nutzung von WhatsApp nicht erlaubt. Vor diesem Hintergrund bietet WhatsApp auch keinen Auftragsverarbeitungsvertrag an - die EU-DSGVO ist, wie gesagt gar nicht anwendbar.
Ist WhatsApp Business die Lösung?
Die gute Nachricht zuerst: WhatsApp Business bietet einen Auftragsverarbeitungsvertrag für Unternehmenskunden an. Dieser Auftragsverarbeitungsvertrag weist allerdings Schwächen auf. Ob er alle Anforderungen der EU-DSGVO erfüllt, ist offen. Abgesehen davon besteht auch bei WhatsApp Business das Problem des automatischen Kontaktdatenabgleichs. Daher kann auch WhatsApp Business nicht zur unternehmensinternen Kommunikation verwendet werden. WhatsApp Business ist auch gar nicht für die unternehmensinterne Kommunikation konzipiert. Es dient vielmehr der Kommunikation mit den Kunden. So können beispielsweise Liederstatusmeldungen und Supportnachrichten automatisiert versandt werden. Wenn Sie dem Kunden auf Ihrer Webseite die Kontaktaufnahme über WhatsApp Business ermöglichen, können Sie davon ausgehen, dass er seine Einwilligung gegeben hat.
WhatsApp sollte, wenn überhaupt nur zur Kommunikation mit Kunden verwendet werden. Dafür eignet sich nur die Business Version und nicht die kostenlose Standardversion.
Benötigen Sie dennoch Hilfe? Kein Problem!
Das könnte Sie auch interessieren: