Skip to main content

Soforthilfe vom Anwalt: Jetzt Kontakt aufnehmen

Datenschutzkonforme Nutzung von WhatsApp Business und WhatsApp-Channels

WhatsApp hat sich als zentrales Kommunikationsmittel für private Unterhaltungen etabliert – und auch rund 200 Millionen Unternehmen weltweit nutzen dieses Tool. Welche Möglichkeiten gibt es dafür, wie unterscheiden sich WhatsApp Business und WhatsApp-Channels? Und vor allem: Wie sieht es mit dem Datenschutz aus, wenn Unternehmen auf WhatsApp setzen? Mit Blick auf die DSGVO sind viele Betriebe unsicher, was erlaubt ist und wo möglicherweise rechtliche Grenzen überschritten werden. Die Fachanwälte von WBS.LEGAL haben langjährige Expertise in diesem Bereich und kennen die Antworten. Mit unseren Datenschutzpaketen sind Sie jederzeit auf der sicheren Seite – und der folgende Artikel verschafft Ihnen einen Überblick zum Thema.

Datenschutz Info

In der Kürze …

WhatsApp bietet verschiedene Möglichkeiten für Unternehmen, direkt mit Kunden zu kommunizieren – Die Einhaltung der Datenschutzgrundverodnung unterscheidet sich dabei.

Die WhatsApp-Business-App eignet sich vor allem für kleine Unternehmen und bietet aus DSGVO-Sicht einige Fallstricke

Die WhatsApp Business Plattform (API) ist mit Blick auf Datenschutz die sicherste Variante, um den Messenger als Unternehmen zu nutzen.

WhatsApp-Channel sind eine recht neue Funktion für Unternehmen, hier gibt es einige datenschutzrechtliche Risiken, da dieser Kommunikationsweg nur über die WhatsApp-Business-App zu nutzen ist.

Bei einem Verstoß gegen die DSGVO drohen hohe Bußgelder, weshalb es ratsam ist, von Beginn an auf die Begleitung durch erfahrene Fachanwälte zu setzen.

Wir sind bekannt aus


WhatsApp für Business: Der rechtliche Rahmen

Um Schritt für Schritt eine funktionierende und DSGVO-konforme Nutzung von WhatsApp Business oder WhatsApp-Channels aufzubauen, ist es zunächst wichtig, die juristischen Grundlagen zu kennen. Hier spielt vor allem die DSGVO eine Rolle: die Datenschutz-Grundverordnung. Diese Verordnung der Europäischen Union trat am 25. Mai 2018 in Kraft und verfolgt das Ziel, die Verarbeitung von personenbezogenen Daten einheitlich zu regeln. Sie gilt in der gesamten EU und damit auch in Deutschland. Alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, sind verpflichtet, die Vorgaben der DSGVO einzuhalten. Andernfalls drohen Bußgelder.

In Deutschland kommt zur DSGVO das BDSG hinzu, das Bundesdatenschutzgesetz, das die Bereiche regelt, in denen die DSGVO den EU-Mitgliedsstaaten individuellen Spielraum gewährt. Während der größte Teil der Regelungen zur Verarbeitung von personenbezogenen Daten in der DSGVO enthalten ist, bietet das BDSG einige Ergänzungen, zum Beispiel zu den Bestimmungen der Rechte von Betroffenen und Regelungen für Geldbußen bei Verstößen gegen den Datenschutz. Das gesamte Bundesdatenschutzgesetz ist online abrufbar.

Für Unternehmen ist es von großer Relevanz, diese Grundlagen zu kennen, wenn sie WhatsApp für Business-Zwecke einsetzen. Denn anders als bei der privaten Kommunikation über den Messenger müssen Unternehmen sicherstellen, dass sie personenbezogene Daten der Kunden und Kommunikationspartner rechtskonform verarbeiten. Dabei kommt es vor allem auf die Prinzipien der Rechtmäßigkeit, Zweckbindung, Datenminimierung und Transparenz an. Und hier kommen entscheidende Unterschiede bei den verschiedenen Möglichkeiten für die professionelle Nutzung von WhatsApp ins Spiel.

Während WhatsApp Business der klassischen App stark ähnelt, gibt es auch WhatsApp Business API – eine technische Schnittstelle, die es Unternehmen erlaubt, WhatsApp mit einem anderen Kommunikationstool zu koppeln. Neu hinzugekommen sind WhatsApp-Channels, und alle Varianten unterscheiden sich mit Blick auf Datenschutz und DSGVO stark – was es umso wichtiger macht, als Unternehmen hier eine wohlüberlegte und sauber aufgesetzte Kommunikationsstrategie zu entwickeln. Sonst kann es passieren, dass die Kommunikation mit Kunden inhaltlich erfolgreich über WhatsApp verläuft, aber später hohe Bußgelder drohen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Datenschutzkonforme Nutzung von WhatsApp Business

Greift die DSGVO bei der Nutzung von WhatsApp überhaupt? Häufig kommt das Argument auf, die DSGVO spiele bei dem Messenger keine Rolle, da alle Chats verschlüsselt sind und keine personenbezogenen Daten übermittelt werden. Jedoch gilt das nur für die Inhalte der Chats. Metadaten der Nutzer (Telefonnummer, Geräteinformationen, Standort usw.) kann WhatsApp jedoch einsehen – weshalb die Einhaltung des Datenschutzes bei der Nutzung äußerst relevant ist. Wer sich für die Nutzung von WhatsApp Business entscheidet, sollte also die folgenden Besonderheiten kennen.

Ein technisch sehr einfacher Weg, um WhatsApp im Unternehmenskontext einzusetzen, ist die Nutzung von WhatsApp Business. Hier können sich Unternehmen unkompliziert einen Business-Account einrichten und über ein Smartphone oder die Anwendung WhatsApp-Web direkt mit den Kunden in Kontakt treten. Der Vorteil: Die Kommunikation zwischen dem Unternehmen und Empfängern der Nachricht ist erlaubt und vorgesehen, so bietet WhatsApp Business einen Weg, um Marketing-Kampagnen auszuspielen oder Kundenanfragen zu beantworten. Allerdings: WhatsApp Business ist vor allem für kleine Unternehmen vorgesehen oder gar für Einzelunternehmer, die über diesen Weg kommunizieren möchten. Für große Unternehmen könnte WhatsApp Business API die bessere Variante sein (dazu später mehr).

Um WhatsApp Business möglichst DSGVO-konform zu nutzen und als Best-Practice-Beispiel voranzugehen, sind die folgenden Punkte entscheidend:

WhatsApp-Business-Konto einrichten

Nach dem Download der WhatsApp Business App auf ein Smartphone muss eine Telefonnummer registriert werden, die ausschließlich für geschäftliche Zwecke verwendet wird. Nun wird ein Unternehmensprofil erstellt, das die wichtigsten Informationen zum Unternehmen auf einen Blick zusammenstellt. Auch ein Link zum Impressum sollte hier enthalten sein, denn für einen WhatsApp-Business-Account gilt die Impressumspflicht.

Kundenzustimmung einholen

Für die Nutzung von WhatsApp Business ist es elementar, dass die Kunden diesem Service zustimmen. Dafür können Unternehmen ein Formular erstellen, in dem Kunden der Nutzung zustimmen können. Auch ein sogenannter Click-to-Chat-Link ist möglich, über den die Nutzer direkt das WhatsApp-Business-Angebot erreichen. Treten Kunden auf diesem Weg mit einem Unternehmen in Kontakt, gilt die Zustimmung als erteilt.

Transparente Kommunikation

Welche Daten werden gespeichert, für welche Dauer und zu welchem Zweck? Alle Kunden sollten über diese Informationen aufgeklärt sein, idealerweise über eine Datenschutzerklärung, die leicht zugänglich und verständlich formuliert ist. Es ist möglich, jedem neuen Nutzer im WhatsApp-Business-Chat zunächst den Link zur Datenschutzerklärung zu schicken – das erleichtert den Zugang.

Auftragsverarbeitungsvertrag abschließen

WhatsApp gilt als Drittanbieter, der in die Datenverarbeitung involviert ist, deshalb müssen Unternehmen einen Auftragsverarbeitungsvertrag (AVV) mit WhatsApp abschließen. Dieser stellt sicher, dass WhatsApp alle Daten nur unter Einhaltung der Datenschutzvorgaben verarbeitet.

Opt-out-Optionen anbieten

Jeder Nutzer sollte jederzeit die Möglichkeit haben, sich schnell und unkompliziert von der Kommunikation mit WhatsApp Business abzumelden. Das Unternehmen sollte anbieten, den jeweiligen Datensatz des Kunden in dieser Situation komplett zu löschen.

Mitarbeiter schulen

Es reicht nicht, den Service einmal DSGVO-konform aufzusetzen – alle Mitarbeiter, die mit WhatsApp Business arbeiten, sollten die rechtlichen Grundlagen kennen und einen Ansprechpartner haben, an den sie sich bei juristischen Unsicherheiten wenden können.

Umfassende Dokumentation und Speicherung

Unternehmen sollten eine Dokumentation über alle datenschutzrelevanten Vorgänge anlegen, einschließlich der Einwilligungen von Kunden und einen Überblick über die durchgeführten Sicherheitsmaßnahmen. Kundendaten sollten – zumindest für die gesetzlich vorgeschriebene Dauer – auf einem dauerhaften und sicheren Speicher erfasst werden.

Automatische Back-ups deaktivieren

WhatsApp bietet die Möglichkeit, alle Chat-Verläufe unverschlüsselt in der Cloud von Apple oder Google zu speichern. Diese Option sollten Unternehmen unbedingt deaktivieren, da sonst das Risiko besteht, dass Unbefugte auf die Inhalte zugreifen – die DSGVO-Konformität ist hier also nicht gewährleistet.

Insgesamt gilt, dass WhatsApp Business vor dem Hintergrund der DSGVO eher kritisch zu betrachten ist – denn hier gibt es einige Fallstricke und Details, die zu beachten sind. Auch die Möglichkeit des Zugriffs von WhatsApp auf die gespeicherten Kontaktdaten des Smartphones wird immer wieder kritisiert. Diese muss aktiv vom Nutzer eingeschränkt werden. Möchte ein Unternehmen also eine juristisch sichere Variante wählen, ist die WhatsApp Business App nicht unbedingt zu empfehlen – für eine individuelle Entscheidung lassen Sie sich am besten von einem erfahrenen Fachanwalt beraten.

WhatsApp Business Plattform (API): Die bessere Lösung in Sachen Datenschutz

Neben der Möglichkeit, WhatsApp Business für Unternehmen zu nutzen, gibt es die WhatsApp Business Plattform (API). Hierbei handelt es sich um eine Lösung für größere Unternehmen, die viele Nachrichten an eine große Zahl von Empfängern senden wollen. Während WhatsApp Business ähnlich bedient wird wie die private Version des Messengers, sieht es bei der API-Lösung anders aus: Sie bietet verschiedene Automatisierungslösungen und wird nicht von einem einzigen Smartphone aus bedient – durch die Kombination mit einem Marketing-Tool können beliebig viele Mitarbeiter vom Computer aus über den Kanal kommunizieren.

Was das mit Blick auf DSGVO und Datenschutz bedeutet: Die WhatsApp Business Plattform bietet hier die sauberste Lösung. Denn es handelt sich nicht um eine App. Die Daten der Kunden werden nicht von WhatsApp selbst, sondern von einem Drittanbieter (einem sogenannten Business Solution Provider, hier gibt es verschiedene Anbieter) verarbeitet. Unternehmen schließen den Auftragsverarbeitungsvertrag nicht mit WhatsApp, sondern mit dem Drittanbieter ihrer Wahl ab – und hier können sich Unternehmen für einen Dienstleister entscheiden, der alle Datenschutzansprüche rechtlich sicher erfüllt. Kundendaten können so auch auf EU-Servern gespeichert werden, um die DSGVO-Konformität zu wahren. Für große Unternehmen, die WhatsApp effektiv und juristisch sauber verwenden wollen, könnte diese Option also eine gute Wahl sein.

Sind WhatsApp-Channel DSGVO-konform?

Seit September 2023 gibt es bei WhatsApp eine weitere Funktion, die auch Unternehmen nutzen können: WhatsApp-Channel (oder: Kanäle). Diese werden nicht bei den üblichen Chats angezeigt, sondern auf der neuen Seite „Aktuelles“, die Statusmeldungen und Channel beinhaltet. Unternehmen können über ihre WhatsApp-Business-App hier einen Kanal erstellen und ihre Zielgruppe oder die Kunden so erreichen. Channel sind nicht wie eine Unterhaltung aufgebaut, hier ist nur eine einseitige Kommunikation möglich. Die Betreiber des Channels posten Bilder, Texte, Videos oder Sprachnachrichten, die Nutzer können nur in Form von Emojis reagieren. Welche Nutzung inhaltlich für Unternehmen sinnvoll ist, das testen viele Betriebe gerade – gleichzeitig besteht die Frage: Sind WhatsApp-Channel DSGVO-konform?

Ein Vorteil mit Blick auf den Datenschutz ist, dass die Follower eines Channels anonym bleiben. Sie teilen keine Inhalte, so gibt es keine Nachrichten, bei denen auf Verschlüsselung und sichere Speicherung geachtet werden muss. Gleichzeitig besteht die Herausforderung, dass Channels nur über die WhatsApp-Business-App bedient werden können – dass es hier trotz aller Bemühungen von Unternehmen Probleme mit der Datensicherheit geben kann, wurde bereits oben erläutert. WhatsApp hat die Möglichkeit, auf die Metadaten aller Nutzer zuzugreifen. Deshalb gilt die Grundstruktur der WhatsApp-Business-App nicht unbedingt als DSGVO-konform, weshalb es für Unternehmen herausfordernd ist, die Channel zu nutzen und gleichzeitig auf der sicheren Seite zu sein.

Da das Feature noch recht neu ist, ist es schwierig, Best-Practice-Beispiele zu zeigen, die erfolgreich und DSGVO-konform über WhatsApp-Channel kommunizieren. Wollen Sie diese Variante der Kommunikation dennoch testen, lohnt es sich, bei der Einrichtung auf juristische Unterstützung zu setzen.

DSGVO-Checkliste zur Datenschutzerklärung (nach Art. 13 DSGVO)

Möchten Sie die Checkliste ausdrucken oder für später speichern? Geben Sie einfach Ihre E-Mail-Adresse ein und wir schicken Ihnen die Checkliste zum Download kostenlos zu:

Einwilligung(erforderlich)
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Risiken und Herausforderungen bei der Nutzung von WhatsApp im Business

Sie haben nun gesehen: Die Nutzung von WhatsApp durch Unternehmen kann sich aus Marketingsicht nutzen, denn die App ist beliebt und wird von hunderten Millionen Nutzern weltweit täglich bedient. Gleichzeitig sind die Herausforderungen mit Blick auf den Datenschutz groß. Um die Vorgaben der DSGVO einzuhalten, ist die Nutzung der WhatsApp Business Plattform die beste Lösung, da es sich hierbei um ein Angebot handelt, das losgelöst von der WhatsApp-Business-App ist. Wer als (kleines) Unternehmen trotzdem die App nutzt, sollte unbedingt die zuvor vorgestellten Schritte einhalten und vor allem darauf achten, dass die automatische und unverschlüsselte Speicherung in der Cloud deaktiviert ist – ansonsten können Bußgelder drohen. Es ist auch ein Verstoß gegen die DSGVO, wenn ein Unternehmen Kunden via WhatsApp-Business-App anschreibt, ohne dass diese zuvor ausdrücklich zugestimmt haben. Auch wenn die Telefonnummern bekannt sind (beispielsweise durch das Anlegen eines Kundenkontos) berechtigt das Unternehmen nicht dazu, diese Kontakte in einen WhatsApp-Chat aufzunehmen. All diese Besonderheiten sollten Unternehmen kennen, um keinen (teuren) Verstoß gegen die Datenschutzrichtlinien zu verstoßen.

Wer das Thema DSGVO und die Besonderheiten bei der Nutzung von WhatsApp wirklich verstehen möchte, braucht langjährige juristische Expertise – für Laien sind all die Details kaum zu durchdringen. Wir von WBS.LEGAL sind gerne zur Beratung an Ihrer Seite und bieten verschiedene Datenschutzpakete zur Auswahl. Unsere spezialisierten Fachanwälte kennen alle Antworten auf Ihre Fragen in Sachen Datenschutz und unterstützen auch beim Datenschutzaudit. Wir kümmern uns nicht erst um Ihr Anliegen, wenn Sie durch eine Nutzung von WhatsApp, die nicht DSGVO-konform ist, Probleme haben: Auch die Beratung vor der Entscheidung, ob Sie diesen Kommunikationskanal nutzen, ist bei uns im Angebot. Melden Sie sich gern für eine kostenlose und unverbindlich Erstberatung, um herauszufinden, wie wir Sie in Sachen Datenschutz und WhatsApp unterstützen können.

FAQ – Die häufigsten Fragen zum Thema

Bei der Nutzung der WhatsApp-Business-App gibt es viele Bedenken und Besonderheiten, was den Datenschutz angeht. Wer als (kleines) Unternehmen diese Variante nutzt, sollte unbedingt darauf achten, alle relevanten Punkte einzuhalten – und sich idealerweise bereits von Beginn an juristische Unterstützung an die Seite holen. Die WhatsApp Business Plattform (API) ist eine professionalisierte Variante, die DSGVO-konform ist und Unternehmen mehr Möglichkeiten mit Blick auf die Inhalte und den Datenschutz gibt.
Wer als Unternehmen WhatsApp nutzt, muss die Datenschutzgrundverordnung (DSGVO) beachten – ansonsten drohen hohe Bußgelder. Problematisch bei der WhatsApp-Business-App sind unter anderem die voreingestellten automatischen und unverschlüsselten Back-ups aller Inhalte. Diese müssen unbedingt deaktiviert werden. Wer dieses (und weitere) Details nicht beachtet, kann datenschutzrechtliche Probleme bekommen.
Die Vorgaben der DSGVO schützen die Rechte von Nutzern in hohem Maße – wer dagegen verstößt, bekommt ein teures Bußgeld. Um dieses Risiko von Anfang an auszuschließen, ist es sinnvoll, bereits bei der Einrichtung des Kommunikationskanals auf die Unterstützung von erfahrenen Fachanwalt zu setzen. So ist die Nutzung von WhatsApp Business von Beginn an DSGVO-konform.

Aktuelle Artikel zum Thema Datenschutz


Arbeitgeberin deckt Diebstahl auf: Wann dürfen Gerichte Daten verwerten – EuGH muss entscheiden

  • 19.07.2024

Inhalt LAG macht Vorabentscheidungsverfahren am EuGH anhängig EuGH soll Klarheit über Bestimmtheit schaffen Eine Arbeitgeberin hatte den Verdacht, dass eine ehemalige Mitarbeiterin Firmeneigentum gestohlen und dann auf eBay verkauft hat. Um ihren Verdacht zu beweisen, verschafft sie sich Zugang zu dem eBay-Account der Mitarbeiterin. Nun möchte das LAG Niedersachen […]

Sicherheitslücke in Gefängnissen: Telefondaten von über 14.000 Häftlingen einsehbar

  • 28.06.2024

Für die Inhaftierte war es danke eines neuen Systems einfach, mal eben privat mit ihren Verwandten zu sprechen. Für die IT-Sicherheitsaktivistin Lilith Wittmann war es allerdings ebenso einfach auf sensible Daten des Systems zugreifen. Ein Daten-Skandal in deutschen Gefängnissen. Die Sicherheitsforscherin Lilith Wittmann hat ungeschützte Programmierschnittstellen in einer Kommunikationssoftware […]

DSGVO-Schadensersatz: EuGH stärkt erneut Verbraucherrechte

  • 20.06.2024

Inhalt Darum ging es in den Verfahren Befürchtung von Datenmissbrauch reicht aus für Schadensersatz EuGH zur Höhe des Schadensersatzes Auswirkungen auf die Facebook- und Deezer-Datenleck-Fälle: Der EuGH hat in zwei aktuellen Urteilen zu deutschen Fällen erneut die Verbraucherrechte im Hinblick auf den immateriellen Schadensersatz nach Verletzungen der DSGVO gestärkt: […]