WhatsApp Business und DSGVO: AV oder gemeinsame Verantwortung?

WhatsApp ist für viele Unternehmen längst mehr als ein privater Messenger. Kunden fragen nach Terminen, schicken Bilder, reklamieren Produkte, bitten um Angebote oder erwarten eine schnelle Rückmeldung. Für Unternehmen ist das attraktiv: WhatsApp ist niedrigschwellig, vertraut und wird täglich genutzt.

Datenschutzrechtlich ist der Einsatz aber anspruchsvoll. Besonders häufig stellt sich die Frage: Ist WhatsApp beim Einsatz von WhatsApp Business lediglich Auftragsverarbeiter oder liegt eine gemeinsame Verantwortlichkeit vor?

Die Antwort ist nicht mit einem einfachen „ja“ oder „nein“ zu geben. Entscheidend ist, welche WhatsApp-Lösung eingesetzt wird, welche Daten verarbeitet werden, zu welchem Zweck die Verarbeitung erfolgt und wer über die Mittel und Zwecke der Datenverarbeitung entscheidet.

Warum die Einordnung so wichtig ist

Die datenschutzrechtliche Rolle ist keine bloße Formalie. Sie entscheidet darüber, welche Verträge geschlossen werden müssen, wer Informationspflichten erfüllen muss und wer im Streitfall Verantwortung trägt.

Je nach Einordnung kommen insbesondere folgende Modelle in Betracht:

• eigene Verantwortlichkeit des Unternehmens
• Auftragsverarbeitung durch WhatsApp oder einen Dienstleister
• gemeinsame Verantwortlichkeit zwischen Unternehmen und Anbieter
• getrennte Verantwortlichkeiten für unterschiedliche Verarbeitungsvorgänge

Gerade der letzte Punkt wird in der Praxis häufig unterschätzt. Bei WhatsApp Business gibt es nicht „die eine“ Datenverarbeitung. Vielmehr können mehrere Verarbeitungsschritte nebeneinanderstehen, die rechtlich unterschiedlich zu bewerten sind.

WhatsApp Business ist nicht gleich WhatsApp Business

Für die rechtliche Bewertung muss zunächst sauber unterschieden werden. In der Praxis werden häufig verschiedene Produkte unter dem Begriff „WhatsApp Business“ zusammengefasst.

WhatsApp Business App

Die WhatsApp Business App ist vor allem für kleinere Unternehmen gedacht. Sie wird auf einem Smartphone installiert und funktioniert ähnlich wie der private WhatsApp-Messenger, bietet aber zusätzliche Unternehmensfunktionen.

Typisch sind etwa:

• Unternehmensprofil
• automatische Begrüßungsnachrichten
• Abwesenheitsnachrichten
• Schnellantworten
• Katalogfunktionen
• manuelle Kommunikation mit Kunden

Datenschutzrechtlich problematisch ist vor allem der mögliche Zugriff auf das Smartphone-Adressbuch. Werden Kontakte für WhatsApp freigegeben, ist das Unternehmen für diese Kontaktdaten datenschutzrechtlich verantwortlich. Das betrifft nicht nur Kunden, sondern gegebenenfalls auch Personen, die nie mit dem Unternehmen über WhatsApp kommuniziert haben. Deshalb sollte die WhatsApp Business App nicht mit einem allgemeinen oder privaten Adressbuch genutzt werden, sondern nur mit einem streng getrennten, bereinigten Kontaktbestand.

WhatsApp Business Platform / API

Die WhatsApp Business Platform wird typischerweise über professionelle Anbieter, CRM-Systeme, Helpdesk-Systeme oder sogenannte Business Solution Provider genutzt. Sie eignet sich eher für Unternehmen, die WhatsApp strukturiert in Kundenservice, Vertrieb oder Support einbinden möchten.

Typisch sind etwa:

• zentrale Verwaltung mehrerer Mitarbeiterzugänge
• Einbindung in CRM- oder Ticketsysteme
• technische Schnittstellen
• dokumentierte Prozesse
• Vorlagen für bestimmte Nachrichten
• bessere Steuerbarkeit von Löschung, Rollen und Zugriffen

Für Unternehmen ist diese Variante datenschutzrechtlich häufig besser steuerbar als die einfache Business App. Das liegt vor allem daran, dass regelmäßig kein privates Smartphone-Adressbuch eingebunden werden muss und sich Rollen, Berechtigungen, Löschprozesse und technische Schnittstellen besser organisieren lassen. Bei der Cloud API stellt Meta zudem eigene Datenschutzbedingungen bereit, nach denen WhatsApp für bestimmte Kundendaten als Auftragsverarbeiter tätig wird. Das bedeutet aber nicht, dass jeder Einsatz automatisch DSGVO-konform ist. Das Unternehmen bleibt für die eigene Kundenkommunikation, die Auswahl des Kanals, die Rechtsgrundlage, die Information der Betroffenen und die eingebundenen Dienstleister verantwortlich.

Wichtig ist außerdem: Bei der WhatsApp Business Platform können mehrere Beteiligte gleichzeitig eine Rolle spielen. Neben dem Unternehmen und WhatsApp können Business Solution Provider, CRM-Anbieter, Hosting-Anbieter oder Helpdesk-Systeme eingebunden sein. Für jeden dieser Beteiligten muss gesondert geprüft werden, ob er Auftragsverarbeiter, eigener Verantwortlicher oder in Ausnahmefällen gemeinsam Verantwortlicher ist. Eine pauschale Einordnung der gesamten WhatsApp-Nutzung reicht daher nicht aus.

Der zentrale Ausgangspunkt: Wer entscheidet über Zweck und Mittel?

Die DSGVO knüpft die Verantwortlichkeit daran, wer über die Zwecke und Mittel der Verarbeitung entscheidet.

Vereinfacht gesagt:

• Wer entscheidet, warum personenbezogene Daten verarbeitet werden, bestimmt den Zweck.
• Wer entscheidet, wie personenbezogene Daten verarbeitet werden, bestimmt die Mittel.
• Wer nur nach Weisung handelt, kann Auftragsverarbeiter sein.
• Wer eigene Zwecke verfolgt, ist regelmäßig selbst Verantwortlicher.
• Wer gemeinsam mit einem anderen über Zwecke und Mittel entscheidet, kann gemeinsam Verantwortlicher sein.

Für WhatsApp Business bedeutet das: Ein Unternehmen entscheidet meist selbst, dass es WhatsApp als Kommunikationskanal anbieten möchte. Es entscheidet auch, welche Kundenanfragen über WhatsApp bearbeitet werden, welche Mitarbeiter Zugriff erhalten und wie lange Kommunikation gespeichert wird. Damit ist das Unternehmen für diese Kommunikation grundsätzlich selbst verantwortlich.

Warum ein reiner AV-Vertrag oft zu kurz greift

Viele Unternehmen suchen nach einer einfachen Lösung: „Wir schließen einen AV-Vertrag mit WhatsApp, dann ist alles erledigt.“

Das greift zu kurz.

Ein Vertrag zur Auftragsverarbeitung kann nur solche Verarbeitungsvorgänge abdecken, bei denen der Anbieter tatsächlich weisungsgebunden für das Unternehmen handelt. Sobald der Anbieter personenbezogene Daten auch für eigene Zwecke verarbeitet, passt die Rolle des bloßen Auftragsverarbeiters nicht mehr ohne Weiteres.

Gerade bei Messenger-Diensten können neben der reinen Nachrichtenübermittlung weitere Datenverarbeitungen eine Rolle spielen, etwa:

• technische Bereitstellung des Dienstes
• Sicherheit und Missbrauchsbekämpfung
• Verwaltung von Konten
• Verarbeitung von Geräte- und Nutzungsdaten
• Verarbeitung von Kommunikationsmetadaten
• Analyse technischer Fehler
• Einhaltung rechtlicher Pflichten
• mögliche Produktverbesserung im Rahmen der Anbieterbedingungen

Diese Vorgänge müssen rechtlich getrennt betrachtet werden.

Auftragsverarbeitung: Wann kommt sie in Betracht?

Eine Auftragsverarbeitung liegt nahe, wenn WhatsApp oder ein zwischengeschalteter Dienstleister personenbezogene Daten für klar abgegrenzte technische Leistungen im Auftrag des Unternehmens verarbeitet. Dabei müssen WhatsApp selbst, ein Business Solution Provider, ein CRM-Anbieter und sonstige Dienstleister getrennt betrachtet werden. Ein Vertrag mit einem Dienstleister ersetzt nicht automatisch die Prüfung der Rolle von WhatsApp. Umgekehrt genügt ein WhatsApp-Datenschutzdokument nicht, wenn zusätzlich ein externer Plattformanbieter, ein CRM-System oder ein Support-Tool eingebunden wird.

Das kann insbesondere bei technischen Dienstleistungen relevant sein, etwa:

• Bereitstellung einer Kommunikationsschnittstelle
• Hosting bestimmter Nachrichteninhalte
• technische Weiterleitung von Nachrichten
• Anbindung an ein CRM-System
• Betrieb eines Support-Tools
• Verwaltung von Zugriffsrechten innerhalb einer vom Unternehmen genutzten Plattform, soweit der jeweilige Plattformanbieter diese Funktion tatsächlich im Auftrag des Unternehmens erbringt

In solchen Fällen kann eine Auftragsverarbeitung in Betracht kommen, wenn der Dienstleister:

• keine eigenen Zwecke verfolgt
• nur nach dokumentierter Weisung handelt
• ausreichende technische und organisatorische Maßnahmen zusichert
• Unterauftragsverarbeiter transparent einbindet
• Löschung und Rückgabe von Daten regelt
• Unterstützung bei Betroffenenrechten und Datenschutzvorfällen zusagt

Wichtig ist aber: Die bloße Bezeichnung als „Auftragsverarbeitung“ reicht nicht aus. Entscheidend ist die tatsächliche Datenverarbeitung.

Gemeinsame Verantwortlichkeit: Wann kommt sie in Betracht?

Eine gemeinsame Verantwortlichkeit kommt in Betracht, wenn zwei Stellen gemeinsam über Zwecke und Mittel einer Verarbeitung entscheiden. Das bedeutet nicht zwingend, dass beide Parteien gleich stark beteiligt sein müssen. Es genügt, wenn beide einen relevanten Einfluss auf die Verarbeitung haben und die Verarbeitung einem gemeinsamen oder eng verbundenen Zweck dient.

Beim Einsatz von WhatsApp Business kann gemeinsame Verantwortlichkeit diskutiert werden, wenn Unternehmen und Anbieter bei bestimmten Datenverarbeitungen funktional zusammenwirken und beide von der Verarbeitung profitieren.

Denkbar ist eine gemeinsame Verantwortlichkeit nur für konkret abgrenzbare Verarbeitungsvorgänge, bei denen Unternehmen und Anbieter tatsächlich gemeinsam über Zweck und wesentliche Mittel entscheiden. Nicht ausreichend ist allein, dass WhatsApp die technische Infrastruktur bereitstellt oder dass das Unternehmen WhatsApp als Kommunikationskanal auswählt. Verarbeitet WhatsApp Daten für eigene Zwecke, spricht dies häufig eher für eine eigenständige Verantwortlichkeit von WhatsApp für diese gesonderten Vorgänge. Eine gemeinsame Verantwortlichkeit sollte daher nur angenommen werden, wenn sich ein gemeinsamer Zweck und ein gemeinsames Zusammenwirken bei der konkreten Verarbeitung belastbar begründen lassen.

Ob tatsächlich gemeinsame Verantwortlichkeit vorliegt, hängt jedoch stark vom konkreten Verarbeitungsvorgang ab. Eine pauschale Einordnung wäre ungenau.

Eigene Verantwortlichkeit von WhatsApp

Neben Auftragsverarbeitung und gemeinsamer Verantwortlichkeit kann WhatsApp für bestimmte Verarbeitungsvorgänge auch eigenständig verantwortlich sein.

Das ist insbesondere naheliegend, wenn WhatsApp personenbezogene Daten für eigene Zwecke verarbeitet, etwa zur:

• Bereitstellung und Absicherung des Dienstes
• Missbrauchsbekämpfung
• Durchsetzung eigener Nutzungsbedingungen
• Erfüllung eigener rechtlicher Pflichten
• technischen Stabilität des Dienstes
• Verwaltung eigener Nutzerkonten

In diesen Bereichen entscheidet WhatsApp nicht lediglich nach Weisung des Unternehmens. Das Unternehmen kann diese Verarbeitungsvorgänge regelmäßig nicht vollständig steuern.

Die wahrscheinlich zutreffende Einordnung in der Praxis

Für die Praxis ist häufig eine differenzierte Betrachtung sachgerechter als eine einheitliche Zuordnung.

Beim Einsatz von WhatsApp Business können nebeneinander bestehen:

• eigene Verantwortlichkeit des Unternehmens für die Entscheidung, WhatsApp als Kommunikationskanal einzusetzen und Kundenanfragen darüber zu bearbeiten
• Auftragsverarbeitung für bestimmte technische Leistungen, insbesondere bei professionellen Plattform- oder API-Lösungen
• eigene Verantwortlichkeit von WhatsApp für bestimmte technische, sicherheitsbezogene oder dienstbezogene Verarbeitungsvorgänge
• mögliche gemeinsame Verantwortlichkeit für einzelne Verarbeitungsvorgänge, wenn Unternehmen und Anbieter gemeinsam auf Zwecke und Mittel einwirken

Für Unternehmen bedeutet das: Es reicht nicht, nur nach einem AV-Vertrag zu fragen. Erforderlich ist eine verarbeitungsvorgangsbezogene Prüfung.

Problemfeld Adressbuchabgleich

Besonders kritisch ist der Zugriff auf Kontakte im Smartphone. Wenn WhatsApp Zugriff auf das Adressbuch erhält, können auch Daten von Personen betroffen sein, die selbst gar keinen Kontakt mit dem Unternehmen aufgenommen haben.

Das betrifft etwa:

• Kunden
• Interessenten
• Lieferanten
• Mitarbeiter
• private Kontakte auf dienstlich genutzten Geräten
• Personen, die WhatsApp nicht nutzen

Hier entstehen erhebliche Risiken, weil das Unternehmen für sämtliche hochgeladenen oder synchronisierten Kontaktdaten eine Rechtsgrundlage benötigt und Informationspflichten erfüllen muss. Besonders problematisch ist dies bei Personen, die nie mit dem Unternehmen über WhatsApp kommuniziert haben oder WhatsApp selbst gar nicht nutzen. Ein allgemeiner Abgleich eines gemischten oder privaten Adressbuchs ist deshalb datenschutzrechtlich kaum vertretbar.

Deshalb sollte WhatsApp Business möglichst nicht mit einem unbereinigten Adressbuch genutzt werden. Besser ist ein technisches Setup, bei dem nur solche Kontakte verarbeitet werden, bei denen eine Kommunikation über WhatsApp tatsächlich vorgesehen ist.

Problemfeld Metadaten

Auch wenn WhatsApp-Nachrichten verschlüsselt übertragen werden, bleiben Metadaten datenschutzrechtlich relevant. Bei Business-Lösungen muss außerdem technisch genau geprüft werden, an welcher Stelle Nachrichten entschlüsselt, verarbeitet, gespeichert oder an angebundene Systeme weitergegeben werden. Gerade bei API-, Cloud- oder Plattformlösungen genügt deshalb nicht der pauschale Hinweis auf Verschlüsselung. Entscheidend ist die konkrete technische Architektur.

Metadaten und sonstige Begleitdaten können zum Beispiel betreffen:
• Telefonnummern
• Zeitpunkt der Kommunikation
• Häufigkeit der Kommunikation
• Geräteinformationen
• IP-Adressen
• Profilinformationen
• Zustell- und Lesestatus, soweit genutzt oder technisch verfügbar
• technische Nutzungsdaten

Diese Daten können aussagekräftig sein. Sie zeigen zwar nicht zwingend den Inhalt der Nachricht, können aber Rückschlüsse auf Kommunikationsverhalten und Kundenbeziehungen ermöglichen.

Für Unternehmen ist deshalb wichtig: Datenschutz endet nicht beim Nachrichteninhalt.

Rechtsgrundlage für die Kundenkommunikation

Das Unternehmen benötigt für die Kommunikation über WhatsApp eine Rechtsgrundlage. Je nach Fall kann insbesondere eine Verarbeitung zur Durchführung vorvertraglicher Maßnahmen oder zur Vertragserfüllung in Betracht kommen.

Das betrifft etwa:

• Terminabstimmungen
• Rückfragen zu einer Bestellung
• Support zu einem bestehenden Vertrag
• Bearbeitung einer konkreten Kundenanfrage
• Übermittlung notwendiger Serviceinformationen

In anderen Fällen kann eine Einwilligung erforderlich oder zumindest sinnvoll sein, etwa wenn WhatsApp für werbliche Kommunikation genutzt wird.

Besonders vorsichtig sollten Unternehmen sein bei:

• Newslettern
• Rabattaktionen
• Produktwerbung
• Reaktivierung inaktiver Kunden
• automatisierten Kampagnen
• Profilbildung
• Verarbeitung sensibler Inhalte

WhatsApp für Werbung: Besonders hohes Risiko

Werbliche Kommunikation über WhatsApp ist rechtlich besonders sensibel. Es geht dann nicht nur um Datenschutz, sondern auch um Wettbewerbsrecht.

Für Werbung per WhatsApp ist regelmäßig eine vorherige ausdrückliche Einwilligung erforderlich. Das gilt nicht nur datenschutzrechtlich, sondern auch wegen der Regeln zur elektronischen Direktwerbung. Unternehmen sollten deshalb ein belastbares Opt-in-Verfahren nutzen, den Inhalt der Einwilligung dokumentieren und den Widerruf jederzeit einfach ermöglichen. Diese Einwilligung sollte dokumentiert werden.

Sie sollte insbesondere erkennen lassen:

• wer einwilligt
• worin eingewilligt wird
• welche Kommunikationskanäle betroffen sind
• welche Inhalte versendet werden sollen
• wie der Widerruf möglich ist
• wann die Einwilligung erteilt wurde

Unklare oder pauschale Einwilligungen sind angreifbar. Formulierungen wie „Ich möchte informiert werden“ reichen für WhatsApp-Werbung häufig nicht aus.

Informationspflichten gegenüber Kunden

Unternehmen müssen transparent informieren, wenn sie WhatsApp Business einsetzen. Das sollte nicht versteckt oder unvollständig erfolgen.

Die Datenschutzerklärung sollte insbesondere erläutern:

• dass WhatsApp als Kommunikationskanal genutzt wird
• welche Daten verarbeitet werden
• zu welchen Zwecken die Verarbeitung erfolgt
• welche Rechtsgrundlagen herangezogen werden
• welche Empfänger oder Dienstleister beteiligt sind
• ob Daten in Drittländer übermittelt werden können
• wie lange Daten gespeichert werden
• welche Rechte Betroffene haben
• wie eine Einwilligung widerrufen werden kann
• welche Alternative zur Kommunikation über WhatsApp besteht

Wichtig ist: Kunden sollten nicht faktisch gezwungen werden, WhatsApp zu nutzen. Es sollte immer ein alternativer Kommunikationsweg angeboten werden.

Drittlandtransfer und internationale Datenübermittlung

Beim Einsatz von WhatsApp Business kann eine Übermittlung personenbezogener Daten in Drittstaaten eine Rolle spielen. Unternehmen sollten deshalb prüfen, ob ein Angemessenheitsbeschluss, geeignete Garantien oder andere Transfermechanismen vorliegen. Bei Übermittlungen in die USA kann insbesondere eine Zertifizierung nach dem EU-U.S. Data Privacy Framework relevant sein. Daneben können Standardvertragsklauseln und zusätzliche vertragliche oder technische Maßnahmen eine Rolle spielen. Entscheidend bleibt, welche Daten in welcher Konstellation an welche Gesellschaft oder welchen Dienstleister übermittelt werden.

Meta verweist in den Data Processing Terms auf Transfer Addenda und mögliche Unterauftragsverarbeiter auch außerhalb des Landes des Unternehmens, unter anderem wegen der globalen Natur des Dienstes.

In der Praxis sollte dokumentiert werden:

• welche Gesellschaft Vertragspartner ist
• wohin Daten übermittelt werden können
• welche Transfermechanismen eingesetzt werden
• ob zusätzliche Schutzmaßnahmen erforderlich sind
• wie die Risiken bewertet wurden
• welche Informationen den Betroffenen bereitgestellt werden

Eine pauschale Aussage, dass WhatsApp immer oder nie zulässig sei, wäre zu ungenau. Entscheidend ist die konkrete technische und vertragliche Ausgestaltung.

Business App oder Business Platform: Welche Lösung ist datenschutzrechtlich besser?

Aus Unternehmenssicht ist die WhatsApp Business Platform häufig besser beherrschbar als die einfache Business App. Das liegt vor allem daran, dass professionelle Plattformlösungen meist stärker administrierbar sind.

Vorteile können sein:

• keine Nutzung eines privaten Smartphone-Adressbuchs
• zentrale Verwaltung der Kommunikation
• bessere Rollen- und Rechtekonzepte
• bessere Dokumentation
• Anbindung an Löschkonzepte
• bessere Trennung zwischen privater und geschäftlicher Kommunikation
• nachvollziehbare Prozesse
• Einbindung professioneller Dienstleister

Das bedeutet aber nicht, dass jede API-Lösung automatisch DSGVO-konform ist. Auch hier müssen Verträge, Datenschutzhinweise, Rechtsgrundlagen, Löschfristen und Zugriffskonzepte geprüft werden.

Was Unternehmen vor dem Einsatz prüfen sollten

Vor dem Einsatz von WhatsApp Business sollte keine rein technische Entscheidung getroffen werden. Es braucht eine datenschutzrechtliche Vorprüfung.

Prüfen sollten Sie insbesondere:

• Welche WhatsApp-Variante soll eingesetzt werden?
• Welche personenbezogenen Daten werden verarbeitet?
• Werden nur Kunden kontaktiert, die selbst über WhatsApp schreiben?
• Werden Kontakte aktiv aus dem Unternehmen heraus angeschrieben?
• Wird das Smartphone-Adressbuch synchronisiert?
• Werden sensible Daten verarbeitet?
• Wird WhatsApp für Werbung genutzt?
• Gibt es eine alternative Kontaktmöglichkeit?
• Welche Dienstleister sind eingebunden?
• Liegt ein geeigneter Vertrag zur Auftragsverarbeitung vor?
• Gibt es Hinweise auf eigene Zwecke des Anbieters?
• Muss eine Vereinbarung über gemeinsame Verantwortlichkeit geschlossen werden?
• Sind Drittlandtransfers geregelt?
• Ist die Datenschutzerklärung angepasst?
• Gibt es ein Lösch- und Berechtigungskonzept?

Sensible Daten: Besondere Vorsicht

Besondere Vorsicht ist geboten, wenn über WhatsApp sensible Informationen ausgetauscht werden.

Das kann etwa betreffen:

• Gesundheitsdaten
• rechtliche Angelegenheiten
• Zahlungsprobleme
• Bewerbungsdaten
• Beschäftigtendaten
• Daten von Kindern
• Ausweisdokumente
• Fotos mit Personenbezug
• vertrauliche Vertragsunterlagen

In solchen Fällen sollte sehr genau geprüft werden, ob WhatsApp überhaupt der geeignete Kommunikationskanal ist. Bei Gesundheitsdaten, rechtlichen Angelegenheiten, Finanzdaten, Beschäftigtendaten, Bewerbungsunterlagen oder Daten von Kindern spricht häufig viel dafür, auf sicherere und besser kontrollierbare Kommunikationswege auszuweichen. Je sensibler die Daten, desto höher sind die Anforderungen an Rechtsgrundlage, Vertraulichkeit, Zugriffskontrolle, Löschung, Dokumentation und Transparenz.

Beschäftigtendaten und interne Nutzung

Viele Unternehmen denken bei WhatsApp zuerst an Kundenkommunikation. Datenschutzrechtlich relevant ist aber auch die interne Nutzung. Zusätzlich ist zu beachten, dass WhatsApp Business nach den Anbieterbedingungen gerade nicht als allgemeines internes Unternehmenskommunikationsmittel gedacht ist. Für Dienstpläne, Krankmeldungen, Beschäftigtendaten, Bewerberkommunikation oder vertrauliche interne Abstimmungen ist WhatsApp daher regelmäßig nicht der geeignete Standardkanal.

Die Business Terms sagen ausdrücklich, dass die Business Services nicht für intra-company usage intended sind und keine Zusicherung für Bereiche mit erhöhten Vertraulichkeitsanforderungen wie Healthcare, Financial oder Legal Services gegeben wird.

Problematisch kann es werden, wenn Mitarbeiter WhatsApp verwenden für:

• Dienstpläne
• Krankmeldungen
• interne Abstimmungen
• Kundendaten
• Fotos von Arbeitsunfällen
• Bewerberkommunikation
• vertrauliche Unternehmensinformationen

Bei Beschäftigtendaten gelten zusätzliche Anforderungen. Arbeitgeber sollten vermeiden, Mitarbeiter faktisch zur Nutzung privater WhatsApp-Konten oder privater Geräte zu drängen.

Sinnvoller sind klare dienstliche Kommunikationswege mit kontrollierbaren Zugriffsrechten.

Löschkonzept: Häufig übersehen, aber zentral

WhatsApp-Kommunikation darf nicht unbegrenzt gespeichert werden. Unternehmen müssen festlegen, wann Nachrichten gelöscht werden.

Ein Löschkonzept sollte insbesondere regeln:

• welche Nachrichten in die Kundenakte übernommen werden
• welche Nachrichten nur kurzfristig benötigt werden
• wann Chatverläufe gelöscht werden
• wer für die Löschung zuständig ist
• wie Löschung technisch umgesetzt wird
• wie Aufbewahrungspflichten berücksichtigt werden
• wie Auskunftsersuchen bearbeitet werden

Nicht jede WhatsApp-Nachricht muss dauerhaft archiviert werden. Umgekehrt dürfen geschäftsrelevante Inhalte nicht unkontrolliert verloren gehen. Hier braucht es ein ausgewogenes Konzept.

Zugriffskontrolle und Mitarbeiterberechtigungen

Wenn mehrere Mitarbeiter WhatsApp Business nutzen, muss geregelt werden, wer Zugriff auf welche Kommunikation erhält.

Wichtig sind insbesondere:

• individuelle Benutzerkonten
• Rollen- und Rechtekonzepte
• Zugriff nur nach Erforderlichkeit
• Protokollierung relevanter Vorgänge
• Schulung der Mitarbeiter
• klare Vorgaben zur Nutzung
• Verbot privater Kommunikation über dienstliche Kanäle
• Regelungen für Ausscheiden oder Rollenwechsel von Mitarbeitern

Gerade bei der einfachen Business App ist dies schwieriger umzusetzen als bei professionellen Plattformlösungen.

Datenschutz-Folgenabschätzung: Wann kann sie erforderlich sein?

Eine Datenschutz-Folgenabschätzung kann in Betracht kommen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Betroffene mit sich bringt.

Das kann insbesondere relevant werden bei:
• umfangreicher oder systematischer Verarbeitung sensibler Daten
• systematischer Auswertung von Kommunikations- oder Nutzungsdaten
• Profilbildung oder Scoring im Zusammenhang mit CRM-Daten
• automatisierten Kampagnen mit Segmentierung oder Verhaltensanalyse
• umfangreicher Verarbeitung von Metadaten mit Aussagekraft über Kommunikationsverhalten
• Kommunikation mit besonders schutzbedürftigen Personen
• Kombination von WhatsApp-Daten mit weiteren Kundendaten aus anderen Systemen

Eine bloße Nutzung von WhatsApp für einzelne einfache Kundenanfragen löst dagegen nicht automatisch eine Datenschutz-Folgenabschätzung aus.

Typische Fehler beim Einsatz von WhatsApp Business

In der Praxis wiederholen sich bestimmte Fehler.

Besonders riskant sind:

• Nutzung privater Smartphones für geschäftliche Kommunikation
• automatische Synchronisation des gesamten Adressbuchs
• fehlende oder unvollständige Datenschutzerklärung
• keine Prüfung der Rechtsgrundlage
• WhatsApp-Werbung ohne belastbare Einwilligung
• keine Alternative zur WhatsApp-Kommunikation
• fehlender AV-Vertrag mit Dienstleistern
• unklare Rollenverteilung zwischen Unternehmen, Anbieter und Plattform
• keine Löschfristen
• keine Mitarbeiterschulung
• Verarbeitung sensibler Daten ohne Schutzkonzept
• unkontrollierte Weiterleitung von Chat-Inhalten

Diese Fehler sind vermeidbar, wenn der Einsatz vorab rechtlich und technisch strukturiert wird.

Ist WhatsApp Business nun Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Die richtige Antwort lautet: Es kommt auf den konkreten Verarbeitungsvorgang an.

Für die reine technische Verarbeitung im Auftrag des Unternehmens kann Auftragsverarbeitung in Betracht kommen. Das gilt besonders bei bestimmten Plattform- oder API-Konstellationen.

Für Verarbeitungsvorgänge, bei denen WhatsApp eigene Zwecke verfolgt, spricht vieles eher gegen eine reine Auftragsverarbeitung.

Eine gemeinsame Verantwortlichkeit kann für einzelne Verarbeitungsvorgänge diskutiert werden, wenn Unternehmen und Anbieter gemeinsam Einfluss auf Zwecke und Mittel nehmen. Sie sollte aber nicht vorschnell angenommen werden, nur weil beide Parteien an der Kommunikation beteiligt sind.

In vielen Fällen wird eine kombinierte Betrachtung zutreffender sein:

• Das Unternehmen ist für seine Kundenkommunikation über WhatsApp selbst verantwortlich.
• Dienstleister können für bestimmte technische Leistungen Auftragsverarbeiter sein.
• WhatsApp kann für bestimmte eigene Zwecke selbst verantwortlich sein.
• Für einzelne Verarbeitungsvorgänge kann gemeinsame Verantwortlichkeit zu prüfen sein.

Was bedeutet das für die Vertragsgestaltung?

Unternehmen sollten nicht blind irgendein Datenschutzdokument akzeptieren. Entscheidend ist, ob die Verträge zur tatsächlichen Nutzung passen.

Erforderlich sein können insbesondere:

• Vertrag zur Auftragsverarbeitung
• Vereinbarung über Unterauftragsverarbeiter
• Regelungen zu Drittlandtransfers
• technische und organisatorische Maßnahmen
• Vereinbarung über gemeinsame Verantwortlichkeit, soweit einschlägig
• interne Datenschutzrichtlinie
• Einwilligungstexte für werbliche Kommunikation
• angepasste Datenschutzerklärung
• dokumentierte Interessenabwägung, soweit erforderlich

Die Vertragslage sollte zur technischen Realität passen. Ein AV-Vertrag löst kein Rollenproblem, wenn der Anbieter personenbezogene Daten tatsächlich für eigene Zwecke verarbeitet.

Handlungsempfehlung für Unternehmen

Wer WhatsApp Business rechtssicher einsetzen möchte, sollte strukturiert vorgehen.

Sinnvoll ist insbesondere:

• bevorzugt professionelle Business-Platform- oder API-Lösungen prüfen
• keine privaten Geräte oder privaten Adressbücher nutzen
• Kontaktsynchronisation vermeiden oder streng begrenzen
• Kunden transparent informieren
• alternative Kommunikationswege anbieten
• Werbung nur mit belastbarer Einwilligung versenden
• sensible Daten möglichst nicht über WhatsApp abwickeln
• WhatsApp-Bedingungen, Data Processing Terms, mögliche Transferregelungen sowie Verträge mit Business Solution Providern, CRM-Anbietern und sonstigen Dienstleistern prüfen
• Rollenverteilung dokumentieren
• Löschfristen festlegen
• Mitarbeiter schulen
• technische Zugriffskontrollen einrichten
• Datenschutz-Folgenabschätzung prüfen
• Verarbeitungstätigkeit im Verzeichnis dokumentieren

Fazit: WhatsApp Business ist möglich, aber nicht ohne Datenschutzkonzept

WhatsApp Business kann für Unternehmen ein wertvoller Kommunikationskanal sein. Die datenschutzrechtliche Einordnung ist aber komplexer, als es auf den ersten Blick scheint.

Die Frage „Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?“ lässt sich nicht pauschal beantworten. Häufig müssen mehrere Verarbeitungsvorgänge getrennt betrachtet werden.

Für Unternehmen ist entscheidend: Wer WhatsApp Business einsetzt, bleibt für die eigene Entscheidung über diesen Kommunikationskanal und für die konkrete Kundenkommunikation verantwortlich. Bei bestimmten technischen Leistungen kann Auftragsverarbeitung vorliegen, insbesondere bei Plattform-, Cloud- oder Dienstleisterkonstellationen. Daneben können WhatsApp oder weitere Anbieter für eigene Verarbeitungsvorgänge selbst verantwortlich sein. Eine gemeinsame Verantwortlichkeit sollte nur angenommen werden, wenn bei einem konkreten Verarbeitungsvorgang tatsächlich gemeinsam über Zweck und wesentliche Mittel entschieden wird. Ein AV-Vertrag ist daher wichtig, ersetzt aber keine vollständige Prüfung von Rechtsgrundlage, Transparenz, Drittlandtransfer, Löschung, Zugriffskontrolle und technischer Architektur.

Wer WhatsApp Business professionell nutzen möchte, sollte daher nicht nur auf Nutzerfreundlichkeit achten, sondern auch auf eine belastbare rechtliche Struktur. Genau hier entstehen in der Praxis die meisten Risiken – und genau hier lohnt sich eine sorgfältige Prüfung vor dem Einsatz.