WhatsApp im Unternehmen DSGVO-konform nutzen?
WhatsApp ist schnell, bequem und fast jeder nutzt es. Genau deshalb greifen viele Unternehmen im Alltag auf den Messenger zurück: Kunden schreiben eine kurze Nachricht, Mitarbeiter stimmen sich intern ab, Bewerber senden Unterlagen, Handwerker schicken Fotos von der Baustelle, Ärzte erinnern an Termine, Händler beantworten Produktfragen.
Was privat selbstverständlich wirkt, kann im Unternehmen jedoch schnell zum Datenschutzproblem werden.
Denn sobald ein Unternehmen WhatsApp beruflich einsetzt, geht es nicht mehr um rein private Kommunikation. Es werden personenbezogene Daten verarbeitet. Damit gilt die DSGVO. Und genau hier beginnt das eigentliche Problem: WhatsApp ist nicht automatisch DSGVO-konform, nur weil der Kunde den Messenger selbst nutzt.
Viele Unternehmen unterschätzen dieses Risiko. Sie glauben, es reiche aus, dass der Kunde freiwillig über WhatsApp schreibt. Oder sie gehen davon aus, dass eine Ende-zu-Ende-Verschlüsselung alle datenschutzrechtlichen Fragen löst. Beides ist zu kurz gedacht.
Die entscheidende Frage lautet daher nicht: „Ist WhatsApp praktisch?“
Die entscheidende Frage lautet: Kann Ihr Unternehmen den Einsatz von WhatsApp datenschutzrechtlich sauber kontrollieren, dokumentieren und begründen?
Warum WhatsApp im Unternehmen datenschutzrechtlich so heikel ist
Private WhatsApp-App, WhatsApp Business App und WhatsApp Business Platform: Der Unterschied ist entscheidend
Welche personenbezogenen Daten werden bei WhatsApp im Unternehmen verarbeitet?
Reicht die Einwilligung des Kunden aus?
WhatsApp für Kundenservice: Möglich, aber nicht ohne Regeln
WhatsApp im B2B-Bereich
WhatsApp in der internen Mitarbeiterkommunikation
WhatsApp und Bewerbungen
WhatsApp und Rechtsanwälte, Steuerberater, Versicherungen und Finanzdienstleister
Braucht man eine Einwilligung vor der ersten WhatsApp-Nachricht?
WhatsApp-Marketing: Besonders riskant
WhatsApp-Gruppen mit Kunden: Meist keine gute Idee
WhatsApp auf privaten Mitarbeiterhandys
Diensthandys sind besser, aber nicht automatisch ausreichend
Auftragsverarbeitung: Warum der Vertrag wichtig ist
Drittlandübermittlungen: Ein weiterer Risikofaktor
Auskunftsansprüche nach der DSGVO
Datenschutz-Folgenabschätzung: Wann sie erforderlich sein kann
WhatsApp und künstliche Intelligenz
Was droht bei Datenschutzverstößen?
Typische Fehler von Unternehmen
Wann kann WhatsApp im Unternehmen eher vertretbar sein?
Wann sollte ein Unternehmen besser auf WhatsApp verzichten?
Praktische Checkliste für Unternehmen
Interne Richtlinie für WhatsApp: Was sollte geregelt werden?
Kunden richtig informieren
DSGVO-konforme WhatsApp-Nutzung: Gibt es das überhaupt?
Fazit: WhatsApp ist bequem, aber kein rechtsfreier Raum
Warum WhatsApp im Unternehmen datenschutzrechtlich so heikel ist
WhatsApp ist für die schnelle Kommunikation gemacht. Die DSGVO verlangt dagegen Kontrolle, Transparenz, Zweckbindung, Datenminimierung, Löschkonzepte, Rechtsgrundlagen, Informationspflichten und technische sowie organisatorische Schutzmaßnahmen.
Diese beiden Welten passen nicht immer gut zusammen.
Besonders problematisch sind im Unternehmensalltag häufig folgende Punkte:
• Kontaktdaten aus dem Adressbuch können betroffen sein
• Kommunikationsinhalte können personenbezogene Daten enthalten
• Metadaten entstehen auch dann, wenn Nachrichten verschlüsselt sind
• Mitarbeiter nutzen häufig private Geräte oder private Accounts
• Kunden schicken sensible Informationen, obwohl der Kanal dafür nicht gedacht ist
• Unternehmen können Lösch- und Dokumentationspflichten oft nicht sauber erfüllen
• Die Trennung zwischen privater und geschäftlicher Kommunikation verschwimmt
• Es ist nicht immer klar, welche Daten Meta zu eigenen Zwecken verarbeitet
Gerade der letzte Punkt ist rechtlich relevant. Bei der DSGVO reicht es nicht aus, dass Nachrichteninhalte verschlüsselt übertragen werden. Datenschutz betrifft nicht nur den Inhalt einer Nachricht. Auch Telefonnummern, Profilnamen, Zeitpunkte der Kommunikation, Geräteinformationen, IP-Adressen, Nutzungsdaten und Kontaktbeziehungen können personenbezogene Daten sein.
Die Ende-zu-Ende-Verschlüsselung löst daher nicht das gesamte Datenschutzproblem.
Sie schützt vor dem Mitlesen bestimmter Inhalte. Sie beantwortet aber nicht automatisch die Frage, ob die Verarbeitung der übrigen Daten zulässig, transparent und kontrollierbar ist.
Private WhatsApp-App, WhatsApp Business App und WhatsApp Business Platform: Der Unterschied ist entscheidend
Viele Unternehmen sprechen pauschal von „WhatsApp“. Datenschutzrechtlich muss jedoch sauber unterschieden werden.
Es gibt vor allem drei Varianten:
• die normale private WhatsApp-App
• die WhatsApp Business App
• die WhatsApp Business Platform beziehungsweise API-Lösung
Diese Unterscheidung ist für die rechtliche Bewertung zentral.
Die normale private WhatsApp-App im Unternehmen
Die normale WhatsApp-App ist keine professionelle Unternehmenslösung. Sie bietet Unternehmen insbesondere nicht dieselben Steuerungs-, Vertrags-, Rollen- und Administrationsmöglichkeiten wie die Business-Lösungen. Wird sie dennoch für geschäftliche Kommunikation eingesetzt, entstehen erhebliche Datenschutzrisiken.
Das betrifft insbesondere Fälle, in denen Mitarbeiter ihr privates Smartphone verwenden und darüber mit Kunden, Lieferanten, Kollegen oder Geschäftspartnern kommunizieren. Häufig befindet sich auf diesem Gerät ein privates Adressbuch mit zahlreichen Kontakten, die mit dem Unternehmen nichts zu tun haben.
Das Unternehmen kann dann regelmäßig kaum kontrollieren,
• welche Kontakte auf dem Gerät gespeichert sind,
• ob WhatsApp Zugriff auf das Adressbuch erhält,
• welche Daten synchronisiert werden,
• ob private und geschäftliche Kommunikation sauber getrennt sind,
• ob Nachrichten später gelöscht werden,
• ob Backups erstellt werden,
• ob Daten auf private Cloud-Dienste gelangen,
• ob ausgeschiedene Mitarbeiter weiterhin Zugriff auf geschäftliche Chats haben.
Die Nutzung der normalen privaten WhatsApp-App für Unternehmenskommunikation ist daher datenschutzrechtlich besonders riskant.
In vielen Konstellationen wird sie kaum sauber zu rechtfertigen sein. Das gilt erst recht, wenn Kundenkommunikation, Bewerberdaten, Gesundheitsdaten, Vertragsdaten, Reklamationen, Zahlungsinformationen oder interne Geschäftsgeheimnisse betroffen sind.
Die WhatsApp Business App
Die WhatsApp Business App wirkt auf den ersten Blick wie die naheliegende Lösung. Sie bietet ein Unternehmensprofil, automatische Antworten, Labels und weitere Funktionen für kleinere Unternehmen.
Datenschutzrechtlich ist sie aber nicht automatisch unproblematisch.
Auch hier stellt sich unter anderem die Frage,
• ob Kontaktdaten aus dem Adressbuch verarbeitet werden,
• ob und in welchem Umfang die WhatsApp Business Data Processing Terms wirksam einbezogen sind und welche Daten hiervon tatsächlich erfasst werden,
• welche Daten Meta zu eigenen Zwecken nutzt,
• ob die Informationspflichten gegenüber Kunden erfüllt werden,
• ob Löschfristen eingehalten werden können,
• ob Mitarbeiterzugriffe kontrolliert werden,
• ob die App auf privaten Geräten eingesetzt wird,
• ob sensible Daten über diesen Kanal verarbeitet werden.
Gerade kleine Unternehmen greifen häufig zur WhatsApp Business App, ohne ein Datenschutzkonzept zu haben. Das ist gefährlich. Denn die geschäftliche Nutzung eines Messengers ist keine Nebensache. Sie ist eine Verarbeitung personenbezogener Daten im Verantwortungsbereich des Unternehmens.
Auch bei der WhatsApp Business App bleibt das Unternehmen datenschutzrechtlich verantwortlich.
Es genügt nicht, auf Meta oder WhatsApp zu verweisen. Das Unternehmen muss selbst prüfen, ob der konkrete Einsatz zulässig ist.
Die WhatsApp Business Platform beziehungsweise API-Lösung
Die WhatsApp Business Platform wird häufig als datenschutzrechtlich vorzugswürdige Lösung angesehen, weil sie eher für professionelle Unternehmenskommunikation konzipiert ist.
Der große praktische Unterschied liegt darin, dass sie typischerweise über einen professionellen Anbieter eingebunden wird. Dadurch lassen sich bestimmte Datenschutzanforderungen besser abbilden, etwa:
• zentrale Verwaltung der Kommunikation,
• Verzicht auf private Mitarbeitergeräte,
• bessere Zugriffskontrolle,
• Rollen- und Rechtekonzepte,
• dokumentierte Prozesse,
• Einbindung in CRM- oder Ticketsysteme,
• definierte Lösch- und Aufbewahrungskonzepte,
• Abschluss von Verträgen zur Auftragsverarbeitung,
• bessere Nachvollziehbarkeit der Kommunikation.
Das bedeutet aber nicht, dass jede API-Nutzung automatisch DSGVO-konform ist. Auch hier muss der konkrete Einsatz geprüft werden.
Die WhatsApp Business Platform kann ein Baustein für eine datenschutzkonforme Lösung sein. Sie ersetzt aber kein Datenschutzkonzept.
Entscheidend ist, wie der Kanal eingebunden wird, welche Daten verarbeitet werden, welche Anbieter beteiligt sind, welche Informationen Kunden erhalten und ob eine tragfähige Rechtsgrundlage besteht.
Welche personenbezogenen Daten werden bei WhatsApp im Unternehmen verarbeitet?
Bei WhatsApp-Kommunikation können deutlich mehr Daten betroffen sein, als viele Unternehmen zunächst annehmen.
Dazu gehören insbesondere:
• Name des Kunden,
• Telefonnummer,
• Profilbild,
• WhatsApp-Name,
• Chatinhalte,
• Sprachnachrichten,
• Bilder,
• Videos,
• Dokumente,
• Vertragsdaten,
• Bestelldaten,
• Lieferdaten,
• Rechnungsdaten,
• Beschwerden,
• Termindaten,
• Standortdaten,
• technische Nutzungsdaten,
• Kommunikationszeitpunkte,
• Geräteinformationen,
• IP-Adressen,
• Informationen über Kontaktbeziehungen.
Je nach Branche können auch besonders sensible Daten betroffen sein. Das gilt etwa bei Ärzten, Therapeuten, Apotheken, Pflegeeinrichtungen, Rechtsanwälten, Steuerberatern, Versicherungen, Finanzdienstleistern, Schulen, Arbeitgebern oder Beratungsstellen.
Hier kann es schnell um Informationen gehen wie:
• Gesundheitsdaten,
• Diagnosen,
• Medikamente,
• Arbeitsunfähigkeiten,
• Lohn- und Gehaltsdaten,
• Bewerbungsunterlagen,
• Schulden,
• familiäre Konflikte,
• rechtliche Streitigkeiten,
• Versicherungsfälle,
• Ausweisdokumente,
• Bankverbindungen.
Je sensibler die Daten, desto höher sind die Anforderungen an die Zulässigkeit und Sicherheit des Kommunikationskanals.
Ein kurzer WhatsApp-Chat kann dann datenschutzrechtlich erheblich mehr Gewicht haben, als es im Alltag erscheint.
Reicht die Einwilligung des Kunden aus?
Viele Unternehmen verlassen sich auf folgenden Gedanken: „Der Kunde schreibt uns doch freiwillig über WhatsApp. Dann wird das schon erlaubt sein.“
So einfach ist es nicht.
Eine Einwilligung kann eine Rechtsgrundlage sein. Sie muss aber bestimmte Anforderungen erfüllen. Sie muss insbesondere freiwillig, informiert, konkret und nachweisbar sein. Außerdem muss der Kunde wissen, worin er einwilligt.
Problematisch wird es, wenn Unternehmen WhatsApp faktisch als einzigen oder bevorzugten Kommunikationsweg anbieten. Dann kann fraglich sein, ob die Einwilligung wirklich freiwillig ist. Wird die Nutzung von WhatsApp auf eine Einwilligung gestützt, spricht viel dafür, dass dem Kunden ein zumutbarer alternativer Kontaktweg angeboten werden muss, etwa E-Mail, Telefon, Kontaktformular oder Post. Andernfalls kann die Freiwilligkeit zweifelhaft sein. Wird die Verarbeitung dagegen auf Vertragserfüllung oder vorvertragliche Maßnahmen gestützt, ist die Alternative nicht zwingend Bestandteil der Rechtsgrundlage, bleibt aber aus Transparenz- und Fairnessgründen praktisch wichtig.
Eine wirksame Einwilligung setzt regelmäßig voraus, dass der Kunde vorab verständlich erfährt,
• dass die Kommunikation über WhatsApp erfolgt,
• welche Daten verarbeitet werden,
• zu welchen Zwecken die Daten genutzt werden,
• welche Rolle Meta beziehungsweise WhatsApp spielt,
• ob weitere Dienstleister eingebunden sind,
• welche Risiken bestehen können,
• wie lange Daten gespeichert werden,
• wie der Kunde seine Einwilligung widerrufen kann,
• welche alternativen Kontaktwege bestehen.
Eine bloße Nachricht des Kunden ersetzt nicht automatisch eine saubere datenschutzrechtliche Einwilligung.
In bestimmten Fällen kann die Verarbeitung auch auf eine andere Rechtsgrundlage gestützt werden, etwa auf die Durchführung vorvertraglicher Maßnahmen oder eines Vertrags. Das kommt beispielsweise in Betracht, wenn der Kunde ausdrücklich eine konkrete Anfrage über WhatsApp stellt und das Unternehmen diese Anfrage beantwortet.
Aber auch dann bleiben die Informationspflichten, Sicherheitsanforderungen und Dokumentationspflichten bestehen.
WhatsApp für Kundenservice: Möglich, aber nicht ohne Regeln
Besonders beliebt ist WhatsApp im Kundenservice. Kunden möchten schnell wissen, ob ein Produkt verfügbar ist, wann ein Termin frei ist oder wie der Stand einer Bestellung ist.
In solchen Fällen kann WhatsApp praktisch sein. Datenschutzrechtlich sollten Unternehmen jedoch klare Grenzen ziehen.
Relativ weniger problematisch können einfache Serviceanfragen sein, etwa:
• Öffnungszeiten,
• allgemeine Produktverfügbarkeit,
• Terminvereinbarung ohne sensible Details,
• Status einer unverfänglichen Bestellung,
• allgemeine Rückfragen zu Leistungen,
• kurze organisatorische Abstimmungen.
Deutlich kritischer sind dagegen Inhalte wie:
• Gesundheitsdaten,
• Rechtsberatung im Einzelfall,
• Beschwerden mit vertraulichen oder besonders persönlichen Angaben,
• Fotos von Ausweisen,
• Zahlungsdaten,
• Bewerbungsunterlagen,
• Personalangelegenheiten,
• vertrauliche Vertragsunterlagen,
• intime oder private Sachverhalte.
WhatsApp sollte im Unternehmen nicht als allgemeiner Auffangkanal für jede Art von Kommunikation eingesetzt werden.
Sinnvoller ist ein klar begrenzter Zweck. Unternehmen sollten festlegen, wofür WhatsApp genutzt werden darf und wofür nicht.
WhatsApp im B2B-Bereich
Auch im B2B-Bereich wird WhatsApp häufig genutzt. Außendienstmitarbeiter stimmen sich mit Kunden ab, Handwerker senden Fotos, Lieferanten informieren über Verzögerungen, Projektteams kommunizieren kurzfristig.
Der Irrtum liegt darin, zu glauben, B2B-Kommunikation sei datenschutzrechtlich irrelevant. Das ist falsch.
Auch im B2B-Bereich werden personenbezogene Daten verarbeitet, etwa Namen, Telefonnummern, Funktionen, E-Mail-Adressen, Kommunikationsinhalte und Verfügbarkeiten einzelner Ansprechpartner.
Zwar können manche Risiken geringer sein als bei sensibler Verbraucherkommunikation. DSGVO-frei ist B2B-Kommunikation aber nicht.
Unternehmen sollten daher auch im B2B-Bereich prüfen,
• ob WhatsApp wirklich erforderlich ist,
• ob eine datenschutzfreundlichere Alternative besteht,
• ob nur dienstliche Kontaktdaten genutzt werden,
• ob Mitarbeiter informiert wurden,
• ob Kunden und Geschäftspartner transparente Datenschutzhinweise erhalten,
• ob private Geräte ausgeschlossen werden,
• ob Löschfristen und Archivierungspflichten beachtet werden.
B2B bedeutet nicht: kein Datenschutz.
WhatsApp in der internen Mitarbeiterkommunikation
Noch problematischer ist häufig die interne Nutzung von WhatsApp durch Mitarbeiter.
In vielen Unternehmen entstehen informelle WhatsApp-Gruppen: Schichtplanung, Krankmeldungen, Diensttausch, Projektabsprachen, Notfallgruppen, Baustellenkoordination oder Teamkommunikation.
Das klingt harmlos, kann aber erhebliche Risiken auslösen.
Problematisch sind insbesondere:
• private Telefonnummern der Mitarbeiter,
• Gruppenchats ohne klare Kontrolle,
• Einsicht in Profilbilder und Statusmeldungen,
• Vermischung privater und beruflicher Kommunikation,
• Druck zur Teilnahme,
• Verarbeitung von Krankheitsdaten,
• Weiterleitung vertraulicher Informationen,
• fehlende Löschkonzepte,
• fehlende Kontrolle bei Ausscheiden aus dem Unternehmen.
Besonders kritisch ist der Einsatz für Krankmeldungen oder Personalthemen. Wenn ein Mitarbeiter in einer WhatsApp-Gruppe mitteilt, dass er krank ist, erfahren möglicherweise mehrere Kollegen personenbezogene Gesundheitsinformationen. Das ist datenschutzrechtlich regelmäßig heikel.
Auch die Freiwilligkeit ist im Arbeitsverhältnis problematisch. Mitarbeiter können sich faktisch verpflichtet fühlen, WhatsApp zu nutzen, obwohl sie ihre private Telefonnummer nicht preisgeben möchten oder WhatsApp privat gar nicht nutzen wollen.
Für die interne Mitarbeiterkommunikation ist WhatsApp häufig keine gute Lösung.
Unternehmen sollten stattdessen prüfen, ob professionelle Kommunikationssysteme mit sauberer Rechteverwaltung, dienstlichen Accounts und klaren Datenschutzfunktionen eingesetzt werden können.
WhatsApp und Bewerbungen
Bewerberdaten sind datenschutzrechtlich besonders schutzbedürftig, weil sie viel über eine Person verraten können. Nicht jede Bewerberinformation ist automatisch eine besondere Kategorie personenbezogener Daten im Sinne der DSGVO. In Bewerbungsunterlagen können solche besonders geschützten Angaben aber schnell enthalten sein, etwa Hinweise auf Gesundheit, Schwerbehinderung, Religion, Gewerkschaftszugehörigkeit oder familiäre Belastungssituationen. Lebenslauf, Zeugnisse, Gehaltsvorstellungen, Foto, Adresse, beruflicher Werdegang und möglicherweise Angaben zu Krankheit, Schwerbehinderung oder familiären Umständen gehören nicht unkontrolliert in Messenger-Chats.
Wenn Unternehmen Bewerbungen über WhatsApp ermöglichen, müssen sie besonders vorsichtig sein.
Zu prüfen sind insbesondere:
• klare Information vor Beginn der Kommunikation,
• freiwillige Nutzung,
• alternative Bewerbungsmöglichkeiten,
• Begrenzung auf einfache Erstkontakte,
• keine Anforderung sensibler Unterlagen über WhatsApp,
• definierte Löschfristen,
• kontrollierter Zugriff nur für zuständige Personen,
• keine Speicherung auf privaten Geräten,
• kein unkontrollierter Export in private Backups.
WhatsApp eignet sich allenfalls eingeschränkt für Bewerbungsprozesse.
Für vollständige Bewerbungsunterlagen ist ein strukturiertes Bewerbermanagementsystem regelmäßig deutlich besser geeignet.
WhatsApp und Gesundheitsdaten
Für Ärzte, Zahnärzte, Psychotherapeuten, Apotheken, Pflegeeinrichtungen und andere Gesundheitsdienstleister ist WhatsApp besonders riskant.
Patienten schreiben oft sehr offen. Sie senden Fotos von Hautveränderungen, Laborwerten, Rezepten, Medikamenten, Befunden oder Krankheitsverläufen. Schon die Information, dass eine Person mit einer bestimmten Praxis kommuniziert, kann sensibel sein.
Gesundheitsdaten unterliegen besonders strengen Anforderungen. Eine Verarbeitung ist nur unter besonderen Voraussetzungen zulässig. Außerdem bestehen hohe Erwartungen an Vertraulichkeit und IT-Sicherheit.
Für Gesundheitsdaten sollte WhatsApp grundsätzlich nicht als Standardkanal eingesetzt werden. Allenfalls in eng begrenzten, transparent geregelten Ausnahmefällen mit tragfähiger Rechtsgrundlage, geeigneten Sicherheitsmaßnahmen und klaren internen Vorgaben kann ein Einsatz vertretbar sein.
In vielen Fällen ist es sicherer, WhatsApp auf reine organisatorische Kommunikation zu begrenzen, etwa Terminabsprachen ohne medizinische Details. Selbst dann braucht es klare Hinweise, technische Schutzmaßnahmen und interne Regeln.
WhatsApp und Rechtsanwälte, Steuerberater, Versicherungen und Finanzdienstleister
Auch bei beratenden Berufen ist Vorsicht geboten. Mandanten und Kunden senden über WhatsApp oft Dokumente, Screenshots, Mahnungen, Verträge, Ausweise, Kontoauszüge oder vertrauliche Sachverhalte.
Für Rechtsanwälte kommt zusätzlich die anwaltliche Verschwiegenheit hinzu. Steuerberater und andere Berufsgruppen unterliegen ebenfalls besonderen Vertraulichkeitspflichten.
WhatsApp ist in solchen Bereichen regelmäßig kein geeigneter Standardkanal für vertrauliche Unterlagen.
Wenn der Kanal überhaupt genutzt wird, sollte er klar begrenzt sein. Für sensible Dokumente sollten sicherere Kommunikationswege angeboten werden.
Das Adressbuchproblem
Eines der klassischen Datenschutzprobleme bei WhatsApp ist der Zugriff auf das Adressbuch.
Wenn WhatsApp auf Kontakte zugreift, können auch Daten von Personen betroffen sein, die mit dem Unternehmen gar nichts zu tun haben. Das kann Kunden, Lieferanten, private Kontakte von Mitarbeitern oder sonstige Dritte betreffen.
Datenschutzrechtlich stellt sich dann die Frage: Auf welcher Grundlage darf das Unternehmen diese Daten an WhatsApp beziehungsweise Meta übermitteln?
Bei privaten Mitarbeitergeräten wird dieses Problem besonders schwer kontrollierbar. Das Unternehmen weiß oft nicht einmal, welche Kontakte auf dem Gerät gespeichert sind.
Der Zugriff auf private oder gemischte Adressbücher ist einer der Hauptgründe, warum WhatsApp im Unternehmen kritisch bewertet wird.
Ein datenschutzfreundlicher Einsatz setzt daher voraus, dass Kontaktsynchronisation vermieden oder streng kontrolliert wird und möglichst keine privaten Adressbücher betroffen sind.
Metadaten: Das unterschätzte Risiko
Viele Unternehmen verweisen auf die Verschlüsselung der Nachrichteninhalte. Dabei wird übersehen, dass auch Metadaten datenschutzrechtlich relevant sein können.
Metadaten können unter anderem zeigen,
• wer mit wem kommuniziert,
• wann kommuniziert wurde,
• wie häufig Kontakt bestand,
• welche Telefonnummer genutzt wurde,
• welches Gerät beteiligt war,
• von welchem Standort oder Netz aus kommuniziert wurde,
• wie ein Nutzer den Dienst verwendet.
Solche Daten können aussagekräftig sein. Gerade im geschäftlichen Kontext können sie Rückschlüsse auf Kundenbeziehungen, Interessen, Beschwerden, Gesundheitsbezüge oder geschäftliche Vorgänge ermöglichen.
Datenschutz endet nicht beim Nachrichteninhalt.
Auch begleitende Kommunikationsdaten müssen rechtlich berücksichtigt werden.
Was muss in der Datenschutzerklärung stehen?
Wenn ein Unternehmen WhatsApp als Kommunikationskanal anbietet, muss dies in der Datenschutzerklärung transparent dargestellt werden.
Die Information sollte verständlich erklären,
• dass WhatsApp als Kommunikationskanal genutzt wird,
• welche Daten verarbeitet werden,
• zu welchen Zwecken die Kommunikation erfolgt,
• auf welche Rechtsgrundlage die Verarbeitung gestützt wird,
• welche Anbieter eingebunden sind,
• ob Daten außerhalb Europas verarbeitet werden können,
• wie lange Nachrichten gespeichert werden,
• welche Rechte betroffene Personen haben,
• ob die Nutzung freiwillig ist,
• welche alternativen Kommunikationswege bestehen.
Eine allgemeine Datenschutzerklärung ohne konkreten Hinweis auf WhatsApp reicht häufig nicht aus.
Unternehmen sollten außerdem nicht nur irgendwo abstrakt über Messenger informieren. Die Information sollte dort verfügbar sein, wo der Kunde den Kanal nutzt oder angeboten bekommt.
Braucht man eine Einwilligung vor der ersten WhatsApp-Nachricht?
Das hängt vom konkreten Einsatz ab.
Wenn ein Unternehmen aktiv Werbung, Newsletter oder Marketingnachrichten per WhatsApp versenden möchte, ist regelmäßig eine ausdrückliche vorherige Einwilligung erforderlich. Das betrifft nicht nur Datenschutzrecht, sondern auch Wettbewerbsrecht.
Bei reiner Kundenkommunikation auf Anfrage kann die Bewertung anders ausfallen. Schreibt der Kunde selbst über WhatsApp und bittet um eine konkrete Antwort, kann die Kommunikation unter Umständen zur Bearbeitung der Anfrage erforderlich sein. Trotzdem muss das Unternehmen transparent informieren und darf den Kanal nicht für darüberhinausgehende Zwecke nutzen.
Problematisch wird es, wenn aus einer Serviceanfrage später Marketing wird.
Beispiel:
Ein Kunde fragt per WhatsApp, ob ein bestimmtes Ersatzteil verfügbar ist. Das Unternehmen beantwortet die Frage. Einige Wochen später sendet das Unternehmen dem Kunden ungefragt Angebote, Rabattaktionen oder Produktwerbung per WhatsApp.
Das ist rechtlich ein anderer Vorgang. Dafür reicht die ursprüngliche Serviceanfrage regelmäßig nicht aus.
Servicekommunikation und Werbung müssen strikt getrennt werden.
WhatsApp-Marketing: Besonders riskant
WhatsApp-Marketing kann für Unternehmen attraktiv sein. Nachrichten werden schnell gelesen, wirken persönlich und haben oft hohe Aufmerksamkeit.
Gerade deshalb sind die rechtlichen Anforderungen hoch.
Für Werbung per WhatsApp sollten Unternehmen regelmäßig nur mit klarer ausdrücklicher Einwilligung arbeiten. Diese Einwilligung sollte dokumentiert werden. Der Kunde muss wissen, welche Art von Nachrichten er erhält. Außerdem muss er sich jederzeit einfach abmelden können.
Erforderlich sind insbesondere:
• klare Anmeldung,
• transparente Beschreibung der Inhalte,
• dokumentierbare Einwilligung,
• ein belastbarer Nachweis der Einwilligung, etwa durch Double-Opt-in oder ein anderes dokumentiertes Verfahren,
• klare Abmeldemöglichkeit,
• keine Kopplung mit unnötigen Leistungen,
• keine Weiterverwendung für andere Zwecke,
• saubere Löschung nach Widerruf.
Wer WhatsApp für Marketing nutzt, braucht ein besonders sauberes Einwilligungs- und Dokumentationssystem.
Andernfalls drohen nicht nur datenschutzrechtliche Probleme, sondern auch wettbewerbsrechtliche Abmahnungen.
WhatsApp-Gruppen mit Kunden: Meist keine gute Idee
Kundengruppen über WhatsApp wirken praktisch: Vereinsgruppen, Kursgruppen, Eltern-Kind-Angebote, Seminargruppen, Fitnesskurse, Schulungen, Eigentümergruppen oder Reisegruppen.
Datenschutzrechtlich sind solche Gruppen aber heikel, weil Teilnehmer häufig die Telefonnummern, Profilbilder und Namen anderer Teilnehmer sehen können.
Das kann problematisch sein, wenn nicht alle Teilnehmer ausdrücklich damit rechnen und einverstanden sind.
Besonders kritisch sind Gruppen in sensiblen Bereichen, etwa:
• Patientengruppen,
• Selbsthilfegruppen,
• Beratungsgruppen,
• arbeitsrechtliche Gruppen,
• Schuldnerberatung,
• psychologische Angebote,
• religiöse oder weltanschauliche Gruppen,
• politische Gruppen,
• Gruppen mit Minderjährigen.
WhatsApp-Gruppen sollten Unternehmen nur einsetzen, wenn der Zweck klar, die Teilnahme freiwillig und die Datenverarbeitung transparent geregelt ist.
In vielen Fällen sind alternative Plattformen mit besserer Rechteverwaltung vorzugswürdig.
WhatsApp auf privaten Mitarbeiterhandys
Die Nutzung privater Mitarbeiterhandys ist ein häufiger Schwachpunkt.
Wenn Mitarbeiter private Geräte für geschäftliche WhatsApp-Kommunikation nutzen, entstehen mehrere Risiken gleichzeitig:
• private und geschäftliche Daten vermischen sich,
• das Unternehmen hat kaum Kontrolle über Sicherheitseinstellungen,
• private Backups können geschäftliche Daten enthalten,
• ausgeschiedene Mitarbeiter behalten Chatverläufe,
• Kundenkontakte bleiben auf privaten Geräten gespeichert,
• Verlust oder Diebstahl des Geräts kann Datenschutzvorfälle auslösen,
• Löschpflichten lassen sich kaum zuverlässig erfüllen.
Private Geräte sollten für geschäftliche WhatsApp-Kommunikation möglichst vermieden werden.
Wenn Unternehmen dennoch private Geräte zulassen, braucht es klare BYOD-Regeln, technische Schutzmaßnahmen, Zugriffsbegrenzungen und dokumentierte Löschprozesse. In der Praxis ist dies jedoch oft schwer rechtssicher umzusetzen.
Diensthandys sind besser, aber nicht automatisch ausreichend
Diensthandys können die Situation verbessern, weil das Unternehmen mehr Kontrolle hat.
Aber auch hier bleiben Fragen offen:
• Ist WhatsApp auf dem Gerät erforderlich?
• Sind nur dienstliche Kontakte gespeichert?
• Ist die Kontaktsynchronisation deaktiviert oder kontrolliert?
• Gibt es ein Mobile-Device-Management?
• Sind Backups geregelt?
• Gibt es Löschfristen?
• Sind Zugriffe bei Ausscheiden des Mitarbeiters gesperrt?
• Wird die Kommunikation zentral dokumentiert?
• Gibt es klare Nutzungsrichtlinien?
Ein Diensthandy allein macht WhatsApp daher noch nicht DSGVO-konform.
Entscheidend ist nicht nur das Gerät, sondern das gesamte Nutzungskonzept.
Auftragsverarbeitung: Warum der Vertrag wichtig ist
Wenn ein Unternehmen externe Dienstleister einsetzt, die personenbezogene Daten im Auftrag verarbeiten, braucht es regelmäßig einen Vertrag zur Auftragsverarbeitung.
Bei WhatsApp und professionellen Business-Lösungen stellt sich daher die Frage, welche Verträge mit Meta und gegebenenfalls mit weiteren Dienstleistern abgeschlossen werden.
Wichtig ist insbesondere:
• Welche Rolle hat Meta?
• Welche Rolle hat der Business-Solution-Provider?
• Wer verarbeitet welche Daten zu welchen Zwecken?
• Gibt es einen Vertrag zur Auftragsverarbeitung?
• Gibt es Unterauftragsverarbeiter?
• Finden Drittlandübermittlungen statt?
• Welche Sicherheitsmaßnahmen werden zugesichert?
• Welche Kontrollmöglichkeiten bestehen?
• Wie werden Löschung und Rückgabe von Daten geregelt?
Ohne saubere vertragliche Grundlage ist ein professioneller WhatsApp-Einsatz kaum belastbar.
Unternehmen sollten diese Verträge nicht nur anklicken, sondern rechtlich prüfen lassen. Gerade bei standardisierten Plattformverträgen ist wichtig, zu verstehen, welche Verantwortung tatsächlich beim Unternehmen verbleibt.
Drittlandübermittlungen: Ein weiterer Risikofaktor
Bei internationalen Plattformen stellt sich regelmäßig die Frage, ob personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeitet werden.
Drittlandübermittlungen sind nicht per se unzulässig. Sie müssen aber datenschutzrechtlich abgesichert sein.
Unternehmen sollten prüfen,
• ob Daten in Drittländer übermittelt werden,
• auf welcher Grundlage dies geschieht,
• ob ein Angemessenheitsbeschluss, eine Zertifizierung nach dem EU-US Data Privacy Framework, Standardvertragsklauseln oder andere geeignete Übermittlungsmechanismen verwendet werden,
• ob zusätzliche Schutzmaßnahmen erforderlich sind,
• ob die Datenschutzerklärung darüber informiert,
• ob der konkrete Einsatz besonders sensible Daten betrifft.
Je sensibler die Daten, desto genauer muss die internationale Datenverarbeitung geprüft werden.
Löschung, Archivierung und Nachweisbarkeit
Ein großes praktisches Problem bei WhatsApp ist die Frage, was mit Nachrichten später passiert.
Die DSGVO verlangt, dass personenbezogene Daten nicht unbegrenzt gespeichert werden. Gleichzeitig können Unternehmen handels- oder steuerrechtliche Aufbewahrungspflichten treffen. Außerdem kann es notwendig sein, bestimmte Kommunikation zu dokumentieren, etwa bei Vertragsabschlüssen, Beschwerden oder Gewährleistungsfällen.
WhatsApp ist dafür häufig nicht ideal.
Unternehmen müssen klären:
• Welche WhatsApp-Nachrichten müssen gelöscht werden?
• Welche Nachrichten müssen aufbewahrt werden?
• Wer entscheidet darüber?
• Wie werden Chatverläufe exportiert?
• Wo werden sie gespeichert?
• Wie wird verhindert, dass Daten auf privaten Geräten verbleiben?
• Was passiert bei Ausscheiden eines Mitarbeiters?
• Wie werden Auskunftsansprüche erfüllt?
• Wie werden Löschansprüche umgesetzt?
Ein Unternehmen muss WhatsApp-Kommunikation beherrschen können.
Wenn Nachrichten unkontrolliert auf Geräten, in Backups, in Screenshots oder privaten Chatverläufen verstreut sind, wird das schwierig.
Auskunftsansprüche nach der DSGVO
Betroffene Personen können Auskunft über ihre personenbezogenen Daten verlangen. Das betrifft auch Daten, die über WhatsApp verarbeitet wurden.
Ein Unternehmen muss dann in der Lage sein, relevante Daten zu finden und zu beauskunften.
Das kann kompliziert werden, wenn WhatsApp-Kommunikation dezentral auf mehreren Geräten einzelner Mitarbeiter liegt.
Beispiel:
Ein Kunde verlangt Auskunft. Die Kommunikation mit ihm fand über drei verschiedene Mitarbeiter statt. Ein Teil liegt auf einem Diensthandy, ein anderer Teil auf einem privaten Smartphone, ein weiterer Teil wurde als Screenshot in ein Ticketsystem kopiert.
In einer solchen Situation wird deutlich: Ohne Struktur ist WhatsApp datenschutzrechtlich schwer kontrollierbar.
Wer WhatsApp geschäftlich nutzt, muss auch Betroffenenrechte praktisch erfüllen können.
Datenschutz-Folgenabschätzung: Wann sie erforderlich sein kann
In bestimmten Fällen kann eine Datenschutz-Folgenabschätzung erforderlich sein. Das kommt insbesondere in Betracht, wenn ein hohes Risiko für Rechte und Freiheiten betroffener Personen besteht.
Bei WhatsApp kann dies je nach Einsatz relevant werden, etwa bei:
• umfangreicher Kundenkommunikation,
• sensiblen Daten,
• Gesundheitsdaten,
• systematischer Auswertung von Kommunikation,
• automatisierter Kommunikation mit Profilbildung,
• Verknüpfung mit CRM-Daten,
• Einsatz von Chatbots oder KI-Systemen,
• Kommunikation mit Minderjährigen,
• großen Nutzerzahlen.
Eine Datenschutz-Folgenabschätzung ist kein bloßes Formular. Sie soll Risiken erkennen, bewerten und durch geeignete Maßnahmen reduzieren.
Je stärker WhatsApp in Geschäftsprozesse integriert wird, desto eher muss eine vertiefte Datenschutzprüfung erfolgen.
WhatsApp und künstliche Intelligenz
Immer häufiger wird WhatsApp nicht nur als Nachrichtenkanal genutzt, sondern mit Chatbots, CRM-Systemen oder KI-basierten Antwortsystemen verbunden.
Das kann zusätzliche Datenschutzfragen auslösen.
Zu prüfen ist dann insbesondere:
• Welche Daten erhält der Chatbot?
• Werden Chatverläufe analysiert?
• Werden Kundenprofile gebildet?
• Wird KI zur automatisierten Antwort genutzt?
• Werden sensible Daten verarbeitet?
• Welche Anbieter erhalten Zugriff?
• Werden Daten zu Trainingszwecken genutzt?
• Ist der Kunde ausreichend informiert?
• Gibt es menschliche Kontrolle?
• Können falsche Antworten rechtliche Folgen haben?
Die Kombination aus WhatsApp, CRM und KI erhöht den Prüfungsbedarf deutlich.
Unternehmen sollten hier nicht nur datenschutzrechtlich, sondern auch wettbewerbsrechtlich, vertragsrechtlich und haftungsrechtlich prüfen, welche Risiken entstehen.
Was droht bei Datenschutzverstößen?
Bei unzulässiger WhatsApp-Nutzung drohen verschiedene Folgen.
In Betracht kommen insbesondere:
• Beschwerden bei Datenschutzaufsichtsbehörden,
• behördliche Anordnungen,
• Bußgelder,
• Schadensersatzansprüche betroffener Personen,
• Abmahnungen durch Wettbewerber oder Verbände, insbesondere bei unzulässiger Werbung oder sonstigen wettbewerbsrechtlich relevanten Verstößen,
• arbeitsrechtliche Konflikte,
• Reputationsschäden,
• Verlust von Kundenvertrauen,
• Probleme bei Audits oder Zertifizierungen.
Nicht jeder Fehler führt automatisch zu einem Bußgeld. Aber Unternehmen sollten das Risiko nicht unterschätzen. Gerade Messenger-Kommunikation ist für Kunden und Mitarbeiter leicht dokumentierbar. Screenshots, Chatverläufe und gespeicherte Nachrichten können schnell zum Beweismittel werden.
Datenschutzverstöße bei WhatsApp sind oft leicht sichtbar und schwer nachträglich zu reparieren.
Typische Fehler von Unternehmen
In der Praxis treten immer wieder ähnliche Fehler auf.
Besonders häufig sind:
• Nutzung privater WhatsApp-Accounts für Kundenkommunikation,
• Speicherung geschäftlicher Kontakte auf privaten Smartphones,
• automatische Synchronisation des gesamten Adressbuchs,
• fehlende Datenschutzhinweise,
• keine klare Rechtsgrundlage,
• keine dokumentierte Einwilligung bei Werbung,
• Versand von Marketingnachrichten ohne ausdrückliche Zustimmung,
• Kommunikation sensibler Daten über WhatsApp,
• unkontrollierte WhatsApp-Gruppen,
• fehlende Löschfristen,
• keine Regelung für ausgeschiedene Mitarbeiter,
• keine Schulung der Mitarbeiter,
• keine Prüfung der eingesetzten Anbieter,
• keine Trennung zwischen Service und Werbung,
• keine Alternative für Kunden, die WhatsApp nicht nutzen wollen.
Der größte Fehler ist nicht die Nutzung von WhatsApp an sich, sondern die ungeregelte Nutzung.
Wann kann WhatsApp im Unternehmen eher vertretbar sein?
Ein datenschutzrechtlich vertretbarer Einsatz kommt eher in Betracht, wenn Unternehmen WhatsApp nur begrenzt und kontrolliert einsetzen.
Günstiger sind insbesondere folgende Bedingungen:
• Nutzung einer professionellen Business- oder API-Lösung,
• keine private WhatsApp-App,
• keine privaten Mitarbeitergeräte,
• keine unkontrollierte Adressbuchsynchronisation,
• klare Zweckbegrenzung,
• transparente Datenschutzhinweise,
• dokumentierte Rechtsgrundlage,
• ausdrückliche Einwilligung bei Werbung,
• alternative Kontaktwege,
• keine sensiblen Daten über WhatsApp,
• zentrale Verwaltung der Kommunikation,
• Rollen- und Rechtekonzept,
• Lösch- und Aufbewahrungskonzept,
• Verträge mit Dienstleistern,
• Schulung der Mitarbeiter,
• regelmäßige Überprüfung.
Je kontrollierter, transparenter und begrenzter der Einsatz ist, desto besser lässt sich WhatsApp datenschutzrechtlich vertreten.
Wann sollte ein Unternehmen besser auf WhatsApp verzichten?
In manchen Situationen ist von WhatsApp eher abzuraten.
Das gilt insbesondere, wenn:
• sensible Daten regelmäßig verarbeitet werden,
• Mitarbeiter private Geräte nutzen sollen,
• keine zentrale Kontrolle möglich ist,
• keine Alternative angeboten wird,
• keine Einwilligungen dokumentiert werden,
• Kunden ungefragt Werbung erhalten sollen,
• Gruppen mit sensiblen Teilnehmerdaten geplant sind,
• Gesundheitsdaten oder Mandatsdaten betroffen sind,
• Löschpflichten praktisch nicht erfüllbar sind,
• die Unternehmensleitung keine klaren Regeln schaffen möchte.
Wenn ein Unternehmen WhatsApp nicht kontrollieren kann, sollte es WhatsApp nicht als offiziellen Geschäftskanal einsetzen.
Praktische Checkliste für Unternehmen
Vor dem Einsatz von WhatsApp sollten Unternehmen mindestens folgende Punkte prüfen:
• Welcher Zweck soll mit WhatsApp verfolgt werden?
• Welche Daten werden verarbeitet?
• Wer sind die betroffenen Personen?
• Welche WhatsApp-Variante wird eingesetzt?
• Wer hat Zugriff auf die Kommunikation?
• Werden private Geräte ausgeschlossen?
• Ist die Kontaktsynchronisation geregelt?
• Welche Rechtsgrundlage besteht?
• Ist eine Einwilligung erforderlich?
• Wie wird die Einwilligung dokumentiert?
• Gibt es eine aktuelle Datenschutzerklärung?
• Gibt es alternative Kommunikationswege?
• Werden sensible Daten ausgeschlossen?
• Gibt es ein Löschkonzept?
• Gibt es ein Archivierungskonzept?
• Sind Verträge zur Auftragsverarbeitung vorhanden?
• Sind Drittlandübermittlungen geprüft?
• Sind Mitarbeiter geschult?
• Gibt es interne Nutzungsrichtlinien?
• Wird der Einsatz regelmäßig überprüft?
Diese Prüfung sollte nicht nur theoretisch erfolgen. Entscheidend ist, ob die Regeln im Alltag funktionieren.
Interne Richtlinie für WhatsApp: Was sollte geregelt werden?
Wenn Unternehmen WhatsApp zulassen, sollten sie eine interne Richtlinie erstellen.
Darin sollte insbesondere stehen:
• wer WhatsApp geschäftlich nutzen darf,
• welche Geräte verwendet werden dürfen,
• welche WhatsApp-Lösung eingesetzt wird,
• welche Daten nicht über WhatsApp versendet werden dürfen,
• welche Kundendaten gespeichert werden dürfen,
• wie mit Fotos, Dokumenten und Sprachnachrichten umzugehen ist,
• wann Kommunikation in ein CRM- oder Ticketsystem übertragen wird,
• wann Nachrichten gelöscht werden,
• wie mit Auskunfts- und Löschanfragen umzugehen ist,
• was bei Verlust eines Geräts passiert,
• was bei Ausscheiden eines Mitarbeiters passiert,
• welche Sanktionen bei Verstößen drohen können.
Ohne interne Richtlinie entsteht schnell ein unkontrollierter Wildwuchs.
Gerade dieser Wildwuchs ist datenschutzrechtlich gefährlich.
Kunden richtig informieren
Unternehmen sollten Kunden nicht erst dann informieren, wenn ein Problem entsteht. Die Information sollte vor oder spätestens zu Beginn der WhatsApp-Kommunikation erfolgen.
Eine sinnvolle Kurzinfo kann beispielsweise enthalten:
• Hinweis auf die Nutzung von WhatsApp,
• Hinweis auf die Datenschutzerklärung,
• Hinweis auf alternative Kontaktwege,
• Hinweis, keine sensiblen Daten über WhatsApp zu senden,
• Hinweis auf Widerrufsmöglichkeiten bei Einwilligungen.
Wichtig ist: Die Information muss verständlich sein. Datenschutztexte dürfen nicht so formuliert sein, dass kein normaler Kunde sie versteht.
Transparenz ist nicht nur Pflicht, sondern auch Vertrauensfaktor.
Keine sensiblen Daten über WhatsApp: Ein sinnvoller Standardsatz
Unternehmen sollten Kunden klar darauf hinweisen, dass sensible Daten nicht über WhatsApp gesendet werden sollen.
Ein solcher Hinweis kann etwa lauten:
„Bitte senden Sie uns über WhatsApp keine sensiblen Informationen, insbesondere keine Gesundheitsdaten, Ausweisdokumente, Zahlungsdaten oder vertraulichen Unterlagen. Für solche Informationen nutzen Sie bitte einen sicheren Kommunikationsweg.“
Dieser Hinweis allein löst nicht alle Datenschutzprobleme. Er kann aber helfen, Risiken zu reduzieren und den zulässigen Nutzungsbereich klarer abzugrenzen.
DSGVO-konforme WhatsApp-Nutzung: Gibt es das überhaupt?
Die entscheidende Antwort lautet: Es kommt auf den konkreten Einsatz an.
WhatsApp ist im Unternehmen nicht schon deshalb unzulässig, weil es WhatsApp ist. Aber WhatsApp ist auch nicht schon deshalb zulässig, weil Kunden den Messenger kennen und freiwillig nutzen.
Eine DSGVO-konforme Nutzung kann eher in Betracht kommen, wenn Unternehmen eine professionelle Lösung einsetzen, den Zweck begrenzen, transparente Informationen bereitstellen, Einwilligungen korrekt einholen, sensible Daten vermeiden, Verträge prüfen, Mitarbeiter schulen und Löschprozesse einführen.
Eine ungeregelte Nutzung über private Smartphones, private WhatsApp-Accounts und unkontrollierte Chatgruppen ist dagegen datenschutzrechtlich schwer vertretbar.
WhatsApp kann im Unternehmen allenfalls dann sinnvoll eingesetzt werden, wenn der Datenschutz nicht nachträglich angehängt, sondern von Beginn an technisch, organisatorisch, vertraglich und rechtlich mitgeplant wird.
Fazit: WhatsApp ist bequem, aber kein rechtsfreier Raum
WhatsApp im Unternehmen ist kein einfaches Ja-oder-Nein-Thema. Der Messenger kann in bestimmten Fällen praktisch und unter engen Voraussetzungen vertretbar sein. Gleichzeitig ist er datenschutzrechtlich deutlich riskanter, als viele Unternehmen annehmen.
Besonders problematisch sind private Geräte, Adressbuchzugriffe, sensible Daten, interne Mitarbeitergruppen, Bewerbungen, Gesundheitsdaten, Werbung und fehlende Löschkonzepte.
Unternehmen sollten WhatsApp daher nicht nebenbei einführen. Wer den Messenger geschäftlich nutzen möchte, braucht klare Regeln, transparente Informationen, technische Kontrolle und eine belastbare rechtliche Prüfung.
Die wichtigste Grundregel lautet: Je sensibler die Daten und je unkontrollierter der Einsatz, desto größer ist das Risiko.
Für Unternehmen bedeutet das: Prüfen Sie vor dem Einsatz genau, ob WhatsApp für Ihren konkreten Zweck geeignet ist. Legen Sie fest, was erlaubt ist und was nicht. Schaffen Sie Alternativen. Dokumentieren Sie Einwilligungen. Schulen Sie Mitarbeiter. Und lassen Sie die geplante Nutzung rechtlich prüfen, bevor aus einem praktischen Kommunikationskanal ein Datenschutzproblem wird.
Ansprechpartner
Andere über uns
WEB CHECK SCHUTZ
Gestalten Sie Ihre Internetseite / Ihren Onlineshop rechts- und abmahnsicher.
Erfahren Sie mehr über die Schutzpakete der Anwaltskanzlei Weiß & Partner für die rechtssichere Gestaltung Ihrer Internetpräsenzen.
Cyber-Sicherheit
