April 29, 2022

DSGVO und WhatsApp Business: So nutzen Sie die App datenschutzkonform ✅

Lesezeit ungefähr 11 min
blaues schloss vor gelbem hintergrund

Der Messenger-Dienst WhatsApp bietet Unternehmen vielfältige Möglichkeiten, mit ihren Kund:innen in Kontakt zu treten. Die Business-Version der bekannten App erlaubt es Ihnen, Ihren Kund:innen Produkte zu empfehlen, Transaktionsnachrichten zu schicken und Fragen zu beantworten. Dazu kommt, dass WhatsApp von knapp 87% der Deutschen regelmäßig genutzt wird. Kein Wunder, dass sich WhatsApp als Marketing-Kanal hoher Beliebtheit erfreut.

Alles schön und gut – aber ist WhatsApp überhaupt mit der europäischen Datenschutz-Grundverordnung (DSGVO) vereinbar? Für Unternehmen ist das eine wichtige Frage, die es zu klären gilt, um rechtlich auf der sicheren Seite zu sein. In unserem Artikel erfahren Sie, was es bei der gewerblichen Nutzung des Messengers zu beachten gilt und wie Sie WhatsApp Business DSGVO-konform nutzen können.

🧑‍⚖️ Was ist die DSGVO und warum ist sie wichtig?

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, die die Verarbeitung von personenbezogenen Daten regelt. Sie ist am 25. Mai 2018 in Kraft getreten und gilt in der gesamten EU, also auch in Deutschland.

Unternehmen, die personenbezogene Daten von EU-Bürger:innen verarbeiten, müssen sich an die DSGVO halten – ansonsten drohen hohe Bußgelder. Kurz gesagt: Wenn Sie der DSGVO Folge leisten, sind Sie rechtlich auf der sicheren Seite. Außerdem genießen Sie ein höheres Kundenvertrauen als solche Unternehmen, die sich nicht oder nicht vollständig an geltendes Datenschutzrecht halten. 

Auch im E-Mail Marketing spielt die DSGVO eine wichtige Rolle. Erfahren Sie hier alles, was Sie zu dem Thema wissen müssen.

💡 WhatsApp Business trifft DSGVO: Was Unternehmen wissen sollten

Wenn Sie mit Ihren Kund:innen über WhatsApp kommunizieren, verarbeiten Sie deren personenbezogene Daten. Das sind Daten, die einer Person zugeordnet werden können – also Informationen wie Telefonnummer, Geburtsdatum oder Adresse. Deshalb sind Sie in der Pflicht, verantwortungsbewusst mit diesen Daten umzugehen. Aber das ist noch nicht alles. Wenn Sie und Ihre Kund:innen WhatsApp nutzen, dann werden zwangsläufig Metadaten erhoben. Dazu gehören:

  • die Telefonnummer
  • IP-Adresse
  • Geräteinformationen
  • Standort
  • Nutzungsverhalten, zum Beispiel Häufigkeit

Diese Daten werden wiederum an WhatsApp beziehungsweise den Mutterkonzern Meta (ehemals Facebook) gesendet.

Wichtig ist an dieser Stelle die Unterscheidung zwischen Nachrichteninhalten und Metadaten. Während Metadaten von WhatsApp eingesehen werden können, garantiert Ihnen die sogenannte Ende-zu-Ende-Verschlüsselung, dass niemand – auch nicht WhatsApp selbst – Informationen aus Ihren Chats einsehen kann.

🔎 WhatsApp, WhatsApp Business und WhatsApp Business API im DSGVO-Check

So viel vorab: ob Ihre Nutzung von WhatsApp DSGVO-konform ist oder nicht, hängt davon ab, welche Anwendung Sie nutzen. Denn es gibt nicht nur das eine WhatsApp, das viele Privatpersonen auf Ihren Smartphones installiert haben. Neben der bekannten App für den Privatgebrauch bietet der US-Konzern zwei weitere, auf die gewerbliche Nutzung ausgelegte Lösungen an: die WhatsApp Business App und die WhatsApp Business API (kürzlich umbenannt in WhatsApp Business Platform).

Wir erklären, wie sich die drei Anwendungen voneinander unterscheiden, und wie es um die DSGVO-Konformität der jeweiligen Lösung steht.

WhatsApp für den privaten Gebrauch: Für Unternehmen gänzlich ungeeignet

Diese Anwendung dürfte den meisten von Ihnen bekannt sein – immerhin hat WhatsApp in Deutschland rund 60 Millionen Nutzer:innen. Genutzt wird die Anwendung vor allem zum Versenden von Text- und Sprachnachrichten, Fotos und Videos unter Freunden und Verwandten. 

Wenn Sie über die private WhatsApp-Anwendung mit Ihren Kund:innen in Kontakt treten wollen, erwarten Sie nicht nur datenschutzrechtliche Probleme. Im Dezember 2019 hat das US-Unternehmen den Versand von Marketing-Nachrichten über die private App nämlich ganz verboten.

Der WhatsApp Newsletter feiert sein Comeback, und zwar in Form eines neuen Features, das Sendinblue-Nutzer:innen in Kürze zur Verfügung steht! Erfahren Sie hier mehr.

Zudem synchronisiert die Anwendung automatisch Kontakte, die Sie auf Ihrem Telefon gespeichert haben, mit WhatsApp. Entsprechend können Daten von allen Kund:innen, die in Ihrem Adressbuch stehen, an WhatsApp übertragen werden – auch wenn diese dem nicht zugestimmt haben. Eine solche Zustimmung ist laut DSGVO jedoch ein Muss.

Die automatische Synchronisierung kann umgangen werden – wie, das zeigen wir Ihnen im Laufe des Artikels. Da jegliche Marketing-Aktivitäten über die private App jedoch von WhatsApp verboten wurden, lautet unser Fazit: Nutzen Sie das normale WhatsApp nicht für gewerbliche Zwecke – DSGVO hin oder her.

WhatsApp Business: Eingeschränkt DSGVO-konform

WhatsApp Business ist eine Anwendung, die der normalen App für Privatnutzer:innen stark ähnelt. Das besondere: Die Kommunikation zwischen Unternehmen und Kund:innen ist hier ausdrücklich erlaubt. Über WhatsApp Business lassen sich Marketing-Kampagnen ausspielen, Transaktionsnachrichten versenden und Fragen an den Kundenservice beantworten.

Die App richtet sich vorwiegen an kleine Unternehmen. Diese können sich auf der Plattform einen Unternehmens-Account einrichten und anschließend über die WhatsApp-Desktop-Anwendung oder ein mobiles Endgerät mit einzelnen Kund:innen chatten.

whatsapp chat aus dem bereich mobilität frage zu fahrzeug
whatsapp chat aus dem bereich fashion transaktionsnachricht zu lieferung

Quelle: WhatsApp

Was die DSGVO angeht, hat WhatsApp Business einen weiteren, entscheidenden Vorteil gegenüber dem Standard-WhatsApp: Die Lösung erlaubt es Ihnen, einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit dem US-Unternehmen abzuschließen. Denn WhatsApp verarbeitet die Daten Ihrer Kund:innen ja im Auftrag Ihres Unternehmens. Dass WhatsApp dies nicht etwa für eigene Zwecke tut, garantiert Ihnen der AV-Vertragt. Er versichert Ihnen außerdem, dass all dies datenschutzkonform geschieht.

Das Problem der automatischen Synchronisation der Smartphone-Kontakte bleibt jedoch weiter bestehen. Auch die automatische Backup-Funktion der App sollte kritisch betrachtet werden: Ist diese eingeschaltet, werden Chat-Verläufe von Ihrem Smartphone unverschlüsselt in der Google oder Apple Cloud gespeichert, um bei Bedarf WhatsApp Chats wiederherstellen zu können. Das heißt im Umkehrschluss aber auch: Theoretisch könnten Unbefugte auf die Chat-Verläufe mit Ihren Kund:innen zugreifen.

Sowohl die Synchronisierung des Adressbuchs als auch die automatische Erstellung von Backups sollten Sie deaktivieren, wenn Sie nicht gegen die DSGVO verstoßen wollen.

WhatsApp Business API: Die datenschutztechnisch sicherste Lösung

Die WhatsApp Business API ist eine technische Schnittstelle, die es Ihnen erlaubt, Ihren Unternehmens-Account mit einem Marketing Tool wie Sendinblue zu verbinden. Einfach gesagt übernimmt dieses Tool für Sie den Versand von WhatsApp-Nachrichten an Ihre Kund:innen. Sie benötigen dafür dann keine App mehr auf Ihrem Smartphone. Stattdessen können beliebig viele Ihrer Kundendienst-Mitarbeiter:innen vom Computer aus mit Ihren Kund:innen kommunizieren. Ein WhatsApp-Business-Profil brauchen Sie dennoch.

In unserem ultimativen WhatsApp Guide für Unternehmen erfahren Sie alles, was Sie zur gewerblichen Nutzung des Messengers wissen sollten.

Die WhatsApp Business API bietet Marketers nicht nur viel mehr Funktionen als die Business App, zum Beispiel den Versand von Massennachrichten – sie ist auch die datenschutztechnisch beste aller drei WhatsApp-Lösungen. 

Das hat vor allem damit zu tun, dass die WhatsApp Business API keine App ist. 

Personenbezogene Daten Ihrer Kund:innen werden nicht von WhatsApp, sondern von einem Drittanbieter – dem sogenannten Business Solution Provider – Ihrer Wahl gespeichert. Den AV-Vertrag schließen Sie folglich nicht mit WhatsApp, sondern mit einem von Ihnen gewählten Anbieter ab. Das bringt einen entscheidenden Vorteil: Sie können sich für denjenigen Anbieter entscheiden, der Ihre Datenschutzansprüche am besten erfüllt – zum Beispiel für einen Provider, dessen Serverstandort sich in der EU befindet.

Sendinblue erfüllt diese Anforderung und wird seinen Kund:innen in Kürze schon Zugang zur WhatsApp Business API gewähren!

✔️ So nutzen Sie WhatsApp Business DSGVO-konform: 4 Kriterien, die Sie erfüllen sollten

WhatsApp stellt für immer mehr Unternehmen einen wichtigen Kommunikationskanal dar. Schließlich hält sich ein Großteil der Deutschen täglich auf der Plattform auf. Viele Menschen wünschen sich sogar explizit, mit Unternehmen auf die gleiche Art und Weise zu kommunizieren, wie mit Freund:innen – und was läge da näher als der schnelle Chat per WhatsApp!

Unsicherheiten über die DSGVO-Konformität von WhatsApp Business sollten Sie also nicht davon abhalten, den Messenger zu Marketing- und Service-Zwecken zu verwenden. Unsere 4 Tipps helfen dabei, Ihnen die DSGVO-konforme Nutzung von WhatsApp zu erleichtern.

1. Fügen Sie Ihrem WhatsApp-Business-Profil ein Impressum hinzu

Genauso wie Ihre Website benötigt auch Ihr WhatsApp Unternehmens-Account ein Impressum. Das können Sie ganz einfach beim Erstellen Ihres Unternehmensprofils auf WhatsApp Business erledigen, zum Beispiel, indem Sie auf das Impressum Ihrer Website verlinken.

2. Holen Sie sich das Einverständnis Ihrer Kund:innen  

Laut DSGVO müssen Nutzer:innen Ihre Einwilligung geben, bevor Sie als Unternehmen diese kontaktieren können. Das gilt auch, wenn Sie Kundenkommunikation über WhatsApp Marketing betreiben wollen. Dieses sogenannte Opt-in können Sie sich beispielsweise über ein Formular auf Ihrer Website einholen. Fragen Sie Ihre Kund:innen darin, ob Sie von Ihnen über WhatsApp kontaktiert werden möchten, und bitten sie diese anschließend, ihre Mobilfunknummer einzugeben. Damit gehen Sie sicher, dass Ihre Kund:innen auch wirklich den Kontakt über WhatsApp wünschen.

Wichtig ist hierbei, dass Ihre Kund:innen ihr ausdrückliches Einverständnis geben, speziell über WhatsApp kontaktiert zu werden. Selbst wenn Sie bereits die Handynummer Ihrer Kund:innen haben, müssen Sie sicherstellen, dass diese mit der Kontaktaufnahme über den Messenger-Dienst einverstanden sind.

Am besten ist es hier, wie auch beim Newsletter-Versand, wenn Sie Ihre Kund:innen ein Double-Opt-in durchführen lassen. Darunter versteht man einen Anmeldeprozess in zwei Schritten. Für WhatsApp Business könnte dies so aussehen: Nachdem Ihre Kund:innen auf einem Formular auf Ihrer Website ihre Telefonnummer angegeben haben, bekommen Sie die Nummer Ihres Unternehmens mitgeteilt. Sie können anschließend Ihre Kund:innen bitten, dieser Nummer per WhatsApp eine Nachricht zu schreiben, um den Opt-in-Prozess abzuschließen.  

Übrigens: Wenn Ihre Kund:innen Sie zuerst anschreiben, diese den Kontakt also initiieren, gilt das ebenfalls als Einwilligung.

3. Klären Sie Ihre Kund:innen über die Verarbeitung ihrer Daten auf

Seit dem Ende des EU-US Privacy Shields gibt es keine einheitliche Vorgaben mehr dazu, wie personenbezogene Daten von EU-Bürger:innen DSGVO-konform in die USA vermittelt werden können. Deshalb gilt: Aufklärung ist das A und O. Sie sollten Ihre Kund:innen wissen lassen, dass und vor allem zu welchen Zwecken ihre Daten verarbeitet werden.

Zwar haben Personen, die einen WhatsApp Account besitzen, den Nutzungsbedingungen des Messengers bereits zugestimmt. Dennoch kann es nicht schaden, Ihre Kund:innen nochmals darauf hinzuweisen. Zum Beispiel können Sie ihnen zu Beginn Ihrer WhatsApp-Unterhaltung die Datenschutzrichtlinien des Messengers beziehungsweise einen Link dazu schicken. Das schafft Transparenz.

4. Fügen Sie Ihrem Adressbuch nur WhatsApp-Kontakte hinzu

Wie bereits beschrieben, scannt WhatsApp Ihr Adressbuch automatisch nach Kontakten, die WhatsApp auf ihren Geräten installiert haben. So kann es schnell passieren, dass die Kontaktdaten von Personen, die Ihnen kein Opt-in gegeben haben, an den Messenger-Dienst übermittelt werden. Das ist natürlich nicht datenschutzkonform.

Um das zu vermeiden, können Sie zwei Maßnahmen ergreifen. Zum einen macht es Sinn, ein Diensthandy ausschließlich für die Nutzung von WhatsApp Business einzurichten. Auf diesem können Sie dann nur die Kontakte speichern, die WhatsApp nutzen. Denn: Haben Nutzer:innen bereits WhatsApp installiert, heißt das im Umkehrschluss, dass Sie die Nutzungsbedingungen des Messengers akzeptiert haben. Das Problem komplett umgehen können Sie übrigens mit der WhatsApp Business API: Da dies keine App ist, kommt es gar nicht erst zur automatischen Synchronisierung des Adressbuches. 

🔒 Fazit: Sind WhatsApp Business und die DSGVO vereinbar?

Zugegeben, die Datenschutz-Grundverordnung ist komplex. Dementsprechend gibt es auf die Frage, ob WhatsApp Business zu 100% DSGVO-konform ist, keine pauschale Antwort. Die gute Nachricht: Sie selbst können beeinflussen, wie datenschutzkonform Ihr Einsatz von WhatsApp Business ist! Wenn Sie von der gewerblichen Nutzung der privaten WhatsApp-Anwendung absehen und unsere Hinweise beherzigen, sollten Sie auf der sicheren Seite sein. Wenn Sie dennoch Zweifel haben, ob die Art und Weise, wie Sie WhatsApp Business nutzen, 100% DSGVO-konform ist, raten wir Ihnen, einen Datenschutzprofi zu Rate zu ziehen.

Was klar ist: Die WhatsApp Business API ist aktuell die datenschutztechnisch sicherste der drei WhatsApp Lösungen, da es sich dabei um keine von WhatsApp gestellt App handelt. Wenn die API für Sie interessant ist, haben wir abschließend noch gute Neuigkeiten: Sendinblue wird seinen Nutzer:innen bald schon Zugang zur WhatsApp Business API anbieten! Erstellen Sie sich jetzt schon einen kostenlosen Account, um über diese Funktion auf dem Laufenden zu bleiben.

Um auch im E-Mail Marketing datenschutzsicher unterwegs zu sein, empfehlen wir Ihnen außerdem noch folgende Artikel:

Der Newsletter für Marketing Fans
Jetzt anmelden und monatlich die besten Tipps und Tricks für erfolgreiches E-Mail Marketing erhalten.
* Die Abmeldung vom Newsletter ist jederzeit möglich.

Sind Sie bereit, Ihr Marketing-Zen zu finden?

Sorgen Sie dafür, dass Ihr Arbeitstag völlig stressfrei verläuft, mit einer Lösung, die nur für Sie entworfen wurde.

Kostenloser Start