Es ist ein omnipräsentes Thema, das uns jeden Tag im Rahmen bezahlter Werbung in allen sozialen Medien erreicht: WhatsApp Business. In der Regel als „100 % DSGVO-konform“ beworben und als absolut sicher proklamiert. Abseits von den Fragen, ob überhaupt irgendeine Firma auf der Welt wirklich vollständig datenschutzkonform arbeitet und ob es sich bei diesen Aussagen nicht um rechtswidrige Werbung mit Selbstverständlichkeiten handelt, wollen wir uns heute der Kernaussage widmen: Ist WhatsApp Business im geschäftlichen Umfeld rechtskonform einsetzbar oder nicht?
WhatsApp in der „normalen Version“ und WhatsApp Business
Um den Einstieg kurz und knapp zu halten, starten wir mit den Möglichkeiten, die auf keinen Fall rechtskonform gehen: WhatsApp in der „normalen Version“ und WhatsApp Business. Wir möchten an dieser Stelle zumindest in gebotener Kürze ein paar Worte dazu verlieren. Bei der Nutzung von WhatsApp werden unfassbar viele personenbezogene Daten ausgetauscht. Diese landen zwangsläufig auch bei WhatsApp und/oder dem Mutterkonzern Meta. Bei der Business-Variante kann man zwar zumindest eine Vereinbarung zur Auftragsverarbeitung schließen, was aber nicht die Problematik mit der Synchronisation der Smartphone-Kontakte u.v.m. löst. Aus diesen Gründen raten wir von beiden Möglichkeiten ab.
Die WhatsApp Business API – die Lösung?
Entsprechend kommen wir nun zur für uns einzigen wirklich denkbaren Lösung der WhatsApp-Nutzung: der Business API. Der Vorteil an dieser Variante ist, dass nicht die App des Anbieters WhatsApp/Meta genutzt wird, sondern eine technische Schnittstelle (API) eines (idealerweise in der EU angesiedelten) anderen Anbieters . Die Verwaltung und/oder das Versenden von Nachrichten erfolgt dann zum Beispiel über eine Web-Oberfläche oder von einer lokalen Anwendung aus, welche die API von WhatsApp nutzt.
Hört sich gut an? Finden wir dem Grunde nach auch, wenn Sie ein paar grundlegende Dinge berücksichtigen:
- Die API stellt keine Rechtsgrundlage dar, um andere mit Spam zu überhäufen. Bitte überlegen Sie sich daher genau, ob Sie die Menschen, die Sie anschreiben wollen, auch wirklich anschreiben dürfen. Das könnte beispielsweise im Rahmen der Vertragsanbahnung/-erfüllung, einer Einwilligung oder eines bestehenden Kundenverhältnisses unter Berücksichtigung der gesetzlichen Ausnahme aus § 7 Abs. 3 UWG möglich sein. Nur weil man einen Messengerdienst nutzt, heißt das nicht, dass mehr erlaubt ist als bei der Nutzung von E-Mails!
- Wählen Sie den Anbieter, den Sie nutzen, sorgfältig aus! Bedenken Sie dabei bitte, dass dieser Anbieter für Sie als Auftragsverarbeiter die Daten Ihrer Kund:innen/Interessent:innen verarbeitet. Idealerweise handelt es sich um einen Anbieter aus der EU.
- Schließen Sie eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO ab. Sehen Sie sich die TOM (technische und organisatorische Maßnahmen) Ihres Gegenübers an und prüfen Sie die zu Grunde liegende Vereinbarung.
- Natürlich sollten Sie auch weitere rechtliche Anforderungen erfüllen, wie z. B. Ihre Adressat:innen über die Datenverarbeitung zu belehren und etwaige Anforderungen an Transparenz zu erfüllen.
Fazit
Die WhatsApp Business API ist die wohl einzige Lösung um WhatsApp datenschutzkonform einzusetzen, aber auch hierfür muss ein gewisser Aufwand betrieben werden. Dieser dürfte sich aber sicherlich lohnen, wenn der Kanal professionell genutzt werden soll.
Falls Sie Fragen zu den obigen Themen oder zu sonstigen datenschutzrechtlichen Themen haben, freuen wir uns auf Ihre Kontaktaufnahme über info@sidit.de.