Datenschutzkonforme Kundenkommunikation per WhatsApp

Immer mehr Entscheider entscheiden sich dafür, WhatsApp in der Kundenkommunikation anzubieten, erst recht seit dieses Angebot für Unternehmen jeder Größe geöffnet wurde. Die Kritik am Datenschutz ist jedoch nicht aus der Luft gegriffen – Grund genug zu klären, worauf zu achten ist und welche Möglichkeiten Unternehmen haben, um die Daten ihrer Kunden bei der Nutzung von WhatsApp zu schützen. [...]

img-1
Timoor Taufig ist CEO und Co-Founder von Userlike. (c) Userlike

Zu Jahresbeginn machte WhatsApp mal wieder Schlagzeilen. „Die Datenschutzrichtlinie wird aktualisiert”, hieß es. Der Messaging-Dienst setzte den Verbrauchern die Pistole auf die Brust, wodurch sogar einige Nutzer auf andere Apps umgestiegen sind. Verliert WhatsApp etwa dadurch an Bedeutung? Mitnichten! Die Reichweite ist weiterhin beispiellos: Monatlich 2 Milliarden aktive Nutzer weltweit; 6,3 Millionen allein in Österreich – und in Deutschland sind es sogar 33,4 Millionen.

Datenschutz first: Macht die DSGVO alles klar?

Seit nunmehr drei Jahren werden innerhalb Europas alle personenbezogenen Daten durch die DSGVO, die „Datenschutz-Grundverordnung“, geschützt. Wird diese jedoch auch vom US-Mutterkonzern Facebook, der bekanntlich hinter WhatsApp steckt, eingehalten? Die App aus Mark Zuckerbergs Imperium ist nicht unbedingt bekannt für einen diskreten Umgang mit Nutzerdaten. Das erst im Sommer 2020 gekippte EU-US Abkommen „Privacy Shield“ galt bis zuletzt als valide rechtliche Grundlage für einen Datentransfer in die USA. Aber wie ist der aktuelle Stand der Dinge?

Wenn ein Unternehmen WhatsApp als Kommunikationskanal anbietet, wird es automatisch zum Verarbeiter personenbezogener Daten. Dazu gehören mindestens die bei WhatsApp hinterlegte Telefonnummer, aber auch Gesprächsinhalte, wie etwa eine Lieferanschrift oder eine E-Mail-Adresse, die möglicherweise im Rahmen des Austauschs über den Messaging-Dienst kommuniziert werden. Die proaktive Kontaktaufnahme eines Kunden erlaubt Unternehmen gemäß der DSGVO dessen Daten zu verarbeiten. Sobald sie hierfür jedoch WhatsApp nutzen, endet die Verantwortung nicht mehr bei der eigenen Datenverarbeitung: Denn WhatsApp verarbeitet die Daten im Auftrag des Unternehmens. Zum Schutz ihrer Kunden müssen diese deshalb von WhatsApp eine Garantie einholen, dass die Kundendaten dort mit einem hinreichenden Datenschutz verarbeitet werden.

Diese Garantie wird üblicherweise in einem „Auftragsverarbeitungsvertrag” schriftlich dargelegt. Von WhatsApp selbst werden derzeit jedoch einzig „Datenverarbeitungsbedingungen” angeboten, in denen wesentliche, von der DSGVO verlangte Angaben fehlen. Bei Facebook selbst findet das „Page Controller Addendum” Anwendung – es darf also durchaus davon ausgegangen, dass für WhatsApp an einem ähnlichen Dokument gearbeitet wird.

An welche Daten kommen die USA?

Inhalte, die zwischen dem Unternehmen und seinen Kunden bei WhatsApp ausgetauscht werden, sind Ende-zu-Ende-verschlüsselt. Das heißt, dass niemand mitlesen kann – weder WhatsApp, noch Facebook und auch nicht die US-Behörden. Das ist ein Irrglaube, der sich wacker hält. Darüber hinaus erfasst WhatsApp jedoch sogenannte Metadaten. Dazu gehören beispielsweise die Telefonnummer des Nutzers, sein Gerät, Art und Zeitpunkt der Nutzung, Standort und IP-Adresse. Und diese Metadaten werden mit dem Mutterkonzern Facebook geteilt. Das bringt Probleme mit sich, denn seit das Privacy Shield gekippt wurde, besteht kein gültiges Abkommen mehr zwischen der EU und den USA. Das bedeutet, dass es keine verbindliche Einigung gibt, die die personenbezogenen Daten schützt. Genau genommen, können US-Behörden unter gewissen Umständen verlangen, dass ihnen Nutzerdaten ausgehändigt werden. Damit würden sie wiederum gegen die DSGVO verstoßen.

Dieser Sachverhalt stellt eine klassische Pattsituation dar – zumindest solange kein neues Abkommen beschlossen ist. Unternehmen, die WhatApp oder andere Software aus den USA nutzen, müssen sich dessen bewusst sein. Die meisten von ihnen verweisen hier auf die EU-Standardvertragsklauseln, denn dem EuGH zufolge sind diese auch weiterhin gültig. Hier muss jedoch zusätzlich geprüft werden, ob der Dienstleister im betreffenden Nicht-EU-Drittland zusätzliche Sicherheiten für den Schutz der Daten vorweisen kann.. Um sicherzugehen, sollten Unternehmen ihre Kunden im Rahmen ihrer Datenschutzerklärung darüber informieren und darauf hinweisen, dass WhatsApp eigenständig Daten verarbeitet. Außerdem kann darauf aufmerksam gemacht werden, dass die Details hierzu in WhatsApps Nutzungsbedingungen eingesehen werden können.

Grundsätzlich hat jeder Anwender den Nutzungsbedingungen von WhatsApp jedoch ohnehin bereits explizit zugestimmt – sonst ließe sich die App gar nicht nutzen. Sind für das konkrete Anliegen sensible personenbezogene Daten notwendig , können Unternehmen ihre Kunden in einer WhatsApp Kommunikation bei Bedarf auch auf eigene Dienste hinweisen, z.B. einen Login-Bereich. Wer möchte, kann WhatsApp daher auch zur Beantwortung allgemeiner Fragen nutzen, bei denen diese Kategorie von Daten nicht anfällt. Der österreichische Sportartikel-Shop Blue Tomato macht vor, wie es gehen kann. Zum Austausch mit den Kunden, z.B. für die Produktberatung, bietet der Online-Shop aus der Steiermark auch WhatsApp an. Interessierte Besucher des Webshops können per Messaging Fragen zur Funktionsweise von Artikeln des Sortiments stellen und bekommen direkt im Chat Antworten. Dieses Angebot einer persönlichen Beratung hat sich insbesondere in Corona-Zeiten bei steigender Nachfrage während der Schließzeiten des stationären Einzelhandels bewährt.

„WhatsApp Business”: Datenkrake ohne Mehrwert?

Die WhatsApp Business App ist auf ein Endgerät, eine Mobilfunknummer und eine bestimmte Anzahl von Kontakten begrenzt. Eingehende Anfragen werden manuell über das Smartphone oder am Computer per WhatsApp Web beantwortet. Ein größeres Support-Aufkommen lässt sich demzufolge nicht bewältigen. Außerdem fehlen umfangreiche Kommunikations-Funktionen für einen professionellen Kundenservice.

In Sachen Datenschutz sind keine großen Unterschiede zur App für Konsumenten auszumachen. So kann z.B. die automatische Kontaktsynchronisation als problematisch angesehen werden: Sobald die WhatsApp Business App installiert ist, erfasst sie nämlich alle Kontakte im Adressbuch des Mobilgeräts. Der Messenger will prüfen, ob diese bereits WhatsApp-Nutzer sind. Personenbezogenen Daten von unbeteiligten Dritten gelangen auf diese Weise unverschlüsselt, nicht anonymisiert und nicht pseudonymisiert zu WhatsApp. Ohne ihr Wissen und ohne ihr Zutun finden die Daten von Telefonbuchkontakten ihren Weg auf die US-amerikanischen Facebook-Server.

Weder Unternehmen, die den Kanal anbieten, noch WhatsApp selber haben hierfür eine rechtliche Grundlage. Denn: Weder kann eine Einwilligung der unbekannten Dritten vorliegen, noch kann man ein berechtigtes Interesse unterstellen, diese Daten zu übermitteln oder zu verarbeiten. Die einzige Option, diesen buchstäblich „vorprogrammierten” Verstoß gegen die DSGVO zu vermeiden, wäre WhatsApp Business nur auf einem eigens dafür vorgesehenen Gerät einzusetzen. Das zugehörige Adressbuch dürfte dann einzig WhatsApp-Kontakte enthalten, zum Zeitpunkt der Installation und auch danach.

Darüber hinaus ist es grundsätzlich ratsam, sich vom Kunden immer proaktiv kontaktieren zu lassen und dann auf dessen Anfrage zu reagieren. Wenn die initiale Kontaktaufnahme nämlich vom Kunden ausgeht, kann man diesen Vorstoß als „eindeutig bestätigendes” Verhalten werten, was der DSGVO als Grundlage für die anschließende Datenverarbeitung genügt. Um dem Kunden einen Anreiz dafür zu schaffen, können Unternehmen einfach ihre Nummer kommunizieren oder sie über einen Click-to-Chat-Link direkt in den Chat führen, z.B. auch in Form eines QR-Codes. Im Sinne einer datenschutzkonformen Kundenkommunikation sollte ein Unternehmen eher darauf verzichten, Kunden proaktiv per WhatsApp anzuschreiben.

Die offizielle WhatsApp Business API für mehr Professionalität

Die WhatsApp Business API ist Facebooks Angebot für Unternehmen, die beim Einsatz des Messengers für eine professionelle und skalierte Kundenkommunikation Wert auf größtmöglichen Schutz der Kundendaten legen. Für den Einsatz dieser API ist keine App von WhatsApp nötig. Dies ist einer der größten Unterschied zu den vorherigen Varianten. Stattdessen wird WhatsApps technische Schnittstelle an eine professionellen Kommunikationssoftware angedockt. Über diese umfangreiche Software können Unternehmen dann mit ihren Kunden kommunizieren. Das hat einen weiteren große Vorteil, denn mit der WhatsApps Business API können zum Beispiel auch mehrere Mitarbeiter über verschiedene Endgeräte per WhatsApp mit den Kunden kommunizieren. Außerdem können sie das Repertoire um den kompletten Funktionsumfang der Kommunikationssoftware erweitern, wie zum Beispiel Textbausteine, eine Live-Übersetzung und Effizienzfunktionen.

Einen Zugang zur WhatsApp Business API erhalten Unternehmen ausschließlich über autorisierte Anbieter. Das sind von WhatsApp eigens zertifizierte Partnerunternehmen, welche einen seriösen Umgang mit der WhatsApp-Infrastruktur sicherstellen. Diese Partner sind nicht ganz unwichtig, denn Facebook speichert die WhatsApp Chats nicht selbst, sondern überlässt dies den Anbietern der Kommunikationssoftware. Das und die Tatsache, dass keine Smartphone App mehr notwendig ist, ergeben signifikante Datenschutz-Vorteile gegenüber der Business App. Zum einen entfällt die eingangs beschriebene problematische Kontaktsynchronisierung, zum anderen werden die Konversationen nicht auf den US-amerikanischen Facebook-Servern gespeichert.

Neben eigenen Datenschutzvorkehrungen können die Sicherheitsstandards bei einer Nutzung der API also am stärksten beeinflusst werden, indem ein Anbieter gewählt wird, der in diesem Bereich sehr gut aufgestellt ist. Bei der Auswahl sollte daher z.B. darauf geachtet werden, dass das Partnerunternehmen von WhatsApp einen Hauptsitz mit Serverstruktur in Deutschland hat. Auch sollte es seinen Kunden die Möglichkeit anbieten, alle Kundendaten sehr unkompliziert zu löschen.

Pro oder contra WhatsApp – die Gretchenfrage

WhatsApp im Kundenservice – das geht auch datenschutzkonform. Und es lohnt sich: Bieten Unternehmen ihren Kunden die Kommunikation per WhatsApp an, schaffen sie damit nämlich nicht nur einen sehr unkomplizierten Kommunikationsweg mit extrem hoher Reichweite sowie unvergleichlicher Öffnungsrate, sie treffen ihre Kunden auch auf Augenhöhe – in ihrem gewohnten, digitalen Umfeld. Aktuelle Umfragen zeigen: Die Endverbraucher selbst sehen viele Vorteile darin, im Kundenservice auch via Messaging-Apps kommunizieren zu können.

*Timoor Taufig ist CEO und Co-Founder von Userlike.


Mehr Artikel

img-2
Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

img-4
News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Otto Neuer, Regional VP und General Manager bei Denodo. (c) Denodo
Kommentar

Wie logisches Datenmanagement das ESG-Reporting vereinfacht

Mit zunehmendem Bewusstsein für Nachhaltigkeitsthemen wächst auch der Druck, den Stakeholder diesbezüglich auf Unternehmen ausüben. Gerade auf Seiten der Gesetzesgeber entstehen vermehrt Richtlinien, die „ESG“ (Enviornmental, Social und Governance)-Anliegen vorantreiben und Unternehmen zu mehr Transparenz in Form von entsprechender Berichterstattung verpflichten. […]

Frank Schwaak, Field CTO EMEA bei Rubrik (c) Rubrik
Kommentar

Wie CIOs Unternehmen als Cloud-Lotse sicher durch Daten- und Sicherheitsrisiken führen

In einer fragmentierten Infrastruktur ist es herausfordernd, den Durchblick über Daten und Kosten zu behalten. CIOs werden zu Lotsen, die das Unternehmen sicher durch die unterschiedlichen Cloud-Umgebungen steuern müssen. Was können Unternehmen also tun, um den Überblick über Cloud-Anwendungen zu behalten und den Kurs zwischen Cloud und Cyberresilienz zu halten? […]

Ass. Prof. Dr. Johannes Brandstetter, Chief Researcher bei NXAI (c) NXAI
News

KI-Forschung in Österreich: Deep-Learning zur Simulation industrieller Prozesse

Als erstes Team weltweit präsentiert das NXAI-Forscherteam um Johannes Brandstetter eine End-to-End-Deep-Learning Alternative zur Modifizierung industrieller Prozesse, wie Wirbelschichtreaktoren oder Silos. Das Team strebt schnelle Echtzeit-Simulationen an, plant den Aufbau von Foundation Models für Industriekunden und fokussiert sich im nächsten Schritt auf die Generalisierung von Simulationen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*