WhatsApp Business API und Datenschutz: Rechtskonforme Nutzung?
Es ist ein omnipräsentes Thema, das uns täglich im Rahmen bezahlter Werbung in allen sozialen Medien erreicht: WhatsApp Business, in der Regel als „100 % DSGVO-konform“ beworben und als absolut sicher proklamiert. Abseits der Fragen, ob überhaupt irgendein Unternehmen weltweit wirklich 100 % DSGVO-konform arbeitet und ob es sich bei diesen Aussagen nicht um rechtswidrige Werbung mit Selbstverständlichkeiten handelt, wollen wir uns heute der Kernaussage widmen: Ist WhatsApp Business im geschäftlichen Umfeld rechtskonform einsetzbar oder nicht?
WhatsApp in der „normalen Version“ und WhatsApp Business
Um es zum Einstieg kurz und knapp zu machen, starten wir mit den Möglichkeiten, die auf keinen Fall rechtskonform sind: WhatsApp in der normalen Version auf Ihren Smartphones und WhatsApp Business.
Wir sparen uns an dieser Stelle, bei diesen Möglichkeiten ins Detail zu gehen, möchten aber zumindest in gebotener Kürze ein paar Worte dazu verlieren: Es dürfte jedem klar sein, dass unfassbar viele personenbezogene Daten bei der Nutzung von WhatsApp ausgetauscht werden und diese zwangsläufig auch bei WhatsApp und/oder dem Mutterkonzern Meta landen. Bei der WhatsApp Business-Variante kann man zwar zumindest eine Vereinbarung zur Auftragsverarbeitung schließen, was aber die Problematik mit der Synchronisation der Smartphone-Kontakte u. v. m. nicht löst. Aus diesen Gründen würden wir von beiden Möglichkeiten abraten.
Die WhatsApp Business API – die Lösung?
Entsprechend kommen wir nun zur für uns einzig wirklich denkbaren Lösung zur Nutzung von WhatsApp, der WhatsApp Business API.
Der Vorteil dieser Variante ist, dass nicht die App des Anbieters WhatsApp/Meta genutzt wird, sondern eine technische Schnittstelle (API) eines (idealerweise in der EU angesiedelten) anderen Anbieters. Die Verwaltung und/oder das Versenden von Nachrichten erfolgt dann zum Beispiel über eine Weboberfläche oder von einer lokalen Anwendung aus, welche die API von WhatsApp nutzt.
Hört sich gut an? Finden wir dem Grunde nach auch, wenn Sie ein paar grundlegende Dinge berücksichtigen:
- Die API gibt Ihnen keine Rechtsgrundlage, dass Sie plötzlich irgendwelche Menschen zuspammen dürfen. Bitte überlegen Sie sich ganz genau, ob Sie die Menschen, die Sie anschreiben wollen, auch wirklich anschreiben dürfen, zum Beispiel im Rahmen der Vertragsanbahnung/Vertragserfüllung oder im Rahmen einer Einwilligung oder vielleicht auch im Rahmen eines bestehenden Kundenverhältnisses unter Berücksichtigung der gesetzlichen Ausnahme aus § 7 Abs. 3 UWG. Nur weil man WhatsApp nutzen darf, heißt das nicht, dass man zum Beispiel mehr darf als per E-Mail!
- Wählen Sie den Anbieter, den Sie nutzen, sorgfältig aus! Bedenken Sie dabei bitte, dass dieser Anbieter für Sie als Auftragsverarbeiter die Daten Ihrer Kund:innen/Interessent:innen verarbeitet. Idealerweise sollte es sich um einen Anbieter aus der EU handeln.
- Schließen Sie eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO ab. Schauen Sie sich genau die TOM (technische und organisatorische Maßnahmen) Ihres Gegenübers an und prüfen Sie die zugrunde liegende Vereinbarung.
- Natürlich sollten Sie auch weitere rechtliche Anforderungen erfüllen, wie z. B. Ihre Adressat:innen über die Datenverarbeitung zu belehren und etwaige Anforderungen an Transparenz erfüllen.
Fazit: WhatsApp Business API als datenschutzkonforme Lösung
Die WhatsApp Business API ist die wohl einzige Lösung, um WhatsApp datenschutzkonform einzusetzen. Aber auch hierfür muss ein gewisser Aufwand betrieben werden, der sich aber sicherlich lohnen dürfte, wenn der Kanal professionell genutzt werden soll.
Falls Sie Fragen zu den obigen Themen oder zu sonstigen datenschutzrechtlichen Themen haben, freuen wir uns auf Ihre Kontaktaufnahme über info@sidit.de.
