Datenschutz-konformer Einsatz von WhatsApp, Facebook Messenger & Co. sicherstellen

Wie setze ich WhatsApp für unser Unternehmen datenschutzkonform ein?

Vor wenigen Monaten haben wir über die neue Ausrichtung von WhatsApp berichtet (Link: “Kein Massenversand mehr erlaubt”) , so dass ab dem 07. Dezember 2019 kein Newsletter-Einsatz mehr erlaubt sein wird. Diese Änderung ist in den aktuellen FAQs von WhatsApp nachzulesen.

Dadurch verändert sich der Einsatz gewollt in den reinen 1:1 Dialog im Business-Kontext. WhatsApp kann somit fortan rein für den Service / Kunden-Support eingesetzt werden.
Der folgende Beitrag ist ein Auszug aus dem Fachbuch “Messenger Marketing” (2019) von Matthias Mehner und behandelt die rechtlichen Rahmenbedingungen für Unternehmen in Deutschland, die den grünen Messenger oder auch andere Messenger für den Kundendialog einsetzen möchten. In einem vorherigen Auszug des Fachbuches haben wir die global 10 erfolgreichsten Messenger Anwendungen daraus vorgestellt.

WhatsApp Datenschutz – was muss in der Praxis beachtet werden?

In seinem Fachbuch hat Matthias einen Rechtsexperten für Messenger Anwendungen dazugeholt, Gastautor und Rechtsanwalt RA Dr. Carsten Ulbricht.

Jedes Unternehmen, dass Messenger für Service oder Marketing nutzen möchte, sollte sich auch mit den rechtlichen- und besonders den datenschutzrechtlichen Rahmenbedingungen auseinandersetzen. Bei Messengern wie WhatsApp gibt es sehr viele Mythen und Halbwissen.
Dr. Carsten Ulbricht klärt daher auf: „Generell gibt es keine Einschränkungen, welche Daten Unternehmen und Kunden über Messenger wie WhatsApp austauschen“.

Messenger Anwendungen gehören zu den meistgenutzten Apps auf dem Smartphone. Dem entsprechend interessieren sich immer mehr Unternehmen für den Einsatz von Messengern, also den Kundenkontakt über Messenger Dienste wie WhatsApp, Facebook Messenger oder Snapchat.

Teilweise werden dafür auch Chatbots eingesetzt. Es handelt sich hierbei im Prinzip um textbasierte Dialogsysteme, die Kundenanfragen automatisiert beantworten und/oder die Kundenkommunikation technologisch unterstützen sollen.

Aufgrund – teils missinterpretierter – Gerichtsurteile und erheblichem Respekt vor den Bußgeldern der seit 25. Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO), halten sich einige Unternehmen mit dem Einsatz von Messenger Marketing derzeit noch zurück. Der nachfolgende Beitrag zeigt, wie Messenger im Conversational Commerce rechtskonform eingesetzt werden können.

Datenschutzrechtliche Grundlagen

EU-weite DSGVO Bestimmungen, gültig seit Mai 2018.

Mit dem Einsatz eines Messengers wird das Unternehmen nach Art. 4 Nr. 7 DSGVO verantwortlich für die Erhebung und weitere Verarbeitung personenbezogener Daten.

Nach dem sogenannten Verbotsprinzip dürfen personenbezogene Daten nur verarbeitet werden, wenn einer der so genannten „Erlaubnistatbestände“ die jeweilige Verarbeitung legitimiert und der betroffene Nutzer bei der Datenerhebung entsprechend Art. 13 DSGVO informiert wird.

Bei der Umsetzung von Messenger-Marketing-Projekten ist also zunächst festzustellen, ob und welche personenbezogenen Daten in und über den Messenger verarbeitet werden.

Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten, die sich – direkt oder indirekt – auf eine natürliche Person beziehen, wie zum Beispiel:

  • Name,
  • Wohnadresse,
  • Geburtsdatum,
  • E-Mail-Adresse,
  • Telefonnummer,
  • Kundennummer,
  • IP-Adresse und
  • Online-Kennungen, die eine Zuordnung zu einer Person ermöglichen.

Bei Messengern sind danach zunächst die Kommunikationsdaten, wie z.B. Nutzername und die Handynummer bei WhatsApp zu nennen, ohne die die „Verbindung“ zu dem jeweiligen Nutzer nicht hergestellt werden kann. Des Weiteren sind die Nachrichten zwischen Unternehmen und Nutzer zu nennen. Diese werden nachfolgend als „Inhaltsdaten“ bezeichnet. Schließlich sind noch die Metadaten zu nennen, die zumindest von dem jeweiligen Messenger- Anbieter verarbeitet werden, um die Kommunikation zwischen den einzelnen Nutzern des Dienstes herzustellen. Klar ist damit, dass im Rahmen des Messenger Marketing – je nach eingesetztem Messenger – auch personenbezogene Daten verarbeitet werden, demgemäß also die Vorgaben der DSGVO beachtet werden müssen.

Legitimation der Datenverarbeitung

Seit dem 25. Mai 2018 dürfen solche personenbezogene Daten nur noch verarbeitet werden, wenn die DSGVO die jeweilige Datenverarbeitung auch ausdrücklich erlaubt.

Das ist beim Messenger Marketing der Fall, wenn eine der nachfolgenden Voraussetzungen (sog. Erlaubnistatbestände) erfüllt wird:

a) Legitimation über Vertragszwecke (Art. 6 Abs.1 lit.b DSGVO)

Ist die Datenverarbeitung für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen notwendig, wird keine Einwilligung benötigt. Somit ist die Verarbeitung datenschutzrechtlich dann legitimiert (Art. 6 Abs.1 lit.b DSGVO).

Wenn die Kommunikation über einen Messenger selbst also wesentlicher Bestandteil des Vertrages zwischen dem Unternehmen und dem jeweiligen Betroffenen ist, so ist eine Legitimation über Vertragszwecke denkbar. Eine Verarbeitung über Messenger ist jedoch nur dann erforderlich, wenn der Vertrag ohne sie nicht so erfüllt werden könnte, wie die Parteien sich geeinigt haben.

Auch wenn eine entsprechende Umsetzung über den Vertrag selbst nicht ganz einfach umzusetzen ist, so ist sie – gerade bei unternehmenseigenen Messengern – dennoch denkbar. Eine Kommunikation über Messenger von Drittanbietern (z.B. WhatsApp oder Facebook Messenger) wird sich allein über Vertragszwecke jedoch eher nicht argumentieren lassen.

b) Legitimation über berechtigte Interessen (Art.6 Abs.1 lit.f DSGVO)

Außer der Datenverarbeitung zur Abwicklung eines Vertrages kann die Datenverarbeitung auch unter der Voraussetzung „berechtigter Interessen des Unternehmens“ (Art. 6 Abs. 1 lit.f DSGVO) zulässig sein.

Aufgrund der Unbestimmtheit dieses Legitimationstatbestandes ist – gerade im Hinblick auf Verarbeitungsvorgänge über moderne Kommunikationsmittel – noch nicht abschließend geklärt, welche Datenverarbeitungen hierüber legitimiert werden können.

Berechtigte Interessen wie Marketing-, Vertriebs- oder Kommunikationszwecke eines Unternehmens können also die Datenverarbeitung legitimieren, wenn überwiegende Interessen und Grundrechte des Betroffenen nicht entgegenstehen. Hierbei ist insbesondere festzustellen, ob der Betroffene die jeweilige Datenverarbeitung vernünftigerweise erwarten musste oder nicht.

Soweit sich die Datenverarbeitung der eingesetzten (eigenen) Messenger-App im Rahmen dessen hält, was im Rahmen der Kommunikation vernünftigerweise von dem Nutzer erwartet werden, kann ist eine Legitimation über berechtigte Interessen denkbar.

Beim Einsatz von Messenger etwaiger Drittanbieter (wie z.B. WhatsApp und Facebook Messenger) wird sich die Datenverarbeitung z.B. aufgrund der Datenübertragung und – speicherung in den USA wohl nicht über berechtigte Interessen legitimieren lassen. Beim Einsatz solcher „externen“ Messenger sollte im Rahmen der Legitimation eher die nachfolgend erläuterte Einwilligungslösung gewählt werden.

c) Legitimation über die Einwilligung (Art. 6 Abs. 1 lit.a DSGVO)

Die Einwilligung des jeweiligen Kommunikationspartners ist gerade beim Messenger Marketing ein gangbarer Weg, um die Kommunikation rechtskonform aufzusetzen.

Bei der Einholung einer Einwilligung sind insbesondere die Anforderungen des Art. 7 DSGVO zu erfüllen.

Eine Einwilligung setzt eine ausdrückliche Erklärung oder eine eindeutig bestätigende Handlung (sog. Opt-In) des Betroffenen voraus. Eine Einwilligung ist datenschutzrechtlich nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht und dieser zuvor ausreichend und verständlich darüber informiert wurde, welche Daten für welchen Zweck verarbeitet werden sollen.

Insbesondere soll der Betroffene schon bei der Datenerhebung gemäß Art. 13 DSGVO über die Datenverarbeitung informiert werden, d.h.

  • welche Verarbeitungsvorgänge vorgesehen sind,
  • unter welchen Voraussetzungen die Daten an Dritte weitergegeben werden,
  • dass die Erklärung freiwillig ist,
  • wie lange die Daten bei wem gespeichert werden sollen und
  • dass die Einwilligung jederzeit widerrufen werden kann.

Die Einwilligung kann schriftlich, elektronisch, mündlich oder durch entsprechendes Verhalten erfolgen. Die Einräumung einer bloßen Widerspruchsmöglichkeit (sog. „Opt-Out“) reicht nicht. Zudem muss darauf geachtet werden, dass die Einwilligung nicht an andere sachfremde Erklärungen gekoppelt wird (Art. 7 Abs.4 DSGVO).

Eine wirksame Einwilligungserklärung, die der Betroffene z.B. über ein Ankreuzen eines Kästchens zustimmen kann, könnte so gestaltet werden, dass auf einer ersten Ebene (1st Level Information) in einem kurzen Satz über das Wesentliche der Datenverarbeitung aufgeklärt wird bzw. die weiteren Informationen dann auf einer zweiten Ebene (2nd Level Information) in der Datenschutzerklärung abgerufen werden können.

Der Hinweis „Datenschutzerklärung“ könnte dann mit der auf der Webseite abrufbaren Datenschutzerklärung verlinkt werden, die gemäß Art. 13 DSGVO umfassend über die Verarbeitung der personenbezogenen Daten des Nutzers informiert.

Eine ausdrückliche Einwilligung nach umfassender Information über die Datenverarbeitung im Rahmen der Messenger Kommunikation sorgt für Transparenz und gibt dem Nutzer die Möglichkeit selbst über die Verarbeitung seiner Daten zu entscheiden. Damit ist die Einwilligungslösung eine gute Option, um die Datenverarbeitung zu legitimieren.

Fazit

Beim Einsatz von Messengern von Drittanbietern wie z.B. WhatsApp oder dem Facebook Messenger sollte vor einer etwaigen Ansprache oder Kommunikation eine ausdrückliche Einwilligung eingeholt werden, im Rahmen derer der Nutzer umfassend über die Datenverarbeitung informiert wird. Soweit der Nutzer nach Bereitstellung aller wesentlichen Informationen aktiv einwilligt, ist die Kommunikation über den jeweiligen Messenger aber dann auch hinreichend legitimiert.

Informationen über die Datenverarbeitung

Unabhängig davon, wie die Datenverarbeitung legitimiert wird, hat das Unternehmen, im Rahmen des Messenger Marketings, die Nutzer gemäß Art. 13 DSGVO schon bei der ersten Datenerhebung (z.B. bei der Aufnahme der Handynummer) über die jeweilige Verarbeitung zu informieren.

Demgemäß sollte eine Datenschutzerklärung bereitgestellt werden, die die nachfolgenden Informationen enthält:

  • Name und Kontaktdaten des Unternehmens,
  • Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden),
  • Zwecke der Verarbeitung,
  • Rechtsgrundlage der Verarbeitung,
  • Empfänger oder Kategorien von Empfängern (z.B. bei Weitergabe personenbezogener Daten an Dritte),
  • Absicht über Drittlandtransfer (z.B. Datenspeicherung in USA bei WhatsApp),
  • Speicherdauer oder Kriterien für die Festlegung der Speicherdauer,
  • Belehrung über Betroffenenrechte,
  • Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung,
  • Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde,
  • gegebenenfalls Bereitstellung der Daten gesetzlich oder vertraglich zwingend

Bei Einsatz des Messengers eines Drittanbieters (z.B. WhatsApp oder Facebook Messenger) sollte auch über dessen Datenverarbeitung informiert werden. Die notwendigen Informationen sollten über die jeweils zur Verfügung gestellten Nutzungsbedingungen (siehe etwa: https://www.whatsapp.com/legal/#terms-of-service) bzw. Datenschutzerklärung (siehe etwa: https://www.whatsapp.com/legal/#privacy-policy) eingeholt werden.

Häufige Einwände gegen den Unternehmenseinsatz von Messenger Anwendungen

Aufgrund der weiten Verbreitung in Deutschland interessieren sich die meisten Unternehmen für eine Kommunikation über WhatsApp.

WhatsApp ist DER Messenger in Deutschland.

Gerade bei Diskussionen um den Einsatz von WhatsApp werden oft datenschutzrechtliche Bedenken eingewandt, obwohl diese teilweise auf Fehlinformationen beruhen bzw. teilweise über technische oder rechtliche Maßnahmen ausgeräumt werden können.

a) Weitergabe der auf dem Handy gespeicherter Kontaktdaten

Wird WhatsApp erstmalig auf einem mobilen Endgerät installiert, „liest“ die App die Telefonnummern der im Adressbuch des jeweiligen Handys eingetragenen Kontakte aus und überträgt diese an die WhatsApp Inc. in die USA. Hierbei werden regelmäßig auch Telefonnummern von Kontakten übertragen, die WhatsApp nicht nutzen und der Übertragung an WhatsApp auch nicht zugestimmt haben.

Dies wird von den Datenschutzbehörden beim Unternehmenseinsatz zu Recht als datenschutzwidrig gerügt. Fälschlicherweise hat das AG Bad Hersfeld (Az. F 111/17) in seinem vielbeachteten Urteil vom 20.03.2017 auch den privaten Einsatz von WhatsApp als eindeutigen Datenschutzverstoß angesehen, der Unterlassungsansprüche der betroffenen Telefonkontakte auslöse. Eine ungefragte Weitergabe von Telefonnummer oder anderen Kontaktdaten sollte in jedem Falle unbedingt vermieden werden.

Dies kann entweder durch technische Maßnahmen wie auf dem jeweiligen Endgerät installierte Apps (z.B. XPrivacy oder SRT-Appguard) bzw. eine sog. Containerlösung – die Datenbestände auf dem Endgerät „auseinanderhält“ – verhindert werden.

Als einfacher „Workaround“ setzen einzelne Unternehmen bei Beginn des Messenger Marketing auch einfach ein Handy ein, auf dem bisher keine Kontaktdaten gespeichert sind und nehmen dann nur die Nutzer auf, die dem oben stehenden Prozedere entsprechend zugestimmt haben.

Als weitere Option bietet sich der Einsatz spezialisierter Dienstleister (wie z.B. MessengerPeople) an, bei denen die Kommunikation des Unternehmens über eine Software-as-a-Service-Plattform (SaaS) ausgeführt wird, ohne dass das Unternehmen den jeweiligen Messenger auf einem eigenen Endgerät installieren muss. Hier kommt es aufgrund des Zugangs über die SaaS-Plattform natürlich auch zu keinem unbefugten Auslesen etwaiger Kontakte des Unternehmens.

Die dargestellten Alternativen zeigen, dass es verschiedene Optionen gibt, den oft kritisierten Datenzugriff von WhatsApp auf dem Endgerät gespeicherte Kontakte zu verhindern.

b) Datenübertragung und -speicherung in den USA

Ein weiterer Kritikpunkt, der dem Einsatz von Messenger Anwendungen – gerade auch WhatsApp – oft entgegengehalten wird, ist die Datenübertragung und wohl auch -speicherung von Daten in den USA. Richtig ist, dass die USA nach der DSGVO als unsicheres Drittland zu kategorisieren ist.

Auch unter Geltung der DSGVO ist eine Übertragung personenbezogener Daten in die USA nicht ausgeschlossen, sondern unter den spezifischen Anforderungen für die Übermittlung personenbezogener Daten in Drittländer aus den Art. 44 ff. DSGVO ohne weiteres zulässig.

Unproblematisch ist eine Datenübertragung in die USA immer dann, wenn das empfangende Unternehmen den Abschluss der EU-Standardvertragsklauseln anbietet oder (wie etwa die WhatsApp Inc.) unter dem sogenannten Privacy-Shield zertifiziert ist.

Als letzte Option ist eine Datenübertragung in ein unsicheres Drittland gemäß Art. 49 Abs.1 lit.a DSGVO auch zulässig, wenn die betroffenen Personen wirksam in die Datenübermittlung in das Drittland einwilligt. Eine wirksame Einwilligung setzt dabei voraus, dass der Betroffene, nachdem über bestehende mögliche Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, ausdrücklich in die Übertragung einwilligt. In diesem Fall benötigt das Unternehmen zur Rechtfertigung der Übermittlung in das Drittland auch keine zusätzlichen Garantien.

Die dargestellten Optionen zeigen, dass eine Übermittlung personenbezogener Daten in die USA oder ein anderes Drittland nicht grundsätzlich ausgeschlossen ist. Unternehmen, die Nutzerdaten im Rahmen des Messenger Marketings z.B. in die USA übertragen, sollten gegebenenfalls gewährleisten, dass eine der Optionen erfüllt wird.

Rechtlicher Rahmen: Einsatz von Chatbots und Künstlicher Intelligenz (KI) in Messenger Anwendungen

Beim Einsatz von Chatbots in der Kundenkommunikation über Messenger sind einige rechtliche Rahmenbedingungen zu beachten, die man von der klassischen Webseite kennt. Wenn der Chatbot beispielsweise Preise nennt, oder sogar einen Vertragsabschluss zustande bringen soll, sind die notwendigen Informationspflichten, wie z.B. die Preisangabenverordnung oder die Belehrung über Widerrufsrechte, medienspezifisch in den Kommunikationsprozess einzubauen.

Wenn externe Dienstleister oder Schnittstellen für die Chatbot Kommunikation (z.B. Alexa oder die KI-Plattform Google Dialogflow) verwendet werden sollen, sollten die datenschutzrechtlichen Anforderungen frühzeitig geprüft und über die möglichen Konstruktionen (z.B. Einwilligung oder Auftragsverarbeitung) umgesetzt werden.

Nach der Erfahrung aus verschiedenen Chatbot-Projekten lässt sich festhalten, dass sich die rechtlichen Anforderungen am besten erfüllen lassen, wenn die juristische Expertise des beratenden Rechtsanwälte bzw. der eigenen Rechtsabteilung nicht erst zur finalen Freigabe des eigentlich schon fertigen Projekts, sondern schon bei der Planung der Prozess- und Kommunikationsverläufe eingebunden wird.

Zusammenfassung & Resumé: rechtskonformer Unternehmens-Einsatz von externen Messenger Diensten in Deutschland

Unternehmen, die Messenger Marketing einsetzen wollen, sollten zunächst im Rahmen einer Bestandsaufnahme prüfen, welche personenbezogenen Daten im Rahmen des Projektes zu welchen Zwecken verarbeitet werden sollen.

Danach sollte geprüft werden, über welchen der Legitimationstatbestände sich die jeweilige Datenverarbeitung rechtfertigen lässt. Soweit sich eine Legitimation über zu Vertragszwecken (Art. 6 Abs. lit.b DSGVO) oder berechtigte Interessen (Art. 6 Abs.1 lit.f DSGVO) nicht sicher argumentieren lässt, sollte eine wirksame und nachweisbare Einwilligung (Art. 6 Abs.1 lit.a DSGVO) des Nutzers eingeholt werden.

Von besonderer Bedeutung ist die Erfüllung der Informationspflichten bei der Erhebung personenbezogener Daten. Unternehmen sollten darauf achten, den Nutzern tatsächlich alle nach Art. 13 DSGVO erforderlichen Informationen (z.B. in der Datenschutzerklärung) bereitzustellen.

Beim Einsatz von WhatsApp sollte über die dargestellten technischen Maßnahmen oder Einschaltung von Dienstleistern sichergestellt werden, dass keine personenbezogenen Daten Dritter ungefragt an WhatsApp übertragen werden.

Bei einer Übermittlung personenbezogener Daten in ein unsicheres Drittland (z.B. USA) sollte dies über EU-Standardvertragsklauseln, geeignete Garantien (z.B. Privacy-Shield-Zertifizierung des Dritten) oder eine ausdrückliche Einwilligung des Nutzers abgesichert werden.

Unternehmen sollten außerdem prozessual vorbereitet sein, die diversen Betroffenenrechte auch unter der Regelfrist von einem Monat zu erfüllen. Verlangt z.B. ein Betroffener Auskunft, sollte das Unternehmen diese zeitnah und umfassend erteilen können, um eine weitere Eskalation (z.B. durch Einschaltung der Datenschutzbehörde) zu verhindern.

Schließlich sollte sichergestellt werden, dass auch die in Art. 5 Abs.2 DSGVO vorgesehenen Rechenschaftspflichten erfüllt werden, nach denen Unternehmen in der Pflicht sind, ihre Datenverarbeitungsvorgänge so zu dokumentieren, dass sie die Rechtskonformität nötigenfalls auch schriftlich nachweisen können. Auch für das Messenger Marketing sollte also ein Verarbeitungsverzeichnis erstellt werden, welches die zugrundeliegende Legitimation für die Datenverarbeitung (z.B. die Einwilligung), die Erfüllung der Informationspflichten und rechtskonforme Einbindung etwaiger Dienstleister entsprechend dokumentiert.

Unter diesen Voraussetzungen wird sich der Einsatz der beliebtesten Messenger Anwendungen – trotz der Neuheit der DSGVO geschuldeten Unwägbarkeiten – in aller Regel rechtskonform gestalten lassen.

Vielen Dank an Matthias Mehner, auch bekannt als Messenger Matze, und Dr. Carsten Ulbricht für diese fundierten Erklärungen, sowie die Empfehlungen und Ratschläge für die Praxis!

Hast Du Dich auch mit der Thematik auseinandergesetzt, hast Du Anmerkungen oder eigene Erfahrungen? Gerne per Kommentar mit allen Lesern teilen.


Hinterlasse einen Kommentar

  Abonnieren  
Benachrichtige mich bei