Datenschutz und WhatsApp Business Cloud API

WhatsApp als Tochterunternehmen von Meta (vormals Facebook) stand wegen massiver Bedenken im Hinblick auf Datenschutz und Privatsphäre schon öfter in der Kritik. Allen Datenschutzbedenken zum Trotz: Laut Studien (u.a. hier) wünschen sich 85 Prozent der Kunden mit Unternehmen per WhatsApp in Kontakt treten zu können. Aufgrund der Popularität und Praktikabilität von WhatsApp sind Unternehmen daher an einem datenschutzkonformen Einsatz interessiert.

Die WhatsApp App und die für die geschäftliche Kommunikation vorgesehene WhatsApp Business App sind aus Sicht des Datenschutzes problematisch (u.a. wegen des Transfers aller Kontakte im Telefon-Adressbuch eines WhatsApp App Nutzers auf amerikanische Server). Etwas anders gestaltet sich die Situation jedoch, wenn anstelle der App die WhatsApp Business Cloud API genutzt wird. Die aus datenschutzrechtlicher Sicht vielfach kritisierte, automatische Übertragung von Telefonbuchkontakten an US-Server erfolgt hier nämlich nicht.

Die datenschutzrechtliche Einordnung der WhatsApp Business Cloud API wollen wir in diesem Blog-Artikel näher beleuchten.

Hierfür ist es zunächst wichtig zwischen der WhatsApp App, der WhatsApp Business App und der WhatsApp Business API zu unterscheiden, da sich die technische Abwicklung jeweils verschieden gestaltet.

WhatsApp App = App für Privatkunden

Diese App ist nur für die private Kommunikation gedacht. Die WhatsApp Nutzungsbedingungen verbieten eine gewerbliche Nutzung. DSGVO-Konformität dürfte hier in den meisten Fällen nicht gewährleistet sein, da insbesondere alle Telefonbucheinträge eines WhatsApp-Nutzers auf Server in den USA hochgeladen werden (wofür grundsätzlich keine Rechtsgrundlage existiert).

WhatsApp Business App = kostenlose App für kleine Unternehmen

Die WhatsApp Business App ist eine kostenlose und eigenständige Version des Messengers, die speziell für Kleinunternehmen entwickelt wurde. Zusätzlich zu den bekannten Funktionen können in der Business-Version relevante Informationen über das Unternehmen, z.B. Adresse, Unternehmensbeschreibung, Standort, Webseite und Öffnungszeiten hinterlegt werden. Zudem können Kataloge erstellt werden, um Produkte und Dienstleistungen zu präsentieren und ein automatisierter Nachrichtenversand eingerichtet werden. Mithilfe dieser Tools wird die Kommunikation erleichtert. Auch hier ist die DSGVO-Konformität aufgrund der Synchronisation der Adressbuch-Kontakte und der damit verbundenen Drittstaatenübermittlung problematisch.

WhatsApp Business Cloud API = Schnittstelle zur WhatsApp-Infrastruktur

Die WhatsApp Business Cloud API richtet sich an mittlere und große Unternehmen. Die API ist kostenpflichtig und Unternehmen benötigen grundsätzlich sogenannte Business Solution Provider (BSP), um Zugriff auf die API-Schnittstelle zu erhalten. Diese BSP bieten für Unternehmen in der Regel Web-Applikationen an, über die mit WhatsApp-Nutzern kommuniziert werden kann. Eine WhatsApp App ist nicht erforderlich, wodurch die datenschutzrechtlich problematischen Aspekte der App (u.a. der Abgleich des Telefon-Adressbuches) vermieden werden.

Ein weiterer Aspekt ist, dass die BSP die gesamte Kommunikation und Speicherung von Daten über eine eigene, von WhatsApp unabhängige Server-Infrastruktur abwickeln. Die Chats mit Kunden (bzw. Bewerbern, etc.) werden hier nicht auf WhatsApp-Servern, sondern auf den Servern des jeweiligen BSP gespeichert. Insofern kann durch Auswahl eines geeigneten BSP der Transfer in Drittstaaten vermieden werden. Wird hier ein Anbieter ausgewählt, der eigene Server in der EU/EWR betreibt (und insbesondere auch nicht bei Tochterunternehmen von US-Providern wie Amazon, Google & Co.), vermeidet man die nach der Schrems II Entscheidung des EuGH (Az. C-3111/18) hoch-problematischen Drittstaatentransfers. Natürlich sollte der Abschluss eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO mit dem BSP nicht vergessen werden.

In Kombination mit der bei WhatsApp standardmäßigen Ende-zu-Ende-Verschlüsselung – wodurch WhatsApp keinen Zugriff auf die Inhalte der Chatkommunikation hat – ist die WhatsApp Business Cloud API in Bezug auf Datenschutz insoweit als weniger problematisch zu beurteilen.

Allerdings hat WhatsApp im Moment der Auslieferung von Chats seitens des BSP über die WhatsApp Business Cloud API in das WhatsApp-Netzwerk Zugriff auf die an der Schnittstelle entstehenden Metadaten wie Name, Telefonnummer, IP-Adresse, Zeitpunkt und Dauer des Chats.

Insoweit werden hier von WhatsApp dann doch wieder personenbezogene Daten verarbeitet. Allerdings erfolgt hier eine Verarbeitung personenbezogener Daten von WhatsApp-Nutzern, die den Nutzungsbedingungen und der Datenverarbeitung von WhatsApp bereits explizit zugestimmt haben. Insofern dürfte hier eine Einwilligung gegenüber WhatsApp für die Verarbeitung dieser Daten vorliegen. Die Meta-Daten verarbeitet WhatsApp dann als Verantwortlicher im Sinne des Datenschutzrechts (nicht als Auftragsverarbeiter).

Es stellt sich insoweit die Frage, ob angesichts der vorstehenden Ausführungen überhaupt noch ein Auftragsverarbeitungsvertrag mit WhatsApp erforderlich ist.

Ist WhatsApp Auftragsverarbeiter oder Verantwortlicher?

Geht man davon aus, dass WhatsApp für die Meta-Daten eigenständiger Verantwortlicher ist, stellt sich die Frage nach einer Auftragsverarbeitung im Kontext der Business Cloud API allein für die an WhatsApp verschlüsselt übertragenen Chat-Daten.

Zu beachten ist hier die neue Rechtslage im Telekommunikationsrecht. Mit der Reformierung von TKG und TMG und Schaffung des TTDSG Ende 2021 ist WhatsApp mit Inkrafttreten des TTDSG nunmehr als Telekommunikationsdienst gemäß § 3 Nr. 61 TKG einzuordnen (die anderslautende frühere EUGH-Rechtsprechung, z.B. in EuGH-Urteil v. 13. Juni 2019 – C-193/18 ist damit gegenstandslos).

Nach Ansicht des European Data Protection Board (EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Seite 14) sind Telekommunikationsdiensteanbieter bei der Erbringung ihrer Dienste selbst Verantwortliche im Sinne der DSGVO.

Eine Auftragsverarbeitung würde hiernach ausscheiden.

Ob diese Beurteilung nach der doch starken Ausweitung der Definition von Telekommunikationsdiensten im TKG aufrecht erhalten bleiben kann, ist allerdings schwer zu sagen.

Zudem stuft sich WhatsApp wiederum selbst als Auftragsverarbeiter ein (Siehe Ziffer 7 der Business Terms: https://www.whatsapp.com/legal/business-terms/).

Aus unserer Sicht lässt sich jedenfalls mit den oben genannten Argumenten gut vertreten, dass WhatsApp im Kontext der Business Cloud API kein Auftragsverarbeiter ist und somit insgesamt als Verantwortlicher im Sinne des Datenschutzrechts für die Datenverarbeitung anzusehen ist.

Unabhängig von der Frage nach der datenschutzrechtlichen Rolle von WhatsApp sollte ein Unternehmen dennoch auch immer in seiner Datenschutzinformation auf die Verarbeitung personenbezogener Daten im Rahmen von WhatsApp und dessen Nutzungsbedingungen hinweisen.

Fazit

Die WhatsApp Business Cloud API lässt sich – bei entsprechenden Vorkehrungen (insbesondere BSP aus der EU) – aus unserer Sicht weitgehend datenschutzkonform betreiben.

Gerne beraten wir Sie zum datenschutzkonformen Einsatz der WhatsApp Business Cloud API in Ihrem Unternehmen – sprechen Sie uns bei Bedarf gerne an.

Der richtige Weg zum Beratungsgespräch