Whatsapp Business und die DSGVO: datenschutzrechtliche Zulässigkeit der Kundenkommunikation über die App

Seit Beginn des Jahres bietet die Facebook-Tochter Whatsapp Kleinunternehmern eine Business-Version an, die einen effizienteren, zeitnäheren und persönlicheren Kontakt mit Kunden fördern soll. Neben dem Vorhalten von Unternehmensinformation stellt die App Unternehmen ein weites Spektrum an Aktions- und Reaktionsmöglichkeiten zur Hand. Neben Antworten auf allgemeine und bestellspezifische Anfragen können vom WhatsApp-Business Account aus auch Promotionen, Sonderaktionen und Produkte angepriesen werden. Nach Inkrafttreten der DSGVO sind viele Händler angesichts der offensichtlichen Datenschutzrelevanz der neuen App allerdings verunsichert, ob, inwieweit und für welche Zwecke sie Whatsapp Business - auch vor dem Hintergrund etwaiger Datenübertragungen an Whatsapp selbst - für die Kundenkommunikation nutzen dürfen. Im nachstehenden Beitrag klärt die IT-Recht Kanzlei auf.

I. Whatsapp Business und die Verarbeitung personenbezogener Daten

Laut Unternehmensaussage speziell für kleine Unternehmen konzipiert, soll Whatsapp Business einen neuen Kommunikationskanal zwischen Händlern auf der einen und Kunden und Interessenten auf der anderen Seite schaffen, der sich durch einen persönlicheren Kontakt und schnelle Reaktionszeiten vom herkömmlichen Mailverkehr unterscheidet.

Innerhalb der App, die derzeit ausschließlich für Android-basierte Mobilgeräte verfügbar ist, können Händler ein Unternehmensprofil mit maßgeblichen Impressumsangaben hinterlegen, Chats je nach Bedarf mit sogenannten „Labels“ gewissen vordefinierten Gruppen wie „Neukunden“, „Neue Bestellungen“ oder eigenen Kategorien zuordnen und Nachrichten gruppenspezifisch versenden sowie automatische Antworten einrichten.

Die Nutzung von Whatsapp Business für die Kundenkommunikation entfaltet hierbei besondere datenschutzrechtliche Relevanz und unterfällt in seinen verschiedenen Ausprägungen gegenüber Privatkunden vollständig dem Regelungsbereich der Datenschutzgrundverordnung (DSGVO). Weil für den Kontakt als personenbezogenes Datum immerhin die Mobilfunknummer des Kunden ausgelesen, zum Versenden von Nachrichten verwendet und darüber hinaus gegebenenfalls zusätzlich im elektronischen Telefonbuch des Händlers gespeichert wird, stellen sämtliche Kontaktmaßnahmen mit Blick auf die Mobilfunknummer des Kunden tatbestandliche Datenverarbeitungen im Sinne des Art. 4 Nr. 2 DSGVO dar. Werden im Verlauf der Kommunikation je nach Anlass weitere Daten (wie zum Beispiel Kundenummer des Online-Shops, Kundenanschrift, Zahlungsdaten des Kunden) zur Verfügung gestellt und vom Händler über Whatsapp erfasst, begründet dies jeweils eigenständige Datenverarbeitungsvorgänge.
Gleichzeitig ist aber zu beachten, dass die Whatsapp Business-Applikation automatische Datenübertragungen an Whatsapp selbst vollzieht.

So heißt es in den Nutzungs- und Datenschutzbedingungen des Messenger-Dienstes:

"Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können."

Weil nach dem Datenschutzrecht jede Verarbeitung personenbezogener Daten einer gesetzlichen Rechtfertigung bedarf, muss einerseits erörtert werden, inwiefern die durch die bloße betriebliche Nutzung von Whatsapp eingeleiteten Datenübertragungen an Whatsapp selbst den strengen Zulässigkeitsmaßstäben der DSGVO standhalten. Auf zweiter Stufe ist sodann zu klären, ob und inwiefern sich die tatsächliche Kundenkommunikation über Whatsapp Business unter die Erlaubnistatbestände des Art. 6 DSGVO subsumieren lässt. Hierbei ist aufgrund der weitreichenden Anwendungsmöglichkeiten der App allerdings je nach Zielrichtung und Gegenstand der einzelnen Kontaktmaßnahmen zwischen verschiedenen Rechtsgrundlagen mit der Folge zu unterscheiden, dass datenschutzrechtlich eine situationsspezifische Einzelbetrachtung erforderlich wird und Händler bezüglich der Zulässigkeit von Kommunikationsmöglichkeiten über Whatsapp Web differenzieren und divergierende Voraussetzungen beachten müssen.

II. Datenübertragungen an Whatsapp beim Nutzen der App

Nutzt ein Unternehmer die Business-Version von Whatsapp für die Kundenkommunikation auf einem mobilen Endgerät, muss er der App zwangsweise Zugriff auf das Adressbuch gestatten und ausweislich der Nutzungsbedingungen zulassen, dass sämtliche gespeicherte Telefonnummern automatisch an Whatsapp übertragen werden.

Dies greift in die Rechte der betroffenen Kunden aus dem Adressbuch des Unternehmers regelmäßig so ein, dass die Übertragungen nur durch eine ausdrückliche Einwilligung des jeweiligen Kunden gerechtfertigt werden könnte.

Zu einer datenschutzrechtlichen Problematik avanciert das Übertragungsverhalten der App allerdings nur dann, wenn der Unternehmer neben Kundenkontakten, die selbst bei Whatsapp registriert sind, in seinem Adressbuch auch Kunden führt, die keinen Whatsapp-Account besitzen.

Sind im Adressbuch dahingegen nur Kunden mit eigenem Whatsapp-Account gespeichert, haben die Kunden bei Aktivierung ihres eigenen Whatsapp-Accounts durch Akzeptanz der Nutzungsbedingungen bereits eine hinreichende Einwilligung in die Übertragung ihrer Rufnummer(n) aus dem Adressbuch des jeweiligen Chatpartners an Whatsapp erteilt, welche nicht nur die Whatsapp-fähige Nummer, sondern auch alle anderen mit ihr verknüpften Nummern umfasst.

Unternehmern, die Whatsapp Business verwenden, ist daher auf erster Stufe zu raten, im Adressbuch des mobilen Endgerätes nur Rufnummern solcher Kunden zu speichern, die mit ihm über Whatsapp auch in Kontakt treten. Dadurch ist gewährleistet, dass alle Kontakte des Adressbuchs bereits vorab (bei Aktivierung ihrer Whatsapp-Accounts) in die app-internen Übertragungen eingewilligt haben und keine nicht autorisierten Rufnummerübermittlungen vollzogen werden.

Die Speicherung von Kunden-Telefonnummern, etwa aus den Kundenkonten des Online-Shops, im Adressbuch desselben Endgeräts, welches für Whatsapp Business verwendet wird, ist demgegenüber mit dem Risiko von Datenschutzverstößen behaftet, weil der Unternehmer hier nicht zuverlässig ermitteln kann, ob derlei Kunden ebenfalls Whatsapp nutzen und insofern in Datenübertragungen eingewilligt haben.

III. Konstellationen des Kundenkontakts über Whatsapp Business und deren datenschutzrechtliche Einordnung

Ist geklärt, wie datenschutzrechtliche Hürden im Angesicht von Whatsapp-internen Übermittlungsvorgängen genommen werden können, ist im nächsten Schritt die Zulässigkeit der Kommunikation selbst zu analysieren.

Weil Whatsapp Unternehmen mit seiner Business-Version die Möglichkeit eröffnet, das Instant-Messaging für sämtliche geschäftliche Zwecke zu nutzen, herrscht im Online-Handel die Überzeugung vor, dass der zulässige Einsatz der App gegenüber Kunden deren ausdrückliche Generaleinwilligung voraussetzt. Tatsächlich aber kann der Großteil an mit Kommunikationsmaßnahmen verbundenen Datenvorgängen unter Berufung auf gesetzliche Rechtfertigungstatbestände einwilligungslos erfolgen und reduziert so den rechtlichen Aufwand. Ausgegangen davon, dass erstmaliger Initiator des Kontakts regelmäßig der Kunde und nicht der Unternehmer ist, der anfängliche über die Whatsapp-fähige Mobilfunknummer des Kunden überhaupt nicht verfügen wird, sind drei Konstellationen zu unterscheiden.

1.) Konkret geschäftsbezogene Kontaktaufnahme

Treten Kunden per Whatsapp mit dem Unternehmer in Kontakt, um diesem ein konkretes Geschäft betreffende Fragen zu stellen und insofern etwa den Status einer Bestellung, die Verfügbarkeit einer Ware oder den Eingang einer Zahlung erfragen bzw. unmittelbar über Whatsapp eine Bestellung tätigen wollen, werden auf Unternehmerseite hierdurch angestoßene Datenverarbeitungen auf Whatsapp wie das Speichern der Telefonnummer und die Beantwortung des Anliegens regelmäßig durch Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt, ohne dass es einer vorherigen des Anfragenden bedürfte. Immerhin dienen die Datenverarbeitungsvorgänge der einzuleitenden Kommunikation unmittelbar der Anbahnung und/oder Durchführung eines Vertragsverhältnisses. Gleich verhält es sich ob der Zurverfügungstellung von weiteren Daten des Kunden (etwa Mailadresse, Kundennummer etc.) zum Zwecke der Zuordnung zu einer Bestellung bzw. der Identifizierung.

2.) Allgemeine, nicht geschäftsbezogene Kontaktanfragen

Greifen Kunden oder bloße Interessenten auf die Whatsapp-Business-Nummer des Unternehmers zurück, um mit diesem in Bezug auf allgemeine, kein konkretes Geschäft betreffende Anfragen in Kontakt zu treten, greift die Rechtfertigung über die vertragliche Erforderlichkeit nach Art. 6 Abs. 1 lit. b DSGVO zwar grundsätzlich nicht ein.

Allerdings kann der Unternehmer die Speicherung der Rufnummer und deren sonstige Verarbeitung zum Beantworten des Anliegens regelmäßig auf sein berechtigtes Interesse an der bedarfsgerechten, betreffsspezifischen Information von Interessenten nach Art. 6 Abs. 1 lit. f DSGVO stützen und muss nicht auf eine Einwilligung zurückgreifen. Die zusätzliche Voraussetzung des Überwiegens des Unternehmerinteresses gegenüber dem Betroffeneninteresse an der Integrität seiner Daten wird regelmäßig schon deshalb gewahrt sein, weil der Betroffene im Wege seiner Anfrage den Kontakt zum Unternehmer per Whatsapp initiiert und mithin implizit gerade eine Verarbeitung seiner Daten zur Beantwortung der Anfrage anstößt.

3.) Werbliche Ansprachen

Will der Unternehmer die Business-Version von Whatsapp nicht ausschließlich zum Beantworten von Anfragen nutzen, sondern im Adressbuch gespeicherten Kunden und Interessenten proaktiv absatzfördernde Informationen über Aktionen, Angebote, Rabatte oder Produkte präsentieren, so ist er in diesem Fall bereits wegen der Anordnung in § 7 Abs. 2 Nr. 3 UWG und mangels Eingreifens anderer Rechtfertigungsgründe der DSGVO gehalten, wie für den Versand von Newslettern eine ausdrückliche Einwilligung des jeweiligen Kunden einzuholen. Weil auch über einen Instant Messenger versendete Nachrichten als „elektronische Post“ im Sinne des § 7 Abs. 2 Nr. 3 UWG zu qualifizieren sind, sind werbliche Ansprachen über Whatsapp faktisch Newslettern gleichzustellen.

Anders als beim Newsletter-Versand per Mail, für dessen Zulässigkeit sich das zweigliedrige „Double Opt In“-Verfahren etabliert hat, muss für Werbung über Whatsapp ein solches ein solches nicht zwingend durchgeführt werden und ist aus organisatorischen Gründen auch nicht ratsam. Denkbar wäre zwar, den Interessenten zur Eintragung seiner mit WhatsApp verknüpften Telefonnummer aufzufordern und an diese zunächst eine Aktivierungsanfrage zu versenden, welche der Interessent für die Einleitung des Newsletter-Versandes sodann bestätigen muss. Dies würde aber erfordern, dass der Händler über die Website registrierte Telefonnummern stets manuell auf ein WhatsApp-fähiges mobiles Endgerät übertragen müsste, um sodann die individuelle Aktivierungsanfrage abzusenden.

Um den organisatorischen und zeitlichen Aufwand für Unternehmer zu minimieren, empfiehlt es sich also, eine anfängliche Registrierung der Telefonnummer des Interessenten direkt über WhatsApp zu erreichen.

Etabliert hat sich hierfür ein Prozedere, bei dem der Interessent dazu aufgefordert wird, die WhatsApp-fähige Nummer des Unternehmers einzuspeichern und an diese eine Nachricht mit dem Text „Start“ zu senden. Dadurch, dass der Interessent durch Einspeichern der Nummer zunächst selbst aktiv werden muss und durch die „Start“-Nachricht die Kommunikation über seine persönliche Nummernkennung überhaupt erst einleitet, wird automatisch sichergestellt, dass es sich bei diesem um den empfangsbereiten Inhaber der Telefonnummer handelt. Diese Nachricht stellt die elektronische ausdrückliche Einwilligung dar, die zusammen mit der Telefonnummer hinreichend personenbezogen dokumentiert werden kann. Erhält der Unternehmer die Nachricht, kann er die verwendete Telefonnummer direkt auf WhatsApp einer Newsletter-Broadcasting-Liste hinzufügen, ohne dass er vorher gehalten wäre, sie manuell abzuspeichern.

Freilich muss der Interessent - bestenfalls auf einer Unterseite der Webseite des Unternehmers – über dieses Prozedere sowie darüber informiert werden, dass es ihm möglich ist, dem Newsletter-Versand durch eine entsprechende Kurznachricht (etwa „Stop“) jederzeit mit Wirkung für die Zukunft zu widersprechen. Auch ist eine erläuternde Klausel, welche sämtliche Informationen über das Anmeldeverfahren und den Widerspruch enthält, in der Datenschutzerklärung notwendig.

IV. In jedem Fall: Erweiterung der und Verweisung auf die Datenschutzerklärung

Unabhängig davon, für welche der oben benannten Konstellationen der Unternehmer die Business-Version von Whatsapp nutzen möchte, ist er verpflichtet, seine Datenschutzerklärung um Informationen zu den Datenvorgängen beim Nutzen der App zu erweitern und Betroffene insofern hinreichend zu informieren. Neben den von Whatsapp selbst initiierten Datenübertragungen muss er deutlich und im gebotenen instruktiven Umfang über die von ihm verfolgten Nutzungszwecke belehren und die hierfür einschlägigen Rechtsgrundlagen benennen.

Zugleich ist es erforderlich, auf die maßgebliche Datenschutzklausel innerhalb von Whatsapp Business hinreichend transparent zu verweisen. Nur so ist gewahrt, dass Kontaktwillige über die maßgeblichen datenschutzrechtlichen Informationen vor Einleitung der Verarbeitungsvorgänge im Sinne des Art. 13 Abs. 4 DSGVO bereits verfügen.

Eine Anleitung zur Einbindung der Rechtstexte auf WhatsApp Business findet sich hier.

V. Fazit

Die seit Anfang des Jahres verfügbare Business-Version von Whatsapp bietet Unternehmern eine attraktive und einfache Möglichkeit, auf vielseitige Weise mit Interessenten und Kunden zu kommunizieren, etwaigen Anliegen beschleunigt zu begegnen und das eigene Unternehmen kundenfreundlich zu präsentieren.

Weil aber einerseits Whatsapp selbst beim Verwenden der App auf bestimmte Datenbestände des Endgeräts zugreift und automatische Datenübertragung einleitet und andererseits sowohl beim Speichern von Whatsapp-Telefonnummern durch den Unternehmer als auch bei deren Verwendung für das Versenden von Nachrichten personenbezogene Datenverarbeitungen durchgeführt werden, sind für die Zulässigkeit der Nutzung eines Whatsapp-Business-Accounts die Bestimmungen der DSGVO vollumfänglich zu beachten und deren besondere Voraussetzungen umzusetzen. Dies führt zum einen dazu, dass je nach Zweck und Gegenstand einer Kommunikationsmaßnahme von Seiten des Unternehmers unterschiedliche Anforderungen für die entsprechende datenschutzrechtliche Rechtfertigung gelten, und verpflichtet zum anderen zur Erweiterung der Datenschutzerklärung um zulängliche Informationen zum Einsatz von Whatsapp Business sowie zu deren Einbindung in den app-internen Unternehmensauftritt.

Bei weiteren Fragen zum rechtskonformen Einsatz von Whatsapp im Online-Handel und zu den hierfür erforderlichen rechtlichen Ausgestaltungen steht Ihnen die IT-Recht Kanzlei gerne persönlich zur Verfügung.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.