Erklärung WhatsApp Business API im Kontext der DSGVO

1. Einführung

WhatsApp hat zwei Business Lösungen für die gewerbliche Nutzung auf den Markt gebracht: 

1.1. WhatsApp Business

WhatsApp Business ist eine aktuell auf Android verfügbare Applikation für kleine Unternehmen, die es ermöglicht über eine von WhatsApp entwickelte und leicht angepasste App mit Kunden über WhatsApp zu sprechen.

1.2. WhatsApp Business API

API WhatsApp Business API ermöglicht es Automobilunternehmen, eine WhatsApp Instanz selbst zu hosten und mittels technischer Schnittstelle über WhatsApp mit Kunden zu kommunizieren. Dabei kommen Unternehmen in den Genuss der kompletten Datenhoheit. Im Nachfolgenden beschäftigt sich dieses Whitepaper ausschließlich mit der WhatsApp Business API und deren Nutzung innerhalb der Web1on1 Automotive messaging Platform.

2. Grundlegende Informationen zu WhatsApp Business API

WhatsApp Business API ist eine WhatsApp Lösung für mittlere und große Unternehmen. Um Ende-zu-Ende Verschlüsselung zu gewährleisten, müssen Unternehmen eine eigene WhatsApp Instanz hosten. Ferner ist WhatsApp Business API ausschließlich eine programmatische Schnittstelle und besitzt kein Frontend (GUI - Grafische Benutzeroberfläche).

Bei der Entwicklung der WhatsApp Business Solution wurden zunächst Anwendungsfälle im Bereich Benachrichtigungen (zu Bestellungen, Lieferungen, Terminerinnerungen) und Support (Call-Center) priorisiert. WhatsApp Business unterstützt noch keine Anwendungsfälle mit reinen Marketingzwecken wie beispielsweise den Versand von Newslettern.

3. Einbindung in die Web1on1 AMP

Web1on1 ermöglicht es Unternehmen innerhalb der AMP mit Kunden über WhatsApp zu kommunizieren.

Hierbei greift Web1on1 auf die offizielle WhatsApp Business API zu. Web1on1 bietet eine vollständige Benutzeroberfläche für den Einsatz von WhatsApp Business API im Bereich Vertrieb und Service und nutzt die Möglichkeiten der API um Funktionen zu entwickeln, die eine datenschutzkonforme Nutzung gewährleisten. Hierzu zählen Insbesondere das Einwilligung Management (Opt-In), Opt-Out, sowie Datenlöschung und Hosting der Nachrichtendaten in Europa.

Die Funktionalität des Versands von Nachrichten über den WhatsApp Kanal ist bei Web1on1 im Rahmen des Produkts „Unified Messaging“ eingebunden. Hierbei ermöglicht es Web1on1 auch über andere Messaging Kanäle wie Facebook Messenger, Telegram, SMS, Apple Business Chat, etc. zu kommunizieren.

4. Technische Umsetzung

Wie zuvor erwähnt, bietet Web1on1 Schnittstellen zu mehreren Messengern, darunter auch WhatsApp Business API. Um die Funktionalität und Verfügbarkeit auf einem Service Level anbieten zu können, wie es für den skalierbaren Einsatz in großen Unternehmen notwendig ist, arbeitet Web1on1 mit mehreren führenden Unternehmen zusammen, die sich ausschließlich darauf konzentrieren, sämtliche Änderungen der Schnittstellen zu berücksichtigen und das Hosting in skalierbaren Cloud Architekturen zur Verfügung stellen. Diese Dienstleister sind beispielsweise Smooch Technologies, Twilio, Messagebird, Vonage etc. und sind offizielle Partner von WhatsApp. Web1on1 kann je nach Situation, Kommunikationskanal und individuellen Anforderungen unterschiedliche Dienstleister einbinden. Die flexible technische Schnittstelle macht dies möglich. Im Nachfolgenden werden diese Anbieter auch „Communication Platform as a Service Anbieter“ (CPaaS-Anbieter) genannt. Folgende Grafik erläutert den Datenfluss zwischen Web1on1, CPaaS-Anbieter und Messaging Anbietern:

 

 
Web1on1 Whatsapp Business Schema

 

5. Datenschutzrechtliche Betrachtung

5.1. Vertragsverhältnis mit Web1on1 und CPaaS-Anbieter

Zwischen dem Unternehmen und Web1on1 wird eine Auftragsverarbeitung geschlossen. Der CPaaS-Anbieter wiederum ist Subdienstleister von Web1on1 und damit innerhalb derselben Vertragskette der Auftragsverarbeitung. Sämtliche Auftragsverarbeitungen werden gemäß den europäischen Richtlinien ausgestaltet (Standardvertragsklauseln). Eine Verarbeitung der Daten, insbesondere die Nachrichten erfolgt ausschließlich in zertifizierten Rechenzentren innerhalb der Europäischen Union. Die Nachrichten werden auf der mandanten getrennten Datenbank innerhalb Web1on1 und des CPaaS-Anbieters gespeichert. Zwischen dem CPaaS Anbieter und dem Empfänger (Kunde) sind Nachrichten Ende-zuEnde verschlüsselt. Aufgrund der durchgehenden Vertragskette zur Auftragsverarbeitung sind Unternehmen damit im vollständigen Besitz der Daten. WhatsApp selbst erhält ausschließlich Telefonnummern und Metadaten.

5.2. Vertragsverhältnis mit WhatsApp

Bei WhatsApp könnte argumentiert werden, es handele sich nicht um einen Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, da die Leistung in der Erbringung von Telekommunikation liegt. Insoweit könnten Messaging-Dienste mit E-Mail Übertragungsdiensten gleichzusetzen sein (vgl. zu letzterem BT-Drs. 16/3078, S. 13 und 15; vgl. zum Thema auch DAV, Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht zur Anwendung des TKG auf neue Kommunikationsplattformen). In Deutschland unterfallen Messaging-Dienste demnach dem bereichsspezifischen Datenschutz des Telekommunikationsgesetzes.

Diese Auffassung wird nach unserer Lesart durch die Aufsichtsbehörden gestützt: Die Landesdatenschutzbehörde Bayern (nicht-öffentlicher Bereich) geht beispielsweise davon aus, dass TK-Dienstleistungen keine Auftragsverarbeitung darstellen: (https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf).

Ungeachtet dessen geht WhatsApp selbst davon aus, dass es im Verhältnis zu Unternehmen Auftragsverarbeiter ist. In den WhatsApp Business Nutzungsbedingungen regelt WhatsApp in Ziff. 7, dass es in Bezug auf Kundendaten bei Kunden aus der EU Auftragsverarbeiter ist. Ein Vertrag zur Auftragsverarbeitung wird in das Vertragsverhältnis in Form der WhatsApp Business Datenverarbeitungsbedingungen einbezogen. Der Auftragsverarbeitung Vertrag greift die Mindestinhalte aus Art. 28 DSGVO auf.

Im Übrigen fungiert die WhatsApp Ireland Limited für Kunden aus Europa als Vertragspartner. Auf Grund von Datentransfers an die WhatsApp Inc. weisen die Daten Verarbeitungsbedingungen auf dessen Privacy Shield-Zertifizierung hin. Außerdem verweist WhatsApp darauf, dass für den Abschluss der Auftragsverarbeitung die Standardvertragsklauseln gelten. Somit ist ein elektronischer Abschluss der Standardvertragsklauseln gegeben. Sehr wichtig bei der Betrachtung der Auftragsverarbeitung ist der Fakt, dass der Anwendungsbereich des Vertrages relativ gering ist: Es werden ausschließlich Telefonnummern und Metadaten (z.B. Zeitpunkt der Kommunikation) verarbeitet, da sämtliche Inhalte Ende-zu-Ende verschlüsselt werden und diese somit nicht in den Umfang der verarbeiteten Daten einfließen. Die Nachrichten liegen zum einen auf dem Smartphone der Nutzer (in diesem Szenario nur der Kunde) sowie auf der vom Unternehmen kontrollierten und gehosteten WhatsApp Instanz. WhatsApp hat auf diese Daten keinen Zugriff, womit sich ergibt, dass die Nachrichtendaten kein Bestandteil der Auftragsverarbeitung sind. Für die Verarbeitung von Telefonnummern ist WhatsApp selbst auch Verantwortlicher gegenüber den Nutzern, denn die Nutzer haben WhatsApp bereits erlaubt, ihre Telefonnummer zu verarbeiten.

Abschließend lässt sich die Vertragssituation wie folgt beurteilen:

Web1on1 ist der primäre Vertragspartner Ihres Unternehmens und es besteht eine Auftragsverarbeitung.

Web1on1 nutzt CPaaS-Anbieter, um eine skalierbare Infrastruktur für das Hosting der WhatsApp Instanz bereitzustellen und sämtliche Updates der API zu managen. Der CPaaS-Anbieter ist daher ein Subunternehmer von Web1on1 und integriert in die Vertragskette zwischen dem Unternehmen und Web1on1. • Alle Nachrichtendaten werden innerhalb der Europäischen Union unter voller Kontrolle Ihres Unternehmens verarbeitet.

Ihr Unternehmen stimmt der Business Nutzungsbedingung von WhatsApp zu und schließt damit eine Auftragsverarbeitung mit WhatsApp ab - unter Bezugnahme der Standardvertragsklauseln und hilfsweise unter Verweis auf das PrivacyShield von WhatsApp. Die verarbeiteten Datenkategorien, die diesem Vertrag zugrunde liegen, beschränken sich auf Metadaten und bei enger Auslegung auf die Telefonnummer des Kunden (obwohl WhatsApp diese Nummer von Seiten Ihres Kunden bereits verarbeitet).

5.3. Visualisierung der Vertragsverhältnisse

 

5.4. Keine Übertragung von Kontakten im Telefonbuch

Bisher wurde die WhatsApp Lösung deshalb kritisiert, da WhatsApp zum Zeitpunkt der Installation der App das komplette Adressbuch an WhatsApp überträgt und dabei massenweise personenbezogene Daten von Betroffenen in die USA übermittelt werden, ohne dass diese explizit hierzu eingewilligt hätten. Mit WhatsApp Business API innerhalb der Web1on1 AMP wird WhatsApp nicht mehr direkt auf den Smartphones installiert. Daher hat WhatsApp auch keinen Zugriff mehr auf das Adressbuch.

5.5. Einwilligung

Im Rahmen der DSGVO bedarf es bei der Nutzung von Messengern zum Zwecke der Kundenkommunikation, wie bei allen anderen Verarbeitungen von personenbezogenen Daten, einer Rechtsgrundlage. Die bevorzugte Grundlage wäre die “Einwilligung des Betroffenen” (Art. 6 Abs.1a DSGVO), die Alternative ggf. “Berechtigtes Interesse”, d.h. Im Fall dass die Interessen des werbenden Unternehmens im Einzelfall diejenigen des Betroffenen überwiegen (Art 6 Abs.1f DSGVO). Die DSGVO erkennt bspw. Direktwerbung ausdrücklich als berechtigtes Interesse eines Unternehmens an, sodass man bei einer Abwägung der Interessen durchaus zu Gunsten des Unternehmens bewerten könnte und damit die Kommunikation per WhatsApp auch ohne explizite Einwilligung legal wäre.

Web1on1 unterstützt jedoch die Einholung einer Einwilligung vor Beginn der Kommunikation über WhatsApp. Zunächst kann ein Kunde seine Einwilligung über einen anderen Kanal geben: bspw. Website, Telefon, E-Mail. Das Unternehmen versendet dann eine Nachricht an den Kunden, welches ihn auffordert, der Verarbeitung mit einem „Ja“ zu bestätigen. Dieses Verfahren wäre analog dem im Rahmen der E-Mail-Kommunikation verwendeten Double-Opt-In Verfahren. Diese Einwilligung kann durch den vollständigen Zugriff auch außerhalb der WhatsApp Umgebung für die spätere Beweislage gespeichert werden.

5.6. Informationspflichten

Analog der initialen Nachricht hinsichtlich des zweiten „Opt-Ins“ kann ferner eine standardisierte, automatisierte Nachricht erfolgen, die den Kunden hinsichtlich der Datenschutzerklärung informiert. Dahingehend kann den Informationspflichten ebenfalls dokumentiert nachgegangen werden.

5.7. Löschpflichten

Unternehmen müssen personenbezogene Daten dann löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Da alle Daten zentral lagern, und nicht auf den Smartphones der Mitarbeiter, können die Daten zentral gelöscht werden. Außerdem erlaubt die Programmierschnittstelle ein automatisiertes Löschen von Daten basierend auf zu definierenden Kriterien.

6. Sonstige rechtliche Hinweise

6.1. Gewerbliche Nutzung

Mit den Business Lösungen gibt WhatsApp einen eindeutigen rechtlichen Rahmen für die gewerbliche Nutzung. WhatsApp hat die AGB für Kunden an den entsprechenden Stellen ergänzt. Auch existieren für Unternehmen nun dedizierte Business Nutzungsbedingungen: https://www.whatsapp.com/legal/business-terms/ Andere Lösungen, die nicht auf den offiziellen WhatsApp Business Angeboten basieren, sind explizit verboten und Stellen laut Aussage von WhatsApp einen Verstoß gegen die Nutzungsbedingungen von WhatsApp dar.

6.2. Aufzeichnung Anforderungen und Aufbewahrungspflichten

Die Nutzung von WhatsApp „Consumer“ erfordert ein manuelles Aufzeichnen über dezentral verteilte Datenbanken (die Smartphones aller Mitarbeiter). Dies erfolgt mit WhatsApp Business API nun zentral, denn Unternehmen haben einen zentralen Zugriff auf sämtliche Nachrichtendaten und können diese automatisiert und programmatisch auf andere Systeme übertragen, kategorisieren und dokumentieren. Damit kann eine skalierbare und tragfähige Lösung für sämtliche sich ergebende Dokumentationspflichten geschaffen werden. WhatsApp Business API kann somit als zentrales Kommunikationstool in sämtlichen Customer Touchpoints eingesetzt werden.