Ratgeber: WhatsApp im Unternehmen

WhatsApp im Unternehmen – Wollen Sie dieses Risiko wirklich eingehen?

Über 81 % der Deutschen ab 14 Jahren nutzen den Messenger-Dienst WhatsApp täglich, um mit Freunden, Familie und Kollegen zu kommunizieren. Selbst in der Altersgruppe zwischen 50 und 69 nutzen 78 % der Bevölkerung die App der Meta-Tochter (ehemals Facebook). (Quelle)

Daher ist es nicht verwunderlich, dass es WhatsApp – und manchmal auch WhatsApp Business – neben E-Mails und Telefon als beliebtes Kommunikationsmittel auch in die Betriebe geschafft hat. Kleinere Betriebe fordern ihre Kunden meist gar nicht mehr dazu auf, ihre Daten und das Anliegen für eine Angebotserstellung per E-Mail zu übermitteln, sondern direkt über eine „WhatsApp“. Das Vorgehen ist nachvollziehbar: die Kommunikation über den Messenger-Dienst ist unkompliziert und schnell, um Nachrichten aber auch Anhänge wie Fotos zu übermitteln.

Gleichzeitig stellt sich die Frage: Ist der Einsatz von WhatsApp im Unternehmen wirklich sinnvoll?

Zweifel bzgl. des Einsatzes der App sind grundsätzlich berechtigt. So gab es in der Vergangenheit vermehrt negative Berichterstattung. WhatsApp gilt trotz der im Jahr 2016 eingeführten Ende-zu-Ende-Verschlüsselung als „unsicher“. Chatverläufe mit teils sensiblen Informationen gelangen an die Öffentlichkeit, es wird immer wieder über DSGVO-Verstöße berichtet und die umfangreiche Erhebung von Metadaten – also die Informationen, wer mit wem wann Kontakt hatte – stellt ebenfalls ein Problem dar. Viele mittelständische Unternehmen, Organisationen und Vereine haben die Nutzung des beliebten Messenger-Dienstes daher bereits untersagt.

Im Oktober 2021 wurde durch die Medien berichtet, dass der Deutsche Fußballbund (DFB) die Verwendung von WhatsApp auf Diensthandys künftig verbietet. So erklärte Oliver Bierhoff, DFB-Direktor, seinerzeit auf einer Pressekonferenz: „Es gibt da mittlerweile viele rechtliche und auch datenschutztechnische Bedenken, weil alle Kontaktdaten nach Amerika wandern – das können wir als Unternehmen nicht mehr verantworten.“ Der DFB kündigte an, zukünftig den Messenger-Dienst Signal nutzen zu wollen. (Quellen 1 und 2)

Was bedeutet das für kleine und mittlere Unternehmen?

Bei der Einrichtung von WhatsApp auf dem Smartphone fordert die App den Anwender auf, Zugriff auf das Adressbuch zu gewähren. Mit der Einwilligung werden sämtliche Kontaktdaten auf dem Smartphone an WhatsApp übermittelt. Der Vorgang wird ohne die Einwilligung der Kontakte abgeschlossen. Dieser Vorgang ist bereits ein Bruch des Datenschutzes. Zwar ist es möglich, die Bitte auf Zugriff auf das Adressbuch abzulehnen, jedoch bedeutet dies, dass der Messenger nicht vollumfänglich genutzt werden kann. So lassen sich ohne Zugriff auf das Adressbuch etwa keine Chats starten und Kontakte werden lediglich mit ihrer Nummer – nicht mit dem Namen angezeigt. Entsprechend wird dem Zugriff – und damit der Übermittlung der Kontaktdaten – von den Nutzern zugestimmt. D.h. dass ein Großteil der Adressbücher von 81% der deutschen Bevölkerung in der Hand von WhatsApp bzw. Meta liegen.

WhatsApp ist nicht gleich WhatsApp

Wenn sich Unternehmer und Unternehmerinnen bewusst für den Einsatz von WhatsApp als Kommunikationskanal entscheiden, dann ist eine Differenzierung nötig. Die weit verbreitete App mit der grünen Sprechblase und dem Telefonhörer-Symbol wurde für den privaten Gebrauch entwickelt. Für den kommerziellen Gebrauch bietet WhatsApp seit 2018 Business-Lösungen für Unternehmen an: Die „WhatsApp Business App“ und die „WhatsApp Business API“. (Quelle)

Bei der „Business App“ handelt es sich um eine Anwendung, die über die bekannten App-Stores für Android und Apple Smartphones installiert werden kann. Die Business App richtet sich direkt an Inhaber von Kleinunternehmen. Die Nutzung ist kostenfrei und bietet Unternehmen limitierte Business-Funktionen wie die Erstellung eines Unternehmensprofil.

Unterschiede auf einen Blick

Für die Bedarfe von mittleren und großen Unternehmen bietet der Messenger-Dienst auch die „WhatsApp Business API“ an, mit der Kundenanfragen professionell über WhatsApp abgewickelt werden können. Bei der „API“ (englische Abkürzung für Application Programming Interface) handelt es sich um eine Schnittstelle, die über sogenannte „WhatsApp Business Solution Provider“ (Anbieter von Unternehmenslösungen) in einer Software-Lösung angeboten wird. Hier wird also keine App auf dem Smartphone installiert, sondern es muss eine kostenpflichtige Lösung von einem Drittanbieter erworben werden. Der entscheidende Vorteil: die Kommunikation ist verschlüsselt, die Daten verbleiben (je nach Anbieter) innerhalb der EU oder gar nur in Deutschland, Kontaktdaten werden nicht mit WhatsApp geteilt und somit kann DSGVO-konform gearbeitet werden (die tatsächliche Konformität mit dem Datenschutz ist abhängig von der Erfüllung der Datenschutzregelungen durch die Drittanbieter sowie die Implementierung der Lösung im eigenen Unternehmen).

Infobox

Ende-zu-Ende-Verschlüsselung – Einfach erklärt:

Stellen Sie sich einen Tresor vor, in den Ihre Nachricht gelegt wird. Der Tresor ist mit einem Schloss versehen und kann nur mit dem Schlüssel des Empfängers geöffnet werden. Dritte, wie beispielsweise der Kurier, können den Inhalt des Tresors nicht einsehen und somit die Nachricht auch nicht lesen.

Übertragen auf Messenger-Dienste bedeutet dies, dass sobald Sie eine Nachricht versenden, diese verschlüsselt (sprich im Tresor verschlossen) und erst beim Empfänger wieder entschlüsselt wird. Die Ver- und Entschlüsselung erfolgt nur an diesen beiden Endpunkten der Übertragung, daher auch die Bezeichnung „Ende-zu-Ende-Verschlüsselung“. Übertragungsstationen oder Instanzen, wie der Messenger-Dienst oder der Internet-Provider, können die Nachricht nicht entschlüsseln.

Infobox

Ende-zu-Ende-Verschlüsselung – Einfach erklärt:

Die Verschlüsselungsmethode wird nicht nur von WhatsApp verwendet, sondern auch von Messenger-Diensten wie iMessage von Apple, Signal oder Threema.

Zu beachten ist, dass Metadaten trotz der Ende-zu-Ende-Verschlüsselung von WhatsApp dokumentiert werden. Die Telefonnummern oder auch die Zeit- und Datenstempel von erfolgreich zugestellten und gelesenen Nachrichten werden gespeichert. Somit ist ersichtlich, wer mit wem wann kommuniziert hat. Trotz der Tatsache, dass der konkrete Inhalt verborgen bleibt, lassen sich aus diesen Metadaten zahlreiche Schlüsse ziehen und verwertbare Informationen gewinnen. Quelle

Datenschutzgrundverordnung (DSGVO) – Ist die Nutzung von WhatsApp DSGVO-konform?

Diese Frage muss mit einem klaren „Nein“ beantwortet werden.

Grund 1: Zugriff auf Telefonnummer im Adressbuch


Kontaktdaten werden meist ohne die Einwilligung der Kontaktpersonen mit WhatsApp geteilt und gespeichert.

Grund 2: Erhebung umfangreicher Metadaten
 

Trotz Ende-zu-Ende-Verschlüsselung von Nachrichten weisen Messenger Unterschiede in der Erhebung und Auswertung von Metadaten auf. Bei WhatsApp wird bereits in den Nutzungsbedingungen festgehalten, welche Metadaten bei der Nutzung der App entstehen und dass diese ausgewertet werden. Die Einwilligung des Nutzers ist dabei zwingende Voraussetzung für eine Benutzung des Messengers und ermöglicht dem Unternehmen die Erstellung detaillierter Benutzerprofile, ohne dass eine Einsicht in die Inhalte der Nachrichten nötig ist.

Siehe Infobox: „Ende-zu-Ende-Verschlüsselung – Einfach erklärt“

Grund 3: Eine anonyme Nutzung ist nicht möglich


Personenbezogene Daten oder auch Standortdaten werden automatisch gespeichert, obwohl diese Daten für die eigentliche Funktion nicht benötigt werden.

Eine „legale“ Nutzung von WhatsApp und der WhatsApp Business App zu geschäftlichen Zwecken ist aus datenschutzrechtlicher Sicht nicht möglich. Zumindest nach aktueller Lage. Die Nutzung der WhatsApp Business API wiederum kann mit dem richtigen WhatsApp Business Service Provider durchaus Hand in Hand mit der DSGVO gehen.

Der falsche Einsatz kann teuer werden

Verstöße gegen die Datenschutzgrundverordnung (DSGVO) können für Unternehmen teuer werden und nach der Erhöhung der möglichen Bußgelder mit Einführung der DSGVO zu einem echten Problem werden. Bei Verstößen drohen Geldbußen in Höhe von bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Vorjahresumsatzes. (Quelle)

Dennoch wird WhatsApp aufgrund der weiten Verbreitung in vielen Unternehmen weiterhin zum Alltag gehören. Zu verlockend ist die Möglichkeit, schnell und unkompliziert mit Kunden zu kommunizieren und einen sofort verfügbaren und personalisierten Kundendienst anzubieten.

Dass die Ansprache von Zielgruppen per WhatsApp sinnvoll sein kann, zeigt ein Beispiel aus dem Jahr 2017. Damals startete die Bundesagentur für Arbeit eine Kampagne mit dem Namen „WhatsMeBot“, um Jugendliche bei der beruflichen Orientierung zu unterstützen. Mittels WhatsApp führten bereits sechs Wochen nach dem Start 180.000 Jugendliche einen Multiple-Choice-Berufsberatungstest durch. Ein solcher Einsatz der App sollte allerdings sorgfältig und unter Berücksichtigung des Datenschutzes geplant und umgesetzt werden.

WhatsApp auf Diensthandys? Dürfen meine Mitarbeitenden WhatsApp nutzen?

Viele namhafte Unternehmen verbieten die Verwendung von WhatsApp auf firmeneigenen Endgeräten. Einige wiederum erlauben die Nutzung unter bestimmten Vorgaben und Auflagen. Wir schließen uns dieser Empfehlung an und legen jedem Unternehmen ans Herz, für eine sichere Kommunikation innerhalb des Betriebes auf alternative Messenger Dienste, wie Signal zu setzen.

Signal – der beliebteste Messenger von Sicherheitsexperten

Fragen Sie einen IT-Sicherheitsexperten nach einem sicheren Messenger-Dienst, so wird er Ihnen mit aller Wahrscheinlichkeit Signal empfehlen. Signal ist wie WhatsApp kostenfrei in der Nutzung und bietet eine Ende-zu-Ende-Verschlüsselung. Beim Transfer von Nachrichten werden allerdings weniger Metadaten erhoben: Wer wann mit wem Nachrichten austauscht, wird von Signal nicht gespeichert. Ein weiterer Vorteil ist der offene Programmcode (Open Source). Dadurch kann jeder den Code einsehen und auf Schwachstellen prüfen. Darüber hinaus können Einstellungen getätigt werden, wann gesendete Nachrichten im Chatverlauf gelöscht werden sollen.

Jedoch ist der Messenger-Dienst Signal im Vergleich zu WhatsApp nicht annähernd so weit verbreitet, weshalb sich eine Kundenkommunikation ohne WhatsApp als sehr schwierig gestaltet. Zwar können Unternehmer ihren Kunden empfehlen, auf einen anderen und sicheren Messenger-Dienst umzusteigen, aber ob die Überzeugungsarbeit wirklich von Erfolg gekrönt wird, ist zweifelhaft.

Für die interne Mitarbeiterkommunikation hingegen ist der Einsatz von Signal eine sinnvolle und sichere Alternative.

Threema – Kostenpflichtig und unangefochten Platz 1 in den Verkaufscharts

Eine weitere WhatsApp-Alternative ist der Messenger-Dienst Threema. Threema nutzt wie auch Signal eine Ende-zu-Ende-Verschlüsselung und sendet Nachrichten mit einem minimalsten Transfer von Metadaten. Dabei werden die Daten auch nur so lange auf den Threema Servern gespeichert, bis die Aufgabe erfüllt ist. Der offene Programmcode (Open Source) ist wie bei Signal von Vorteil.

Der größte Unterschied zur WhatsApp-Alternative Signal ist, dass bei der Kontoerstellung keine Telefonnummer oder E-Mail-Adresse eingegeben werden muss. Ein Zugriff auf das Adressbuch ist wie bei Signal nicht erforderlich und Kontakte werden darüber hinaus ausschließlich auf den Geräten der Benutzer verwaltet und gespeichert. Threema ist im Vergleich zu Signal kostenpflichtig, wobei die einmalige Zahlung von derzeit 3,99 EUR überschaubar ist. Zudem gibt es mit „Threema Work“ eine auf Unternehmensbedürfnisse zugeschnittene Version, die verschiedene sinnvolle Zusatzfunktionalitäten bereithält.

Fazit

Der Einsatz von WhatsApp kann sich sowohl als geschäftsbereichernd als auch geschäftsschädigend entpuppen. Grundsätzlich gilt: Sprechen Sie vorher mit einem Datenschutzbeauftragten, wenn Sie planen eine Softwarelösung, in der Sie Kundendaten speichern und verarbeiten, zu integrieren. Nutzen Sie, wenn Sie sich für WhatsApp als neuen Kommunikationskanal entscheiden, die Business-API. Prüfen Sie, ob der Business Solution Provider (Anbieter von Unternehmenslösungen) Ihrer Wahl nicht nur funktionale Anforderungen erfüllt, sondern fragen Sie, wo der Provider Daten speichert und ob der angebotene Servicedienst auch DSGVO-konform ist.

Abschließend ist zu unterscheiden, ob der Messenger-Dienst von WhatsApp für die Kundenkommunikation oder für die interne Mitarbeiterkommunikation genutzt wird. Für Letzteres gibt es aus Sicht der IT-Sicherheit – insbesondere Vertraulichkeit – bessere Alternativen.

 

DIGITAL.SICHER.NRW bietet kostenfreie Webinare, Schulungen, Stammtische, Erstberatungen und Infomaterialien für kleine und mittlere Unternehmen aus Nordrhein-Westfalen an. Um über unser Angebot auf dem Laufenden zu bleiben, lohnt es sich, unseren Newsletter zu abonnieren. 

Zum Newsletterformular