Ratgeber: WhatsApp im Unternehmen
WhatsApp im Unternehmen – Wollen Sie dieses Risiko wirklich eingehen?
WhatsApp wird nicht nur privat von einem Großteil der deutschen Bevölkerung genutzt, sondern hat es als Kommunikationsmittel längst auch in den geschäftlichen Kontext geschafft: Kleinere Betriebe fordern ihre Kundinnen und Kunden oft gar nicht mehr dazu auf, ihre Daten und das Anliegen für eine Angebotserstellung per E-Mail zu übermitteln, sondern direkt über WhatsApp. Und auch für die interne Kommunikation unter Mitarbeitenden wird im Unternehmen gerne auf den Messengerdienst gesetzt. Das Vorgehen ist nachvollziehbar: die Kommunikation über den Messenger-Dienst ist unkompliziert und schnell, um Nachrichten aber auch Anhänge wie Fotos zu übermitteln.
Gleichzeitig stellt sich die Frage: Ist der Einsatz von WhatsApp im Unternehmen wirklich sinnvoll?
Zweifel bzgl. des Einsatzes der App sind grundsätzlich berechtigt. So gab es in der Vergangenheit vermehrt negative Berichterstattung. WhatsApp gilt trotz der im Jahr 2016 eingeführten Ende-zu-Ende-Verschlüsselung als „unsicher“. Chatverläufe mit teils sensiblen Informationen gelangen an die Öffentlichkeit und die umfangreiche Erhebung von Metadaten – also die Informationen, wer mit wem wann Kontakt hatte – stellt ebenfalls ein Problem dar. Viele mittelständische Unternehmen, Organisationen und Vereine haben die Nutzung des beliebten Messenger-Dienstes daher bereits untersagt.
Was viele Firmen und Betriebe zudem nicht wissen: In den meisten Fällen ist die Nutzung von WhatsApp für die betriebliche Kommunikation aus datenschutzrechtlichen Gründen sogar strafbar und kann sich damit als geschäftsschädigend herausstellen.
Warum die Nutzung von WhatsApp gegen die Datenschutzgrundverordnung (DSGVO) verstößt
Grund 1: Zugriff auf Telefonnummer im Adressbuch
Bei der Einrichtung von WhatsApp auf dem Smartphone fordert die App Anwenderinnen und Anwender auf, Zugriff auf das Adressbuch zu gewähren. Mit der Einwilligung werden sämtliche Kontaktdaten auf dem Smartphone an WhatsApp übermittelt. Der Vorgang wird ohne die Einwilligung der Kontakte abgeschlossen und stellt bereits ein Bruch der Datenschutzgrundverordnung (DSGVO). Zwar ist es möglich, die Bitte auf Zugriff auf das Adressbuch abzulehnen, jedoch bedeutet dies, dass der Messenger nicht vollumfänglich genutzt werden kann. So lassen sich ohne Zugriff auf das Adressbuch etwa keine Chats starten und Kontakte werden lediglich mit ihrer Nummer – nicht mit dem Namen angezeigt. Entsprechend wird dem Zugriff – und damit der Übermittlung der Kontaktdaten – von den Nutzern zugestimmt.
Grund 2: Erhebung umfangreicher Metadaten
Trotz Ende-zu-Ende-Verschlüsselung von Nachrichten weisen Messenger Unterschiede in der Erhebung und Auswertung von Metadaten auf. Bei WhatsApp wird bereits in den Nutzungsbedingungen festgehalten, welche Metadaten bei der Nutzung der App entstehen und dass diese ausgewertet werden. Die Einwilligung des Nutzers ist dabei zwingende Voraussetzung für eine Benutzung des Messengers und ermöglicht dem Unternehmen die Erstellung detaillierter Benutzerprofile, ohne dass eine Einsicht in die Inhalte der Nachrichten nötig ist.
Siehe Infobox: „Ende-zu-Ende-Verschlüsselung – Einfach erklärt“
Grund 3: Keine anonyme Nutzung möglich
Personenbezogene Daten oder auch Standortdaten werden automatisch gespeichert, obwohl diese Daten für die eigentliche Funktion nicht benötigt werden. Eine „legale“ Nutzung von WhatsApp und der WhatsApp Business App zu geschäftlichen Zwecken ist aus datenschutzrechtlicher Sicht nicht möglich. Zumindest nach aktueller Lage. Die Nutzung der WhatsApp Business Business Plattform wiederum kann mit dem richtigen WhatsApp Business Service Provider durchaus Hand in Hand mit der DSGVO gehen (siehe dazu den folgenden Abschnitt: WhatsApp ist nicht gleich WhatsApp).
WhatsApp ist nicht gleich WhatsApp
Wenn sich Unternehmen bewusst für den Einsatz von WhatsApp als Kommunikationskanal entscheiden, dann ist allerdings eine Differenzierung nötig. Die weit verbreitete App mit der grünen Sprechblase und dem Telefonhörer-Symbol wurde für den privaten Gebrauch entwickelt. Bei einem Einsatz drohen Unternehmen Abmahnungen von Datenschutzbehörden und auch die Sperrung von WhatsApp und sogar Facebook-Konten ist möglich.
Für den kommerziellen Gebrauch bietet WhatsApp zwei Lösungen an: Die „WhatsApp Business App“ und die „WhatsApp Business Platform“ (ehemals Business API).
Die Business-Lösungen im Überblick
WhatsApp-Business-App – die kostenlose App für kleine Unternehmen
Bei der „Business App“ handelt es sich um eine Anwendung, die über die bekannten App-Stores für Android und Apple Smartphones installiert werden kann. Die Business App richtet sich direkt an Inhaber von Kleinunternehmen. Die Nutzung ist kostenfrei und bietet Unternehmen limitierte Business-Funktionen wie die Erstellung eines Unternehmensprofil und das Eintragen von Öffnungszeiten. Auch hier ist allerdings eine DSGVO-konforme-Nutzung nicht möglich.
WhatsApp Business Platform – die DSGVO-konforme Lösung
Für die Bedarfe von mittleren und großen Unternehmen bietet der Messenger-Dienst seit 2018 die sogenannte „WhatsApp Business Platform“ an, mit der Kundenanfragen professionell über WhatsApp abgewickelt werden können. Früher hieß diese Lösung „Business API“ (englische Abkürzung für Application Programming Interface), weil es sich dabei um eine Schnittstelle handelt, die über sogenannte „WhatsApp Business Solution Provider“ (Anbieter von Unternehmenslösungen) in einer Software-Lösung angeboten wird.
Im Gegensatz zu den anderen Optionen wird also keine App auf dem Smartphone installiert, sondern es muss eine kostenpflichtige Lösung von einem Drittanbieter erworben werden. Die Kosten werden dabei pro Unterhaltung berechnet, Kundenanfragen sind jedoch innerhalb eines 24-Stunden-Fensters kostenfrei. Der entscheidende Vorteil: die Kommunikation ist verschlüsselt, die Daten verbleiben – je nach Anbieter –innerhalb der EU oder gar nur in Deutschland, Kontaktdaten werden nicht mit WhatsApp geteilt und somit kann DSGVO-konform gearbeitet werden.
Hinweis: Die tatsächliche Konformität mit dem Datenschutz ist hier allerdings abhängig von der Erfüllung der Datenschutzregelungen durch die Drittanbieter sowie die Implementierung der Lösung im eigenen Unternehmen.
Der falsche Einsatz kann teuer werden
Verstöße gegen die Datenschutzgrundverordnung (DSGVO) können für Unternehmen teuer werden und nach der Erhöhung der möglichen Bußgelder mit Einführung der DSGVO zu einem echten Problem werden. Bei Verstößen drohen Geldbußen in Höhe von bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Vorjahresumsatzes. Dennoch wird WhatsApp aufgrund der weiten Verbreitung in vielen Unternehmen weiterhin zum Alltag gehören. Zu verlockend ist die Möglichkeit, schnell und unkompliziert mit Kunden zu kommunizieren und einen sofort verfügbaren und personalisierten Kundendienst anzubieten.
Alternativen zum Einsatz von WhatsApp
Aus Sorge vor Strafen verbieten viele namhafte Unternehmen die Verwendung von WhatsApp auf firmeneigenen Endgeräten. Einige wiederum erlauben die Nutzung unter bestimmten Vorgaben und Auflagen. Wir schließen uns dieser Empfehlung an und legen jedem Unternehmen ans Herz, für eine sichere Kommunikation innerhalb des Betriebes auf alternative Messenger Dienste, wie Signal oder Threema zu setzen.
Signal – der beliebteste Messenger von Sicherheitsexperten
Fragen Sie einen IT-Sicherheitsexperten nach einem sicheren Messenger-Dienst, so wird er Ihnen mit aller Wahrscheinlichkeit Signal empfehlen. Signal ist wie WhatsApp kostenfrei in der Nutzung und bietet eine Ende-zu-Ende-Verschlüsselung. Beim Transfer von Nachrichten werden allerdings weniger Metadaten erhoben: Wer wann mit wem Nachrichten austauscht, wird von Signal nicht gespeichert. Ein weiterer Vorteil ist der offene Programmcode (Open Source). Dadurch kann jeder den Code einsehen und auf Schwachstellen prüfen. Darüber hinaus können Einstellungen getätigt werden, wann gesendete Nachrichten im Chatverlauf gelöscht werden sollen.
Jedoch ist der Messenger-Dienst Signal im Vergleich zu WhatsApp nicht annähernd so weit verbreitet, weshalb sich eine Kundenkommunikation ohne WhatsApp als sehr schwierig gestaltet. Zwar können Unternehmer ihren Kunden empfehlen, auf einen anderen und sicheren Messenger-Dienst umzusteigen, aber ob die Überzeugungsarbeit wirklich von Erfolg gekrönt wird, ist zweifelhaft.
Für die interne Mitarbeiterkommunikation hingegen ist der Einsatz von Signal eine sinnvolle und sichere Alternative.
Threema – Kostenpflichtig und unangefochten Platz 1 in den Verkaufscharts
Eine weitere WhatsApp-Alternative ist der Messenger-Dienst Threema. Threema nutzt wie auch Signal eine Ende-zu-Ende-Verschlüsselung und sendet Nachrichten mit einem möglichst geringen Transfer von Metadaten. Dabei werden die Daten auch nur so lange auf den Threema Servern gespeichert, bis die Aufgabe erfüllt ist. Der offene Programmcode (Open Source) ist wie bei Signal von Vorteil.
Der größte Unterschied zur WhatsApp-Alternative Signal ist, dass bei der Kontoerstellung keine Telefonnummer oder E-Mail-Adresse eingegeben werden muss. Ein Zugriff auf das Adressbuch ist wie bei Signal nicht erforderlich und Kontakte werden darüber hinaus ausschließlich auf den Geräten der Benutzer verwaltet und gespeichert. Threema ist im Vergleich zu Signal kostenpflichtig, wobei die einmalige Zahlung von derzeit 3,99 EUR überschaubar ist. Zudem gibt es mit „Threema Work“ eine auf Unternehmensbedürfnisse zugeschnittene Version, die verschiedene sinnvolle Zusatzfunktionalitäten bereithält.
Fazit
Der Einsatz von WhatsApp kann sich sowohl als geschäftsbereichernd als auch geschäftsschädigend entpuppen. Grundsätzlich gilt: Sprechen Sie vorher mit einem Datenschutzbeauftragten, wenn Sie eine Softwarelösung, in der Sie Kundendaten speichern und verarbeiten, integrieren wollen. Wenn Sie sich für WhatsApp als neuen Kommunikationskanal entscheiden, nutzen Sie die „Business Platform“. Prüfen Sie, ob der Business Solution Provider (Anbieter von Unternehmenslösungen) Ihrer Wahl nicht nur funktionale Anforderungen erfüllt, sondern fragen Sie, wo der Provider Daten speichert und ob der angebotene Servicedienst auch DSGVO-konform ist.
Abschließend ist zu unterscheiden, ob der Messenger-Dienst von WhatsApp für die Kundenkommunikation oder für die interne Mitarbeiterkommunikation genutzt wird. Für Letzteres gibt es aus Sicht der IT-Sicherheit – insbesondere Vertraulichkeit – bessere Alternativen.
DIGITAL.SICHER.NRW bietet kostenfreie Webinare, Schulungen, Stammtische, Erstberatungen und Infomaterialien für kleine und mittlere Unternehmen aus Nordrhein-Westfalen an. Um über unser Angebot auf dem Laufenden zu bleiben, lohnt es sich, unseren Newsletter zu abonnieren.
