Stellungnahme von Johannes Mansbart, armin technologies Mitgründer und Geschäftsführer, 17.04.2024
Diese Stellungnahme erhebt den Anspruch, eine Übersicht über die Dynamik zwischen der DSGVO (europäische Datenschutzgrundverordnung, Version 1 vom 25. Mai 2018) der EU einerseits, sowie der WhatsApp Commerce Policy, der WhatsApp Business Nutzungsbedingungen (27. September 2021), der WhatsApp Business Datenverarbeitungsbedingungen (27.09.2021), der Ergänzung für WhatsApp Business Datenübermittlungen (27.09.2021), sowie der Rolle der Liste der Unterauftragsverarbeiter der WhatsApp Ireland Limited andererseits, zu geben. Zusammenfassend werden diese Unterlagen der WhatsApp Ireland Limited von uns zur Lesefreundlichkeit WhatsApp “Hausregeln” genannt.
Sämtliche Absätze oder Paragraphen der DSGVO, die keine unmittelbare Interdependenz mit den “WhatsApp Hausregeln” zu haben scheinen, spare ich in dieser Stellungnahme aus. Ebenso werden umgekehrt jene Inhalte nicht behandelt, die für die Debatte “Ist die WhatsApp Business API DSGVO-konform?” nichtig scheinen. Nicht behandelte Inhalte oben angeführter Quelltexte fallen nach Ansicht des Autors unter “Standardklauseln” oder “Standardjuristensprache”.
Die Struktur dieser Stellungnahme richtet sich nach der Reihenfolge der elf Kapitel der DSGVO, mit jeweiliger Gegenüberstellung relevanter Auszüge aus den “WhasApp Hausregeln”.
Findet durch die WhatsApp Business API verbotenes Profiling statt? Ist eine ausreichende “Pseudonymisierung” personenbezogener Daten gegeben?
Artikel 4 der DSGVO bezieht sich auf die “Begriffsbestimmungen” wie folgt:
4. “..."Profiling" jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen…”
Sogenanntes “Profiling”, also das Identifizieren des “Endnutzers” auf Basis seines Nutzerverhaltens und der vom “Verarbeitenden” Instanz gespeicherten und verarbeiteten Nutzerdaten wird von WhatsApp zwar als “Feature” zur Verfügung gestellt, solche Daten werden jedoch vonseitens WhatsApps nur für folgende Zwecke verwendet. Hier ein Auszug uas den “WhatsApp Datenpraktiken”:
Absatz 3 a.
"WhatsApp wird personenbezogene Informationen nur gemäß deinen Anweisungen, die in den Business Bedingungen und diesen Datenverarbeitungsbedingungen niedergelegt sind, verarbeiten."
Dazu der zugehörige Absatz aus den WhatsApp Business Nutzungsbedingungen, Absatz 7 “Unsere Datenpraktiken”, Absatz 4:
"Sonstige Informationen. Du verstehst und stimmst zu, dass WhatsApp Folgendes erfasst, speichert und verwendet: (a) Informationen zu deinem Unternehmens-Account und deiner Registrierung; (b) Nutzungs-, Protokoll- und funktionale Informationen, die durch deine Nutzung unserer Business Services generiert werden; (c) Performance-, Diagnose- und Analyseinformationen; (d) Informationen im Zusammenhang mit deinen technischen oder sonstigen Supportanfragen; und (e) Informationen über dich aus anderen Quellen wie von anderen WhatsApp Benutzern, Unternehmen, Dritt-Unternehmen und den anderen Meta-Unternehmen."
Dies widerum steht im Einklang mit der DSGVO, da diese den Nutzen von Userdaten für statistische Zwecke, Forschungszwecke, Entwicklungszwecke u.Ä. folgendermaßen in Kapitel 1, Art. 4 Absatz 5 billigt:
“"Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;”
sowie DSGVO Art. 5 Absatz 1) b)
"für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ("Zweckbindung");"
da Absatz 5 der WhatsApp Business API Nutzungsbedingungen folgendermaßen verlautbart:
Absatz 5 Lizenzen und geistiges Eigentum
“Du gewährst WhatsApp und seinen Tochter- und verbundenen Unternehmen eine weltweite, nicht-exklusive, unterlizenzierbare und übertragbare Lizenz zur Nutzung, Reproduktion, Modifizierung, Anpassung, Veröffentlichung, Übersetzung, Erstellung abgeleiteter Werke, Verbreitung und öffentlichen Aufführung bzw. Darstellung der Unternehmens-Inhalte, die du auf unsere/n oder über unsere Business Services hochlädst, einreichst, speicherst, sendest oder empfängst, und zwar ausschließlich für die Zwecke des Bereitstellens, Betreibens, Entwickelns, Hervorhebens, Aktualisierens und Verbesserns unserer Business Services sowie des Forschens und Entwickelns neuer Dienste, Funktionen oder Nutzungen.”
Ist bei der WhatsApp Business API eine Rechtmäßigkeit der Verarbeitung personenbezogener Daten gegeben?
Artikel 6 der DSGVO bezieht sich auf die Rechtmäßigkeit der Verarbeitung. Folgender Absatz ist hierbei signifikant relevant:
“(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;”
Die WhatsApp Business Nutzungsbedingungen sehen hierfür Absatz 4 vor, der die Verantwortlichkeit über die ausreichende Zustimmung des Endkunden klar in der Verantwortung des “Unternehmens” sieht:
“Absatz 4 Die rechtliche Verantwortung des Unternehmens und seine Pflichten hinsichtlich Datenschutz und Sicherheit
Das Unternehmen muss außerdem sämtliche erforderlichen Rechte, Einwilligungen und Berechtigungen einholen (z. B. Opt-in), um die Kontaktdaten und andere personenbezogene Daten seiner Kunden mit WhatsApp zu teilen und um mit seinen Kunden über den WhatsApp Service unter Verwendung dieser Informationen zu kommunizieren. WhatsApp haftet nicht für Handlungen oder Unterlassungen seitens des Unternehmens, die gegen geltende Gesetze verstoßen. Das Unternehmen hat darüber hinaus sämtliche Anfragen von WhatsApp Benutzern zur Beendigung oder Ablehnung des Erhalts bestimmter oder aller Arten von WhatsApp Nachrichten vom Unternehmen zu respektieren und zu erfüllen.”
Wir wissen aus der Praxis, dass die WhatsApp Business API ausreichend Grundlage bietet, um maßgeschneiderte Endlösungen anzubieten, die ein vorheriges User Opt-In nicht nur ermöglichen, sondern auch gewährleisten und dokumentierbar machen. Dies erfolgt in der Praxis durch die Dokumentation des Zeitpunktes des Opt-Ins im jeweiligen “User Profil” sowie durch die Bestätigung der Zustimmung durch eine “2-step-Willkommensautomatisierung”, die den User im WhatsApp Chat mit dem Unternehmen willkommen heißt.
Artikel 7 der DSGVO bezieht sich auf die “Bedingungen für die Einwilligung” wie folgt:
“(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
…
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.”
Wie oben beschrieben gibt es durch eindeutige “Willkommensautomatisierungen” die Möglichkeit, im WhatsApp Chat ein sogenanntes “Double Opt-In” zu gewährleisten. Überdies kann der Nutzer jederzeit die Beendigung der Zusendungen beantragen sowie seine Präferenzen über Aussendungen vonseitens des Unternehmens bestimmen.
Wie kann ich den Endnutzer über die Nutzung, die Dauer der Nutzung sowie die Widmung der Nutzung für unternehmerische WhatsApp Zwecke unterrichten? Über welche Auskunftsrechte verfügt der Endnutzer und wie kann ich diese als Unternehmen bedienen?
Artikel 13 der DSGVO lautet "Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person” und lautet wie folgt:
a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
Artikel 15 der DSGVO lautet “Auskunftsrecht der betroffenen Person” wie folgt:
“(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob [und wie] sie betreffende personenbezogene Daten verarbeitet werden;”
Diese beiden Artikel respektive drei Absätze besagen, dass der Endnutzer jederzeit über das Recht über vollständige Auskunft über die Nutzung seiner Daten verfügt. Wir empfehlen in der Praxis hierfür die Einrichtung einer eigenen Telefon- oder Email-Servicehotline, die sich solcher spezifischen Einzelfälle annimmt. Hier verlinkt ein “Best Practice” der REWE Group um Artikel 13 der DSGVO vollumfänglich per WhatsApp Business API umzusetzen.
Wie sieht das “Recht auf Löschung” in der Praxis aus?
Artikel 17 der DSGVO heißt “Recht auf Löschung ("Recht auf Vergessenwerden")” und besagt:
(1) “Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden..:”
Da die WhatsApp Ireland Limited Endnutzerdaten nachweislich lediglich wie oben beschrieben für “das Bereitstellens, Betreibens, Entwickelns, Hervorhebens, Aktualisierens und Verbesserns unserer Business Services sowie des Forschens und Entwickelns neuer Dienste, Funktionen oder Nutzungen” nutzt, obliegt die Löschung individueller Daten vollständig dem Unternehmen. Dieses hat über ein Datenmanagementsystem zu verfügen, das nachweislich und nachhaltig die Löschung individueller Kundendaten sowohl aus Frontend Masken als auch aus Backend Datenbanken und damit verbundener Altbestand-Dokumentation gewährleistet.
Was bedeutet das “Recht auf Einschränkung der Verarbeitung”?
Artikel 18 der DSGVO lautet “Recht auf Einschränkung der Verarbeitung” wie folgt:
(1) "...Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen..."
Dieser Paragraph bietet keinerlei Streitvermögen weder in Theorie noch Praxis, da einerseits der Endnutzer über seine eigenen Präferenzen, was die Kommunikation mit dem Unternehmen angeht, frei bestimmen kann. Andererseits ist eine Adaption der Kommunikationsstrategie sowohl mit User Kohorten als auch individuellen Endnutzeraccounts in üblichen WhatsApp Business API Benutzermasken kein Problem.
Wie funktioniert das “Recht auf Datenübertragbarkeit”?
Artikel 20 der DSGVO lautet “Recht auf Datenübertragbarkeit” wie folgt:
(1) "...Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten..."
Auch dieser Artikel stellt dem Unternehmen in der Praxis keinerlei Hürden, da ggf. ein persönliches Nutzungsprofil inklusive Dokumentation der Interaktion zwischen Unternehmen und Endnutzer in unterschiedlichen Formaten exportiert und dadurch auch versendet werden kann.
Wie funktioniert das “Widerspruchsrecht”?
Artikel 21 der DSGVO lautet “Widerspruchsrecht” wie folgt:
"...Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen..."
Dieser Artikel ist in der Praxis leicht umzusetzen, da wie in “Wie sieht das Recht auf Löschung in der Praxis aus” beschrieben wurde, dass im Idealfall vonseitens des Unternehmens eine Hilfe-Hotline eingerichtet wird, die dem Endnutzer gewährleistet, seine sensiblen Daten auf eigenen Wunsch zugesendet, gelöscht, adaptiert oder für die zukünftige Nutzung in anderweitiger Form abgeändert zu bekommen.
WhatsApps “Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses”
Artikel 45 der DSGVO lautet “Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses” wie folgt:
(1) "Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung."
Auch dieser Artikel ist unserer Auffassung nach in Einklang mit den “WhatsApp Hausregeln”, derer “Liste der Unterauftragsverarbeiter” sämtliche Vertragspartner von WhatsApp auflistet, die damit betraut sind, Dienstleistungen zur Gewährleistung der Funktionalität der WhatsApp Business API zu garantieren. Diese sind in den USA, Dänemark sowie Schweden ansässig.
Der letzte - unserer Meinung nach für die “WhatsApp Hausregeln” relevante Artikel der DSGVO ist jener Artikel 89, Absatz 1, wie folgt:
"wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt."
Auch hier bleibt nichts anderes übrig als auf die bereits oben zitierten Absätze 5 und 7 der WhatsApp Business Nutzungsbedingungen zu verweisen, diese lauten:
Absatz 5 Lizenzen und geistiges Eigentum
“Du gewährst WhatsApp und seinen Tochter- und verbundenen Unternehmen eine weltweite, nicht-exklusive, unterlizenzierbare und übertragbare Lizenz zur Nutzung, Reproduktion, Modifizierung, Anpassung, Veröffentlichung, Übersetzung, Erstellung abgeleiteter Werke, Verbreitung und öffentlichen Aufführung bzw. Darstellung der Unternehmens-Inhalte, die du auf unsere/n oder über unsere Business Services hochlädst, einreichst, speicherst, sendest oder empfängst, und zwar ausschließlich für die Zwecke des Bereitstellens, Betreibens, Entwickelns, Hervorhebens, Aktualisierens und Verbesserns unserer Business Services sowie des Forschens und Entwickelns neuer Dienste, Funktionen oder Nutzungen.”
Absatz 7 unsere Datenpraktiken
"Sonstige Informationen. Du verstehst und stimmst zu, dass WhatsApp Folgendes erfasst, speichert und verwendet: (a) Informationen zu deinem Unternehmens-Account und deiner Registrierung; (b) Nutzungs-, Protokoll- und funktionale Informationen, die durch deine Nutzung unserer Business Services generiert werden; (c) Performance-, Diagnose- und Analyseinformationen; (d) Informationen im Zusammenhang mit deinen technischen oder sonstigen Supportanfragen; und (e) Informationen über dich aus anderen Quellen wie von anderen WhatsApp Benutzern, Unternehmen, Dritt-Unternehmen und den anderen Meta-Unternehmen."
Fazit zur DSGVO-Konformität der WhatsApp Business API
Es ist wichtig festzuhalten, dass der Unterschied zwischen “WhatsApp Private”, “WhatsApp Business” sowie der “WhatsApp Business API” zu verstehen ist. Lediglich letztere ist DSGVO-konform. Lediglich auf letztere bezieht sich diese Stellungnahme. Die “WhatsApp Business API” ist kostenpflichtig, bietet im Umkehrschluss DSGVO-konformität sowie die Möglichkeit skalierbare Kommunikation zwischen Unternehmen und Endnutzern zu ermöglichen, sowie komplizierte automatisierte und individualisierte Use-Cases durch individuelle IT-Dienstleister umzusetzen.
Johannes Mansbart, 17.04.2024