Ist die WhatsApp Business API DSGVO-konform?

Stellungnahme von Johannes Mansbart, chatarmin.com Mitgründer und Geschäftsführer, 20.07.2023

In dieser Stellungnahme geben wir einen Überblick darüber, wie sich die Datenschutzgrundverordnung (DSGVO) auf die unterschiedlichen Regelungen zu WhatsApp API der WhatsApp Ireland Limited auswirkt und wie die Verwendung von chatarmin mit der DSGVO vereinbar ist.

Was ist der Unterschied zwischen WhatsApp, WhatsApp Business und der WhatsApp API?

Zur besseren Veranschaulichung zeigen wir die Unterschiede der WhatsApp-Dienste in tabellarischer Form auf:

WhatsAppWhatsApp BusinessWhatsApp API (API = Schnittstelle)
NutzerPrivatGewerblichGewerblich
Funktionen & ZielgruppePersönliche Kommunikation zwischen Einzelpersonen und KleingruppenGeschäftliche Kommunikation zwischen Unternehmen und ihren Kunden
  • Kundensupport
  • Produktkataloge
  • Automatisierung von Business- Nachrichten
Für die API werden Funktionen zur Integration von WhatsApp in eigene Anwendungen und Dienste hervorgehoben, einschließlich erweiterter Möglichkeiten für den Nachrichtenaustausch und die Interaktion mit WhatsApp- Benutzern, automatisierter Nachrichten und Antworten sowie Nutzung der WhatsApp-Plattform für geschäftliche Zwecke.

chatarmin nutzt die WhatsApp API.

Seitens WhatsApp bestehen folgende Nutzungsbedingungen und Datenschutzvereinbarungen:

Zusammenfassend werden diese Unterlagen der WhatsApp Ireland Limited von uns zur Lesefreundlichkeit WhatsApp “Hausregeln” genannt.

Datenschutzrechtlich relevante Aspekte der WhatsApp Business API und chatarmin

1. Ist bei der WhatsApp Business API eine Rechtmäßigkeit der Verarbeitung personenbezogener Daten gegeben?



Artikel 6 der DSGVO bezieht sich auf die Rechtmäßigkeit der Verarbeitung. Folgender Absatz ist hierbei signifikant relevant:


“(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;”


Die WhatsApp Business Nutzungsbedingungen sehen hierfür unter „4. Die rechtliche Verantwortung des Unternehmens und seine Pflichten hinsichtlich Datenschutz und Sicherheit“ vor, der die Verantwortlichkeit über die ausreichende Zustimmung des Endkunden klar in der Verantwortung des “Unternehmens” sieht, welches die WhatsApp API verwendet:



„Unternehmen muss außerdem sämtliche erforderlichen Rechte, Einwilligungen und Berechtigungen einholen (z. B. Opt-in), um die Kontaktdaten und andere personenbezogene Daten seiner Kunden mit WhatsApp zu teilen und um mit seinen Kunden über den WhatsApp Service unter Verwendung dieser Informationen zu kommunizieren. WhatsApp haftet nicht für Handlungen oder Unterlassungen seitens des Unternehmens, die gegen geltende Gesetze verstoßen. Das Unternehmen hat darüber hinaus sämtliche Anfragen von WhatsApp Benutzern zur Beendigung oder Ablehnung des Erhalts bestimmter oder aller Arten von WhatsApp Nachrichten vom Unternehmen zu respektieren und zu erfüllen.”

Wir wissen aus der Praxis, dass die WhatsApp Business API ausreichend Grundlage bietet, um maßgeschneiderte Endlösungen anzubieten, die ein vorheriges User Opt-In und Einwilligung nicht nur ermöglichen, sondern auch gewährleisten und dokumentierbar machen.

Dies erfolgt in der Praxis durch die Dokumentation des Zeitpunktes des Opt-Ins im jeweiligen “User Profil” sowie durch die Bestätigung der Zustimmung durch eine “2-step- Willkommensautomatisierung” (Double-Opt-In), die den User im WhatsApp Chat mit dem Unternehmen willkommen heißt.

Artikel 7 der DSGVO bezieht sich auf die “Bedingungen für die Einwilligung” wie folgt:


“(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

...

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.”


Wie oben beschrieben gibt es durch eindeutige “Willkommensautomatisierungen” die Möglichkeit, im WhatsApp Chat ein sogenanntes “Double Opt-In” zu gewährleisten und eine DSGVO-konforme Einwilligung einzuholen, die auch werberechtlichen Anforderungen entspricht.

Überdies kann der Nutzer jederzeit die Beendigung der Zusendungen beantragen sowie seine Präferenzen über Aussendungen von seitens des Unternehmens bestimmen, sodass auch die Anforderungen an die jederzeitige Widerrufbarkeit der Einwilligung gegeben sind.

2. Informationspflichten nach der DSGVO umsetzen

Bei der Verwendung der WhatsApp API müssen Unternehmen die Informationspflichten nach Art. 13 DSGVO erfüllen. Gemäß Art. 13 DSGVO müssen sie die betroffenen Personen (Benutzer) über bestimmte Informationen informieren, bevor personenbezogene Daten über die API verarbeitet werden. Dazu gehört die Offenlegung des Unternehmens, das für die Datenverarbeitung verantwortlich ist, der Zweck und die Rechtsgrundlage der Verarbeitung, die Empfänger oder Kategorien von Empfängern der Daten, die beabsichtigte Dauer der Datenspeicherung sowie die Rechte der Benutzer in Bezug auf ihre Daten.

Die Erfüllung dieser Informationspflichten ist entscheidend, um die Transparenz und den Datenschutz zu gewährleisten.

Hier verlinkt ein “Best Practice” der REWE Group um Artikel 13 der DSGVO vollumfänglich per WhatsApp Business API umzusetzen.


Unternehmen trifft weiters die Pflicht, ein Impressum und ihre Datenschutzhinweise einzupflegen.

3. Betroffenenrechte nach der DSGVO umsetzen

Bei der Verwendung der WhatsApp API müssen Unternehmen sicherstellen, dass sie die Betroffenenrechte gemäß den Artikeln 15 bis 21 der Datenschutzgrundverordnung (DSGVO) erfüllen.

Diese Rechte umfassen:



  • das Recht auf Auskunft (Art. 15 DSGVO),
  • das Recht auf Berichtigung (Art. 16 DSGVO),
  • das Recht auf Löschung (Art. 17 DSGVO),
  • das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie das
  • Widerspruchsrecht (Art. 21 DSGVO) gegen bestimmte Arten der Datenverarbeitung.


Unternehmen müssen sicherstellen, dass sie auf Anfragen von Benutzern bezüglich ihrer personenbezogenen Daten fristgerecht reagieren und die entsprechenden Rechte gewährleisten, um die Transparenz, Kontrolle und den Schutz der Privatsphäre der Benutzer gemäß der DSGVO zu gewährleisten.



Zum Recht auf Löschung: Da die WhatsApp Ireland Limited Endnutzerdaten nachweislich lediglich wie hier beschrieben für “das Bereitstellen, Betreiben, Entwickeln, Hervorheben, Aktualisieren und Verbessern ihrer Business Services sowie des Forschens und Entwickelns neuer Dienste, Funktionen oder Nutzungen” nutzt, obliegt die Löschung individueller Daten vollständig dem Unternehmen. Dieses hat über ein Datenmanagementsystem zu verfügen, das nachweislich und nachhaltig die Löschung individueller Kundendaten sowohl aus Frontend Masken als auch aus Backend Datenbanken und damit verbundener Altbestand- Dokumentation gewährleistet.



Zum Recht der Einschränkung der Verarbeitung: Dieser Paragraf bietet keinerlei Streitvermögen weder in Theorie noch Praxis, da einerseits der Endnutzer über seine eigenen Präferenzen, was die Kommunikation mit dem Unternehmen angeht, frei bestimmen kann. Andererseits ist eine Adaption der Kommunikationsstrategie sowohl mit User Kohorten als auch individuellen Endnutzeraccounts in üblichen WhatsApp Business API Benutzermasken kein Problem.



Zum Recht der Datenübertragbarkeit: Auch dieser Artikel stellt dem Unternehmen in der Praxis keinerlei Hürden, da ggf. ein persönliches Nutzungsprofil inklusive Dokumentation der Interaktion zwischen Unternehmen und Endnutzer in unterschiedlichen Formaten exportiert und dadurch auch versendet werden kann.



Zum Recht auf Auskunft, Löschung und Widerspruch: Dieser Artikel ist in der Praxis leicht umzusetzen, da wie in “Wie sieht das Recht auf Löschung in der Praxis aus” beschrieben wurde, dass im Idealfall von seitens des Unternehmens eine Hilfe-Hotline eingerichtet wird, die dem Endnutzer gewährleistet, seine sensiblen Daten auf eigenen Wunsch zugesendet, gelöscht, adaptiert oder für die zukünftige Nutzung in anderweitiger Form abgeändert zu bekommen. Auch hier verlinkt ein “Best Practice” der REWE Group, um die Betroffenenrechte nach DSGVO vollumfänglich per WhatsApp Business API umzusetzen.

4. Findet durch die WhatsApp Business API verbotenes Profiling statt?

Artikel 4 der DSGVO bezieht sich auf die “Bedingungen für die Einwilligung” wie folgt:

“..."Profiling" jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen...”



Sogenanntes “Profiling”, also das Identifizieren des “Endnutzers” auf Basis seines Nutzerverhaltens und der vom “Verarbeitenden” Instanz gespeicherten und verarbeiteten.Nutzerdaten wird von WhatsApp zwar als “Feature” zur Verfügung gestellt. Dieses Feature muss jedoch jedes Unternehmen, das WhatsApp API nutzt, proaktiv einstellen. Für die Profilerstellung muss das Unternehmen dann eine entsprechende Einwilligung einholen, vgl. 1.



Dazu der zugehörige Absatz aus den WhatsApp Business Nutzungsbedingungen, 7. “Unsere Datenpraktiken”,



Absatz 2: Zugriff auf Daten und auf aggregierte Daten. Du hast bzw. die Dienstleister, die ggf. deine WhatsApp Business Kommunikationen für dich verwalten, haben über unsere Business Services Zugriff auf personenbezogene Daten, wie zum Beispiel auf Kundendaten und Unternehmens-Inhalte, die du uns zur Verfügung stellst. Im Rahmen unserer Business Services stellt WhatsApp dir aggregierte Kennzahlen bezüglich deiner Nachrichtenaktivitäten innerhalb unserer Business Services zur Verfügung, wie z. B. die Gesamtzahl der gesendeten, zugestellten und gelesenen Nachrichten. Wenn du einen Dienstleister damit beauftragst, deine WhatsApp Business Kommunikation für dich zu verwalten, dann weist du uns durch die Verknüpfung deines WhatsApp Business-Kontos und die Bereitstellung von Kontoberechtigungen für deinen Dienstleister an, deinem Dienstleister den Zugriff auf diese aggregierten Kennzahlen zu gewähren.



Absatz 4: "Sonstige Informationen. Du verstehst und stimmst zu, dass WhatsApp Folgendes erfasst, speichert und verwendet: (a) Informationen zu deinem Unternehmens-Account und deiner Registrierung; (b) Nutzungs-, Protokoll- und funktionale Informationen, die durch deine Nutzung unserer Business Services generiert werden; (c) Performance-, Diagnose- und Analyseinformationen; (d) Informationen im Zusammenhang mit deinen technischen oder sonstigen Supportanfragen; und (e) Informationen über dich aus anderen Quellen wie von anderen WhatsApp Benutzern, Unternehmen, Dritt-Unternehmen und den anderen Meta- Unternehmen."



Lizenzen und geistiges Eigentum: Die Lizenz des Unternehmens gegenüber uns.



“Du gewährst WhatsApp und seinen Tochter- und verbundenen Unternehmen eine weltweite, nicht-exklusive, unterlizenzierbare und übertragbare Lizenz zur Nutzung, Reproduktion, Modifizierung, Anpassung, Veröffentlichung, Übersetzung, Erstellung abgeleiteter Werke, Verbreitung und öffentlichen Aufführung bzw. Darstellung der Unternehmens-Inhalte, die du auf unsere/n oder über unsere Business Services hochlädst, einreichst, speicherst, sendest oder empfängst, und zwar ausschließlich für die Zwecke des Bereitstellens, Betreibens, Entwickelns, Hervorhebens, Aktualisierens und Verbesserns unserer Business Services sowie des Forschens und Entwickelns neuer Dienste, Funktionen oder Nutzungen.”

5. Vertragliche Seite mit WhatsApp Ireland

Da WhatsApp die Daten als Auftragsverarbeiter verarbeitet, darf es aufgrund der Datenverarbeitungsbedingungen die Daten nicht für eigene Zwecke verwenden, sondern nur zur Bereitstellung von WhatsApp. Hier der Link zu dem Datenverarbeitungsbedingungen von WhatsApp.



Absatz 3 a.



"WhatsApp wird personenbezogene Informationen nur gemäß deinen Anweisungen, die in den Business Bedingungen und diesen Datenverarbeitungsbedingungen niedergelegt sind, verarbeiten."



Darüber hinaus bietet chatarmin einen DSGVO-konformen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

6. WhatsApp API: Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses



WhatsApp verweist unter „7. Unsere Datenpraktiken“ in den Nutzungsbedingungen drauf, dass es auch Datenübermittlungen in die USA kommen kann:



Unsere globalen Aktivitäten. Das Unternehmen stimmt der Übermittlung und Verarbeitung der von uns gemäß diesen Business Bedingungen erfassten, gespeicherten und verwendeten Informationen in den/die USA und andere/n Länder/n weltweit zu, in denen wir Einrichtungen, Dienstleister oder Partner haben oder einsetzen, und zwar unabhängig davon, wo du unsere Business Services nutzt. Du erkennst an, dass die Gesetze, Vorschriften und Standards des Landes, in dem deine Informationen gespeichert oder verarbeitet werden, von denen deines eigenen Landes abweichen können.



Artikel 45 der DSGVO lautet “Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses :



"Eine Übermittlung personenbezogener Daten an ein Drittland [...darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung."



Auch dieser Artikel ist unserer Auffassung nach in Einklang mit den “WhatsApp Hausregeln”, derer “Liste der Unterauftragsverarbeiter” sämtliche Vertragspartner von WhatsApp auflistet, die damit betraut sind, Dienstleistungen zur Gewährleistung der Funktionalität der WhatsApp Business API zu garantieren. Diese sind in den USA, Dänemark sowie Schweden ansässig.



Aufgrund des mit Juli 2023 in Kraft getretenen „Data Privacy Frameworks“ besteht ein Angemessenheitsbeschluss für die USA.



Absatz 7 unsere Datenpraktiken



"Sonstige Informationen. Du verstehst und stimmst zu, dass WhatsApp Folgendes erfasst, speichert und verwendet: (a) Informationen zu deinem Unternehmens-Account und deiner Registrierung; (b) Nutzungs-, Protokoll- und funktionale Informationen, die durch deine Nutzung unserer Business Services generiert werden; (c) Performance-, Diagnose- und Analyseinformationen; (d) Informationen im Zusammenhang mit deinen technischen oder sonstigen Supportanfragen; und (e) Informationen über dich aus anderen Quellen wie von anderen WhatsApp Benutzern, Unternehmen, Dritt-Unternehmen und den anderen “Meta- Unternehmen."

7. Fazit zur DSGVO-Konformität der WhatsApp Business API

Es ist wichtig festzuhalten, dass der Unterschied zwischen “WhatsApp Private”, “WhatsApp Business” sowie der “WhatsApp Business API” zu verstehen ist. Lediglich letztere ist DSGVO-konform in Unternehmen integrierbar. Lediglich auf letztere bezieht sich diese Stellungnahme. Die “WhatsApp Business API” ist kostenpflichtig, bietet im Umkehrschluss DSGVO-konformität sowie die Möglichkeit skalierbare Kommunikation zwischen Unternehmen und Endnutzern zu ermöglichen, sowie komplizierte automatisierte und individualisierte Use-Cases durch individuelle IT-Dienstleister umzusetzen.



Johannes Mansbart, 20.07.2023