19. Oktober 2023

Geschäftsnachrichten mit WhatsApp und Co.
Eine WhatsApp-Nachricht an Kunden und an die Mitarbeiter? Privat lassen sich Messengerdienste ohne großen Aufwand nutzen: die (meist) kostenlose App herunterladen und loslegen. Im Geschäftsverkehr liegen die Dinge anders. Für ein Unternehmen geht es um Rechtssicherheit und Datenschutz, es ist einiges zu beachten.

„Mal eben“ einen Kontakt aufrufen, schnell tippen, vielleicht ein Foto anhängen, senden – Messengerdienste wie z. B. WhatsApp, Telegram, Signal oder das einmalig kostenpflichtige Threema sind aus dem Alltag nicht wegzudenken. Besonders gern genutzt wird WhatsApp, das mit seinen Nutzerzahlen [1] Platzhirsch unter den Tools ist. Was für Privatleute nur die Installation einer meist kostenlosen App bedeutet, sollten Betriebe nicht auf die leichte Schulter nehmen. In der geschäftlichen Kommunikation werden gleich mehrere Rechtsgebiete berührt, wie Juristen in einem zweiteiligen Onlinebeitrag [2] zeigen. Diese fünf Rechtsgebiete werden diskutiert:

Urheberrecht
Software, auch kostenlose, ist urheberrechtlich geschützt. Es muss unbedingt nachgesehen werden, ob und inwieweit ein Messengerdienst in seinen AGB Unternehmen die geschäftliche Nutzung erlaubt. Eventuell müssen Mitarbeiter befugt werden, einen Messengerdienst als Vertreter ihres Unternehmens zu nutzen.

Pflichten aus dem kaufmännischen Geschäftsbetrieb
Messengernachrichten mit geschäftlichem Inhalt sind Geschäftsbriefe. Sie müssen demnach die vorgeschriebenen Pflichtangaben enthalten. Zudem gelten für die Korrespondenzen gesetzliche bzw. steuerliche Aufbewahrungspflichten.

Datenschutz
Messengerdienste greifen auf die in einem Handy gespeicherten Kontaktdaten zu. Je nach Dienst erfolgt eine automatische Aktualisierung von Kontaktdaten. Bei der Abwicklung des Datenverkehrs werden sogenannte Metadaten mitgespeichert: Informationen über das sendende Gerät, Standort, IP-Adresse, Dauer des Chats.
Auch wenn ein Dienst die Chatinhalte verschlüsselt und nicht darauf zugreift, bleibt die Frage, was mit den Metadaten der Chats geschieht.

Datensicherheit
Darunter fallen u. a. die verwendeten IP-Protokolle, sowie der Weg einer Nachricht zwischen Absender und Empfänger (diese wird, vergleichbar einer E-Mail, über mehrere Server hinweg weitergeleitet) und die dabei eingesetzte Verschlüsselungstechnologie. Als Standard gilt die sogenannte Ende-zu-Ende-Verschlüsselung.
Wichtig ist, dass diese Verschlüsselung nur dann ordnungsgemäß funktioniert – zumindest bei WhatsApp – wenn sowohl Absender als auch Empfänger das neueste Update installiert haben.
Die Autoren raten dazu, die Chatpartner auf diesen Umstand hinzuweisen, z. B. per Mail, und diese zu Dokumentationszwecken aufzubewahren.

Arbeitsrecht
Mitarbeiter, die während der Arbeit Messengerdienste einsetzen, haben Rechte. So sind z. B. die Chatverläufe „grundsätzlich zur Leistungs- und Verhaltenskontrolle […] geeignet, da relevante Daten hinsichtlich des Orts, der Zeit und auch des Inhalts der Kommunikation zwischen dem Mitarbeiter und den Kunden erfasst werden“, woraus sich u. U. auch ein Mitbestimmungsrecht ableiten lässt.

Die Autoren geben Unternehmen den Tipp, verbindliche Regelungen für die Nutzung von Messengerdiensten zu erlassen, zu kontrollieren, dass sich alle daran halten und die entsprechenden Maßnahmen dokumentieren.

WhatsApp in der Praxis
WhatsApp ist der am häufigsten genutzte und zugleich umstrittendste Messengerdienst. Welche Fragen und Entscheidungen haben es Betriebsinhaber zu tun, die es geschäftlich nutzen wollen? Zunächst müssen sie sich für die passende Variante entscheiden. WhatsApp hat Unternehmen Ende 2019 untersagt, die App für Privatleute zu nutzen. Für sie gibt es stattdessen die kostenlose WhatsApp Business App oder kostenpflichtig die WhatsApp Business Platform. Über den Umfang der beiden Businessvarianten und wie man sie einrichtet, informieren Blogs im Internet [3].
In der WhatsApp Business App kann ein Unternehmen ein Profil anlegen, mit Kurzvorstellung, Adresse, E-Mail, Telefonnummer und Impressum. Auch lassen sich automatische Nachrichten einstellen, z. B. eine Abwesenheitsnotiz.
Mehr Funktionen bietet die kostenpflichtige WhatsApp Business Platform. Hierbei handelt es sich um eine Schnittstelle (sie hieß früher WhatsApp Business API), die die Anbindung von WhatsApp an Büro- und Verwaltungssoftware ermöglicht. Damit können z. B. Chatverläufe einfach gesichert und dem jeweiligen Kunden zugeordnet werden. Zudem gibt es die Möglichkeit, WhatsApp-Newsletter zu versenden. Auch kann der Betrieb die Kundenzugriffe auf gesendete WhatsApp-Nachrichten auswerten.
Die WhatsApp Business Platform kann nur in Zusammenarbeit mit einem Dienstleister eingerichtet werden. Es fallen Gebühren für den Dienstleister und den Mutterkonzern von WhatsApp, Meta, an. Ein gro­ßer Vorteil ist, dass die Server, über die die Chats abgewickelt werden, in Vertragsbeziehungen zum Dienstleister stehen. Man kann somit darauf achten, dass sie in Deutschland oder Europa stehen, ein großes Plus in Punkto Datensicherheit.
Im Zusammenhang mit dem Datenschutz ist wichtig: Kunden sollten der Kommunikation über WhatsApp zustimmen. Aus Gründen des Datenschutzes sollten WhatsApp-Chats nur auf Diensthandys (bzw. einer eigenen Sim-Karte auf einem Dual-Sim-Handy) geführt werden, auf denen sich ausschließlich Kontaktdaten von Kunden befinden, die ihre Zustimmung erteilt haben.

WhatsApp in der Kritik
Deutlich wird vor allem dies: „Mal eben eine WhatsApp“ gibt es für Unternehmen nicht. Sie müssen für ihren Anwendungsbereich sichere Prozesse definieren.
Keine Vorsichtsmaßnahme kann jedoch die Tatsache beeinflussen, dass die Kundenseite i. d. R. einen Privat­account verwendet. Auf den meisten Handys sind z. B. Funktionen wie das automatische Backup nicht deaktiviert. Das heißt, die Chatverläufe des Kunden, auch wenn es um Absprachen mit einem Handwerksbetrieb geht, werden als private Chats gespeichert, i. d. R. auf Servern außerhalb der EU. Auch verfügt WhatsApp bei jeder Kommunikation mit einem Privat-Account über die Metadaten zum Chat, z. B. Geräteinformationen, Handy-ID, Zeitstempel und Standortdaten.
Es gibt Stimmen, die aus Datenschutzgründen vom Einsatz von Messengerdiensten, zumindest aber von WhatsApp, gänzlich abraten. Dazu gehört z. B. die Verbraucherzentrale. In deren Online-Beitrag von Mai letzten Jahres „WhatsApp-Alternativen: Messenger im Überblick“ [4], heißt es: „Die Verbraucherzentralen empfehlen generell solche Messenger zu verwenden, die weder Nachrichteninhalte noch andere Daten ihrer Nutzer:innen zu Werbezwecken speichern und analysieren oder weitergeben.“ Für den Beitrag wurden die Bedingungen unterschiedlicher Messengerdienste ausgewertet und die Ergebnisse in der Tabelle „Datenschutz bei Messengern im Überblick“ bereitgestellt.
Auch DIGITAL.SICHER.NRW, das NRW-Kompetenzzentrum für Cybersicherheit in der Wirtschaft, geht das Thema in seinem Onlineratgeber offensiv an und fragt: „WhatsApp im Unternehmen – Wollen Sie dieses Risiko wirklich eingehen?“ [5]. Geschäftsführer Peter Meyer erläutert seine Position im Interview (siehe unten).

www.digital-sicher.nrw

Literatur:
[1] Siehe „MessengerPeople Studie 2021: Das sind die Trends im Business Messaging 2021“, abrufbar unter bit.ly/mp-stud (zuletzt am 27. 06. 2023) .
[2] Prof. Dr. Joachim Schrey, Dr. Jacek Kielkowski & Patricia Gola, „Betriebliche Nutzung von Messenger-Diens­ten“ (Teil I vom 21. 03. 2017, Teil II vom 04. 04. 2017). Abrufbar unter bit.ly/BeNuMD-1 (Teil I) und bit.ly/BeNuMD-2 (Teil II), beide zuletzt am 03. 05. 2023. Zur Aktualität ihrer Aussagen teilten die Autoren auf Nachfrage mit, die AGB’s der betrachteten Messengerdienste müssten neu ausgewertet werden. Beim Datenschutzrecht gilt als Rechtsquelle seit 2018 die DSG-VO.
[3] Ein Beispiel: Das Einrichten eines WhatsApp Business Accounts, bit.ly/WhA_B.
[4] Abrufbar unter bit.ly/WhA_BVz (zuletzt am 20. 06. 2023)
[5] Abrufbar unter bit.ly/NRW-whA (zuletzt am 03. 05. 2023).

Nachgefragt
Peter Meyer, Mitglied der Geschäftsführung DIGITAL.SICHER.NRW

IKZ: Worauf sollten Unternehmen achten, wenn Sie WhatsApp einsetzen?
Peter Meyer: Grundsätzlich raten wir davon ab, dass Unternehmen das klassische WhatsApp für Privatnutzer betrieblich einsetzen. Vor Verwendung der Businessvarianten sollten sie Datenschutzexperten einbeziehen.
Ein wichtiger Aspekt ist die klare Trennung zwischen beruflicher und privater Nutzung, z. B. über verschiedene Rufnummern oder Geräte. Zudem sollte man keine beruflichen Kontakte aus dem Adressbuch hochladen oder Kundendaten unverschlüsselt in der Cloud speichern.

IKZ: Können Betriebe WhatsApp überhaupt rechtskonform nutzen?
Peter Meyer: WhatsApp bietet eine Business-Version an, die es auch als kos­tenlose Variante gibt. Auf einer sichereren Seite sind Betriebe mit der kostenpflichtigen WhatsApp Business Platform. Diese sollte jedoch von einem IT-Systemhaus professionell eingerichtet und auch betreut werden, insbesondere wenn es diese Expertise im Unternehmen nicht gibt.
Egal ob kostenlose oder kostenpflichtige Variante – in beiden Fällen sollten Unternehmen auch dazu vorab Datenschutzexperten konsultieren. Zudem sollte man darauf achten, dass der Serverstandort in Deutschland oder innerhalb der Europäischen Union liegt.

IKZ: WhatsApp Business oder ein anderer Messengerdienst?
Peter Meyer: WhatsApp ist eine der populärsten und weltweit am meisten verbreiteten Apps. Daher ist es selbstverständlich eine Überlegung wert, es im betrieblichen Umfeld zum Kundenkontakt zu nutzen, insbesondere wenn man als Unternehmen stark im Verbrauchersegment (B2C) tätig ist.
Es gibt jedoch auch datenschutzkonformere Alternativen wie Signal oder Threema. Daneben gibt es viele weitere Lösungen, die z. B. speziell auf Branchen oder bestimmte Unternehmensanforderungen zugeschnitten sind und sich in vorhandene Lösungen integrieren lassen.
Wir empfehlen Unternehmen, sobald wie möglich eine professionelle Lösung ein- und umzusetzen. Auch wenn solche alternativen Lösungen und deren Implementierung vielleicht ein wenig mehr kosten als WhatsApp, sollte bei solch wichtigen Themen wie Datenschutz und Datensicherheit nicht an der falschen Stelle gespart werden.