Whatsapp im Kundenservice: Ein Blick auf den Datenschutz und die Einhaltung der DSGVO

Der Messaging-Dienst WhatsApp ist derzeit in aller Munde, denn zu Beginn des Jahres wurden die Nutzer aufgefordert, neuen Nutzungsbedingungen zuzustimmen, um die App weiter verwenden zu können. Zwar ist dies ein ganz normales Prozedere bei Smartphone-Applikationen, doch schnell machte die Runde, dass WhatsApp in den neuen AGB darauf hinweist, dass nun alle Daten mit dem Mutterkonzern Facebook geteilt werden. Ein Gastbeitrag von Timoor Taufig.

Auf die Sorgen der Nutzer reagierte WhatsApp prompt, erklärte seine Bestrebungen beim Datenschutz, wie z.B. dass Facebook weder Nachrichten mitliest, Standortdaten abruft oder Zugriff auf Kontakte hat. Zudem verschob WhatsApp die Deadline kurzerhand auf den 15. Mai, um bis dahin die neuen Datenschutzregeln umfangreich kommunizieren zu können.

Doch wie sieht es in Sachen Kundenservice aus? Viele Unternehmen – auch aus der Versicherungswirtschaft – nutzen WhatsApp um mit Ihren Kunden zu kommunizieren. Denn die Verbreitung des Messengers spricht trotz aktueller Kritik für sich: zwei Milliarden monatlich aktive Nutzer weltweit; 33,4 Millionen allein in Deutschland, 93 Prozent der 30-49-Jährigen und sogar 98 Prozent der 18-29-Jährigen haben die App hierzulande installiert. Timoor Taufig, CEO und Mitgründer des Kölner Software-Unternehmens Userlike, das auf Live-Chat und Messaging spezialisiert ist, hat sich daher gemeinsam mit seinem Team einmal angesehen, wie es um den Datenschutz bestellt ist.

US-Unternehmen vs. DSGVO

Alle personenbezogenen Daten werden in Europa durch die Datenschutz-Grundverordnung (DSGVO) geschützt. Doch wie genau kann die Verordnung eingehalten werden, wenn amerikanische Dienste wie WhatsApp genutzt werden? Bisher hatte das im Juli 2020 gekippte EU-US Abkommen „Privacy Shield“ als rechtliche Grundlage für einen Datentransfer in die USA gedient. Da ein neues Abkommen noch aussteht, stellt sich natürlich besonders für Unternehmen die Frage: Was gilt?

Wird WhatsApp als Kanal zur Kundenkommunikation eingesetzt, ist das Unternehmen Verarbeiter von personenbezogenen Daten seiner Kunden. Dies betrifft mindestens die bei WhatsApp hinterlegte Telefonnummer, aber auch Gesprächsinhalte, wie etwa eine Lieferanschrift oder eine E-Mail-Adresse. Laut DSGVO dürfen bei einer Kontaktaufnahme durch den Kunden seine Daten verarbeitet werden. Bei der Nutzung von WhatsApp bleibt es jedoch nicht mehr bei der eigenen Datenverarbeitung: WhatsApp tut das nämlich im Auftrag des Unternehmens.

Unternehmen müssen daher von der Facebook Tochter eine Garantie einholen, dass ihre Kundendaten dort mit einem hinreichenden Datenschutz verarbeitet werden. Dafür bietet WhatsApp aktuell seine „Datenverarbeitungsbedingungen“ an, bei denen jedoch wesentliche Angaben fehlen, die eigentlich von der DSGVO gefordert werden. Da der Mutterkonzern Facebook jedoch bereits seit längerem mit dem „Page Controller Addendum“ arbeitet, ist davon auszugehen, dass WhatsApp schnell nachziehen wird.

EU-Standardvertragsklauseln gelten

Alle Chats sind bei WhatsApp Ende-zu-Ende-verschlüsselt, was bedeutet, dass niemand mitliest: nicht WhatsApp, nicht Facebook, keine US-Behörden. Allerdings erfasst der Messaging-Dienst ganz nebenbei die sogenannten Metadaten: die Telefonnummer des Nutzers, sein Gerät, Art und Zeitpunkt der Nutzung, Standort und IP-Adresse. Was also können Unternehmen tun, wenn sie WhatsApp zum Austausch mit Kunden nutzen?

Zuerst einmal gelten die EU-Standardvertragsklauseln, die laut EuGH auch weiterhin gültig sind. Darauf sollten Unternehmen verweisen und ihre Kunden darüber hinaus in ihrer eigenen Datenschutzerklärung darüber informieren, dass WhatsApp eigenständig Daten verarbeitet und diese in WhatsApps Nutzungsbedingungen eingesehen werden können. Als Unternehmen sollte man sich zudem vor Augen führen, dass der Nutzer mit der Installation von WhatsApp auf seinem eigenen Gerät bereits den Nutzungsbedingungen des Messenger Dienstes explizit zugestimmt hat. Sollte es zudem notwendig sein, dass (sensible) personenbezogene Kundendaten besprochen werden müssen, so kann das Unternehmen bei Bedarf auch auf eigene Dienste hinweisen (z.B. einen Login Bereich).

WhatsApp Business oder Business API?

Unternehmen, die WhatsApp als Kundenkanal nutzen möchten, haben zwei Möglichkeiten. Einerseits gibt es WhatsApp Business, eine Abwandlung der bekannten WhatsApp-Anwendung für den privaten Gebrauch. Sie ist auf ein Smartphone, eine Mobilfunknummer und eine bestimmte Anzahl von Kontakten begrenzt. Kundenanfragen werden manuell über das mobile Endgerät oder WhatsApp Web beantwortet. Ein größeres Support-Aufkommen lässt sich damit nicht bewältigen.

Was den Datenschutz bei der WhatsApp Business App betrifft, so gelten hier die gleichen Dinge wie für WhatsApp. Aufpassen sollten Unternehmen hier vor allem bei der automatischen Kontaktsynchronisation, da WhatsApp Business nach der Installation alle Kontakte im Adressbuch des Mobilgeräts erfasst, um zu prüfen, ob diese bereits WhatsApp-Nutzer sind. Daher darf das „normale“ WhatsApp Business eigentlich nur auf einem eigens dafür vorgesehenen Gerät genutzt werden und das Adressbuch darf ausschließlich Kontakte enthalten, die nachweislich WhatsApp nutzen. Darüber hinaus ist es empfehlenswert, nur auf Kundenanfragen per WhatsApp zu reagieren, da dies als „eindeutig bestätigendes” Verhalten gilt, was der DSGVO als Grundlage für die anschließende Datenverarbeitung genügt. Möglichkeiten dies zu erreichen gibt es zahlreiche: z.B. über einen Click-to-Chat-Link direkt in den Chat führen oder dem Kunden die Nummer kommunizieren, wie z.B. über die Webseite per QR-Code oder im Newsletter.

Die WhatsApp Business API hingegen verlangt keine App-Installation. Vielmehr wird hier eine offizielle technische Schnittstelle (API) von WhatsApp an eine professionelle Kommunikationssoftware angedockt. Über diese können dann mehrere Mitarbeiter über verschiedene Endgeräte per WhatsApp mit den Kunden kommunizieren.  Darüber hinaus kommt die Lösung mit weiteren Funktionen daher, wie Textbausteinen, einer Live-Übersetzung und umfangreichen Effizienz-Funktionen. Der Zugang zur API erfolgt einzig und allein durch von WhatsApp zertifizierte Partnerunternehmen, welche einen seriösen Umgang mit der technischen Infrastruktur sicherstellen.

Hier haben Unternehmen besonders viel Einfluss auf den Datenschutz, denn sie können einen Partner wählen, der in diesem Bereich sehr gut aufgestellt ist und z.B. einen Hauptsitz mit Serverstruktur in Deutschland hat. Denn die Chats mit den Kunden werden nicht auf amerikanischen Servern, sondern auf den Servern des jeweiligen Partners gespeichert. In Kombination mit der standardmäßigen Ende-zu-Ende-Verschlüsselung ergibt sich bei der WhatsApp Business API im Bezug auf den Datenschutz also ein völlig anderer Eindruck, als bisher verbreitet ist.

Digitalkompetenz wird in der Versicherungsbranche erwartet

Laut einer Umfrage des Digitalverbandes Bitkom im August vergangenen Jahres, wird eine hohe Digitalkompetenz der eigenen Versicherung (62 Prozent) höher bewertet als ausführliche persönliche Beratung (57 Prozent). Kunden verlangen demnach Kommunikationsmittel, die sie selbst bevorzugt nutzen. Durch eine Integration von WhatsApp als vollwertigen Kommunikationskanal können Versicherer ihren Kunden auf Augenhöhe und in ihrem gewohnten Umfeld begegnen. Neben den bereits genannten technischen Schutzmaßnahmen für die Kundendaten, kann der Versicherer selbstverständlich individuell festlegen, an welchem Punkt er einen Kunden auf eigene Systeme verweist.  Nutzen Versicherer WhatsApp als Kommunikationskanal, so zeigen sie ihren Kunden, dass sie den Schritt in das digitale Zeitalter wagen und zeitgemäße Bedürfnisse erfüllen können.

Autor: Timoor Taufig ist Co-Gründer und CEO von Userlike