Messenger-Marketing & -Recht – 8 Praxistipps zum datenschutzkonformen Einsatz von WhatsApp, Facebook Messenger & Co

Gastbeitrag von Carsten Ulbricht

Mobile Messenger gehören zu den meistgenutzten Apps auf dem Smartphone. Dementsprechend interessieren sich immer mehr Unternehmen für das sogenannte Messenger- oder Conversational-Marketing, also den Kundenkontakt über Messenger-Dienste wie WhatsApp, den Facebook Messenger oder andere entsprechende Apps.

Aufgrund – teils missinterpretierter – Gerichtsurteile und erheblichem Respekt vor den Bußgeldern der seit 25.Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO), halten sich einige Unternehmen mit dem Einsatz von Messenger-Marketing derzeit noch zurück.

Aus der Erfahrung verschiedener Messenger-Marketing-Projekte haben wir nachfolgend acht konkrete Praxistipps zusammengestellt, bei deren Beachtung sich die Kommunikation über WhatsApp & Co. datenschutzkonform gestalten lässt.

Tipp 1: Prüfen Sie, welche Daten über den Messenger verarbeitet werden

Mit dem Einsatz eines Messengers wird das Unternehmen nach Art. 4 Nr.7 DSGVO verantwortlich für die Erhebung und weitere Verarbeitung personenbezogener Daten.

Personenbezogene Daten dürfen nach der DSGVO nur verarbeitet werden, wenn einer der Erlaubnistatbestände die jeweilige Verarbeitung legitimiert und der betroffene Nutzer bei der Datenerhebung entsprechend Art. 13 DSGVO informiert wird.

Umsetzung in der Praxis:

Bei der Umsetzung von Messenger-Marketing-Projekten ist also zunächst festzustellen, ob und welche personenbezogenen Daten in und über den Messenger verarbeitet werden.

Bei Messenger sind danach zunächst die Kommunikationsdaten, wie z.B. Nutzername und die Handynummer bei WhatsApp zu nennen, ohne die die „Verbindung“ zu dem jeweiligen Nutzer nicht hergestellt werden kann. Des Weiteren sind die Nachrichten zwischen Unternehmen und Nutzer zu nennen. Diese werden nachfolgend als Inhaltsdaten bezeichnet. Schließlich sind noch die Metadaten zu nennen, die zumindest von dem jeweiligen Messenger-Anbieter verarbeitet werden, um die Kommunikation zwischen den einzelnen Nutzern des Dienstes herzustellen.

Wenn und soweit personenbezogene Daten verarbeitet werden, sind die weiteren Vorgaben der DSGVO zu beachten.

Tipp 2: Prüfen Sie, wie die Datenverarbeitung legitimiert werden kann

Personenbezogene Daten dürfen über den jeweiligen Messenger nur verarbeitet werden, wenn einer der nachfolgenden Voraussetzungen (sog. Legitimationstatbestände) erfüllt wird, d.h. wenn

  • die konkreten Daten zur Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme benötigt werden (Art. 6 Abs.1 lit.b DSGVO),
  • die Datenverarbeitung zur Wahrung berechtigter Interessen des Unternehmens oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen (Art. 6 Abs.1 lit. f DSGVO) oder
  • der Nutzer in die Verarbeitung seiner Daten eingewilligt hat (Art. 6 Abs.1 lit.a DSGVO).

Unternehmen, die Messenger-Marketing einsetzen wollen, sollten also prüfen, welcher dieser Alternativen die jeweilige Datenverarbeitung legitimieren kann und diese dann entsprechend umsetzen.

Beim Einsatz von Messenger etwaiger Drittanbieter (wie z.B. WhatsApp und Facebook Messenger) wird sich die Datenverarbeitung nur in besonderen Konstellationen über Vertragszwecke oder berechtigte Interessen legitimieren lassen.

Umsetzung in der Praxis

Eine Legitimation über Vertragszwecke (Art. 6 Abs.1 lt.b DSGVO) kann ausreichen, wenn der Whatsapp Messenger von einem bereits angemeldeten Nutzer selbständig zur Kontaktaufnahme mit einem Unternehmen genutzt wird (z.B. weil dieser Kommunikationskanal für vorvertragliche Anfragen auf der Webseite angegeben ist).

Wer Messenger-Marketing betreiben will, ohne sicher zu sein, dass die jeweilige Datenverarbeitung anderweitig legitimiert werden kann, sollte sich vor der Kommunikation allerdings eine Einwilligung einholen.

Tipp 3: Holen Sie im Zweifelsfall eine Einwilligung der Nutzer ein

Die Einwilligung des jeweiligen Kommunikationspartners ist gerade beim Messenger-Marketing ein gangbarer Weg, um die Kommunikation rechtskonform aufzusetzen.

Eine Einwilligung setzt eine ausdrückliche Erklärung oder eine eindeutig bestätigende Handlung (sog. Opt-In) des Betroffenen voraus. Eine Einwilligung ist datenschutzrechtlich nur wirksam, wenn der Betroffene zuvor ausreichend und verständlich darüber informiert wurde, welche Daten für welchen Zweck verarbeitet werden sollen.

Die Einwilligung kann schriftlich, elektronisch, mündlich oder durch ein „eindeutig bestätigendes“ Verhalten erfolgen. Die Einräumung einer bloßen Widerspruchsmöglichkeit (sog. Opt-Out) reicht nicht.

Umsetzung in der Praxis

Eine wirksame Einwilligungserklärung könnte so gestaltet sein, dass der Betroffene über ein Anhaken eines Kästchens oder einen eindeutigen Befehl im Messenger (z.B. START) zustimmt.

Die notwendigen Informationen könnten so gestaltet werden, dass auf einer ersten Ebene (1st Level Information) in einem kurzen Satz über das wesentliche der Datenverarbeitung aufgeklärt wird bzw. die weiteren Informationen dann auf einer zweiten Ebene (2nd Level Information) in der Datenschutzerklärung abgerufen werden können. Der Hinweis „Datenschutzerklärung“ könnte dann mit der auf der Webseite abrufbaren Datenschutzerklärung verlinkt werden, die gemäß Art. 13 DSGVO umfassend über die Verarbeitung der personenbezogenen Daten des Nutzers informiert.

Tipp 4: Informieren Sie die Nutzer über die jeweilige Datenverarbeitung

Nach Art. 13 DSGVO sind Unternehmen dazu verpflichtet, den Betroffenen schon bei der ersten Datenerhebung (z.B. bei der Aufnahme der Handynummer) über die jeweilige Datenverarbeitung zu informieren.

Umsetzung in der Praxis:

Demgemäß sollte eine Datenschutzerklärung bereitgestellt werden, die die nachfolgenden Informationen enthält.

  • Name und Kontaktdaten des Unternehmens
  • Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden)
  • Zwecke der Verarbeitung
  • Rechtsgrundlage der Verarbeitung
  • Empfänger oder Kategorien von Empfängern (z.B. bei Weitergabe personenbezogener Daten an Dritte)
  • Absicht über Drittlandtransfer (z.B. Datenspeicherung in USA bei WhatsApp)
  • Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
  • Belehrung über Betroffenenrechte
  • Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung
  • Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
  • ggf. Bereitstellung der Daten gesetzlich oder vertraglich zwingend
  • ggf. Bestehen einer automatischen Entscheidungsfindung einschließlich Profiling 

Bei Einsatz des Messengers eines Drittanbieters (z.B. WhatsApp oder Facebook Messenger) sollte auch über dessen Datenverarbeitung (z.B. Datenübertragung in die USA) informiert werden. Die notwendigen Informationen sollten über die jeweils zur Verfügung gestellten Nutzungsbedingungen (siehe etwa https://www.whatsapp.com/legal/#terms-of-service)  bzw. Datenschutzerklärung (siehe etwa https://www.whatsapp.com/legal/#privacy-policy) eingeholt werde.

Tipp 5: Verhindern Sie bei der Nutzung von WhatsApp die Weitergabe von Daten unbeteiligter Dritter

Wird WhatsApp erstmalig auf einem mobilen Endgerät installiert, „liest“ die App die Telefonnummern der im Adressbuch des jeweiligen Handys eingetragenen Kontakte des aus und überträgt diese an die WhatsApp Inc. in die USA. Hierbei werden regelmäßig auch Telefonnummern von Kontakten übertragen, die WhatsApp nicht nutzen und der Übertragung an WhatsApp auch nicht zugestimmt haben.

Dies wird von den Datenschutzbehörden beim Unternehmenseinsatz zu Recht als datenschutzwidrig gerügt. Fälschlicherweise hat das AG Bad Hersfeld (Az. F 111/17) in seinem vielbeachteten Urteil vom 20.03.2017 auch den privaten Einsatz von WhatsApp als eindeutigen Datenschutzverstoß angesehen, der Unterlassungsansprüche der betroffenen Telefonkontakte auslöse (siehe „Wider den ständigen Abmahnwahn – Warum KEIN gesteigertes Abmahnrisiko privater WhatsAppnutzer besteht“).

Eine ungefragte Weitergabe von Telefonnummern oder anderen Kontaktdaten seitens des Unternehmens an den jeweiligen Messenger Anbieter sollte aus datenschutzrechtlicher Sicht aber auf jeden Fall vermieden werden.

Umsetzung in der Praxis

Dies kann entweder durch technische Maßnahmen wie auf dem jeweiligen Endgerät installierte Apps (z.B. XPrivacy oder SRT-Appguard) bzw. eine sog. Containerlösung, die Datenbestände auf dem Endgerät „auseinanderhält“ verhindert werden.

Als einfacher „Workaround“ setzen einzelne Unternehmen bei Beginn des Messenger Marketing auch einfach ein Handy ein, auf dem bisher keine Kontaktdaten gespeichert sind und nehmen, dann nur die Nutzer auf, die dem oben stehenden Prozedere entsprechend zugestimmt haben.

Als weitere Option bietet sich der Einsatz spezialisierter Dienstleister (wie z.B. Messenger People) an, bei denen die Kommunikation des Unternehmens über eine Software as a Service (SaaS) Plattform ausgeführt wird, ohne dass das Unternehmen den jeweiligen Messenger auf einem eigenen Endgerät installieren muss. Hier kommt es aufgrund des Zugangs über die SaaS Plattform natürlich auch zu keinem unbefugten Auslesen etwaiger Kontakte des Unternehmens.

Die dargestellten Alternativen zeigen, dass es verschiedene Optionen gibt, den oft kritisierten Datenzugriff von WhatsApp auf dem Endgerät gespeicherte Kontakte zu vermeiden.

Tipp 6: Prüfen Sie eine Datenübertragung außerhalb der Europäischen Union

Weitere Kritikpunkt, der dem Einsatz von Messengern – gerade auch bei WhatsApp – oft entgegengehalten wird, ist die Übertragung der Daten in die USA.

Richtig ist zunächst, dass die USA nach der DSGVO als unsicheres Drittland zu kategorisieren ist.

Auch unter Geltung der DSGVO ist eine Übertragung personenbezogener Daten in die USA nicht ausgeschlossen, sondern unter den spezifischen Anforderungen für die Übermittlung personenbezogener Daten in Drittländer aus den Art. 44 ff. DSGVO ohne weiteres zulässig.

Unproblematisch ist eine Datenübertragung in die USA immer dann, wenn das empfangende Unternehmen den Abschluss der EU-Standardvertragsklauseln anbietet oder (wie etwa die Whatsapp Inc.) unter dem sogenannten Privacy-Shield zertifiziert ist.

Als letzte Option ist eine Datenübertragung in ein unsicheres Drittland gemäß Art. 49 Abs.1 lit.a DSGVO auch zulässig, wenn die betroffenen Personen wirksam in die Datenübermittlung in das Drittland einwilligt. Eine wirksame Einwilligung setzt dabei voraus, dass der Betroffene, nachdem über bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, ausdrücklich in die Übertragung einwilligt. In diesem Fall benötigt das Unternehmen zur Rechtfertigung des Übermittelns in das Drittland auch keine zusätzlichen Garantien.

Umsetzung in der Praxis

Da die WhatsApp Inc und die Facebook Inc als Anbieter von zwei der wichtigsten Messenger unter dem sogenannten Privacy-Shield zertifiziert sind, stellt sich die Übertragung in die USA selbst insoweit als unproblematisch dar.

In anderen Fällen (z.B. Messenger aus Russland oder China) sollte sichergestellt werden, dass der Nutzer ausdrücklich in die Übertragung in ein unsicheres Drittland einwilligt.

Tipp 7: Beachten Sie beim Einsatz von Chatbots und Künstlicher Intelligenz (KI) spezifische Anforderungen

Beim Einsatz von Chatbots in der Kundenkommunikation über Messenger sind einige rechtliche Rahmenbedingungen zu beachten, die man von der klassischen Webseite kennt. Wenn der Chatbot beispielsweise Preise nennt, oder sogar einen Vertragsabschluss zustande bringen soll, sind die notwendigen Informationspflichten, wie z.B. die Preisangabenverordnung oder die Belehrung über Widerrufsrechte, medienspezifisch in den Kommunikationsprozess einzubauen.

Wenn externe Dienstleister oder Schnittstellen für die Chatbot Kommunikation (z.B. Alexa oder die KI-Plattform Google Dialogflow) verwendet werden sollen, sollten die datenschutzrechtlichen Anforderungen frühzeitig geprüft und über die möglichen Konstruktionen (z.B. Einwilligung oder Auftragsverarbeitung) umgesetzt werden. 

Umsetzung in der Praxis

Nach der Erfahrung aus verschiedenen Chatbot-Projekten lässt sich festhalten, dass sich die rechtlichen Anforderungen am besten erfüllen lassen, wenn die juristische Expertise des beratenden Rechtsanwälte bzw. der eigenen Rechtsabteilung nicht erst zur finalen Freigabe des eigentlich schon fertigen Projekts, sondern schon bei der Planung der Prozess- und Kommunikationsverläufe eingebunden wird.

Tipp 8: Dokumentieren Sie die Datenschutzkonformität in einem Verarbeitungsverzeichnis

Gerade weil die Rechtsfragen des Messenger Marketing noch nicht abschließend geklärt sind, sollte sichergestellt werden, dass auch die in Art. 5 Abs.2 DSGVO vorgesehenen Rechenschaftspflichten erfüllt werden. Danach sind Unternehmen verpflichtet, ihre Datenverarbeitungsvorgänge so zu dokumentieren, dass sie die Rechtskonformität nötigenfalls auch schriftlich nachweisen können. Auch für das Messenger Marketing sollte also ein Verarbeitungsverzeichnis erstellt werden, welches die zugrundeliegende Legitimation für die Datenverarbeitung (z.B. die Einwilligung), die Erfüllung der Informationspflichten und rechtskonforme Einbindung etwaiger Dienstleister entsprechend dokumentiert.

Umsetzung in der Praxis

Für eine ordentliche Dokumentation sollte ein Verarbeitungsverzeichnis für das Messenger Marketing gemäß Art. 30 DSGVO erstellt werden, dass beschreibt welche personenbezogenen Daten das Unternehmen zu welchen Zwecken verarbeitet und wie diese Verarbeitung legitimiert wird (z.B. über eine Einwilligung). Eine solche Dokumentation der eigenen datenschutzrechtlichen Argumentation reduziert schlussendlich auch etwaige Bußgeldrisiken für den Fall, dass die Datenschutzbehörde sich der eigenen Argumentation nicht anschließen sollten.

Zusammenfassung

Bei Einhaltung und Umsetzung der oben stehenden Vorgaben lassen sich Messenger Marketing Projekte datenschutzkonform umsetzen. Meine Tipps in der Kurzversion:

  • Erstellt eine Liste mit Daten die erhoben werden, diese braucht ihr für die DSGVO. (Siehe Tipp 1)
  • Holt euch eine Einwilligung der Nutzer,  dass diese über den Messenger/WhatsApp kommunizieren wollen.  (Siehe Tipp 2)
  • Erstellt eine Datenschutzerklärung die eure Messenger Aktivitäten beinhaltet. (Siehe Tipp 4)
  • Nutzt entweder ein zweites Smartphone ohne Telefonbuch oder einen 3t-Anbieter. Achtet darauf, dass ihr eure Telefonbuch nicht teilt. (Siehe Tipp 5)
  • Bei Chatbots und KI müssen ähnliche Vorgaben wie auf eurer Website beachtet werden, z.B. Belehrungen über Widerrufsrechte. Involviert gerade hier andere Abteilungen frühzeitig. (Siehe Tipp 7)
  • Dokumentiert eurer Aktivitäten und welche Daten erfasst werden. Damit könnt ihr euer Risiko reduzieren. (Sieht Tipp 8)

Selbst wenn bei der ein oder anderen Rechtsfrage aufgrund der Neuheit der DSGVO noch Unwägbarkeiten verbleiben, sollten Unternehmen im Rahmen der eigenen Digitalisierungsstrategie nicht davon zurückschrecken, entsprechend relevante Kommunikationskanäle zu nutzen.

Unternehmen, die bei der aktuell zunehmenden Innovations- und Digitalisierungsgeschwindigkeit im Wettbewerb mithalten wollen, können es sich oft nicht (mehr) leisten, neue „Werkzeuge“ erst einzusetzen, wenn Gerichtsurteile die eigene Position absichern. In diesen Fällen ist es essentiell unter Einbeziehung technischer und rechtlicher Expertise vertretbare Lösungen auszugestalten, die aus Unsicherheiten verbleibende Restrisiken minimieren. Wie die Erfahrung und diverse Projekte verschiedener Unternehmen zeigen, geht dies bei Beachtung der oben stehenden Tipps auch im Bereich des Messenger Marketing.

Carsten Ulbricht
Carsten Ulbrichthttp://www.rechtzweinull.de
Dr. Carsten Ulbricht ist auf Internet und die digitale Transformation spezialisierter Rechtsanwalt bei der Kanzlei Bartsch Rechtsanwälte (Standorte Karlsruhe und Stuttgart) mit den Schwerpunkten IT-Recht, Marken-, Urheber- und Wettbewerbsrecht sowie Datenschutz. Im Rahmen seiner anwaltlichen Tätigkeit berät Dr. Ulbricht nationale und internationale Mandanten in allen Rechtsfragen des E- und Mobile Commerce, Big Data, sowie zu allen Themen im Bereich Social Web. Seine Schwerpunkte liegen dabei auf der rechtlichen Prüfung internetbasierter Geschäftsmodelle, datenschutzrechtlichen Themen aber auch dem Umgang mit nutzergenerierten Inhalten.

Neueste Artikel

Weekly Newsletter abonnieren. Kostenlos. Jederzeit kündbar!

Ähnliche Artikel

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein