Data Protection Academy » Data Protection News » WhatsApp Privacy 2021

The WhatsApp logo

Whatsapp Datenschutz 2021: Was müssen Privatpersonen und Unternehmen beachten?

Laut einer Bitkom Studie verwenden 81 Prozent der deutschen Internetnutzer WhatsApp. Der Messenger-Dienst erfasst regelmäßig, automatisiert Daten seiner Nutzer. Da WhatsApp seit 2014 ein Teil des Facebook-Unternehmens ist, werden diese Daten teilweise auch an Facebook weitergegeben. Anfang 2021 kündigte das Unternehmen umfassende Anpassungen an den Nutzungsbedingungen und Privatsphärenbestimmungen an. Welche datenschutzrechtliche Bedeutung dies hat und was bei der Nutzung von WhatsApp zu beachten ist, klären wir im folgenden Beitrag.

Wichtigste Informationen über Whatsapp und Datenschutz

  • Whatsapp ist ein Messenger-Dienst der seit 2014 zur Facebook Unternehmensgruppe gehört
  • Ungefähr 81 Prozent der deutschen Internetnutzer benutzen auch WhatsApp
  • Anfang 2021 kündigte das Unternehmen umfassende Anpassungen an den Nutzungsbedingungen und Privatsphärenbestimmungen an
  • Auch wenn sich diese hauptsächlich nicht auf private Nutzer in der EU auswirken sollen erwarten Experten Eingriffe in die Privatsphäre
  • der Hamburger Datenschutzbeauftragte ordnete ein Verbot der Verarbeitung von Nutzerdaten durch Facebook an, ein europäisches Vorgehen ist in der Klärung

Content on WhatsApp & Privacy:

Adjustment of the WhatsApp guidelines 2021

Der Messenger-Dienst WhatsApp hat seine AGBs aktualisiert, diese sind verpflichtend am 15. Mai 2021 in Kraft getreten. Um den vollen Funktionsumfang von WhatsApp weiter nutzen können, müssen Nutzer den Änderungen zustimmen. Diese Zustimmung bedeutet allerdings auch, dass Daten an Facebook übermittelt werden.

What exactly has WhatsApp adjusted?

WhatsApp ändert konkret die AGBs bzw. Nutzungsbedingungen und damit auch die Datenschutzrichtlinien. So viel vorab: Die Änderungen der AGBs betreffen hauptsächlich Unternehmen und beziehen sich inhaltlich auf das erweiterte Angebote, wie den Facebook Hosting Service.

Den Aussagen von WhatsApp nach, ändert sich für users in the EU, die den Messenger zur ausschließlich privaten Kommunikation nutzen nichts. Das stimmt nur teilweise, denn auch privaten Nutzern könnte nach der Zustimmung zu den Änderungen, vermehr personalisierte Werbung auf Facebook und Instagram angezeigt werden. Die Frage danach, warum private Nutzer dennoch den neuen Bedingungen zustimmen müssen, begründet WhatsApp damit, dass diese sich künftig dazu entschließen könnten, die ausschließlich private Kommunikation auch auf die Kommunikation mit Unternehmen zu erweitern.

The new business functions include the following functions:

  • Ermöglichung von Kundenservice: Chatting with the company, offering secure hosting services through Facebook.
  • Discover companies: Button in Facebook oder Instagram Werbeanzeigen mit dem Nachricht über WhatsApp gesendet werden können, folglich erhalten Nutzer personalisierte Werbung
  • Shopping experiences: Integration of Instagram and Facebook shops into the WhatsApp company profile.

Weitere Informationen können Sie über das WhatsApp FAQ or the Articles about WhatsApp's enterprise features retrieve.

Whatsapp erhält Kritik zu Anpassungen

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit erlies eine Order prohibiting further processing of WhatsApp user data by Facebook. Diese Anordnung gilt allerdings nur für ausschließlich deutsche Nutzer und ist aufgrund des Dringlichkeitsverfahrens für nur drei Monate gültig. Eine Entscheidung auf europäischer Ebene durch den Europäischen Datenschutzausschuss (EDSA) ist in der Klärung.

Aktueller Stand und Auswirkungen für Nutzer

Anfang 2021 kommunizierte WhatsApp, dass Nutzer den neuen Richtlinien zustimmen müssen. Sollten Nutzer nicht zustimmen, kündigte WhatsApp an zunächst den Hinweis auf die Zustimmung permanent einzublenden und den Zugriff auf die Chats abzustellen. Nutzer könnten dann nur noch Sprach- und Videoanrufe annehmen und Nachrichten über Benachrichtigungen lesen. Diese eingeschränkten Funktionen sollten nach und nach abgestellt werden.

Diese Schritte kamen nicht nur bei den Datenschutz-Aufsichtsbehörden schlecht an, sondern auch bei den Nutzern. Die Downloadzahlen von Messenger-Alternativen, wie Signal und Telegram, stiegen rasant an. Daraufhin verkündete WhatsApp, dass Nutzer vorerst keinen Einschränkungen erwarten müssen, sollten diese den neuen Bedingungen nicht zustimmen. Aktuell befindet sich der Messenger-Dienst in der Beratungen mit Behörden in der Klärung des weiteren Vorgehens.

WhatsApp use in the private sphere

Bereits vor der Aktualisierung der Datenschutzrichtlinie in 2021 griff der Messenger-Dienst WhatsApp auf Daten und Informationen von Nutzern zu. Dabei handelt es sich um Standortinformationen, Gerätedaten oder auch Informationen Dritter. Zum Teil werden individual-related data erfasst, indem WhatsApp auf das persönliche Adressbuch des Nutzers zugreift. Zwar erleichtert die Verwendung dieser Daten, wie Vor- / Nachnamen oder Telefonnummern eingespeicherter Kontakte, die Kommunikation innerhalb des Messengers, allerdings ist dabei bedenklich, dass auch Daten von Personen erfasst werden, die bislang kein WhatsApp genutzt haben. Denn WhatsApp erfasst Daten in regelmäßigen Abständen und gibt diese zum Teil auch an Unternehmen der Facebook-Unternehmensgruppe weiter.

Was bedeutet dies datenschutzrechtlich für Privatpersonen? Die Verarbeitung personenbezogenen Daten benötigt laut General Data Protection Regulation (GDPR) eine Zustimmung der betroffenen Personen. Diese Tatsache findet unter bestimmten Voraussetzungen keine Anwendung. Sollten personenbezogene Daten von natürlichen Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeitet werden, ist keine Zustimmung der betroffenen Person notwendig.

WhatsApp gehört seit 2014 zum Facebook-Unternehmen. Was bedeutet das?

Dies bedeutet konkret, dass Facebook Zugriff auf bestimmte Daten hat, die durch WhatsApp erhoben werden. Auch wenn die Person, deren Daten erfasst werden, Facebook selbst nicht nutzt. Zum Teil ist es möglich das Nutzer den Zugriff auf bestimmte Informationen beschränken, allerdings hat dies Nutzungseinschränkungen zur Folge.

External Data Protection Officer

Gern können Sie uns als external data protection officer (DPO) order. We also offer individual consulting services as well as audits and will be happy to provide you with a non-binding offer. You can find more information about our external data protection officers on our website.

Discover DSB services

WhatsApp use in the company

Anfang 2018 hat WhatsApp eine Business-Version der App veröffentlicht. Diese bietet weitere Funktionen wie bspw. automatisierte Schnellantworten oder die Erstellung eines Unternehmensprofils, hat aber keine datenschutzrechtlich relevanten Mehrwerte im Vergleich zur herkömmlichen App. Mit dem Update der Datenschutzrichtlinie in 2021 sollen Unternehmen mehr möglichen und Funktionen nutzen können.

Can WhatsApp be used on the service phone?

WhatsApp kann nicht ohne Weiteres auf dem Diensthandy genutzt werden. Denn auch in diesem Fall werden personenbezogene Daten, die im Adressbuch des Smartphones hinterlegt sind, weitergegeben. Dies ist zwar unproblematisch für Nutzer die bereits WhatsApp verwenden (das Unternehmen kann bereits auf die Daten zugreifen), es werden aber auch Daten von Personen an WhatsApp übermittelt, die noch kein WhatsApp nutzen. Die Weitergabe dieser Daten bedeutet einen Datenschutz-Verstoß und kann mit Bußgeldern geahndet werden.

WhatsApp and customer contact: allowed by data protection laws?

Möchte ein Unternehmen Kunden über WhatsApp kontaktieren, ist dies nur möglich, wenn eine Zustimmung der betroffenen Person eingeholt und ein Vertrag zwischen WhatsApp Inc. und dem Unternehmen aufgesetzt wird. Andernfalls ist der Einsatz des Messenger-Dienstes rechtlich nicht zulässig und verstößt gegen die Bestimmungen der Datenschutzgrundverordnung. Sollte auch nur eine Person aus dem Adressbuch der Kontaktaufnahme über WhatsApp widersprechen, ist der automatisierte Zugriff von WhatsApp auf die Kontakte des Adressbuches nicht mehr zulässig. Es sei denn, eben dieser Kontakt wird aus dem Adressbuch gelöscht wird. Demnach ist die Verwendung von WhatsApp im unternehmerischen Umfeld und in Bezug auf die Einhaltung der Vorgaben der GDPR überaus kritisch.

Maßnahmen, die den Datenschutz bei der Nutzung von WhatsApp unterstützen

Nutzer von WhatsApp können durch bestimmte Einstellungen in den Endgeräten oder in WhatsApp selbst ein gewisses Maß an Privatsphäre sicherstellen, wem dies nicht ausreicht sollte zu alternativen Messenger-Diensten wie Signal oder Telegram wechseln.

Einstellungen auf dem Endgerät oder in WhatsApp für die private Nutzung

The following Access to information können in den Einstellungen der Endgeräte oder in den Einstellungen von WhatsApp beschränkt werden:

  1. Status "Last online": Der Status des WhatsApp-Nutzers kann in den Einstellungen der App selbst, unter „Account“ in der Rubrik „Datenschutz“ ausgeschaltet werden. Damit können Kontakte nicht mehr sehen, wann Sie WhatsApp zuletzt genutzt haben.
  2. Location information: In den Einstellungen des jeweiligen Endgerätes kann der Zugriff auf den aktuellen Standort eingeschränkt oder ganz ausgeschaltet werden.
  3. Contacts in the address book: In den Einstellungen des jeweiligen Endgerätes kann der Zugriff auf Kontakte im Adressbuch eingeschränkt oder ganz ausgeschaltet werden. Allerdings hat dies zur Folge, dass im WhatsApp-Chat nur noch die Nummer des Kontaktes sichtbar ist und man selbst nur noch auf eingehende Nachrichten antworten kann. Die Kontaktaufnahme aus eigener Initiative ist nicht mehr möglich.
  • Gelesen-Anzeige für Nachrichten: Die Anzeige der Häkchen bei Versendung der Nachrichten gibt es seit 2014 und kann in den Einstellungen der App deaktiviert werden. Die Deaktivierung des eigenen Status hat zur Folge, dass man auch den Status anderer WhatsApp-Nutzer nicht mehr einsehen kann.
  1. A grey tick: the message was successfully sent
  2. Zwei graue Haken: die Nachricht wurde versendet und vom Empfänger empfangen
  3. Zwei blaue Haken: der Empfänger hat die Nachricht gelesen

Generell ist es nicht zu empfehlen, empfindliche Daten über WhatsApp zu kommunizieren.

Maßnahmen für Unternehmen um WhatsApp DSGVO-konform einzusetzen

Unternehmen sollten in jedem Fall die WhatsApp Business API nutzen und folgende Maßnahmen umsetzen um DSGVO -konform zu agieren:

  • Coordinate the use of Whatsapp with the data protection officer
  • Order processing contract create with WhatsApp
  • Verarbeitungstätigkeiten im Verzeichnis der Verarbeitungstätigen anlegen
  • Entsprechende Löschfristen beachten und im Löschkonzept hinterlegen
  • Informationspflichten um WhatsApp ergänzen und den Kunden zur Verfügung stellen
  • Obtain the consent of the user
  • Sicherstellen das keine Daten an WhatsApp übertragen werden
  • Store processed data on German servers
  • Rollen & Rechtesystem für Mitarbeiter entwickeln und umsetzen

Switch to other messenger services

Auch wenn WhatsApp zweifellos einer der beliebtesten Messenger-Dienste ist, gibt es durchaus Alternativen. Diese werden seit Bekanntwerden der Änderungen an den Nutzungs- und Privatsphäre Bestimmungen auch immer beliebter.

Datenschutzexperten empfehlen insbesondere den Messenger Signal, da dieser quelloffen ist und auf eine Ende-zu-Ende-Verschlüsselung setzt, Kontakte werden außerdem ausschließlich anonymisiert synchronisiert, Metadaten kaum gespeichert. Außerdem bietet Signal die Funktion verschlüsselt zu telefonieren oder Chats mit PIN-Code zu sperren.

Other alternative messenger providers are Telegram, Threema or Wire.

Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

künstliche intelligenz

AI and data protection in practice

Erfahren Sie, wie Künstliche Intelligenz DSGVO-konform eingesetzt werden kann. Ein praxisnaher Leitfaden.
Read more

Tätigkeitsbericht nach DSGVO

Vorlagen, Whitepaper und Umsetzung des Tätigkeitsbericht nach DSGVO. In wenigen Schritten automatisiert den Tätigkeitsbericht erstellen.
Read more

Löschkonzept nach DSGVO

Muster, Vorlagen und Beispiele für Ihr DSGVO Löschkonzept gemäß DIN 66398. Automatisiert das Löschkonzept erstellen.
Read more