Immer mehr Unternehmen haben Instant Messenger wie WhatsApp als Kommunikationskanal entdeckt und setzen den Messenger entweder schon für "Kundenkommunikation" ein oder überlegen, das zu tun. Wir sprechen in dieser Folge darüber, welche Szenarien hier denkbar sind und welche Rechtshürden Unternehmen dabei nehmen müssen.

Inhalte dieser legal bits:

00:55: Inhaltliche Einleitung

Aufzeigen drei verschiedener Szenarien:

• Kundenkommunikation (Fall 1)
• Werbung via WhatsApp versenden (Fall 2)
• "Share via WhatsApp"-Funktionalität (Fall 3)

02:37: Hart rein ins Thema

Zunächst zum technischen Hintergrund von WhatsApp, vor allem der Verschlüsselungstechnologie "Textsecure"/"Forward Secrecy" von Open Whisper Systems, dem Betreiber des Instant Messengers "Signal" (hier für Android, hier für iOS herunterladbar). Wir sprechen darüber, warum WhatsApp datenschutzrechtlich unabhängig von der Frage problematisch ist, ob die Ende-zu-Ende-Verschlüsselung tatsächlich sicher ist.

07:41: Zu den kollidierenden Teilen des BDSG mit der DSGVO

Wie das aktuelle BDSG nicht vollständig abgeschafft wird, sondern der deutsche Gesetzgeber Handlungsbedarf mit Blick auf die nicht mit der DSGVO deckungsgleichen Aspekte sieht. Hier zur Entstehungsgeschichte der DSGVO auf CR online.

06:55: Die rechtlichen Risiken

​07:04: Welche Vorschriften sind anzuwenden?

07:32: Dürfen Unternehmen WhatsApp geschäftlich nutzen?

Es gibt kein allgemeines Gesetz dafür, hier sind vor allem die Nutzungsbedingungen von WhatsApp heranzuziehen und problematisch. Die sehen nämlich wohl die Erlaubnis (etwas schief dort formuliert als "Genehmigung") seitens WhatsApp vor, aber man weist Nutzer in der WhatsApp-Datenschutzrichtlinie daraufhin, dass man "Marketing" zusenden werde.

10:40: Welche Gesetze sind bei Kundenkommunikation via WhatsApp anzuwenden?

Nach unserer Ansicht ist das TMG anzuwenden, weil wir hier über Telemedien sprechen und nicht über Signalübertragung im engeren Sinne nach dem TKG. Für die Nerds: WhatsApp und andere Instant Messenger laufen auf den OSI-Layern 4 aufwärts. Außerdem zur Anwendbarkeit des BDSG und dessen Subsidiarität. Die DSGVO wird die aktuelle Rechtslage an manchen Stellen ändern, und auch bei der Kommunikation über Instant Messengern kann das etwas ändern. Wir sprechen hier auch über die Problematik der Übermittlung personenbezogener Daten in "Drittländer".

Wir sprechen außerdem über die Frage, was "EU-US Privacy Shield", der Nachfolger von Safe Harbor, am Problem der Übertragung personenbezogener Daten in die USA etwas ändert.

Außerdem: Nein, die Verschlüsselung von WhatsApp, selbst wenn sie sicher ist, ändert nichts an dieser Abwägung, weil personenbezogene Daten unabhängig von den Nachrichteninhalten in die USA gehe.

20:29: Wer ist datenschutzrechtlich verantwortlich: WhatsApp oder das Unternehmen?

Wir trennen die Verantwortlichkeiten auf in WhatsApp-spezifische und die vom WhatsApp nutzenden Unternehmen eigenverantwortlich genutzte Informationen. Das Unternehmen haftet datenschutzrechtlich nicht für Dinge, auf die es keinen Einfluss hat.

23:50: Müssen Unternehmen von allen Nutzern die Einwilligung in die Übermittlung in die USA einholen?

Nein, so ist es nicht, auch weil es faktisch unmöglich ist. Die Einwilligung in die Übermittlung von Daten in die USA ist vermutlich auch nicht erforderlich, aber für die Zusendung von Werbung braucht man durchaus die Einwilligung, schon wegen § 7 UWG (unzumutbare Belästigung), in dem Werbung via "elektronische Post" nur nach ausdrücklicher Einwilligung erlaubt ist.

Am Schluss noch ganz dazu, was alles unter "Werbung" fällt, hier vor allem in Abgrenzung zu Transaktion-spezifischen Nachrichten, die durch Werbung auch "verdorben" (also rechtlich gesehen unzulässig) werden.

30:27: Welche Konsequenzen bei Verstoß gegen geltendes Recht

Wettbewerbsrechtliche Abmahnungen/Klagen, und wir sprechen darüber, wer das initiieren darf (Aktivlegitimation), nämlich Wettbewerber, rechtsfähige Verbände, Verbraucherschutzverbände und IHKs.

Nach Ansicht diverser Gerichte gilt dieses Risiko mittlerweile auch bei Datenschutzverstößen, und (das haben wir im Podcast vergessen zu erwähnen) mittlerweile hat dieser Grundsatz auch Einzug in § 2 Abs. 2 Nr. 11 UKlaG gefunden).

Bei Datenschutzverstößen drohen natürlich auch nach wie vor Bußgelder, was nach der DSGVO noch deutlich eher riskant sein wird als nach aktueller BDSG-Rechtslage.

32:22: Ist das Einbetten eines "Share über WhatsApp"-Buttons zulässig?

Wir erklären kurz, was ein solcher Button macht, warum social media-Funktionalität grundsätzlich zulässig ist und wie sich das hier besprochene Szenario von z. B. den Facebook-Like-Buttons unterscheidet. Außerdem zur 2-Klick-Lösung "Shariff" von heise/c't:

Wir sprechen auch über den Tell-a-Friend-Aspekt des Sharings und dass und wie sich unser Fall 3 von dem folgenden Urteil unterscheidet, in dem die Tell-a-Friend-Funktionalität für unzulässig gehalten wurde.

37:50: FAZIT

1. Kundenkommunikation über WhatsApp ist grundsätzlich zulässig, solange man über WhatsApp keine Werbung versendet und keine besonderen Hürden wie z. B. eine Schweigepflicht oder das Bankgeheimnis im Weg hat.
2. Für Werbung, die über WhatsApp an Personen versendet werden soll, braucht man eine Einwilligung und hat die üblichen Transparenzpflichten und Widerrufsmöglichkeiten zu beachten.
3. "Share via WhatsApp" braucht sorgfältige Hinweise, vor allem auch dazu, dass Daten in die USA gesendet werden (und, nach der DSGVO, dass hier der EU-US Privacy Shield als Grundlage gilt), außerdem, dass die Daten in der ganzen Facebook-Gruppe genutzt werden werden.
4. Werbung über Instant Messenger macht unseres Erachtens das Kommunikationsnetz kaputt. Für Support kann die Kommunikation über einen solchen Messenger allerdings durchaus Vorteile bieten

40:57: ENDRUNDE

• Ausblick auf Folge 9: EU-NIS-Richtlinie und IT-Sicherheit: Quo vaditis?

• Rückblick auf Folge 7: DSGVO und ihre Folgen vor allem für Online-Marketer

Fragen an euch:

Von welchen Unternehmen wisst ihr, dass sie WhatsApp & Co. erfolgreich in der Kundenkommunikation einsetzen?

Habt ihr schon einmal Werbung über WhatsApp bekommen?

Folge verpasst? Alle Podcast-Folgen sind hier.

Kommentar hinterlassen oder E-Mail an podcast@stiegler-legal.com schicken!

Viel Spaß beim Hören!