Datenschutz und Sicherheit
Auf dieser Seite wird beschrieben, wie Meta die Cloud API als eigenständigen Service für Unternehmen zur Verfügung stellt, um Nachrichten in großem Maßstab über WhatsApp an Benutzer*innen zu senden. Meta bietet auch zusätzliche optionale Dienste an, die Unternehmen mit der Cloud API nutzen können. Beispielsweise kann ein Unternehmen die KI-Funktionen von Meta nutzen, um über die Cloud API mit Kund*innen in Kontakt zu treten. Wenn ein Unternehmen diese Dienste in Anspruch nimmt, könnten andere Bedingungen gelten. Weitere Informationen darüber, wie Meta Daten für diese Dienste verarbeitet, findest du in der entsprechenden Dokumentation.
Nachrichtenflüsse
Wenn Benutzer*innen eine Nachricht an eines dieser Unternehmen senden, wird die Nachricht mit Ende-zu-Ende-Verschlüsselung zwischen Benutzer*innen und Cloud API übertragen. Gemäß dem Signal-Protokoll werden Verschlüsselungscodes im Namen des Unternehmens zwischen Benutzer*innen und Cloud API ausgehandelt, um einen sicheren Kommunikationskanal aufzubauen. WhatsApp kann auf keine Nachrichteninhalte zugreifen, die zwischen Benutzer*innen und Unternehmen ausgetauscht werden.
Wenn die Cloud API eine Nachricht empfängt, wird diese entschlüsselt und an das Unternehmen weitergeleitet. Nachrichten werden nur vorübergehend von der Cloud API gespeichert, und zwar nur insoweit sie zum Bereitstellen der API-Grundfunktionen erforderlich sind.
Nachrichten von Unternehmen an Benutzer*innen laufen umgekehrt ab. Unternehmen senden Nachrichten an die Cloud API. Der Cloud API-Dienst speichert die Nachrichten vorübergehend und sendet sie an die WhatsApp-Plattform. Nachrichten werden für eventuell erforderliche erneute Übertragungen gespeichert.
Alle Nachrichten werden vor dem Senden an WhatsApp von der Cloud API mit dem Signal-Protokoll verschlüsselt. Dabei werden Schlüssel mit Benutzer*innen (Empfänger*innen) ausgehandelt.
WhatsApp fungiert als Transportservice und liefert die Nachrichtenweiterleitungs-Software (sowohl Client als auch Server). Dabei sind die Inhalte der gesendeten Nachrichten nie sichtbar. Zum Schutz der Benutzer*innen werden ungewöhnliche Nachrichtenmuster (beispielsweise wenn ein Unternehmen versucht, eine Nachricht an alle Benutzer*innen zu senden) erkannt und Spam-Meldungen von Benutzer*innen erfasst.
Cloud API von Meta dient als Zwischenstelle zwischen WhatsApp und dem Cloud API-Unternehmen. Anders ausgedrückt: Diese Unternehmen haben die Cloud API dazu berechtigt, in ihrem Auftrag zu handeln. Daher leitet WhatsApp alle Nachrichten, die für diese Unternehmen bestimmt sind, an die Cloud API weiter. WhatsApp empfängt zudem alle Nachrichten von diesen Unternehmen über die Cloud API. Dieses Clientverhalten ist mit dem des On-Premise-Clients identisch.
Meta fungiert als Anbieter des Cloud API-Service als Auftragsverarbeiter im Namen des Unternehmens. Das heißt, die Unternehmen haben von Meta den programmgesteuerten Zugriff auf die WhatsApp Business Platform angefordert.
Die Cloud API empfängt die Nachrichten an Unternehmen, die die Cloud API nutzen, von WhatsApp. Außerdem sendet die Cloud API die von diesen Unternehmen gesendeten Nachrichten an WhatsApp. Andere Teile von Meta (außer der Cloud API) haben keinen Zugriff auf die Kommunikation der Cloud API-Unternehmen, wie Nachrichteninhalte. Meta nutzt keine Cloud API-Daten für Werbezwecke.
Gespeicherte und erhobene Daten
Alle von der Cloud API erhobenen, gespeicherten und aufgerufenen Daten werden kontrolliert und überwacht, um die korrekte Nutzung und den umfassenden Datenschutz sicherzustellen, die von einem WhatsApp-Client erwartet werden.
Informationen zu den Unternehmen, einschließlich Unternehmenstelefonnummern, Unternehmensadresse usw., werden von Meta und vom Business Manager-Produkt verwaltet und unterliegen den Nutzungsbedingungen von Meta. Die Cloud API nutzt den Business Manager und andere Meta-Systeme, um alle Zugriffe auf die Cloud API im Namen des Unternehmens zu identifizieren.
Über die Cloud API gesendete oder empfangene Nachrichten werden nur von der Cloud API aufgerufen. Keine anderen Teile von Meta können diese Informationen nutzen. Nachrichten werden höchstens 30 Tage lang aufbewahrt, um die Grundfeatures und -funktionen des Cloud API-Service wie beispielsweise erneute Übertragungen bereitzustellen. Nach Ablauf von 30 Tagen sind diese Features und Funktionen nicht mehr verfügbar.
Außer der Telefonnummer zum Identifizieren des Kontos nutzt die Cloud API keine anderen Informationen zu den Benutzer*innen (Kund*innen/Verbraucher*innen), mit denen das Unternehmen kommuniziert. Diese Informationen werden ausschließlich verwendet, um die Nachrichten über den WhatsApp-Clientcode zu übermitteln. Telefonnummern von Benutzer*innen werden als Quellen oder Ziele einzelner Nachrichten verwendet. Dementsprechend werden sie zusammen mit Nachrichten gelöscht. Keine anderen Bereiche von Meta, mit Ausnahme der Cloud API, können auf diese Informationen zugreifen.
Zu keiner Zeit werden Nachrichteninhalte mit WhatsApp geteilt oder an WhatsApp gesendet. Außerdem haben keine WhatsApp-Mitarbeiter*innen Zugriff auf Nachrichteninhalte.
| Cloud API-Daten | System | Für die restlichen Meta-Bereiche verfügbar? | Für WhatsApp verfügbar? |
|---|---|---|---|
Nachrichteninhalt | Cloud API | Nein | Nein |
Telefonnummer der Verbraucher*innen | Cloud API | Nein | Ja |
Nicht personenbezogene Statistiken | Cloud API | Ja | Ja |
Integritätssignale – pro Unternehmen | WhatsApp-Client | Nein | Ja |
Unternehmensinformationen | Business Manager | Ja | Ja |
Abrechnung – pro Unternehmen | Ja | Ja |
FAQs
Meta nutzt WhatsApp-Nachrichten nicht, um zu entscheiden, welche Werbung eine Person sieht. Doch wie immer gilt auch hier, dass Unternehmen Nachrichten, die sie erhalten, für ihre eigenen Marketingzwecke nutzen können, so u. a. für Werbung auf Facebook oder anderen Kanälen, wie E-Mail oder TV.
Die Cloud API läuft in den Meta-Rechenzentren, sofern sich ein Unternehmen nicht für den Einsatz von Cloud API Local Storage entschieden hat. Meta hat Rechenzentren in Nordamerika und in der EU.
Siehe unter Cloud API-Übersicht, Verschlüsselung.
Ruhende Nachrichten sind verschlüsselt. Sie werden nach 30 Tagen automatisch gelöscht..
Wie alle anderen Partner der WhatsApp Business-API-Lösung verwaltet Meta die Verschlüsselungs- und Entschlüsselungscodes im Auftrag des Unternehmens. Um Nachrichten über die Cloud API zu senden und zu empfangen, verwaltet die Cloud API die Verschlüsselungs-/Entschlüsselungscodes im Auftrag des Unternehmens. Meta betreibt die Cloud API und seine Nutzungsbedingungen beschränken seine Nutzung zur Bereitstellung dieses Dienstes auf die Auslieferung von Nachrichten. WhatsApp hat keinen Zugriff auf Codes oder Nachrichten.
Wir haben den SOC 2 Typ II-Bericht erhalten. In unserem Meta Business Messaging Compliance Center erhältst du weitere Informationen dazu.
Meta nimmt den Datenschutz und die Privatsphäre von Personen sehr ernst und verpflichtet sich, die Datenschutzgesetze auch in Zukunft einzuhalten. Mithilfe der Cloud API können unsere Kunden weiterhin ihre Pflichten gemäß Datenschutz-Grundverordnung (DSGVO) erfüllen. Meta erfüllt geltende rechtliche, branchenspezifische und regulatorische Anforderungen sowie die Best Practices der Branche. Mehr dazu.
Meta und WhatsApp stützen sich auf geeignete DSGVO-konforme Übermittlungsmechanismen, wenn sie Daten aus der EU und/oder dem Vereinigten Königreich in die USA übermitteln.
Zusätzliche Informationen findest du in den folgenden rechtlichen Bestimmungen:
- Für Kunden in der Region Europa gilt der WhatsApp Business-Vertragszusatz für die Übermittlung von Daten.
- Für Kunden im Vereinigten Königreich gilt der WhatsApp Business-Vertragszusatz für die Übermittlung von Daten aus dem Vereinigten Königreich.
In den geltenden WhatsApp Business-Datenverarbeitungsbedingungen oder den Meta-Hosting-Bedingungen für die Cloud API findest du eine entsprechende Liste der Unterauftragsverarbeiter.
Wir sorgen dafür, dass unsere Unternehmen und Partner weiterhin von Unternehmenslösungen profitieren können, während ihre Daten geschützt und sicher sind.