WhatsApp Business DSGVO: Datenschutzkonform nutzen

WhatsApp Business und DSGVO: Wo liegt das Problem?

WhatsApp Business ist für viele Unternehmen ein attraktiver Kommunikationskanal. Über 60 Millionen Menschen in Deutschland nutzen WhatsApp täglich — kein anderer Messenger bietet eine vergleichbare Reichweite. Doch die Nutzung von WhatsApp Business im geschäftlichen Kontext wirft erhebliche datenschutzrechtliche Fragen auf. Seit der Einführung der DSGVO im Mai 2018 stehen Unternehmen vor der Herausforderung, den beliebten Messenger rechtskonform einzusetzen.

Die Problematik ist vielschichtig: WhatsApp gehört zum Meta-Konzern, der seinen Hauptsitz in den USA hat. Damit unterliegt die Datenverarbeitung den Regelungen für Drittlandstransfers nach Kapitel V der DSGVO. Hinzu kommen der automatische Kontaktabgleich, die Verarbeitung von Metadaten und die Frage nach einer wirksamen Rechtsgrundlage für die geschäftliche Kommunikation.

In diesem vollständigen Leitfaden erklären wir Ihnen als erfahrene Datenschutzexperten, welche konkreten Datenschutzprobleme WhatsApp Business mit sich bringt, wie Sie einen AV-Vertrag mit Meta abschließen, welche Alternativen es gibt und wie Sie WhatsApp Business möglichst DSGVO-konform nutzen können.

Die größten Datenschutzprobleme bei WhatsApp Business

1. Datentransfer in die USA

Das größte datenschutzrechtliche Problem bei der Nutzung von WhatsApp Business ist der Transfer personenbezogener Daten in die USA. Meta Platforms Inc. hat seinen Hauptsitz in Menlo Park, Kalifornien. Obwohl WhatsApp Ireland Ltd. als europäischer Anbieter fungiert, werden Daten regelmäßig an US-Server übermittelt.

Nach dem Schrems-II-Urteil des EuGH (Rechtssache C-311/18) wurde das Privacy Shield für ungültig erklärt. Seit Juli 2023 gilt zwar das EU-US Data Privacy Framework (DPF), das einen neuen Angemessenheitsbeschluss der EU-Kommission darstellt. Meta ist unter dem DPF zertifiziert, was den Datentransfer grundsätzlich legitimiert. Allerdings bestehen weiterhin Bedenken hinsichtlich der vollständigen Überwachungsbefugnisse US-amerikanischer Geheimdienste unter FISA Section 702 und Executive Order 12333.

Für Unternehmen bedeutet das: Der Datentransfer in die USA ist zwar aktuell über das DPF abgesichert, allerdings besteht das Risiko, dass auch dieser Angemessenheitsbeschluss vom EuGH gekippt wird — ähnlich wie zuvor Safe Harbor und Privacy Shield. Eine vorausschauende Datenschutzstrategie sollte dieses Risiko berücksichtigen.

2. Automatischer Kontaktabgleich

WhatsApp gleicht bei der Einrichtung und regelmäßig danach das gesamte Adressbuch des Smartphones mit den WhatsApp-Servern ab. Dabei werden Telefonnummern aller gespeicherten Kontakte an Meta übermittelt — auch von Personen, die WhatsApp gar nicht nutzen und deren Einwilligung nicht vorliegt.

Dies stellt aus datenschutzrechtlicher Sicht eine Übermittlung personenbezogener Daten dar, für die eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO erforderlich ist. Da die Betroffenen in der Regel keine Einwilligung erteilt haben und auch kein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO greift, ist dieser automatische Kontaktabgleich ein erhebliches Compliance-Problem.

Technische Abhilfe kann ein separates Diensthandy bieten, auf dem nur Kontakte gespeichert werden, die nachweislich in die WhatsApp-Kommunikation eingewilligt haben. Alternativ kann WhatsApp Business über die API-Version ohne Kontaktabgleich genutzt werden — diese erfordert allerdings einen offiziellen Business Solution Provider und ist mit höheren Kosten verbunden.

3. Metadaten und Profilbildung

Auch wenn WhatsApp Ende-zu-Ende-Verschlüsselung für Nachrichteninhalte bietet, sammelt der Dienst umfangreiche Metadaten: Wer kommuniziert mit wem, wann, wie oft, Standortdaten, Geräteinformationen, IP-Adressen und Nutzungsmuster. Diese Metadaten ermöglichen detaillierte Nutzerprofile und werden innerhalb des Meta-Konzerns für Werbezwecke genutzt.

Für Unternehmen, die WhatsApp Business einsetzen, bedeutet das: Selbst wenn die Nachrichteninhalte verschlüsselt sind, werden die Kommunikationsmuster und Kontaktbeziehungen von Meta erfasst und verarbeitet. Diese Verarbeitung ist für den Nutzer weder transparent noch kontrollierbar — ein klarer Verstoß gegen die Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Transparenz (Art. 5 Abs. 1 lit. a DSGVO).

4. Verknüpfung mit Facebook und Instagram

Seit der aktualisierten Datenschutzrichtlinie von WhatsApp (2021) werden Daten verstärkt mit anderen Meta-Diensten wie Facebook und Instagram geteilt. Obwohl Meta für europäische Nutzer aufgrund behördlicher Auflagen Einschränkungen bei der Datenverknüpfung vorgenommen hat, bleibt die grundsätzliche Problematik bestehen: WhatsApp ist Teil eines Ökosystems, das auf datenbasierter Werbung aufbaut.

Der AV-Vertrag mit Meta: Pflicht für Unternehmen

Warum ein Auftragsverarbeitungsvertrag notwendig ist

Wenn Sie WhatsApp Business geschäftlich nutzen, verarbeitet Meta in Ihrem Auftrag personenbezogene Daten Ihrer Kunden und Geschäftspartner. Nach Art. 28 DSGVO ist in diesem Fall ein Auftragsverarbeitungsvertrag (AV-Vertrag) zwingend erforderlich. Ohne einen solchen Vertrag verstoßen Sie gegen die DSGVO und riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Wie Sie den AV-Vertrag mit Meta abschließen

Meta bietet für WhatsApp Business einen standardisierten AV-Vertrag an, den sogenannten „WhatsApp Business Data Processing Terms“. Diesen können Sie über die WhatsApp Business App oder die WhatsApp Business Platform (API) akzeptieren. Der Vertrag enthält Standardvertragsklauseln (SCCs) für den Datentransfer in die USA sowie Regelungen zur Datenverarbeitung, Datensicherheit und Löschung.

So akzeptieren Sie die AV-Bedingungen:

1. Öffnen Sie die WhatsApp Business App und navigieren Sie zu Einstellungen → Geschäftstools → Nutzungsbedingungen.
2. Lesen und akzeptieren Sie die „WhatsApp Business Nutzungsbedingungen“, die den AV-Vertrag enthalten.
3. Dokumentieren Sie den Zeitpunkt der Akzeptanz für Ihre Datenschutzdokumentation.
4. Nehmen Sie den AV-Vertrag in Ihr Verzeichnis der Verarbeitungstätigkeiten auf.

Kritische Bewertung des Meta-AV-Vertrags

Der von Meta bereitgestellte AV-Vertrag erfüllt zwar formal die Anforderungen des Art. 28 DSGVO, weist jedoch in der Praxis erhebliche Schwächen auf. Meta behält sich weitreichende Rechte zur eigenen Datenverarbeitung vor, die über die reine Auftragsverarbeitung hinausgehen. Zudem sind die Kontrollmöglichkeiten für Unternehmen stark eingeschränkt — eine individuelle Auditierung der Datenverarbeitung bei Meta ist faktisch nicht möglich.

Aufsichtsbehörden wie die Hamburgische Datenschutzbehörde und der Bundesbeauftragte für den Datenschutz haben wiederholt darauf hingewiesen, dass die AV-Bedingungen von Meta nicht alle Anforderungen der DSGVO vollständig erfüllen. Unternehmen tragen hier ein Restrisiko, das sie dokumentieren und bewerten sollten.

Einwilligungserklärung: Rechtsgrundlage für WhatsApp-Kommunikation

Warum eine Einwilligung erforderlich ist

Für die geschäftliche Kommunikation über WhatsApp Business benötigen Sie eine wirksame Rechtsgrundlage. In den meisten Fällen kommt nur die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Betracht. Ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) wird von den meisten Aufsichtsbehörden aufgrund der erheblichen Datenschutzrisiken bei WhatsApp nicht als ausreichend angesehen.

Anforderungen an eine wirksame Einwilligung

Die Einwilligung muss folgende Voraussetzungen erfüllen, um DSGVO-konform zu sein:

Freiwilligkeit: Die Einwilligung muss freiwillig erteilt werden. Der Kunde darf keinen Nachteil erleiden, wenn er die WhatsApp-Kommunikation ablehnt. Es muss immer eine gleichwertige Alternative angeboten werden (z. B. E-Mail oder Telefon).

Informiertheit: Der Kunde muss vor der Einwilligung vollständig informiert werden über: den Zweck der Verarbeitung, die Übermittlung an Meta/USA, die Verarbeitung von Metadaten, seine Widerrufsrechte und die Speicherdauer.

Bestimmtheit: Die Einwilligung muss sich auf einen konkreten Verarbeitungszweck beziehen (z. B. „Kommunikation über Bestellstatus“ oder „Terminbestätigung per WhatsApp“).

Widerrufbarkeit: Der Widerruf muss jederzeit möglich und ebenso einfach sein wie die Erteilung der Einwilligung.

Nachweisbarkeit: Sie müssen die Einwilligung dokumentieren und nachweisen können (Art. 7 Abs. 1 DSGVO).

Muster-Einwilligungserklärung

Eine datenschutzkonforme Einwilligungserklärung sollte folgende Elemente enthalten: Identität des Verantwortlichen (Ihr Unternehmen), konkrete Beschreibung der Datenverarbeitung über WhatsApp, Hinweis auf die Datenübermittlung an Meta Platforms Inc. (USA), Verweis auf den AV-Vertrag und die Standardvertragsklauseln, Hinweis auf die Verarbeitung von Metadaten, Widerrufsbelehrung mit konkreter Widerrufsadresse, Hinweis auf alternative Kommunikationswege sowie Verweis auf die vollständige Datenschutzerklärung.

DSGVO-konforme Alternativen zu WhatsApp Business

Signal Messenger

Signal gilt als datenschutzfreundlichste Alternative zu WhatsApp. Der Messenger wird von der gemeinnützigen Signal Foundation entwickelt und finanziert sich ausschließlich über Spenden. Signal speichert keine Metadaten, bietet Ende-zu-Ende-Verschlüsselung für alle Kommunikationsformen und hat seinen Quellcode vollständig offengelegt.

Vorteile für Unternehmen: Open Source, minimale Datenerhebung, keine Werbung, kein Profiling, Server in den USA (aber kaum Daten vorhanden). Nachteile: Deutlich geringere Verbreitung als WhatsApp, keine offizielle Business-Version, eingeschränkte Business-Funktionen.

Threema Work

Threema Work ist die Business-Version des Schweizer Messengers Threema und wurde speziell für den Unternehmenseinsatz entwickelt. Die Server stehen in der Schweiz, einem Land mit Angemessenheitsbeschluss der EU. Threema Work bietet umfangreiche Administrationsfunktionen, MDM-Integration und kann anonym — ohne Telefonnummer — genutzt werden.

Vorteile: Schweizer Hosting, DSGVO-konform, Business-Administration, keine Telefonnummer erforderlich, API verfügbar. Nachteile: Kostenpflichtig (ab 1,99 €/Nutzer/Monat), geringe Verbreitung bei Kunden, Einführungsaufwand.

Wire

Wire ist ein europäischer Messenger mit Servern in Deutschland und der Schweiz. Die Business-Version bietet Ende-zu-Ende-Verschlüsselung, Videokonferenzen, Dateifreigabe und Gästeräume für externe Kommunikation. Wire ist Open Source und wurde mehrfach von unabhängigen Sicherheitsexperten auditiert.

Microsoft Teams

Für die interne Kommunikation und die Kommunikation mit Geschäftspartnern kann Microsoft Teams eine sinnvolle Alternative sein. Microsoft bietet umfangreiche AV-Verträge, EU-Datenresidenz und Compliance-Zertifizierungen. Für die Kundenkommunikation ist Teams jedoch weniger geeignet, da Kunden in der Regel keinen Teams-Account besitzen.

Praktische Tipps für den DSGVO-konformen Einsatz von WhatsApp Business

Tipp 1: Separates Diensthandy verwenden

Nutzen Sie für WhatsApp Business ein separates Diensthandy, auf dem nur Kontakte gespeichert werden, die nachweislich in die WhatsApp-Kommunikation eingewilligt haben. So vermeiden Sie den unautorisierten Kontaktabgleich privater oder geschäftlicher Kontakte, die keine Einwilligung erteilt haben.

Tipp 2: WhatsApp Business API statt App

Die WhatsApp Business API (über einen offiziellen Business Solution Provider wie Twilio, MessageBird oder 360dialog) bietet gegenüber der App erhebliche Vorteile: kein automatischer Kontaktabgleich, bessere Kontrolle über die Datenverarbeitung, Integration in CRM-Systeme, professionelle Archivierung und Audit-Trail der Kommunikation.

Tipp 3: Datenschutzerklärung anpassen

Wenn Sie WhatsApp Business einsetzen, müssen Sie Ihre Datenschutzerklärung entsprechend ergänzen. Informieren Sie über: den Einsatz von WhatsApp Business, die Rechtsgrundlage (Einwilligung), die Datenübermittlung an Meta/USA, den AV-Vertrag, die Verarbeitung von Metadaten, Speicherdauer und Löschung sowie die Rechte der Betroffenen.

Tipp 4: Löschkonzept etablieren

Legen Sie fest, wann WhatsApp-Nachrichten gelöscht werden. Die DSGVO verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO). Beachten Sie dabei auch handels- und steuerrechtliche Aufbewahrungsfristen, wenn geschäftsrelevante Dokumente über WhatsApp ausgetauscht werden.

Tipp 5: Mitarbeiterschulung durchführen

Schulen Sie alle Mitarbeiter, die WhatsApp Business nutzen, im Umgang mit dem Messenger. Inhalte sollten sein: Welche Daten dürfen über WhatsApp ausgetauscht werden, welche nicht (z. B. keine Gesundheitsdaten, keine Bankdaten), wie wird die Einwilligung eingeholt und dokumentiert, wann werden Chats gelöscht und wie wird mit Widerrufen umgegangen.

Tipp 6: Verzeichnis der Verarbeitungstätigkeiten aktualisieren

Nehmen Sie die WhatsApp-Business-Nutzung in Ihr Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO auf. Dokumentieren Sie den Zweck der Verarbeitung, die Kategorien betroffener Personen und Daten, die Empfänger (Meta), die Übermittlung in Drittländer sowie die vorgesehenen Löschfristen.

Bußgelder und Risiken bei Verstößen

Die Nutzung von WhatsApp Business ohne ausreichende datenschutzrechtliche Absicherung kann erhebliche Konsequenzen haben. Art. 83 DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. In der Praxis haben deutsche Aufsichtsbehörden bereits Bußgelder für die nicht konforme Nutzung von Messengerdiensten verhängt.

Neben den finanziellen Risiken drohen Abmahnungen durch Wettbewerber und Verbraucherschutzverbände, Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO, Reputationsschäden bei Bekanntwerden von Datenschutzverstößen sowie Anordnungen der Aufsichtsbehörde zur Einstellung der WhatsApp-Nutzung.

Häufige Fragen zu WhatsApp Business und DSGVO

Ist WhatsApp Business kostenlos DSGVO-konform nutzbar?
Eine vollständig DSGVO-konforme Nutzung der kostenlosen WhatsApp Business App ist schwierig, da der automatische Kontaktabgleich nicht deaktiviert werden kann. Mit einem separaten Diensthandy, einer dokumentierten Einwilligung und dem AV-Vertrag mit Meta können Sie das Risiko aber erheblich reduzieren.

Brauche ich einen AV-Vertrag mit Meta?
Ja, der AV-Vertrag ist bei geschäftlicher Nutzung von WhatsApp Business zwingend erforderlich. Meta stellt diesen über die Nutzungsbedingungen der WhatsApp Business App bereit.

Kann ich WhatsApp Business für Marketing nutzen?
Für Werbung über WhatsApp benötigen Sie eine ausdrückliche Einwilligung des Empfängers. Unaufgeforderte Werbebotschaften über WhatsApp verstoßen gegen § 7 UWG und die DSGVO.

Was passiert bei einer Datenpanne über WhatsApp?
Eine Datenpanne bei der WhatsApp-Nutzung (z. B. versehentlicher Versand sensibler Daten an falsche Empfänger) muss innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO). Dokumentieren Sie den Vorfall und prüfen Sie, ob auch die betroffenen Personen informiert werden müssen (Art. 34 DSGVO).

Gilt die DSGVO auch für WhatsApp-Gruppen?
Ja, wenn Sie eine WhatsApp-Gruppe für geschäftliche Zwecke nutzen, gelten die DSGVO-Anforderungen uneingeschränkt. Besonders problematisch: In Gruppen sehen alle Mitglieder die Telefonnummern der anderen Teilnehmer, was eine Offenlegung personenbezogener Daten darstellt.

Fazit: WhatsApp Business und DSGVO — machbar, aber nicht ideal

Die DSGVO-konforme Nutzung von WhatsApp Business ist möglich, erfordert aber erheblichen organisatorischen Aufwand. Unternehmen müssen einen AV-Vertrag mit Meta abschließen, wirksame Einwilligungen einholen, ihre Datenschutzerklärung anpassen, ein Löschkonzept etablieren und Mitarbeiter schulen. Selbst mit all diesen Maßnahmen bleibt ein datenschutzrechtliches Restrisiko bestehen, das sorgfältig dokumentiert und bewertet werden sollte.

Für sensible Branchen wie das Gesundheitswesen, die Rechtsberatung oder den Finanzsektor empfehlen wir, auf datenschutzfreundlichere Alternativen wie Threema Work oder Signal umzusteigen. Für Unternehmen, bei denen die Erreichbarkeit über WhatsApp geschäftskritisch ist, bietet die WhatsApp Business API über einen offiziellen Business Solution Provider den besten Kompromiss aus Reichweite und Datenschutz.

DATUREX GmbH: Ihr Partner für Datenschutz in Dresden

Sie möchten WhatsApp Business datenschutzkonform in Ihrem Unternehmen einsetzen? Oder suchen Sie eine sichere Alternative? Als erfahrene Datenschutzexperten unterstützen wir Sie bei der rechtssicheren Gestaltung Ihrer Messenger-Kommunikation. Von der Datenschutz-Folgenabschätzung über die Erstellung von Einwilligungserklärungen bis zur Mitarbeiterschulung — wir begleiten Sie durch den gesamten Prozess.

Jetzt kostenlose Erstberatung vereinbaren →