WhatsApp Business und DSGVO: Geht das überhaupt?

WhatsApp ist in Deutschland der mit Abstand am stärksten verbreitete Messenger — und damit auch der Kanal, den viele Kunden für die Kommunikation mit Unternehmen erwarten. Was attraktiv klingt, ist datenschutzrechtlich anspruchsvoll: WhatsApp gehört zu Meta Platforms, läuft auf US-Servern und greift in seinen Standardeinstellungen auf das Adressbuch zu. Die DSGVO setzt hier enge Grenzen.

Wenn Sie WhatsApp im Unternehmenskontext einsetzen wollen, kommen die Hauptprobleme nicht aus der Webseite, sondern aus dem Smartphone. Eine vollständige Datenschutzerklärung und ein konformer Einwilligungsprozess sind trotzdem nötig.

Drei verschiedene WhatsApp-Varianten

Bevor man die DSGVO-Konformität bewerten kann, muss klar sein, welche WhatsApp-Variante eingesetzt wird:

• WhatsApp (normale App): privat. Im geschäftlichen Einsatz problematisch, weil die App auf das gesamte Adressbuch zugreift und Kontaktdaten Dritter an Meta überträgt.
• WhatsApp Business App: kostenlose Smartphone-App für Kleinunternehmen. Funktional erweitert (Kataloge, Auto-Antworten, Etiketten), aber technisch nahe an der normalen App — auch hier Zugriff auf das Adressbuch.
• WhatsApp Business Platform (API): serverseitige Schnittstelle, über zertifizierte Business Solution Provider wie 360dialog, MessageBird oder Twilio. Kein Adressbuch-Zugriff, AVV mit Meta möglich.

Aus DSGVO-Sicht ist die Business Platform der einzige Weg, der für strukturierte Kundenkommunikation handhabbar ist.

Das Adressbuch-Problem

Wenn Sie die WhatsApp-App oder die Business App auf einem Smartphone installieren, fragt sie nach Zugriff auf Ihr Adressbuch. Bei Erteilung lädt sie alle dort gespeicherten Kontakte zu den Meta-Servern hoch. Das umfasst auch Personen, die selbst nicht bei WhatsApp sind und nie eingewilligt haben.

Die Datenschutzkonferenz hat das in ihrer Orientierungshilfe für Messenger im behördlichen Einsatz klar als datenschutzrechtlich unzulässig eingestuft. Die gleiche Logik gilt für Unternehmen: Sie können das Adressbuch von Kollegen, Lieferanten und Privatkontakten nicht ohne deren Einwilligung an Meta übermitteln.

Drei Konsequenzen für die Praxis:

1. Auf dem Firmen-Smartphone darf das WhatsApp-Adressbuch nur Kontakte enthalten, die nachweislich eingewilligt haben — am einfachsten ein dediziertes Gerät, das ausschließlich für WhatsApp-Kommunikation genutzt wird.
2. Auf dem Gerät dürfen keine privaten Kontakte gespeichert sein.
3. Der Adressbuch-Zugriff in der App sollte ausgeschaltet werden, wo möglich (in den Geräte-Einstellungen unter Berechtigungen).

Drittlandübermittlung

WhatsApp Inc. gehört zu Meta Platforms in den USA. Auch wenn der europäische Datenverkehr formal über WhatsApp Ireland Limited läuft, fließen Daten in die USA. Meta ist nach dem Data Privacy Framework zertifiziert, das die Drittlandübermittlung grundsätzlich abdeckt.

Das DPF ersetzt jedoch nicht die Notwendigkeit einer Rechtsgrundlage für die Verarbeitung selbst. Sie brauchen weiterhin eine Einwilligung des Kunden oder eine andere Rechtsgrundlage nach Art. 6 DSGVO — typischerweise die Vertragsanbahnung oder Vertragsabwicklung (Art. 6 Abs. 1 lit. b DSGVO), wenn der Kunde von sich aus über WhatsApp Kontakt aufgenommen hat.

Was Sie bei einer Business-Lösung dokumentieren müssen

Für den geschäftlichen Einsatz brauchen Sie:

• Auftragsverarbeitungsvertrag (AVV nach Art. 28 DSGVO) mit dem WhatsApp-Anbieter. Bei der Business Platform schließen Sie den AVV mit dem Business Solution Provider, der wiederum einen AVV mit Meta hat. Siehe dazu auch den Beitrag Auftragsverarbeitungsvertrag (AVV): Wann ist er Pflicht?.
• Eintrag im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.
• Datenschutzerklärung-Abschnitt: Anbieter, Zwecke, Daten, Rechtsgrundlage, Drittlandübermittlung, Widerrufsmöglichkeit.
• Einwilligungsprozess: Wenn Sie aktiv Kunden anschreiben oder Newsletter über WhatsApp versenden möchten, eine dokumentierte Einwilligung. Bei reaktivem Kundenservice (Kunde schreibt zuerst an) ist Art. 6 Abs. 1 lit. b DSGVO in der Regel tragfähig.
• Technisch-organisatorische Maßnahmen: dediziertes Gerät oder Multi-Device-Web-Variante, deaktivierter Adressbuch-Zugriff, Schulung der Mitarbeiter.

WhatsApp-Newsletter: Vorsicht

Werbliche Nachrichten über WhatsApp sind doppelt geregelt. Sie brauchen:

• DSGVO-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO — analog zum Newsletter-Double-Opt-In.
• Wettbewerbsrechtliche Einwilligung nach § 7 UWG für elektronische Werbung.

Beides muss dokumentiert sein. Ohne dokumentierte Einwilligung drohen Abmahnungen durch Wettbewerber und Verbraucherschutzverbände — der Bundesgerichtshof hat das Erfordernis ausdrücklicher, dokumentierter Einwilligung wiederholt bestätigt.

Hinzu kommt: Meta selbst beschränkt Marketing-Nachrichten über die Business Platform stark. Nach einer Kundennachricht haben Sie ein 24-Stunden-Service-Fenster für freie Antworten. Außerhalb davon müssen Sie zugelassene Template-Nachrichten verwenden, die Meta vorab freigeben muss.

Was die Aufsichtsbehörden konkret sagen

Die Datenschutzkonferenz hat in mehreren Beschlüssen klargestellt, dass der Einsatz von WhatsApp in Behörden und Schulen wegen des Adressbuch-Uploads regelmäßig unzulässig ist. Für Unternehmen gilt die Logik nicht eins zu eins, aber die zentrale Aussage bleibt: Wer Kontakte Dritter ungefragt an Meta übermittelt, verstößt gegen die DSGVO.

Der Landesbeauftragte für den Datenschutz Niedersachsen hat bereits Bußgelder gegen Unternehmen verhängt, die WhatsApp Privatkonten zur Kundenkommunikation nutzten, ohne organisatorische Trennung sicherzustellen. Verbraucherschutzverbände haben zudem mehrere WhatsApp-Newsletter wegen fehlender Einwilligung erfolgreich abgemahnt.

Das bedeutet nicht, dass WhatsApp völlig tabu ist. Die Aufsicht prüft im Streitfall die konkrete Implementierung: dediziertes Gerät, getrennte Adressbücher, AVV, dokumentierte Einwilligung. Wer das sauber umsetzt, hat im Fall einer Beschwerde gute Argumente.

DSGVO-freundliche Alternativen

Wer den WhatsApp-Aufwand vermeiden möchte, hat mehrere Optionen:

• Signal: Open-Source-Messenger, Server in der EU, Verschlüsselungs-Goldstandard. Schwach: Verbreitung bei Endkunden gering.
• Threema Work: kommerzieller Schweizer Anbieter, Server in der Schweiz, hohe Datenschutzstandards, AVV verfügbar.
• Element / Matrix: dezentrales, föderiertes Protokoll. Selbst hostbar in der EU.
• E-Mail mit Transport-Verschlüsselung: oft unterschätzt, aber rechtlich am einfachsten zu handhaben.
• EU-Live-Chat-Tools: Crisp (Frankreich), Userlike (Köln), Chatwoot (Open Source) bieten Kundenservice direkt auf der Website ohne Drittland-Problematik.

Das 24-Stunden-Service-Fenster

Eine technische Besonderheit der WhatsApp Business Platform, die in der Praxis oft Probleme macht: das 24-Stunden-Service-Fenster. Sobald ein Kunde Ihnen eine Nachricht schickt, dürfen Sie 24 Stunden lang frei antworten. Nach Ablauf des Fensters sind nur noch zugelassene, von Meta vorab freigegebene Template-Nachrichten erlaubt.

In der Praxis bedeutet das: Wer einen Kunden außerhalb des Fensters proaktiv kontaktieren möchte — etwa für eine Versandbestätigung, einen Termin-Erinnerung oder einen Status-Update — braucht ein abgestimmtes Template und eine dokumentierte Marketing-Einwilligung. Reine Service-Mitteilungen (Bestellbestätigung, Rechnung) sind oft auch ohne separate Marketing-Einwilligung zulässig, sofern sie Teil der Vertragserfüllung sind und keinen werblichen Charakter haben.

Diese Beschränkung ist nicht DSGVO-spezifisch, sondern eine Geschäftsbedingung von Meta. Sie wirkt aber wie eine Schutzschicht gegen unkontrollierten Massenversand und sollte daher als Vorteil und nicht als Hürde betrachtet werden.

Praxis-Empfehlung für kleine Unternehmen

Wenn WhatsApp aufgrund der Reichweite zwingend nötig ist:

1. WhatsApp Business Platform über einen EU-zertifizierten Solution Provider buchen (kein Privatgerät mit Business App).
2. AVV unterschreiben, im Verzeichnis dokumentieren.
3. Datenschutzerklärung anpassen, eigenen WhatsApp-Abschnitt einfügen.
4. Adressbuch-Zugriff vermeiden, keine privaten Kontakte auf dem Geschäftsgerät.
5. Keine ungefragten Marketing-Nachrichten — Einwilligung dokumentieren oder direkt sein lassen.

Wenn der Aufwand in keinem Verhältnis zum Nutzen steht — etwa bei einem kleinen Solo-Unternehmen mit zwei oder drei WhatsApp-Anfragen pro Monat — ist die ehrliche Empfehlung: WhatsApp im Geschäftskontext nicht einsetzen. Eine gut gepflegte E-Mail-Adresse und ein einfacher Live-Chat auf der Website lösen die meisten Kommunikationsbedürfnisse, ohne dass Adressbuch-Upload, AVV, Drittlandübermittlung und Datenschutzerklärung-Pflege überhaupt zum Thema werden.

Mit dem kostenlosen DSGVO-Scanner prüfen Sie, ob die Datenschutzerklärung Ihrer Website die Drittanbieter — auch WhatsApp — korrekt benennt.