WhatsApp Business und DSGVO: Drei Pflichten für deutsche Unternehmen

WhatsApp ist in Deutschland der mit Abstand am stärksten verbreitete Messenger. Der Bitkom hat 2024 in seiner Studie zur Messenger-Nutzung erneut eine Verbreitung von rund 86 Prozent bei Erwachsenen ausgewiesen. Genau diese Reichweite macht den Dienst für Kundenkommunikation interessant, datenschutz- und wettbewerbsrechtlich aber anspruchsvoll. WhatsApp gehört zu Meta Platforms, der europäische Datenverkehr läuft formal über Meta Platforms Ireland Limited, und die Apps greifen in den Standardeinstellungen auf das Adressbuch zu. In Deutschland greifen daneben die DSGVO, § 25 TDDDG (für Drittanbieter-Tracking innerhalb der Integration) und § 7 UWG (für jede Form werblicher Nachricht) parallel.

Eine vollständige Datenschutzerklärung und ein konformer Einwilligungsprozess sind trotzdem nötig. Die Hauptprobleme kommen aber nicht aus der Website, sondern aus dem Smartphone.

Warum Messenger-Compliance in Deutschland besonders streng ist

Die Datenschutzkonferenz (DSK) hat 2024 eine aktualisierte Orientierungshilfe zum Einsatz von Messengern veröffentlicht. Sie fasst die Spruchpraxis aller 16 Landesdatenschutzbehörden zusammen und ist die maßgebliche Auslegungsleitlinie für die behördliche Kontrolle in Deutschland. Die Kernaussage: bei der Messenger-Nutzung im Kundenkontakt prüfen die Behörden zwei Ebenen parallel, nämlich die DSGVO-Rechtsgrundlage für die Datenverarbeitung selbst und die Einwilligungspflicht nach § 7 UWG für jede werbliche Nachricht.

Zusätzlich besteht in Deutschland ein zweiter Durchsetzungspfad, der in anderen EU-Ländern in dieser Form nicht existiert: die wettbewerbsrechtliche Mitbewerber-Abmahnung. Wer Werbe-Nachrichten ohne dokumentierte Einwilligung versendet, riskiert nicht nur ein Bußgeldverfahren der zuständigen Landesdatenschutzbehörde, sondern parallel eine Abmahnung durch die Wettbewerbszentrale, durch Verbraucherverbände oder direkt durch einen Mitbewerber. Der Hebel ist § 3a UWG in Verbindung mit § 7 Abs. 2 Nr. 3 UWG. Im Jahresbericht 2024 der Wettbewerbszentrale tauchen werbliche Spam-Nachrichten und unverlangte Direktwerbung unter den häufigsten Beanstandungen auf.

Für deutsche Webshops und Dienstleister bedeutet das in der Praxis: die WhatsApp-Frage ist weniger eine Frage der DSGVO-Theorie als eine Frage der Abmahn-Wahrscheinlichkeit. Eine Beschwerde reicht aus, um eines der beiden Verfahren in Gang zu setzen. § 13a UWG schützt Erstabmahnungen bei Bagatellverstößen gegen Unternehmen mit weniger als 100 Beschäftigten zwar vor Vertragsstrafen, beseitigt aber nicht die Unterlassungspflicht und die Anwaltskosten.

Drei verschiedene WhatsApp-Varianten

Bevor man die DSGVO-Konformität bewerten kann, muss klar sein, welche WhatsApp-Variante eingesetzt wird:

• WhatsApp (normale App): privat. Im geschäftlichen Einsatz problematisch, weil die App auf das gesamte Adressbuch zugreift und Kontaktdaten Dritter an Meta überträgt.
• WhatsApp Business App: kostenlose Smartphone-App für Kleinunternehmen. Funktional erweitert (Kataloge, Auto-Antworten, Etiketten), aber technisch nahe an der normalen App, auch hier mit Zugriff auf das Adressbuch.
• WhatsApp Business Platform (API): serverseitige Schnittstelle, über zertifizierte Business Solution Provider wie 360dialog (Berlin), MessageBird (Amsterdam) oder Twilio. Kein Adressbuch-Zugriff, Auftragsverarbeitungsvertrag mit Meta möglich.

Aus DSGVO-Sicht ist die Business Platform der einzige Weg, der für strukturierte Kundenkommunikation handhabbar ist.

Das Adressbuch-Problem

Wenn Sie die WhatsApp-App oder die Business App auf einem Smartphone installieren, fragt sie nach Zugriff auf Ihr Adressbuch. Bei Erteilung lädt sie alle dort gespeicherten Kontakte zu den Meta-Servern hoch. Das umfasst auch Personen, die selbst nicht bei WhatsApp sind und nie eingewilligt haben.

Das Adressbuch-Problem bleibt der häufigste DSGVO-Verstoß in deutschen kleinen Unternehmen. Die normale WhatsApp Business App synchronisiert standardmäßig das Telefon-Adressbuch. Die Datenschutzkonferenz (DSK), das gemeinsame Gremium der Bundes- und Landesdatenschutzbehörden, hat ihre Orientierungshilfe zum Einsatz von Messenger-Diensten 2024 aktualisiert. Die zentrale Aussage bleibt: Wer Kontakte Dritter ungefragt an Meta übermittelt, verstößt gegen Art. 6 DSGVO. Für Behörden und Schulen ist die normale App nach DSK-Position regelmäßig unzulässig. Für Unternehmen ist die Beurteilung enger an die konkrete Implementierung gebunden, der Maßstab bleibt aber derselbe.

Drei Konsequenzen für die Praxis:

1. Auf dem Firmen-Smartphone darf das WhatsApp-Adressbuch nur Kontakte enthalten, die nachweislich eingewilligt haben. Am einfachsten ist ein dediziertes Gerät, das ausschließlich für WhatsApp-Kommunikation genutzt wird.
2. Auf dem Gerät dürfen keine privaten Kontakte gespeichert sein.
3. Der Adressbuch-Zugriff in der App sollte ausgeschaltet werden, wo möglich (in den Geräte-Einstellungen unter Berechtigungen).

Ein dediziertes Endgerät ohne private Kontakte ist die schlankste Lösung. Alternativ kommt die WhatsApp Business Platform (API) ohne Adressbuch-Synchronisation in Betracht.

Drittlandübermittlung

WhatsApp Inc. gehört zu Meta Platforms in den USA. Auch wenn der europäische Datenverkehr formal über Meta Platforms Ireland Limited läuft, fließen Daten in die USA. Der Drittlandtransfer in die USA ist seit dem Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 wieder grundsätzlich zulässig. Meta Platforms Ireland Ltd. ist im EU-US Data Privacy Framework gelistet, prüfbar auf dataprivacyframework.gov/list.

Das DPF ersetzt jedoch nicht die Notwendigkeit einer Rechtsgrundlage für die Verarbeitung selbst. Sie brauchen weiterhin eine Rechtsgrundlage nach Art. 6 DSGVO, typischerweise die Vertragsanbahnung oder Vertragsabwicklung nach Art. 6 Abs. 1 lit. b DSGVO, wenn der Kunde von sich aus über WhatsApp Kontakt aufgenommen hat. Für werbliche Inhalte kommt nur die ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a in Verbindung mit Art. 7 DSGVO infrage.

Sobald die WhatsApp-Integration Drittanbieter-Tracking auf der Website auslöst (etwa ein WhatsApp-Click-to-Chat-Widget eines Drittanbieters, das Cookies setzt oder Endgeräte-Informationen ausliest), greift zusätzlich § 25 Abs. 1 TDDDG. Speicherung und Auslesen auf Endeinrichtungen brauchen dann eine vorherige Einwilligung, die nicht durch das DPF ersetzt wird.

Was Sie bei einer Business-Lösung dokumentieren müssen

Für den geschäftlichen Einsatz brauchen Sie:

• Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit dem WhatsApp-Anbieter. Bei der Business Platform schließen Sie den AVV mit dem Business Solution Provider, der wiederum einen AVV mit Meta hat. Siehe dazu auch den Beitrag Auftragsverarbeitungsvertrag (AVV): Wann ist er Pflicht?.
• Eintrag im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.
• Datenschutzerklärung-Abschnitt: Anbieter, Zwecke, Daten, Rechtsgrundlage, Drittlandübermittlung, Widerrufsmöglichkeit.
• Einwilligungsprozess: Wenn Sie aktiv Kunden anschreiben oder Newsletter über WhatsApp versenden möchten, eine dokumentierte Einwilligung nach Art. 7 DSGVO und § 7 Abs. 2 Nr. 3 UWG. Bei reaktivem Kundenservice (Kunde schreibt zuerst an) ist Art. 6 Abs. 1 lit. b DSGVO in der Regel tragfähig.
• Technisch-organisatorische Maßnahmen: dediziertes Gerät oder Multi-Device-Web-Variante, deaktivierter Adressbuch-Zugriff, Schulung der Mitarbeiter.

WhatsApp-Newsletter: Zwei parallele Pflichten

Werbliche WhatsApp-Nachrichten brauchen in Deutschland zwei Belege. Es genügt nicht, eine Schiene zu bedienen.

DSGVO-Einwilligung nach Art. 6 Abs. 1 lit. a und Art. 7 DSGVO. Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein. Sie muss dokumentiert sein und jederzeit so leicht widerrufbar sein, wie sie erteilt wurde. Analog zum Newsletter-Double-Opt-In ist das Standardverfahren ein zweistufiger Bestätigungsprozess.

Wettbewerbsrechtliche Werbe-Einwilligung nach § 7 Abs. 2 Nr. 3 UWG. Die Vorschrift erfasst ausdrücklich elektronische Post und in der herrschenden Auslegung auch Messenger-Nachrichten zu Werbezwecken. Ohne vorherige ausdrückliche Einwilligung des Empfängers liegt eine unzumutbare Belästigung vor. Mitbewerber, qualifizierte Wirtschaftsverbände und Verbraucherverbände können daraus eine Abmahnung mit Unterlassungsforderung ableiten. Der Bundesgerichtshof hat den Maßstab für E-Mail-Werbung in BGH I ZR 218/07 "E-Mail-Werbung II" (Urteil vom 10.02.2011) festgelegt. Die Logik gilt für jede elektronische Werbe-Nachricht: bereits eine einzige unverlangte Nachricht kann einen rechtswidrigen Eingriff darstellen.

In der Praxis trifft Versender, die ohne Einwilligung WhatsApp-Werbung verschicken, typischerweise beide Schienen gleichzeitig: ein Beschwerdeverfahren bei der zuständigen Landesdatenschutzbehörde nach DSGVO und eine UWG-Abmahnung. Die Wettbewerbszentrale aus Bad Homburg hat in ihrem Jahresbericht 2024 über 1.300 Abmahnungen dokumentiert, ein hoher Anteil entfällt auf unaufgeforderte elektronische Werbung in allen Kanälen.

Hinzu kommt: Meta selbst beschränkt Marketing-Nachrichten über die Business Platform stark. Nach einer Kundennachricht haben Sie ein 24-Stunden-Service-Fenster für freie Antworten. Außerhalb davon müssen Sie zugelassene Template-Nachrichten verwenden, die Meta vorab freigeben muss.

Was die deutschen Aufsichtsbehörden konkret sagen

Die deutsche Aufsichtsarchitektur ist föderal organisiert. Zuständig ist je nach Sitz des Unternehmens eine der 16 Landesdatenschutzbehörden. Für Telekommunikationsanbieter und Bundesbehörden ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig.

Die Datenschutzkonferenz (DSK) als gemeinsames Gremium hat in mehreren Beschlüssen klargestellt, dass der Einsatz von WhatsApp in Behörden und Schulen wegen des Adressbuch-Uploads regelmäßig unzulässig ist. Die DSK-Orientierungshilfe zum Einsatz von Messenger-Diensten wurde 2024 überarbeitet und ist über die DSK-Seite unter "Orientierungshilfen" auffindbar.

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) hat bereits Bußgelder gegen Unternehmen verhängt, die WhatsApp-Privatkonten zur Kundenkommunikation nutzten, ohne eine organisatorische Trennung sicherzustellen. Vergleichbare Beanstandungen kommen aus dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), das in seinen Tätigkeitsberichten regelmäßig Praxisfälle aus dem privaten Bereich aufgreift, und dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI), der den Adressbuch-Upload mehrfach kritisch eingeordnet hat. Verbraucherverbände haben zudem mehrere WhatsApp-Newsletter wegen fehlender Einwilligung erfolgreich abgemahnt.

Das bedeutet nicht, dass WhatsApp völlig tabu ist. Die Aufsicht prüft im Streitfall die konkrete Implementierung: dediziertes Gerät, getrennte Adressbücher, AVV, dokumentierte Einwilligung. Wer das sauber umsetzt, hat im Fall einer Beschwerde gute Argumente.

DSGVO-freundliche Alternativen

Wer den WhatsApp-Aufwand vermeiden möchte, hat mehrere Optionen:

• Signal: Open-Source-Messenger, Stiftungsstruktur, Verschlüsselungs-Goldstandard. Schwach: Verbreitung bei Endkunden gering.
• Threema Work: kommerzieller Schweizer Anbieter, Server in der Schweiz, hohe Datenschutzstandards, AVV verfügbar. Die Schweiz hat aus EU-Sicht einen Angemessenheitsbeschluss.
• Element / Matrix: dezentrales, föderiertes Protokoll. Selbst hostbar in der EU.
• E-Mail mit Transport-Verschlüsselung: oft unterschätzt, aber rechtlich am einfachsten zu handhaben.
• EU-Live-Chat-Tools: Crisp (Frankreich), Userlike (Köln), Chatwoot (Open Source, selbst hostbar), Tidio bieten Kundenservice direkt auf der Website ohne Drittland-Problematik.
• Multi-Channel-Plattformen mit EU-Sitz: Brevo Conversations (Frankreich) und MessageBird (Niederlande) bündeln Chat, E-Mail und Messenger und sind aus Sicht der Auftragsverarbeitung schlanker.

Das 24-Stunden-Service-Fenster

Eine technische Besonderheit der WhatsApp Business Platform, die in der Praxis oft Probleme macht: das 24-Stunden-Service-Fenster. Sobald ein Kunde Ihnen eine Nachricht schickt, dürfen Sie 24 Stunden lang frei antworten. Nach Ablauf des Fensters sind nur noch zugelassene, von Meta vorab freigegebene Template-Nachrichten erlaubt.

In der Praxis bedeutet das: Wer einen Kunden außerhalb des Fensters proaktiv kontaktieren möchte, etwa für eine Versandbestätigung, einen Termin-Erinnerung oder einen Status-Update, braucht ein abgestimmtes Template und eine dokumentierte Marketing-Einwilligung. Reine Service-Mitteilungen (Bestellbestätigung, Rechnung) sind oft auch ohne separate Marketing-Einwilligung zulässig, sofern sie Teil der Vertragserfüllung sind und keinen werblichen Charakter haben.

Diese Beschränkung ist nicht DSGVO-spezifisch, sondern eine Geschäftsbedingung von Meta. Sie wirkt aber wie eine Schutzschicht gegen unkontrollierten Massenversand und sollte daher als Vorteil und nicht als Hürde betrachtet werden.

Praxis-Empfehlung für kleine Unternehmen

Wenn WhatsApp aufgrund der Reichweite zwingend nötig ist:

1. WhatsApp Business Platform über einen EU-zertifizierten Solution Provider buchen (kein Privatgerät mit Business App).
2. AVV nach Art. 28 DSGVO unterschreiben, im Verzeichnis nach Art. 30 DSGVO dokumentieren.
3. Datenschutzerklärung anpassen, eigenen WhatsApp-Abschnitt einfügen.
4. Adressbuch-Zugriff vermeiden, keine privaten Kontakte auf dem Geschäftsgerät.
5. Keine ungefragten Marketing-Nachrichten. Einwilligung nach Art. 7 DSGVO und § 7 Abs. 2 Nr. 3 UWG dokumentieren oder direkt sein lassen.

Wenn der Aufwand in keinem Verhältnis zum Nutzen steht, etwa bei einem kleinen Solo-Unternehmen mit zwei oder drei WhatsApp-Anfragen pro Monat, ist die ehrliche Empfehlung: WhatsApp im Geschäftskontext nicht einsetzen. Eine gut gepflegte E-Mail-Adresse und ein einfacher Live-Chat auf der Website lösen die meisten Kommunikationsbedürfnisse, ohne dass Adressbuch-Upload, AVV, Drittlandübermittlung und Datenschutzerklärung-Pflege überhaupt zum Thema werden.

Mit dem kostenlosen DSGVO-Scanner prüfen Sie, ob die Datenschutzerklärung Ihrer Website die Drittanbieter, auch WhatsApp, korrekt benennt.