WhatsApp & Datenschutz: Was ist im Unternehmen erlaubt?

Symbolbild: Ein Würfel mit einem Schloss vor einem Smartphone.

WhatsApp ist eines der meistgenutzten Kommunikationsmittel im Alltag. Auch Unternehmen nutzen die Messenger-App als alternatives Kommunikationsmittel im Kundenkontext. In diesem Tipp der Woche möchten wir dich darüber aufklären, ob und vor allem wie WhatsApp in deinem Unternehmen datenschutzkonform eingesetzt werden kann.

Einsatzmöglichkeiten von WhatsApp

Es gibt drei unterschiedliche Varianten von WhatsApp, der Tochtergesellschaft von Meta Inc. Zum einen gibt es den klassischen WhatsApp Messenger, zum anderen die WhatsApp Business App sowie die WhatsApp Business Plattform.

Der klassische WhatsApp Messenger sollte ausschließlich für den privaten Gebrauch genutzt werden. Es verstößt nicht gegen die DSGVO privat mit Kollegen*innen über WhatsApp zu kommunizieren, jedoch ist ein Austausch über unternehmensbezogene Themen oder die Kommunikation mit Kund*innen über den klassischen WhatsApp Messenger innerhalb des Unternehmens nicht zu empfehlen.

WhatsApp Business

WhatsApp Business ist für die geschäftliche Nutzung vor allem für die Kommunikation mit Kund*innen geeignet. Eine private Nutzung von WhatsApp Business widerspricht den Nutzungsbedingungen. Eine Nichteinhaltung der Bedingungen kann zu einer Abmahnung oder Kontosperrung seitens WhatsApp führen.

Bei der WhatsApp Business Plattform stellt WhatsApp, bzw. Meta, die Software nicht selbst zur Verfügung, sondern zertifizierte Partner von WhatsApp, sogenannte Business Solution Provider. Die Plattform kann über eine Schnittstelle (API) mit dem Unternehmenskonto bei WhatsApp verbunden werden.

Warum ist WhatsApp daten­schutz­rechtlich problematisch?

Bei der Nutzung von WhatsApp werden neben den Nachrichtendaten auch sogenannte Metadaten verarbeitet. Unter Metadaten sind Daten wie die IP-Adresse, Geräteinformationen, Häufigkeit der Nutzung, Kontakte, Profilnamen und die Telefonnummer zu verstehen. Die Metadaten stellen personenbezogene Daten gem. Art. 4 Abs. 1 Nr. 1 DSGVO dar.

Anders als bei den Nachrichten, die Ende-zu-Ende verschlüsselt sind, werden die Metadaten unverschlüsselt an WhatsApp, bzw. an Meta Inc., übermittelt.

Weiterhin sind folgende Punkte problematisch:

  • In den Standardeinstellungen hat WhatsApp Zugriff auf alle Kontaktdaten auf dem jeweiligen mobilen Endgerät.
  • Die Backups werden in den Standardeinstellungen ebenfalls unverschlüsselt in der Google oder Apple Cloud gespeichert.

Nach der DSGVO braucht es eine rechtliche Grundlage gem. Art. 6 Abs. 1 DSGVO für die Verarbeitung von personenbezogenen Daten. Bei der automatischen Kontaktsynchronisation fehlt diese, da alle Telefonnummern aus den Kontakten an WhatsApp übermittelt werden, ohne dass die betroffenen Personen zugestimmt haben.

Im Unternehmenskontext wäre dies eine rechtswidrige Übermittlung personenbezogener Daten an WhatsApp.

Wie kann WhatsApp Business datenschutzkonform eingesetzt werden?

Bei dem Einsatz von WhatsApp Business kommt es ganz darauf an, wie man den Dienst einsetzt, da gewisse Standardeinstellungen auch bei WhatsApp Business problematisch sind. Im Folgenden stellen wir vor, worauf beim Einsatz von WhatsApp Business geachtet werden muss.

Auftragsverarbeitungsvertrag

Bei der Verwendung von WhatsApp Business stellt WhatsApp einen Auftragsverarbeitungsvertrag zur Verfügung sowie ergänzende Bestimmungen für Unternehmen innerhalb der Europäischen Union.

💡 Bei der Nutzung von WhatsApp werden Daten innerhalb der Meta-Unternehmen übermittelt und somit auch in die USA. WhatsApp LLC und Meta Platforms, Inc. sind unter dem EU-US Data Privacy Framework zertifiziert, womit eine Rechtsgrundlage für die Datenübermittlung besteht.

👉 Eine ausführlichere Darstellung zur Datenübermittlung in die USA findest du im Tipp der Woche „Neuer Angemessen­heits­­­­beschluss zwischen Europäischer Union und USA“.

Einholung der Einwilligung

Bei beiden WhatsApp Business Varianten benötigtst duvor Kontaktaufnahme eine Einwilligung der Kund*innen. Dafür eignet sich das Double-Opt-In-Verfahren.

Dies gilt auch, wenn die Telefonnummer bereits in deiner Datenbank vorhanden ist.

Das ist bei der WhatsApp Business App zu beachten:

  • Zugriff auf Kontakte: Deaktiviere in den Standardeinstellungen die automatische Synchronisation der Kontakte. Ebenfalls ist es sinnvoll, ein separates Mobiltelefon zu verwenden, worauf keine privaten Kontakte gespeichert sind.
  • Cloud- Backups: Deaktiviere die automatisierten Cloud-Backups, damit diese nicht unverschlüsselt gespeichert werden.
  • Datenschutzerklärung: Nimm WhatsApp Business in deine Datenschutzerklärung auf. Du kannst automatisierte Nachrichten bei der ersten Kontaktaufnahme eines Kunden verschicken lassen. Nutze dies zur Verfügungstellung der Datenschutzerklärung beispielsweise mit einem Link. Wichtig ist, dass die erste Kontaktaufnahme durch die Kundin oder den Kunden
  • Impressumspflicht: Du unterliegst bei der Nutzung von WhatsApp Business als Dienstanbieter der Impressumspflicht gem. § 5 DDG. Diese kannst du in der Unternehmensbeschreibung in deinem Profil hinterlegen.

Das ist bei der WhatsApp Business Plattform zu beachten:

  • Business Solution Provider: Wähle für die Software ein Partnerunternehmen mit Hauptsitz und Serverstruktur in der Europäischen Union. Achte darauf, dass eine Desktop-Anwendung bereitgestellt wird, sodass kein Datenabgleich über die WhatsApp-App stattfindet.
  • Auftragsverarbeitungsvertrag: Mit dem jeweiligen Partnerunternehmen muss ein Auftragsverarbeitungsvertrag Art. 28 DSGVO abgeschlossen werden.
  • Datenschutzerklärung: Nimm WhatsApp Business und den jeweiligen Business Solution Provider in deine Datenschutzerklärung auf.
  • Impressumspflicht: Du unterliegst bei der Nutzung von WhatsApp Business als Dienstanbieter der Impressumspflicht gem. § 5 DDG.

Versand von Newslettern über WhatsApp Business

Wenn WhatsApp Business zum Versand deiner Newsletter verwendet werden soll, musst du eine vorherige Einwilligung deiner Kundschaft einholen. Es müssen grundsätzlich die gleichen Anforderungen erfüllt werden wie bei einem E-Mail-Newsletter.

👉 Weitere Informationen zum datenschutzkonformen Newsletter-Versand erhältst du in unserem Tipp der Woche “E-Mail-Marketing in Zeiten der DSGVO“.

Unser Tipp

Der Einsatz von WhatsApp ist nicht von sich aus datenschutzkonform, deshalb sollten Unternehmen genau prüfen, in welcher Form der Dienst eingesetzt wird.

Unter bestimmten Voraussetzungen und mit der richtigen technischen Umsetzung lassen sich die formellen Anforderungen der DSGVO erfüllen. Vor allem ist der Einsatz der WhatsApp Business Plattform mit einem datenschutzkonformen Business Solution Provider zu empfehlen, da es sich um eine externe Software handelt.

Wichtig ist insbesondere die nachweisbare Einwilligung der Kund*innen, eine Anpassung der Standardeinstellungen und eine transparente Information in deiner Datenschutzerklärung.

🤓 Mit unseren Legal Produkten unterstützen wir dich dabei, eine praxisnahe Lösung zu finden. Wenn du Unterstützung bei der rechtssicheren Einwilligungsgestaltung oder der Umsetzung einer DSGVO-konformen WhatsApp-Kommunikation brauchst, melde dich gern bei uns.

24.07.25

Weitere relevante Artikel

Ein Laptop zeigt eine Übersicht über ein Rollenkonzept.

Rollen- & Rechtekonzepte: Wer darf auf Daten zugreifen?

 Smartphone-Nutzer erhält einen Newsletter.

E-Mail-Marketing in Zeiten der DSGVO

 Eine Glühbirne mit den farbigen Energieklassen.

Neue Energie­ver­brauchs­kenn­zeichnung für Smartphones und Tablets

Weitere interessante Blog-Artikel

Datenschutz , Rechtssicher Werben in Legal

WhatsApp & Datenschutz: Was ist im Unternehmen erlaubt?

In diesem Tipp der Woche möchten wir dich darüber aufklären, ob und vor allem wie WhatsApp in deinem Unternehmen datenschutzkonform eingesetzt werden kann.

Jetzt lesen
4min. Lesezeit  |  24.07.25
Online-Handel in Legal

Wundertüte mit Widerruf? Alles über Mystery-Boxen und Sammelkarten

Mystery-Boxen sind auch im Online-Handel beliebt, Kundinnen und Kunden mögen die Überraschung. Doch wie sieht es bei unbekannter Ware mit dem Widerruf aus?

Jetzt lesen
3min. Lesezeit  |  15.07.25
Abmahnung , Produktrecht in Legal

Abmahnfalle LMIV: Lebensmittel rechtssicher verkaufen

Wir haben die wichtigsten Informationen zur LMIV dich zusammengestellt. Du verkaufst online Lebensmittel? Dann lies weiter!

Jetzt lesen
8min. Lesezeit  |  08.07.25
Land auswählen:
DE
BE CZ ES FR IT NL AT PL CH PT RO UK COM

© 2025 Trusted Shops SE Impressum Datenschutz Cookies