Datenschutz Online-Shop E-Commerce
Datenschutz Online-Shop – DSGVO-Checkliste für E-Commerce
Datenschutz im Online-Shop: Die DSGVO-Checkliste für Hamburger E-Commerce-Unternehmen – von Datenschutzerklärung bis Cookie-Banner.
Weiterlesen Datenschutz DSGVO WhatsApp Messenger KMU
WhatsApp DSGVO-konform im Unternehmen nutzen – So geht es richtig
Inhalt in Kürze
- Die reguläre WhatsApp-App ist im Unternehmen nicht datenschutzkonform -- sie überträgt automatisch alle Kontaktdaten an Meta in die USA.
- Nur die offizielle API-Lösung (WhatsApp Business Platform) erlaubt eine rechtskonforme Nutzung, da sie einen AV-Vertrag mit Meta ermöglicht und auf den Kontaktabgleich verzichtet.
- Unternehmen brauchen eine Zustimmung der Kontaktpersonen, eine angepasste Datenschutzerklärung und ein Löschkonzept.
- Alternativen wie Threema Work, Signal oder Wire speichern Daten auf EU-Servern und sind einfacher regelkonform einsetzbar.
Rund 200 Millionen Unternehmen weltweit nutzen WhatsApp Business — und immer mehr Unternehmen in Deutschland setzen WhatsApp als Kommunikationskanal für die Kundenkommunikation per WhatsApp ein. Das Thema WhatsApp und Datenschutz beschäftigt dabei viele Unternehmen: Ist WhatsApp im Unternehmen mit der DSGVO vereinbar? Die kurze Antwort: Die reguläre App überträgt das komplette Telefonbuch an Meta-Server in den USA. Auch Kontakte, die den Dienst gar nicht nutzen, sind betroffen.
Nutzen Sie WhatsApp Business geschäftlich, müssen Sie die Vorgaben der DSGVO einhalten. Dieser Artikel zeigt, wie Sie WhatsApp im Unternehmen nutzen können — DSGVO-konform, mit den richtigen Maßnahmen.
Warum die Nutzung von WhatsApp im Unternehmen ein DSGVO-Problem ist
Der Kern des Problems ist nicht die Ende-zu-Ende-Verschlüsselung. Die funktioniert. Das Problem sind die Metadaten: WhatsApp speichert und übermittelt, wer wem wann wie oft Nachrichten über WhatsApp schickt. Diese Daten landen bei Meta — einem US-Konzern, der dem CLOUD Act unterliegt.
Dazu kommt der automatische Kontaktabgleich. Sobald ein Mitarbeiter WhatsApp auf dem Smartphone installiert, liest die App von WhatsApp sämtliche Telefonnummern aus dem Adressbuch aus und überträgt sie an Meta. WhatsApp verarbeitet diese personenbezogenen Daten, ohne dass die betroffenen Personen eingewilligt haben — ein Verstoß gegen Artikel 6 DSGVO. Verstoßen Unternehmen gegen diese Vorgaben, drohen Bußgelder von bis zu 20 Millionen Euro.
Seit 2026 stuft die EU WhatsApp-Channels zudem als Very Large Online Platform unter dem Digital Services Act (DSA) ein. Das verschärft die Transparenz- und Meldepflichten. Die Nutzungsbedingungen von WhatsApp und die Richtlinien von WhatsApp ändern sich dadurch laufend — Unternehmen müssen das im Rahmen der DSGVO im Blick behalten.
82 %
der Deutschen nutzen WhatsApp
0
AV-Vertrag bei der normalen App
20 Mio. €
max. Bußgeld nach EU-Datenschutzrecht
WhatsApp Business App vs. WhatsApp Business API — die DSGVO-Unterschiede
Viele Unternehmen verwenden die kostenlose WhatsApp Business App im Glauben, damit DSGVO-konform zu handeln. Das ist ein Irrtum. Nur die WhatsApp Business API (auch WhatsApp Business Plattform genannt) ist für den geschäftlichen Einsatz von WhatsApp rechtlich vertretbar.
| Merkmal | Reguläre Version | Kostenlose Variante | Professionelle API |
|---|---|---|---|
| Kontaktabgleich | Ja, automatisch | Ja, automatisch | Nein |
| AV-Vertrag mit Meta | Nicht möglich | Nicht möglich | Möglich |
| Hosting | Meta-Server (USA) | Meta-Server (USA) | Über BSP, EU möglich |
| Geeignet für Unternehmen | Nein | Bedingt | Ja |
| Kosten | Kostenlos | Kostenlos | Ab ca. 50 €/Monat |
Die WhatsApp API läuft nicht direkt über Meta, sondern über sogenannten Business Solution Provider (BSP) wie Superchat, Chatarmin oder 360dialog. Ein BSP ist ein von Meta autorisierter Partner, der Unternehmen den Zugang zur WhatsApp Business Solution bereitstellt und die technische Infrastruktur auf EU-Servern betreiben kann. Der entscheidende Punkt: Die WhatsApp API greift nicht auf das Telefonbuch des Geräts zu.
Meta bezeichnet die gesamte API-Lösung offiziell als WhatsApp Business Platform. Darüber bietet WhatsApp Business die Möglichkeit, Kundenkommunikation, Chatbots und WhatsApp Newsletter DSGVO-konform abzubilden. Kleine Unternehmen und große Unternehmen können so via WhatsApp mit Kunden kommunizieren — vorausgesetzt, die Anforderungen nach DSGVO sind erfüllt. Nutzen Sie WhatsApp Business über die Platform, ist der DSGVO-konforme Einsatz von WhatsApp im Unternehmenskontext möglich.
Achtung:
Die kostenlose Version ist nicht dasselbe wie die Platform (API). Die Gratis-Variante greift genauso auf das Telefonbuch zu wie die reguläre Version. Ein AV-Vertrag mit Meta ist damit nicht möglich. Viele Unternehmen nutzen die kostenlose Lösung in dem Glauben, konform zu handeln -- das ist ein Irrtum.
Drei Produkte, ein Name — die DSGVO-Unterschiede im Detail
In der Praxis herrscht Verwirrung, weil Meta drei verschiedene Produkte unter dem Label "WhatsApp Business" anbietet. WhatsApp Business datenschutzkonform einzusetzen hängt davon ab, welches Produkt Sie wählen. Die Unterschiede sind erheblich.
Die kostenlose App: Diese Version richtet sich an Kleinunternehmer. Sie bietet ein Firmenprofil, Schnellantworten und einen Produktkatalog. Klingt praktisch. Das Problem: Die Anwendung funktioniert technisch wie die reguläre WhatsApp-Version. Sie liest das Telefonbuch aus und überträgt alle Kontaktdaten an Meta-Server in den USA. Personenbezogene Daten Ihrer Kunden, Lieferanten und Partner landen ohne deren Zustimmung bei einem US-Konzern. Ein Auftragsverarbeitungsvertrag (AVV) lässt sich nicht abschließen. Für die berufliche Nutzung in dieser Form gibt es keine datenschutzkonforme Rechtsgrundlage.
Die API-Lösung: Die API ist die technische Schnittstelle zur professionellen Platform. Unternehmen nutzen sie nicht direkt, sondern über einen zertifizierten Meta-Partner (BSP). Ein BSP stellt die technische Infrastruktur bereit -- oft auf EU-Servern. Die API greift nicht auf das Telefonbuch zu. Der Kontaktabgleich entfällt. Meta bietet für diese Variante einen AVV an. Das macht die API zur einzigen Lösung, die sich datenschutzkonform betreiben lässt.
Die Platform: Das ist Metas offizieller Oberbegriff für das gesamte API-Ökosystem. Sie umfasst die Cloud API, den WhatsApp Manager und die Integration über zertifizierte Partner. Wenn Meta von der "WhatsApp Business Platform" spricht, meint es die professionelle Lösung -- nicht die kostenlose Variante.
Was ist ein BSP?
Ein Business Solution Provider ist ein von Meta autorisiertes Unternehmen, das Ihnen den Zugang zur professionellen API-Lösung ermöglicht. Der BSP übernimmt die technische Anbindung, hostet die Infrastruktur und stellt Tools für das Nachrichtenmanagement bereit. Bekannte Anbieter im deutschsprachigen Raum sind Superchat, Chatarmin, Brevo und 360dialog. Die Kosten starten bei etwa 50 Euro pro Monat, abhängig vom Nachrichtenvolumen.
| Merkmal | Kostenlose Version | API-Lösung (Platform) |
|---|---|---|
| Zugang | Direkter Download | Nur über zertifizierten Meta-Partner |
| Kosten | Kostenlos | Ab ca. 50 €/Monat |
| Kontaktabgleich | Ja, automatisch | Nein |
| AV-Vertrag mit Meta | Nicht möglich | Möglich |
| Server-Standort | Meta (USA) | EU via BSP wählbar |
| Datenschutzkonform | Nein | Ja, unter Voraussetzungen |
| Chatbots & Automatisierung | Nein | Ja |
| Multi-Agent-Nutzung | Nein (1 Gerät) | Ja (mehrere Mitarbeiter) |
| CRM-Integration | Nein | Ja |
Was Sie für den rechtskonformen Einsatz brauchen
- AVV abschließen: Nur über die Platform (API) verfügbar. Der AV-Vertrag regelt, wie Meta personenbezogene Daten im Auftrag verarbeitet -- Pflicht nach Art. 28 der Verordnung.
- Einwilligung einholen: Bevor Sie einen Kunden über WhatsApp kontaktieren, brauchen Sie dessen ausdrückliche Zustimmung nach Art. 6 Abs. 1 lit. a der Verordnung. Ein Opt-in-Feld im Kontaktformular reicht.
- Informationspflichten erfüllen: Informieren Sie auf Ihrer Website über die WhatsApp-Nutzung: Zweck, Rechtsgrundlage, Empfänger (Meta), Drittlandtransfer, Speicherdauer.
- Löschkonzept erstellen: Definieren Sie, wann Chatverläufe und Kontaktdaten gelöscht werden. Ohne Löschkonzept verstoßen Sie gegen die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e der Verordnung.
- Mitarbeiter schulen: Ihre Mitarbeiter müssen wissen, was sie über den Dienst kommunizieren dürfen und was nicht. Sensible Daten -- Gesundheitsdaten, Finanzdaten, Personalakten -- haben in keinem Chat etwas verloren.
- Container-Lösung auf Firmengeräten: Falls WhatsApp auf dem Diensthandy läuft, muss ein MDM-System (z. B. Microsoft Intune) den beruflichen vom privaten Bereich trennen.
DSGVO-konforme Einwilligung für WhatsApp Business einholen
Selbst mit der professionellen API-Lösung brauchen Sie eine ausdrückliche Einwilligung, bevor Sie per WhatsApp Kunden kontaktieren. Die Rechtsgrundlage ist Artikel 6 DSGVO Abs. 1 lit. a — die Einwilligung der betroffenen Person. Ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) reicht bei der Nutzung der WhatsApp Business Platform in der Regel nicht aus — die Aufsichtsbehörden sind hier streng. WhatsApp rechtssicher zu nutzen erfordert nach DSGVO eine saubere Einwilligung.
Die Einwilligung muss drei Bedingungen erfüllen:
- Freiwillig: Der Kunde darf keinen Nachteil haben, wenn er ablehnt. "Nur per WhatsApp erreichbar" ist keine Option.
- Informiert: Der Kunde muss wissen, welche Daten verarbeitet werden, wohin sie gehen und wer Zugriff hat.
- Eindeutig: Eine aktive Handlung ist nötig. Vorangekreuzte Checkboxen zählen nicht.
Das bewährteste Verfahren ist Double-Opt-In: Der Kunde gibt seine Telefonnummer an und bestätigt das Opt-In in einem zweiten Schritt -- zum Beispiel durch eine Bestätigungsnachricht per SMS oder E-Mail. So dokumentieren Sie, dass die Erlaubnis tatsächlich vom Inhaber der Nummer stammt.
Wichtig: Der Widerruf muss jederzeit und genauso einfach möglich sein wie die Zustimmung selbst. Eine kurze Nachricht "STOP" sollte genügen, um die Kommunikation über WhatsApp zu beenden.
Formulierungsbeispiel für das Opt-In:
„Ich willige ein, dass die [Firma] mich über WhatsApp (offizielle API-Lösung / Meta Platforms Ireland Ltd.) zu [Zweck, z. B. Terminbestätigungen und Serviceanfragen] kontaktiert. Meine Telefonnummer wird dazu an den BSP [Name] und an Meta übermittelt. Ich kann diese Zustimmung jederzeit widerrufen, z. B. per Nachricht mit dem Wort STOP."
Datenschutzerklärung anpassen: Was bei WhatsApp Business nach DSGVO rein muss
Wenn Sie WhatsApp geschäftlich nutzen, müssen Sie Ihre Datenschutzerklärung auf der Website ergänzen. Das schreiben Art. 13 und 14 DSGVO vor. Die Informationspflichten gelten unabhängig davon, ob Sie die kostenlose WhatsApp Business App oder die WhatsApp Business Platform nutzen. Auch die interne Kommunikation im Unternehmen über WhatsApp muss dokumentiert werden.
Folgende Angaben gehören in einen eigenen Abschnitt "Kommunikation über WhatsApp":
- Verantwortlicher: Name und Kontaktdaten Ihres Unternehmens
- Zweck der Verarbeitung: z. B. Kundenkommunikation, Terminvereinbarung, Auftragsbestätigung
- Rechtsgrundlage: Zustimmung nach Art. 6 Abs. 1 lit. a der Verordnung
- Verarbeitete Daten: Telefonnummer, Name (falls angegeben), Nachrichteninhalte, Metadaten (Zeitstempel, Zustellstatus)
- Empfänger: Meta Platforms Ireland Ltd. als Auftragsverarbeiter, ggf. Name des BSP
- Drittlandübermittlung: Hinweis, dass Meta als US-Konzern dem EU-US Data Privacy Framework unterliegt. Trotz Angemessenheitsbeschluss der EU-Kommission bleibt ein Restrisiko durch den CLOUD Act bestehen.
- Speicherdauer: Wie lange Chatverläufe aufbewahrt werden und wann sie gelöscht werden
- Hinweis auf Widerruf: Dass die Einwilligung jederzeit widerrufen werden kann
Ein weiterer Pflichtbaustein ist der Auftragsverarbeitungsvertrag mit Meta. Diesen bietet Meta nur für die professionelle API-Lösung an. Der AVV regelt nach Art. 28 DSGVO, wie Meta personenbezogene Daten in Ihrem Auftrag verarbeitet: welche Daten betroffen sind, wie lange sie gespeichert werden und welche technischen Schutzmaßnahmen gelten. Ohne diesen Vertrag fehlt Ihnen die rechtliche Grundlage — und WhatsApp aufgrund fehlender Verträge zu nutzen ist ein Bußgeldrisiko.
WhatsApp und Datenschutz in der Praxis
Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern -- die arbeiten für große Kunden mit enormen Ansprüchen.
Nils OehmichenDatenschutzberater bei frag.hugo
Genau das sehen wir regelmäßig: Ein Handwerksbetrieb mit acht Mitarbeitern koordiniert Kundentermine über WhatsApp. Ein Steuerbüro schickt Unterlagen per Nachrichtendienst. Ein Pflegedienst tauscht Dienstpläne in der WhatsApp-Gruppe aus. Keiner denkt an eine Datenschutzschulung -- bis die Aufsichtsbehörde nachfragt.
Das Bußgeldrisiko ist real. Die Hamburger Aufsichtsbehörde prüft zunehmend, wie Unternehmen den Dienst im Arbeitsalltag einsetzen. Gerade bei Beschwerden von Betroffenen wird schnell nachgehakt, ob ein AV-Vertrag vorliegt und ob die Mitarbeiter geschult sind.
WhatsApp-Alternativen für Unternehmen: DSGVO-konforme Messenger im Vergleich
Wer das Problem umgehen will, hat Alternativen. Mehr Unternehmen als je zuvor suchen nach sicheren Kommunikationstools, die ohne WhatsApp auskommen. Dass WhatsApp in Deutschland nicht ohne weiteres DSGVO-konform nutzbar ist, hat den Markt für Alternativen wachsen lassen:
| Messenger | Server-Standort | E2E-Verschlüsselung | Datenschutzkonform | AV-Vertrag | Kosten ab |
|---|---|---|---|---|---|
| Threema Work | Schweiz | Ja | Ja | Ja | 1,99 €/Nutzer/Monat |
| Signal | EU (Niederlande) | Ja | Bedingt | Bedingt | Kostenlos |
| Wire | Deutschland/EU | Ja | Ja | Ja | 4 €/Nutzer/Monat |
| Element (Matrix) | Selbst-Hosting/EU | Ja | Ja | Ja | 5 €/Nutzer/Monat |
| Telegram | Dubai/Global | Optional (nur Secret Chats) | Nein | Nein | Kostenlos |
| WhatsApp Business Platform | EU via BSP | Ja | Ja (mit AVV) | Ja | ca. 50 €/Monat |
Threema Work ist die pragmatischste Lösung für Unternehmen, die sichere Kommunikation brauchen: Schweizer Server, kein Telefonbuch-Zugriff, zentrales Management über die Admin-Konsole. Threema benötigt keine Telefonnummer zur Registrierung -- ein klarer Vorteil beim Schutz personenbezogener Daten. Der Nachteil: Ihre Kunden müssen das Tool installieren. Ob das realistisch ist, hängt von Ihrer Branche ab.
Signal eignet sich gut für interne Kommunikation. Die Anwendung ist Open Source, speichert minimale Metadaten und bietet starke Ende-zu-Ende-Verschlüsselung. Für die professionelle Kundenkommunikation fehlt allerdings ein Enterprise-Plan mit Administrationsmöglichkeiten und zentralem Nutzermanagement.
Wire kombiniert Ende-zu-Ende-Verschlüsselung mit einem echten Firmenangebot. Server stehen in Deutschland, ein AVV ist verfügbar, und die Lösung lässt sich zentral über eine Admin-Konsole verwalten. Wire ist datenschutzkonform und eine solide Alternative für Unternehmen, die Wert auf europäische Infrastruktur legen.
Element (Matrix-Protokoll) bietet maximale Kontrolle: Das Kommunikationstool basiert auf dem offenen Matrix-Protokoll und lässt sich auf eigenen Servern betreiben. Damit bleiben alle Daten in Ihrer Infrastruktur. Die Einrichtung ist technisch anspruchsvoller, aber für Organisationen mit hohen Sicherheitsanforderungen eine interessante Option.
Telegram ist trotz seiner Beliebtheit keine datenschutzkonforme Alternative. Die Standard-Chats sind nicht Ende-zu-Ende-verschlüsselt. Die Server stehen verteilt in verschiedenen Ländern, ein AVV ist nicht verfügbar, und die Datenschutzerklärung von Telegram genügt europäischen Standards nicht. Für den beruflichen Einsatz von Telegram gibt es keine belastbare Rechtsgrundlage.
Unsere Empfehlung:
Für die interne Kommunikation im Unternehmen ist Threema Work die sicherste Wahl: Schweizer Server, kein Telefonbuch-Zugriff, zentrale Verwaltung und volle Datenschutz-Konformität. Für die Kundenkommunikation kann die offizielle API-Lösung über einen zertifizierten Meta-Partner eine sinnvolle Ergänzung sein -- wenn Sie die Zustimmung sauber einholen und den AVV mit Meta abschließen.
Ihr nächster Schritt
Das Wichtigste: Die reguläre WhatsApp-Version und die kostenlose Variante sind im beruflichen Einsatz nicht konform mit dem EU-Datenschutzrecht. Wenn Unternehmen WhatsApp nutzen wollen, führt kein Weg an der offiziellen API-Lösung mit AV-Vertrag vorbei. Prüfen Sie zusätzlich, ob eine EU-Alternative wie Threema Work nicht die einfachere Lösung ist.
Sie sind unsicher, ob Ihre aktuelle Kommunikation regelkonform ist? Unser kostenloser Website-Check zeigt Ihnen in 60 Sekunden, wo Ihre größten Lücken liegen. Für eine umfassende Prüfung Ihrer Tools steht Ihnen unser Team als externer Datenschutzbeauftragter zur Seite.
WhatsApp, Teams, Slack -- alles regelkonform?
Wir prüfen Ihre Kommunikationstools und zeigen Ihnen, was Sie ändern müssen.
Kostenloses Erstgespräch buchen →Häufige Fragen zu WhatsApp und DSGVO
Ist WhatsApp im Unternehmen DSGVO-konform?
Die reguläre Version ist für die berufliche Kommunikation nicht datenschutzkonform. Sie überträgt automatisch alle Kontaktdaten an Meta. Nur die offizielle API-Lösung (Platform) kann unter bestimmten Voraussetzungen regelkonform eingesetzt werden -- mit AV-Vertrag, Opt-In und Löschkonzept.
Was ist der Unterschied zwischen der kostenlosen Version und der API?
Die kostenlose Variante greift wie die reguläre Version auf das Telefonbuch zu und überträgt Kontaktdaten an Meta. Die API arbeitet dagegen über einen zertifizierten Meta-Partner (BSP), ermöglicht einen AV-Vertrag und verzichtet auf den automatischen Kontaktabgleich.
Brauche ich einen AV-Vertrag mit Meta?
Ja. Wenn Sie WhatsApp im Unternehmen einsetzen, ist Meta Auftragsverarbeiter nach Art. 28 der Verordnung. Einen AVV bietet Meta jedoch nur für die offizielle API-Lösung an -- nicht für die reguläre Version oder die kostenlose Variante.
Welche Alternativen zu WhatsApp sind datenschutzkonform?
Threema Work, Signal und Wire gelten als sichere Alternativen. Threema Work speichert Daten auf Schweizer Servern und benötigt keine Telefonnummer. Signal und Wire sind Open Source und bieten Ende-zu-Ende-Verschlüsselung ohne Metadaten-Weitergabe.
Dürfen Mitarbeiter WhatsApp auf dem Firmenhandy nutzen?
Ohne technische und organisatorische Maßnahmen nein. Die Anwendung überträgt automatisch alle Kontaktdaten an Meta -- auch von Personen, die den Dienst gar nicht nutzen. Falls WhatsApp auf dem Diensthandy erlaubt wird, muss ein Container-System den beruflichen vom privaten Bereich trennen.
Inhaltsverzeichnis
Weiterlesen
Ähnliche Artikel
Datenschutz Handwerk KMU
Datenschutz Handwerksbetrieb – Welche Pflichten gelten für kleine Firmen?
Datenschutz im Handwerk: Welche DSGVO-Pflichten für Hamburger Handwerksbetriebe gelten – und was Sie sich sparen können. Mit Checkliste.
Weiterlesen
DSGVO Einwilligung Consent
DSGVO Einwilligung richtig einholen – Muster und häufige Fehler
DSGVO Einwilligung richtig einholen: Die 5 Pflicht-Anforderungen, häufige Fehler und Muster-Formulierungen für Hamburger Unternehmen.
WeiterlesenÜber den Autor
Nils Oehmichen
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter und seit über 13 Jahren in der Datenschutzberatung für mittelständische Unternehmen. Als Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH berät er KMU zu DSGVO, NIS2 und EU AI Act. Zusätzlich leitet er die BVMID-Geschäftsstelle Hamburg Süd/Ost.
TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Nächster Schritt
Haben Sie Fragen?
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
