Wie Sie WhatsApp DSGVO-konform im Unternehmen einsetzen

WhatsApp Business im Unternehmen bringt klare Anforderungen an Datenschutz und DSGVO mit sich. Entscheidend ist, wie der Messenger genutzt wird und welche Daten dabei verarbeitet werden.

WhatsApp ist der meistgenutzte Messenger in Deutschland und genau deshalb nutzen ihn viele Unternehmen auch für die Kundenkommunikation. Oft geschieht das über die private WhatsApp-App oder die WhatsApp Business App, die einzelne Mitarbeitende auf ihrem Diensthandy installieren.

Das Problem: Diese Praxis ist in den meisten Fällen nicht DSGVO-konform. Und sie schafft operative Risiken, die Unternehmen unterschätzen; von unkontrollierten Datenabflüssen bis hin zu Kundendaten, die beim Ausscheiden eines Mitarbeitenden einfach auf dessen Privatgerät verbleiben.

In diesem Artikel zeigen wir, unter welchen Voraussetzungen WhatsApp Business – per App oder API – DSGVO‑konform eingesetzt werden kann, welche Risiken realistisch sind und wie Unternehmen WhatsApp rechtskonform und verantwortungsvoll nutzen.

1. Warum die private WhatsApp-Version im Unternehmen problematisch ist
2. Die WhatsApp Business App DSGVO konform einsetzen
3. Die WhatsApp Business Platform (API) DSGVO konform einsetzen
4. Mehr zum Thema WhatsApp im Unternehmen

Warum die private WhatsApp-Version im Unternehmen problematisch ist

Versicherungsagenturen, Handwerksbetriebe, Immobilienmakler oder Reisebüros: In vielen Unternehmen läuft Kundenkommunikation noch über persönliche WhatsApp Nummern oder einzelne Diensthandys. Was im Alltag zunächst unkompliziert wirkt, bringt schnell Herausforderungen bei Datenschutz, Transparenz und Zusammenarbeit im Team mit sich.

Das DSGVO-Problem

Sobald ein Mitarbeitender WhatsApp auf einem Gerät installiert, auf dem sich Kontakte befinden, synchronisiert WhatsApp automatisch das gesamte Adressbuch – inklusive aller gespeicherten Telefonnummern. Diese Daten werden unverschlüsselt, nicht anonymisiert und nicht pseudonymisiert an WhatsApp-Server in den USA übertragen. Für diese Übertragung haben weder Sie noch die betroffenen Personen eine Rechtsgrundlage erteilt. Das ist, unabhängig davon, ob die Kommunikation selbst Ende-zu-Ende-verschlüsselt ist. ein klarer DSGVO-Verstoß.

Das operative Problem

Das zweite Risiko ist weniger bekannt, aber für Unternehmen genauso gravierend: Wer über die private App mit Kunden kommuniziert, entzieht diese Kommunikation der zentralen Unternehmenskontrolle. 

Das bedeutet konkret: 

1. Kein Zugriff bei Ausscheiden. Verlässt ein Mitarbeitender das Unternehmen, bleiben alle Kundengespräche auf seinem Gerät. Das Unternehmen hat keinen Zugriff, keine Übersicht, keine Möglichkeit, den Kontakt zu übernehmen oder den ehemaligen Mitarbeitenden zu entfernen. 

2. Keine Übergabe. Kunden, die monatelang mit „Sabine“ kommuniziert haben, werden vom Unternehmen nicht einmal darüber informiert, dass Sabine nicht mehr da ist, weil niemand weiß, welche Kundengespräche über deren Privathandy liefen. 

3. Kein Protokoll. Compliance-relevante Kommunikation, wie Beratungen, Vereinbarungen, Zusagen ist nicht dokumentierbar, nicht auditierbar, nicht nachweisbar. 

4. Kein Routing. Kunden, die außerhalb der Arbeitszeit schreiben, erreichen niemanden. Vertretungsregelungen sind nicht möglich.

Für regulierte Branchen wie Versicherungen, Banken oder Energieversorger sind das keine theoretischen Risiken, sondern potenzielle Haftungsfälle. 

Nutzen Sie WhatsApp als Kontaktkanal, werden Sie zum Verarbeiter von personenbezogenen Daten der Kunden, die Ihnen dort schreiben. Das betrifft mindestens die bei WhatsApp hinterlegte Telefonnummer Ihrer Kunden, aber auch Gesprächsinhalte, beispielsweise wenn hier etwa eine Lieferanschrift oder E-Mail-Adresse kommuniziert wird.

Das ist erstmal kein Problem. Durch die Kontaktaufnahme eines Kunden haben Sie nach allgemeiner Rechtsauffassung ein berechtigtes Interesse gemäß DSGVO, seine Daten zu verarbeiten. Die Verarbeitung ist schließlich nötig, damit dieser seine Anfrage stellen und eine Antwort von Ihnen erhalten kann. Bei der Verarbeitung selbst müssen Sie sich natürlich, wie auch bei Ihren anderen Service-Kanälen, an die DSGVO halten.

Dabei sind insbesondere folgende Punkte relevant:

• Welche Daten werden verarbeitet? WhatsApp verschlüsselt Gesprächsinhalte Ende-zu-Ende – niemand liest mit, weder WhatsApp noch Meta noch US-Behörden. Anders sieht es bei Metadaten aus: Telefonnummer, Gerät, Nutzungszeitpunkt, Standort und IP-Adresse werden an WhatsApp übermittelt und können ins EU-Ausland weitergegeben werden.
• Auf welcher Rechtsgrundlage? WhatsApp als Auftragsverarbeiter muss Ihnen garantieren, dass Kundendaten hinreichend geschützt werden. Seit 2021 geschieht das über die neuen EU-Standardvertragsklauseln, die das abgeschaffte Privacy Shield ersetzen. WhatsApp hat seine Datenschutzbedingungen entsprechend angepasst.
• Wer verarbeitet die Daten? Der entscheidende Unterschied liegt nicht in den Gesprächsinhalten, sondern in der Infrastruktur: Wie gelangen Kundendaten zu WhatsApp, und auf welchem Weg? Das ist der Kernunterschied zwischen der WhatsApp Business App und der WhatsApp Business Platform.

WhatsApp Business DSGVO-konform in der Kundenkommunikation einsetzen

Diese Garantie wird in einem Auftragsverarbeitungsvertrag beziehungsweise, seit Juni 2021, durch die neuen Standarddatenschutzklauseln (auch: Standardvertragsklauseln) schriftlich dargelegt. Sie dienen als Ersatz für das abgeschaffte Privacy Shield. WhatsApp hat seine Datenschutzbestimmungen und -übermittlungsbedingungen so angepasst, dass Sie den neuen Vorgaben der EU-Kommission entsprechen.

In unserer modernen Welt kommt es darauf an, dass Daten innerhalb und außerhalb der EU mit dem erforderlichen Schutz ausgetauscht werden können. Mit diesen verstärkten Klauseln ermöglichen wir den Unternehmen mehr Sicherheit und Rechtssicherheit bei Datenübermittlungen. Die neuen Standardvertragsklauseln werden den Unternehmen sehr dabei helfen, die DSGVO einzuhalten.

---

EU-Justizkommissar Didier Reynders von der Europäischen Kommission

Neue Standardvertragsklauseln ermöglichen DSGVO-konformen Einsatz von WhatsApp Business

Fest steht, dass WhatsApp in jeder seiner Anwendungen die Gesprächsinhalte Ende-zu-Ende-verschlüsselt. Nutzer und Unternehmen erhalten somit die Garantie, dass niemand mitliest, weder WhatsApp noch unerwünschte Dritte, wie Facebook oder die US-Behörden (hierzu gleich mehr). Was Sie mit Ihren Kunden besprechen, gerät also nie in „fremde” Hände.

Anders ist es bei den unverschlüsselten Metadaten, die bei der Cloud-Kommunikation entstehen. Zu diesen Daten gehören unter anderem die Telefonnummer des Nutzers, sein Gerät, Art und Zeitpunkt der Nutzung, Standort und IP-Adresse.

„WhatsApp teilt deine Daten in der Europäischen Region nicht mit anderen Meta-Unternehmen, um dir eine bessere Erfahrung oder relevantere Anzeigen für ihre Produkte bereitzustellen.“

Nach Aufhebung des Privacy-Shield-Abkommens beruft sich das Unternehmen nun auf die gültigen Standardvertragsklauseln als Rechtsgrundlage für den Datentransfer. Diese bescheinigen Ihren Nutzern, dass sowohl der Verantwortliche (Sie), der Auftragsverarbeiter (WhatsApp) und etwaige Drittländer und Drittorganisationen (USA, Meta) sämtliche Bestimmungen der DSGVO einhalten.

Die WhatsApp Business App DSGVO-konform einsetzen

WhatsApp Business App ist WhatsApps mobile, kostenlose App für Kleinunternehmer. Diese können dort Produkte und Dienstleistungen anbieten sowie mit Kunden sprechen und dabei simple Automationsoptionen nutzen.

Technisch basiert sie auf der bekannten WhatApp-App für den privaten Gebrauch und ist im Grunde deren kommerziell nutzbare Version. Sie ist aktuell für Android- und iOS-Geräte verfügbar und kostenlos, jedoch auf fünf Geräte, eine Telefonnummer und wenige Business-Funktionen begrenzt. Sie beantworten Kundenanfragen manuell über ein mobiles Endgerät oder WhatsApp Web auf dem Desktop. Ein größeres Support-Aufkommen lässt sich so natürlich nicht bewältigen.

Checkliste: WhatsApp Business App in Deutschland datenschutzkonform einsetzen

Wenn Sie die WhatsApp Business App DSGVO-konform einsetzen möchten, sollten Sie folgende Punkte beachten: 

• Verwenden Sie die WhatsApp Business App nur auf eigens dafür vorgesehenen Mobilgeräten
• Sorgen Sie dafür, dass das Adressbuch ausschließlich WhatsApp-Kontakte enthält – zum Zeitpunkt der Installation und danach
• Verweigern Sie WhatsApp alternativ den Zugriff auf Ihre Kontakte oder speichern Sie Ihre WhatsApp-Kunden nicht im Adressbuch (dann werden Kunden allerdings ohne Namen angezeigt)
• Führen Sie immer die aktuellen Updates durch
• Verzichten Sie auf die Aktivierung der Cloud-Backups (Google Drive/Apple iCloud)
• Speichern Sie Anhänge nicht auf dem internen oder externen Speicher des Geräts (z. B automatisches Speichern von Fotos )

Jedoch bleibt die WhatsApp Business App selbst mit diesen Maßnahmen eine Übergangslösung und keine compliant-fähige Basis für professionelle Kundenkommunikation.

Die WhatsApp Business Platform DSGVO-konform einsetzen

Die WhatsApp Business Platform, auch bekannt als WhatsApp API, richtet sich an Unternehmen mit professionellem und skalierbarem Kommunikationsbedarf. Sie erlaubt eine unbegrenzte Anzahl an Mitarbeitenden, mehrere Telefonnummern, vollständige Gesprächsprotokolle und tiefe Integrationen mit CRM- und Helpdesk-Systemen. 

Für den Einsatz der Business Platform stellt WhatsApp keine App zur Verfügung. Stattdessen wird eine externe Kunden-Messaging-Software, an WhatsApps technische Schnittstelle angedockt und über die Sie dann mit WhatsApp-Nutzern kommunizieren können.

Den API-Schlüssel erhalten Sie nur über WhatsApp Business Tech Partner oder Solution Provider (BSP), also den Anbieter der Kunden-Messaging-Software. Damit soll ein seriöser Umgang mit der WhatsApp-Infrastruktur sichergestellt werden. Einige WhatsApp-Platforms sind auch mit anderen Kanälen kompatibel, wie Website-Chat und Instagram. Mit dem deutschen Anbieter Lime Connect (ehemals Userlike) führen Sie all Ihre digitalen Kontaktkanäle wie Live-Chat und weitere Messaging-Apps zusammen und nutzen WhatsApp Business Datenschutz-konform.

Mehr über die Vorteile, Funktionsweise und Kosten der API erfahren Sie im Post WhatsApp Business Platform: Alles was Sie wissen müssen.

WhatsApp Business API und Datenschutz

Die Business Platform löst das zentrale Problem der App: Es gibt keine automatische Kontaktsynchronisation. Nicht-WhatsApp-Nutzer werden nicht erfasst. Für die Datenverarbeitung gelten die EU-Standardvertragsklauseln, die eine DSGVO-konforme Grundlage schaffen. Wie bei der App werden Metadaten an WhatsApp übermittelt – das lässt sich technisch nicht vermeiden – aber die problematische Adressbuch-Synchronisation entfällt vollständig.

Um den höchstmöglichen Datenschutzstandard zu realisieren, ist es essentiell, einen WhatsApp BSP zu wählen, der in diesem Bereich gut aufgestellt ist. Auf der Suche nach geeigneten Kandidaten sollten Sie vor allem auf folgende Eigenschaften achten:

• Hauptsitz und zertifizierte Serverinfrastruktur und –standort in der EU oder dem EWR
• Möglichkeit zur Löschung aller Kundendaten und -kommunikation einzelner Kunden und zum Blocken des Unternehmenskontakts auf Kundenanfrage
• Zentrale Zugangsverwaltung mit Nutzerrollen und Berechtigungen 
• Vollständige Gesprächsprotokolle und Audit-Trails 
• Deutschsprachiger Support 

Nur wenn Unternehmen, Software-Anbieter und WhatsApp selbst die DSGVO-Vorgaben einhalten, kann WhatsApp Business insgesamt datenschutzkonform eingesetzt werden.

Checkliste: WhatsApp Business Platform in Deutschland datenschutzkonform einsetzen

Egal, welche WhatsApp Lösung Sie einsetzen: Diese grundlegenden Regeln sollten immer beachtet werden. 

Kontaktaufnahme & Einwilligung:

• Lassen Sie sich vom Kunden kontaktieren und reagieren Sie dann auf seine Anfrage. Geht die Kontaktaufnahme vom Kunden aus, gilt das als „eindeutig bestätigendes” Verhalten, was der DSGVO als Grundlage für die anschließende Datenverarbeitung genügt.
• Sie dürfen Kunden zuerst anschreiben, wenn sie dem über ein eindeutiges Opt-in (beispielsweise für eine WhatsApp-Newsletter-Anmeldung ) zugestimmt haben. Es reicht allerdings nicht aus, die Telefonnummer des WhatsApp-Kontaktes zu kennen, etwa durch eine Anmeldung auf Ihrer Website. Zusätzlich müssen Sie ihm eine WhatsApp-Nachricht schicken, in der er seine Anmeldung mit einer Antwort erneut bestätigt.
• Erklären Sie in dieser Nachricht auch, wie der Opt-out funktioniert, z.B. “Schreiben Sie “Stopp”, um sich vom Newsletter abzumelden”.

Transparenz & Information 

• Es gibt viele Möglichkeiten, Kunden datenschutzkonform auf Ihren WhatsApp-Kanal aufmerksam zu machen. Kommunizieren Sie zum Beispiel Ihre Nummer auf Ihrer Website oder setzen Sie einen Click-to-Chat-Link, über den Ihre Kunden Sie direkt auf WhatsApp erreichen.
• Egal wie Sie WhatsApp als Kontaktkanal einsetzen – informieren Sie Ihre Kunden in Ihrer Datenschutzerklärung darüber. Nennen Sie hierbei explizit den Zweck und Umfang der Datenverarbeitung.
• Bezüglich WhatsApps eigenständiger Datenverarbeitung können Sie auf deren Datenschutzrichtlinie verweisen. Da Kunden, die WhatsApp als Kommunikationstool nutzen, den WhatsApp-Datenschutzbestimmungen ohnehin bereits zugestimmt haben, sind Sie auf der sicheren Seite.

WhatsApp Business DSGVO-konform einsetzen mit Lime Connect (ehemals Userlike)

Lime Connect ist offizieller WhatsApp Business Tech Partner und damit zertifizierter Zugangsweg zur WhatsApp Business Platform in Deutschland. Mit über 15 Jahren Erfahrung in digitaler Kundenkommunikation vertrauen uns Kunden wie Toyota, Hermes und die PSD Bank Nürnberg. 
 

• Zentrale Teamkommunikation statt Insellösungen. Alle WhatsApp Gespräche laufen zentral in einem gemeinsamen Posteingang zusammen. Nachrichten bleiben vollständig dokumentiert und können jederzeit im Team übernommen werden. Zugriffe lassen sich mit wenigen Klicks verwalten und Gesprächsverläufe bleiben sicher im System gespeichert. So geht kein Kundenkontakt über private Geräte verloren.
• DSGVO-Konformität und Datenschutz. Hosting auf ISO 27001 zertifizierten Servern in Deutschland, kein Cloud Act Risiko und keine Nutzung von Kundendaten für das Training von KI Modellen. Ein AVV ist auf Anfrage verfügbar und Daten können jederzeit gelöscht werden.
• KI, die Arbeit abnimmt. AI Agents beantwortet über 70% der WhatsApp-Anfragen vollständig autonom und rund um die Uhr. Mitarbeitende übernehmen nur, wo menschliches Urteil gefragt ist, und werden dabei von einem KI-Assistenten mit Antwortvorschlägen unterstützt. Dank Workflows lassen sich ganze Prozesse wie Retourenprozesse oder Schadensmeldungen in wenigen Minuten automatisieren.
• WhatsApp Campaigns. Versenden Sie proaktiv WhatsApp-Marketing-Nachrichten mit personalisierten Rabattaktionen, Coupon-Codes oder Prospekten in Form von WhatsApp-Newslettern.

Neben WhatsApp vereint Lime Connect auch Website Chat, E Mail, Instagram, Facebook Messenger, Telegram und SMS in einer zentralen Oberfläche. So steuern Teams ihre gesamte Kundenkommunikation effizient an einem Ort. Bei Lime Connect (ehemals Userlike) erhalten Sie bereits ab 87 Euro monatlich Zugang zur WhatsApp Business Platform inklusive 10 WhatsApp-Nummern.

Sie möchten sehen, wie das in der Praxis aussieht? In einer persönlichen Demo zeigen wir Ihnen, wie Lime Connect in Ihrem Unternehmen konkret eingesetzt werden kann.

Mehr zum Thema WhatsApp im Unternehmen

Das Thema Kundenkommunikation per WhatsApp bewegt sich aktuell enorm schnell. Diese Posts helfen Ihnen, Schritt zu halten.

• WhatsApp: Die wichtigsten Nutzerzahlen in Deutschland
• WhatsApp Business: Alle Kosten auf einen Blick
• Ihr WhatsApp Unternehmensaccount – alles von App bis Z
• WhatsApp-Chatbot: Der komplette Einsteiger-Guide
• WhatsApp Business Platform – alles was Sie wissen müssen
• WhatsApp im Vertrieb: 9 Möglichkeiten über WhatsApp zu verkaufen
• Wie Sie WhatsApp im Recruiting richtig einsetzen – Vorteile und Beispiele
• WhatsApp-Marketing: Wie Sie erfolgreiche Kampagnen erstellen
• WhatsApp Campaigns: WhatsApp als Marketing-Kanal nutzen
• Messenger Marketing: Diese Strategien wirken 2022
• WhatsApp Newsletter: Tools, Kosten & Beispiele
• WhatsApp Ads: In 5 Schritten zur Click-to-WhatsApp-Anzeige
• WhatsApp-Kanal erstellen: Anleitung & Beispiele 2024
• WhatsApp Flows: In-Chat-Formulare für Sales & Marketing
• WhatsApp-Katalog: Ihr Schaufenster direkt im Messenger

Sprechen Sie mit Ihrem Datenschutzbeauftragten

Bitte beachten Sie, dass dieser Artikel trotz sorgfältiger Recherche lediglich unseren Wissensstand abbildet und keine rechtsverbindliche Auskunft darstellt. Um WhatsApp Business DSGVO-konform in Ihrem Unternehmen einzusetzen, empfehlen wir Ihnen deshalb, Ihre individuelle WhatsApp-Integration immer auch mit Ihrem Datenschutzbeauftragten zu besprechen.