Datenschutz bei WhatsApp: Was ist erlaubt – was nicht?

WhatsApp gehört längst zum Alltag: Ob private Chatnachrichten, Sprachnachrichten, Urlaubsfotos oder berufliche Absprachen – für viele ist der Messenger nicht mehr wegzudenken. Über zwei Milliarden Menschen weltweit nutzen die App, darunter auch der Großteil der Deutschen. Was oft bequem und praktisch erscheint, hat jedoch eine Schattenseite, über die kaum jemand spricht: den Datenschutz.

Denn auch wenn WhatsApp mit Begriffen wie „Ende-zu-Ende-Verschlüsselung“ wirbt, bedeutet das nicht, dass Ihre Daten sicher sind – oder rechtlich unproblematisch verarbeitet werden. Vor allem die automatische Übertragung Ihres gesamten Adressbuchs an Meta (die Muttergesellschaft von WhatsApp) wirft erhebliche rechtliche Fragen auf. Gleiches gilt für die geschäftliche Nutzung des Messengers, etwa durch Unternehmen, Ärzte, Lehrer oder Anwaltskanzleien. Hier drohen echte Datenschutzverstöße mit empfindlichen Folgen.

Der vorliegende Beitrag soll Ihnen einen umfassenden Überblick darüber geben, welche datenschutzrechtlichen Risiken mit der WhatsApp-Nutzung verbunden sind, welche rechtlichen Rahmenbedingungen nach der Datenschutz-Grundverordnung (DSGVO) gelten – und was Sie tun können, um rechtlich auf der sicheren Seite zu sein. Dabei beleuchten wir nicht nur die private Nutzung, sondern vor allem auch den beruflichen Kontext – also dort, wo die meisten Fehler gemacht werden und Aufsichtsbehörden besonders genau hinschauen.

Ziel ist es, Ihnen eine klare, verständliche und fundierte Einordnung zu ermöglichen, damit Sie WhatsApp bewusst, verantwortungsvoll und – soweit möglich – datenschutzkonform einsetzen können.

Übersicht:

Wer steht hinter WhatsApp – und warum ist das relevant?
WhatsApp im privaten Bereich: Welche Regeln gelten für Sie als Nutzer?
WhatsApp im beruflichen Umfeld: Ein datenschutzrechtliches Minenfeld
WhatsApp Business – ist das besser?
Besonders kritisch: Adressbuch-Zugriff und das Problem mit den Dritten
Datenschutzrechtliche Bewertung durch Aufsichtsbehörden und Gerichte
Technische und organisatorische Maßnahmen für mehr Datenschutz bei WhatsApp
Fazit: WhatsApp datenschutzkonform nutzen – (wie) geht das überhaupt?
FAQ – Häufige Fragen zum Datenschutz bei WhatsApp

Wer steht hinter WhatsApp – und warum ist das relevant?

Wenn es um den Datenschutz bei WhatsApp geht, lohnt sich ein genauer Blick auf den Betreiber der App – denn dieser Umstand hat weitreichende rechtliche Konsequenzen. WhatsApp gehört seit dem Jahr 2014 zu Meta Platforms Inc., dem US-amerikanischen Konzern hinter Facebook und Instagram. Auch wenn die App äußerlich eigenständig wirkt, ist sie also Teil eines der größten Datennetzwerke der Welt – mit all den damit verbundenen Risiken.

Übernahme durch Meta – und die Folgen

Seit der Übernahme durch Meta (ehemals Facebook) hat sich WhatsApp technisch und strukturell verändert. Besonders brisant ist die enge Verknüpfung der Dienste im Hintergrund. Zwar betont WhatsApp regelmäßig, dass Chats verschlüsselt und Inhalte nicht mit anderen Meta-Diensten geteilt werden – doch Metadaten (z. B. wer wann mit wem kommuniziert hat, verwendetes Gerät, IP-Adresse etc.) sind davon nicht geschützt. Diese Daten sind für Meta besonders wertvoll, da sie sich hervorragend für personalisierte Werbung und Nutzerprofile eignen.

Rechtlich betrachtet bedeutet das: WhatsApp-Nutzer haben oft keine klare Kontrolle darüber, wohin ihre Daten tatsächlich fließen. Das gilt insbesondere für die Kontakte im eigenen Adressbuch – selbst dann, wenn diese Personen selbst gar keinen WhatsApp-Account besitzen.

Datenverarbeitung außerhalb der EU

Ein weiterer kritischer Punkt ist die Tatsache, dass Meta seine Datenverarbeitung in erheblichem Umfang in die USA und andere Nicht-EU-Staaten auslagert. Zwar gilt aktuell für bestimmte Unternehmen in den USA ein teilweiser Angemessenheitsbeschluss (EU-U.S. Data Privacy Framework), dass dieser aber nicht von Dauer sein muss, hat der Europäische Gerichtshof in seinem aufsehenerregenden Urteil zum „Privacy Shield“ („Schrems II“) im Jahr 2020 aufgezeigt.

Bedeutung des Drittstaatentransfers nach der DSGVO

Die Datenschutz-Grundverordnung stellt strenge Anforderungen an den Datentransfer in sogenannte Drittländer, also Staaten außerhalb des Europäischen Wirtschaftsraums (EWR). Solche Übermittlungen sind nur unter bestimmten Voraussetzungen erlaubt – etwa wenn:

• ein Angemessenheitsbeschluss der EU-Kommission besteht (z. B. bei Kanada oder Japan),
• sogenannte Standardvertragsklauseln verwendet werden oder
• ausdrückliche Einwilligungen der betroffenen Personen vorliegen.

Im Fall von WhatsApp ist oft unklar, auf welcher rechtlichen Grundlage die Datenübermittlung konkret basiert. Die bloße Nutzung der App durch den Einzelnen reicht in der Regel nicht aus, um diese Anforderungen zu erfüllen. Vor allem Unternehmen und Freiberufler, die WhatsApp geschäftlich einsetzen, bewegen sich deshalb schnell außerhalb des rechtlich Zulässigen.

Welche Daten sammelt WhatsApp eigentlich?

WhatsApp erscheint auf den ersten Blick als harmloser Messenger für den schnellen Austausch von Nachrichten, Bildern und Sprachnachrichten. Doch hinter der benutzerfreundlichen Oberfläche verbirgt sich ein hochkomplexes System der Datenerhebung und -verarbeitung, das sowohl in technischer als auch in rechtlicher Hinsicht erhebliches Konfliktpotenzial birgt. Wer die App nutzt – ob privat oder geschäftlich – sollte sich darüber im Klaren sein, welche Daten verarbeitet werden, auf welchen Wegen dies geschieht und welche datenschutzrechtlichen Risiken daraus entstehen.

1. Welche Datenarten verarbeitet WhatsApp konkret?

WhatsApp erhebt eine Vielzahl personenbezogener Daten – nicht nur von seinen Nutzern selbst, sondern auch von Dritten, die überhaupt keinen eigenen WhatsApp-Account besitzen. Die Datenverarbeitung umfasst unter anderem folgende Kategorien:

a) Kommunikationsinhalte

• Textnachrichten, Fotos, Videos, Sprachnachrichten, Dokumente, Standorte: Diese Inhalte werden durch die sog. Ende-zu-Ende-Verschlüsselung technisch geschützt (dazu mehr unten). Gleichwohl werden sie lokal auf den Geräten gespeichert und können bei unverschlüsselten Backups auf Cloud-Diensten (z. B. iCloud, Google Drive) zugänglich sein – sowohl für den Anbieter der Cloud als auch für Dritte bei unzureichender Sicherung.

b) Metadaten

Metadaten sind Daten über die Kommunikation – nicht deren Inhalt, sondern das „Drumherum“. Dazu gehören:

• Zeitpunkt und Häufigkeit von Nachrichten oder Anrufen,
• beteiligte Telefonnummern (Sender und Empfänger),
• Gruppenmitgliedschaften und Interaktionen innerhalb von Gruppen,
• verwendetes Betriebssystem, Gerätehersteller und -modell,
• IP-Adresse, Mobilfunkanbieter und Standortinformationen (ggf. auf Basis von IP oder GPS),
• Nutzungsdauer, Statusinformationen (z. B. „Zuletzt online“, Lesebestätigungen).

Wichtig: Metadaten sind nicht durch die Ende-zu-Ende-Verschlüsselung geschützt und werden von WhatsApp/Meta verarbeitet – in aller Regel für Analyse- und Marketingzwecke.

c) Adressbuchdaten („Kontaktdaten Dritter“)

Sobald Sie WhatsApp installieren und der App Zugriff auf Ihre Kontakte gewähren, werden alle Telefonnummern aus Ihrem Adressbuch an WhatsApp übermittelt. Dabei werden nicht nur Kontakte mit WhatsApp-Account erkannt, sondern auch solche, die die App nicht nutzen. Diese Informationen dienen:

• der Verknüpfung mit anderen WhatsApp-Nutzern („Wer aus Ihren Kontakten ist bei WhatsApp?“),
• der Kontakterkennung und Empfehlung („Person XY ist jetzt bei WhatsApp“),
• dem Abgleich zur Bildung von Nutzerprofilen innerhalb des Meta-Konzerns.

Hier handelt es sich um eine Verarbeitung personenbezogener Daten Dritter, für die in aller Regel keine Einwilligung vorliegt – ein schwerwiegender datenschutzrechtlicher Vorwurf.

d) Geräte- und Nutzungsdaten

Zusätzlich erfasst WhatsApp Informationen über das verwendete Endgerät, etwa:

• Gerätetyp, Betriebssystemversion, Spracheinstellungen,
• Akkustand, Signalstärke, App-Version,
• Art der Verbindung (WLAN, Mobilfunk),
• Speicherplatz.

Diese Daten werden unter anderem zu Sicherheitszwecken, aber auch zur Optimierung des Nutzererlebnisses und ggf. für personalisierte Dienste verwendet.

2. Der Zugriff auf das Adressbuch – eine zentrale Datenschutzfalle

Die wohl größte datenschutzrechtliche Problematik bei WhatsApp liegt im automatisierten Zugriff auf das Adressbuch. Wenn Sie WhatsApp erlauben, Ihre Kontakte auszulesen – was bei der Installation praktisch zwingend ist, um die App sinnvoll nutzen zu können – dann geschieht Folgendes:

• Alle Telefonnummern, die auf Ihrem Gerät gespeichert sind, werden an WhatsApp-Server übermittelt.
• WhatsApp gleicht diese Daten mit der eigenen Datenbank ab, um festzustellen, welche dieser Nummern zu registrierten Nutzern gehören.
• Es findet ein Upload personenbezogener Daten Dritter statt – ohne deren vorherige Information oder Einwilligung.

Rechtlich problematisch ist dabei Folgendes:

• Als WhatsApp-Nutzer handeln Sie im datenschutzrechtlichen Sinne als „Verantwortlicher“ (Art. 4 Nr. 7 DSGVO), soweit Sie Dritte betreffen.
• Sie benötigen nach Art. 6 DSGVO eine Rechtsgrundlage für jede Verarbeitung personenbezogener Daten – insbesondere bei Übermittlung in Drittländer (siehe oben).
• In den allermeisten Fällen liegt keine wirksame Einwilligung der betroffenen Kontakte vor (Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 7 DSGVO).
• Auch eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO greift hier kaum – denn die betroffenen Kontakte haben keine Möglichkeit, sich der Übermittlung zu entziehen und sind der Verarbeitung schutzlos ausgeliefert.

Zwar nimmt die DSGVO eine sog. Haushaltsausnahme in Art. 2 Abs. 2 lit. c vor, die die private Nutzung von WhatsApp – etwa im Familien- oder Freundeskreis – aus dem Anwendungsbereich der DSGVO herausnimmt. Doch diese Ausnahme gilt nicht bei geschäftlicher oder beruflicher Nutzung, auch nicht im Rahmen von Vereinen oder Schulen. Wer also WhatsApp zur Kundenkommunikation, zur Terminabsprache mit Patienten oder zur Mitgliederbetreuung verwendet, kann sich nicht auf die Ausnahme berufen.

Fazit: Der Zugriff auf das Adressbuch ist einer der größten datenschutzrechtlichen Schwachpunkte von WhatsApp – und wird von Aufsichtsbehörden (v. a. aus Deutschland) regelmäßig und scharf kritisiert.

3. Die Rolle der Ende-zu-Ende-Verschlüsselung – ein trügerisches Sicherheitsgefühl

WhatsApp wirbt prominent mit der sog. Ende-zu-Ende-Verschlüsselung. Und tatsächlich: Nachrichteninhalte (Texte, Fotos, Videos, Audios) werden auf dem Gerät des Absenders verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt. WhatsApp selbst hat während der Übertragung keinen Zugriff auf diese Inhalte – das ist ein Pluspunkt.

Doch viele Nutzer verkennen, dass diese Verschlüsselung nicht alle Daten umfasst, insbesondere:

• Metadaten (z. B. wer wann mit wem kommuniziert hat),
• Nutzungsstatistiken und Geräteinformationen,
• Kontaktdaten im Adressbuch,
• Cloud-Backups, sofern nicht explizit verschlüsselt.

Diese Informationen liegen WhatsApp und somit Meta im Klartext vor und können zur Profilerstellung, zur Optimierung von Diensten oder zur Nutzung in Werbenetzwerken verwendet werden.

Besonders kritisch: WhatsApp behält sich in seiner Datenschutzrichtlinie ausdrücklich vor, Daten mit anderen Meta-Unternehmen (z. B. Facebook, Instagram) zu teilen. Zwar soll dies im europäischen Raum nur eingeschränkt möglich sein – doch die Transparenz über die tatsächliche Datenweitergabe ist äußerst begrenzt.

4. Fazit: Umfangreiche, teils intransparente Datenerhebung mit erheblichen Risiken

Zusammenfassend lässt sich sagen:

• WhatsApp sammelt umfangreiche Daten, die weit über das hinausgehen, was für die reine Kommunikation notwendig wäre.
• Viele dieser Daten betreffen nicht nur den Nutzer selbst, sondern auch unbeteiligte Dritte – ohne deren Wissen oder Einwilligung.
• Die Ende-zu-Ende-Verschlüsselung schützt nur einen begrenzten Teil der Kommunikation, während Metadaten und Adressbuchinhalte offengelegt werden.
• Die datenschutzrechtliche Bewertung fällt insgesamt kritisch aus – insbesondere bei beruflicher Nutzung oder im Umgang mit sensiblen personenbezogenen Daten.

nach oben 

WhatsApp im privaten Bereich: Welche Regeln gelten für Sie als Nutzer?

WhatsApp ist nicht nur einer der meistgenutzten Messenger der Welt, sondern auch ein datenschutzrechtlicher Dauerbrenner. Während viele Nutzer davon ausgehen, dass sich bei rein privater Nutzung keine rechtlichen Risiken ergeben, ist diese Annahme nur bedingt zutreffend. Zwar enthält die Datenschutz-Grundverordnung (DSGVO eine sogenannte Haushaltsausnahme, die bestimmte Datenverarbeitungen im privaten Bereich ausnimmt – aber dieser Schutz greift nicht uneingeschränkt. Wer etwa WhatsApp in größeren Gruppen oder im Rahmen halbprivater Organisationen nutzt, verlässt schnell den rein privaten Raum – und unterliegt dann den strengen Vorgaben der DSGVO.

In diesem Abschnitt klären wir daher:

• Wann Sie sich bei der Nutzung von WhatsApp noch im geschützten privaten Bereich befinden,
• wann die DSGVO anwendbar wird, und
• warum der Unterschied rechtlich von zentraler Bedeutung ist.

1. Anwendungsbereich der DSGVO im privaten Umfeld

Die Datenschutz-Grundverordnung findet immer dann Anwendung, wenn personenbezogene Daten verarbeitet werden – und das ist bei WhatsApp durchgehend der Fall. Bereits die bloße Übermittlung von Telefonnummern an WhatsApp-Server stellt eine Verarbeitung personenbezogener Daten dar. Allerdings regelt Art. 2 Abs. 2 lit. c DSGVO, dass bestimmte Verarbeitungen vom Anwendungsbereich der Verordnung ausgenommen sind:

„Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten […] durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.“

Diese sogenannte Haushaltsausnahme schützt also Verarbeitungen im rein persönlichen, familiären und häuslichen Bereich. Ziel dieser Regelung ist es, das private Leben der Menschen nicht unnötig mit datenschutzrechtlichen Pflichten zu belasten. Niemand soll sich für jeden Familienchat oder jede Geburtstagsnachricht Gedanken über Rechtsgrundlagen, Informationspflichten oder Betroffenenrechte machen müssen.

Aber: Die Reichweite dieser Ausnahme ist enger als häufig angenommen. Viele Aktivitäten, die im Alltag als „privat“ empfunden werden, gelten rechtlich gesehen bereits als öffentlich oder zumindest teilöffentlich – und fallen damit in den Anwendungsbereich der DSGVO.

2. Wann ist WhatsApp-Nutzung wirklich noch privat – und wann nicht mehr?

Die entscheidende Frage lautet: Wo verläuft die Grenze zwischen privater und nicht mehr privater Nutzung? Die Antwort richtet sich nach dem jeweiligen Zweck der Datenverarbeitung sowie dem betroffenen Personenkreis.

✅ Noch privat (Haushaltsausnahme greift):

• Sie kommunizieren mit engen Familienmitgliedern, Lebenspartnern oder Freunden.
• Sie schicken Urlaubsfotos an Ihre Eltern oder planen ein Familientreffen.
• Sie betreiben eine Gruppenunterhaltung mit wenigen, Ihnen persönlich nahestehenden Personen (z. B. Geschwister oder Freundeskreis).

In diesen Fällen wird WhatsApp ausschließlich für persönliche Zwecke genutzt, es findet keine „organisierte“ Datenverarbeitung statt, und es besteht kein Bezug zu einer beruflichen, gewerblichen oder gesellschaftlichen Funktion. Hier greift die Haushaltsausnahme – die DSGVO ist nicht anwendbar.

❌ Nicht mehr privat (DSGVO gilt):

• Sie organisieren über WhatsApp eine Elterninitiative an der Schule Ihres Kindes.
• Sie koordinieren als Vereinsmitglied Termine mit anderen Vereinsmitgliedern.
• Sie verwenden WhatsApp zur Kontaktaufnahme mit Kunden, Mandanten, Patienten oder Interessenten.
• Sie betreuen eine WhatsApp-Gruppe für Nachhilfe, Musikunterricht oder private Kurse.
• Sie verwalten eine Nachbarschaftsgruppe, in der regelmäßig personenbezogene Informationen ausgetauscht werden (z. B. über Kinder, Urlaubszeiten, Pflegebedürftige).

In all diesen Fällen handelt es sich nicht mehr um rein private Tätigkeiten. Vielmehr findet eine organisierte, dauerhafte und systematische Verarbeitung personenbezogener Daten statt, häufig auch durch die Moderation größerer Gruppen oder im Rahmen bestimmter Rollenfunktionen (z. B. Lehrer, Vereinsvorstand, Kursleiter). Die Beteiligten treten nicht mehr als Privatpersonen, sondern in einer strukturierten Beziehung zu anderen Personen auf – das genügt, um die Haushaltsausnahme zu verlassen.

Rechtsfolge: In diesen Fällen sind Sie datenschutzrechtlich „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO. Sie tragen dann die volle Verantwortung für die Einhaltung der DSGVO – z. B. für:

• Rechtsgrundlagen der Datenverarbeitung (Art. 6 DSGVO),
• Informationspflichten (Art. 13, 14 DSGVO),
• technische und organisatorische Schutzmaßnahmen (Art. 32 DSGVO),
• ggf. Abschluss eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO),
• Umsetzung von Betroffenenrechten (Auskunft, Löschung etc.).

Viele Nutzer sind sich dieser Verantwortung nicht bewusst – obwohl bei Verstößen empfindliche Bußgelder drohen können.

3. Die Haushaltsausnahme im Lichte der Rechtsprechung

Die Reichweite der Haushaltsausnahme wurde durch die Rechtsprechung – insbesondere des Europäischen Gerichtshofs (EuGH) – klar begrenzt. In der bekannten Entscheidung „Rynes“ (EuGH, Urt. v. 11.12.2014, C‑212/13) urteilte der Gerichtshof, dass eine Videoüberwachung durch eine Privatperson, die auch den öffentlichen Gehweg erfasst, nicht mehr unter die Haushaltsausnahme fällt.

Übertragbar auf WhatsApp heißt das: Sobald Ihre Kommunikation über einen engen, klar abgegrenzten Personenkreis hinausgeht, liegt keine rein private Nutzung mehr vor. Besonders kritisch sind daher:

• Gruppen mit offener Teilnehmerstruktur (z. B. Schul- oder Vereinsgruppen),
• Konstellationen mit wiederholtem Austausch sensibler Informationen (z. B. Gesundheitsdaten, Adressen, Kinderfotos),
• Kommunikationsprozesse mit Organisationscharakter (z. B. Planung von Veranstaltungen, Abstimmung von Terminen für Dritte).

Auch die Datenschutzaufsichtsbehörden – insbesondere in Deutschland – vertreten eine enge Auslegung der Haushaltsausnahme. Bereits die bloße Moderation oder Einrichtung größerer WhatsApp-Gruppen kann genügen, um den privaten Charakter zu verlieren.

4. Besondere Sensibilität bei Minderjährigen, Bildern und Gruppen

WhatsApp wird auch von Jugendlichen häufig genutzt – oft, ohne das rechtliche Bewusstsein für den Datenschutz zu besitzen. Dabei gelten für Minderjährige besondere Schutzvorschriften, insbesondere im Hinblick auf Einwilligungen und das Teilen von Fotos oder personenbezogenen Informationen. Sobald Bilder oder Daten Dritter – auch innerhalb von WhatsApp-Gruppen – weitergegeben werden, ohne dass eine rechtliche Grundlage besteht, kann dies eine datenschutzrechtliche, medienrechtliche oder sogar strafrechtliche Relevanz haben.

Auch in Familiengruppen (z. B. mit mehreren Elternteilen) oder Gruppenchats von Sportmannschaften, Musikschulen oder Nachbarschaften entstehen häufig Situationen, in denen personenbezogene Daten weiterverbreitet oder ungewollt offengelegt werden – etwa durch Screenshots oder das Hochladen von Gruppenfotos. In diesen Fällen greift die Haushaltsausnahme nicht mehr automatisch.

Fazit: Privat ist nicht gleich privat

Wer WhatsApp ausschließlich im privaten oder familiären Rahmen nutzt, bewegt sich rechtlich auf sicherem Terrain. Doch in der Realität ist der Übergang zur nicht mehr privaten Nutzung fließend und oft unbewusst überschritten. Die Haushaltsausnahme der DSGVO schützt nur dann, wenn wirklich keine organisatorische, berufliche oder „halböffentliche“ Komponente gegeben ist.

Sie sollten daher stets kritisch prüfen:

• Wer nimmt an der Kommunikation teil?
• In welchem Zusammenhang werden die Daten verarbeitet?
• Dienen die Aktivitäten nur rein privaten Zwecken – oder steckt bereits eine gewisse Struktur dahinter?

Tipp: Wenn Sie WhatsApp zur Organisation von Gruppen oder zur Kommunikation mit Personen außerhalb Ihres engsten privaten Umfelds nutzen, sollten Sie sich nicht auf die Haushaltsausnahme verlassen. Stattdessen gilt es, die datenschutzrechtlichen Anforderungen vollumfänglich zu beachten – oder auf eine DSGVO-konforme Alternative umzusteigen.

nach oben 

WhatsApp im beruflichen Umfeld: Ein datenschutzrechtliches Minenfeld

Was im privaten Alltag längst selbstverständlich geworden ist, wird auch im Beruf zunehmend als nützlich angesehen: WhatsApp ist einfach, schnell, bequem – und nahezu jeder nutzt es. Warum also nicht auch im Kontakt mit Patienten, Kunden, Mandanten, Schülern oder Geschäftspartnern einsetzen? Die App ist schließlich ohnehin auf dem Smartphone – und der Kommunikationsweg wird vom Gegenüber meist sogar bevorzugt.

Doch genau diese Selbstverständlichkeit führt in der Praxis zu massiven datenschutzrechtlichen Problemen, denn: WhatsApp wurde nie als datenschutzkonformer Business-Messenger konzipiert. Die Nutzung im beruflichen Kontext unterliegt den strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO). Und diese lassen sich mit WhatsApp kaum oder gar nicht erfüllen – was viele Unternehmen und Freiberufler unnötig in rechtliche Gefahr bringt.

1. Warum der berufliche Kontext besonders sensibel ist

Während im privaten Umfeld noch die sogenannte Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO greifen kann (vgl. vorherigen Abschnitt), ist diese bei beruflicher oder geschäftlicher Kommunikation definitiv nicht anwendbar. Wer WhatsApp im Rahmen seiner beruflichen Tätigkeit nutzt, verarbeitet personenbezogene Daten systematisch, zu Zwecken außerhalb der Privatsphäre – und wird damit vollwertiger Verantwortlicher nach Art. 4 Nr. 7 DSGVO.

Das betrifft nicht nur große Unternehmen, sondern vor allem auch:

• Selbstständige, Freiberufler, Einzelunternehmer,
• Arztpraxen, Therapeuten, Heilpraktiker,
• Lehrerinnen und Lehrer, Erzieher, Musikschulen,
• Rechtsanwälte, Steuerberater, Notare,
• Friseure, Handwerksbetriebe, Fotografen, Coaches,
• Vereine, Kirchen, NGOs.

Ob bewusst oder unbewusst: Sobald Sie personenbezogene Informationen von Dritten über WhatsApp verarbeiten, unterliegen Sie den vollen datenschutzrechtlichen Pflichten – inklusive:

• Nachweis einer Rechtsgrundlage (Art. 6 DSGVO),
• Information der Betroffenen (Art. 13, 14 DSGVO),
• Erfüllung von Auskunfts-, Löschungs- oder Berichtigungsrechten (Art. 15 ff. DSGVO),
• Durchführung technischer und organisatorischer Maßnahmen (Art. 32 DSGVO),
• ggf. Meldung von Datenschutzverletzungen (Art. 33 DSGVO),
• Dokumentations- und Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).

Das Problem: WhatsApp ist für diese Anforderungen weder technisch noch organisatorisch ausgelegt.

2. Übermittlung von Kundendaten via WhatsApp – rechtlich unzulässig?

In der Praxis werden über WhatsApp häufig Daten ausgetauscht wie:

• Vor- und Nachnamen,
• Telefonnummern,
• Termindaten, Vertragsnummern,
• Gesundheitsinformationen (z. B. Befunde, Medikation, Arzttermine),
• vertrauliche Informationen über Schüler oder Mandanten,
• Bilder oder Sprachaufnahmen mit Personenbezug.

Solche Daten sind personenbezogen im Sinne von Art. 4 Nr. 1 DSGVO, und ihre Verarbeitung setzt eine konkrete rechtliche Erlaubnis voraus – entweder durch:

• gesetzliche Grundlage (z. B. Vertragserfüllung),
• berechtigtes Interesse (strenge Abwägung erforderlich),
• ausdrückliche Einwilligung.

Problematisch wird es spätestens dann, wenn über WhatsApp nicht nur Nachrichteninhalte, sondern auch:

• die gesamten Kontaktdatenbanken automatisch auf WhatsApp-Server hochgeladen werden,
• die Metadaten der Kommunikation (Zeit, Dauer, Geräte, IP-Adresse etc.) an Meta übermittelt werden,
• Daten in ein Drittland ohne angemessenes Datenschutzniveau (USA) übermittelt werden.

▶️ Fazit: In aller Regel liegt keine rechtmäßige Datenverarbeitung vor – jedenfalls nicht ohne aufwendige Absicherung (Einwilligung, Aufklärung, vertragliche Regelungen).

3. Typische Fehlannahmen in der Praxis

Viele beruflich Tätige gehen davon aus, dass:

• „die Kunden ja ohnehin WhatsApp benutzen“,
• „eine mündliche Zustimmung ausreicht“,
• „keine sensiblen Daten übertragen werden“,
• „WhatsApp Business ja datenschutzkonform sei“.

Diese Annahmen sind rechtlich gefährlich:

✅ WhatsApp-Nutzung durch den Kunden bedeutet nicht automatisch eine wirksame Einwilligung in die Datenverarbeitung durch WhatsApp. Schon gar nicht in eine Drittstaatenübermittlung oder die Metadatenverarbeitung durch Meta.

✅ Eine mündliche oder konkludente Zustimmung erfüllt nicht unbedingt die Anforderungen an eine DSGVO-konforme Einwilligung nach Art. 7 DSGVO. Diese muss ausdrücklich, informiert, freiwillig und jederzeit widerruflich sein – mit klarem Nachweis. Dieser Nachweis ist bei einer mündlichen oder konkludenten Einwilligung schwierig.

✅ Auch scheinbar banale Informationen können durch den Kontext sensible Daten offenbaren (z. B. „Ihr Rezept liegt zur Abholung bereit“ → Gesundheitsbezug).

✅ Die WhatsApp-Business-App bietet keine vollständige DSGVO-Konformität – auch hier erfolgt Datenverarbeitung durch Meta, oft ohne Vertrag zur Auftragsverarbeitung und mit Datenübertragung in unsichere Drittländer.

4. Welche Pflichten Sie bei WhatsApp-Nutzung beachten müssten – theoretisch

Wer WhatsApp beruflich DSGVO-konform nutzen möchte, müsste im Einzelnen:

✔️ Rechtsgrundlage nach Art. 6 DSGVO benennen, ggf. zusätzliche Einwilligung nach Art. 9 DSGVO einholen,

✔️ Betroffene vorab vollumfänglich informieren (Art. 13 DSGVO), inkl. Zweck, Dauer, Datenempfänger, Drittlandübermittlung, Widerrufsrechte etc.,

✔️ technische und organisatorische Schutzmaßnahmen umsetzen (Art. 32 DSGVO), etwa Zugriffssperren, Geräteverschlüsselung, Zwei-Faktor-Authentifizierung,

✔️ mit WhatsApp/Meta einen Auftragsverarbeitungsvertrag schließen (nur bei WhatsApp Business technisch möglich, inhaltlich aber fragwürdig),

✔️ prüfen, ob die Übermittlung in die USA auf einem angemessenen Schutzniveau beruht (z. B. EU-U.S. Data Privacy Framework – nur begrenzt gültig),

✔️ im Falle von sensiblen Daten eine Risikoabwägung und ggf. Datenschutzfolgenabschätzung durchführen (Art. 35 DSGVO),

✔️ jederzeit die Auskunfts- und Löschrechte der betroffenen Personen gewährleisten (Art. 15 ff. DSGVO).

Faktisch gelingt dies mit WhatsApp fast nie vollständig.

5. Mögliche Folgen: Bußgelder, Abmahnungen, Imageverlust

Die Risiken bei unzulässiger WhatsApp-Nutzung im Beruf sind konkret:

• Bußgelder durch Datenschutzbehörden: z. B. 5.000 EUR gegen eine Arztpraxis, die Befunde per WhatsApp verschickte (Landesdatenschutzbehörde Niedersachsen).
• Abmahnungen durch Mitbewerber oder Verbände nach dem UWG (Gesetz gegen den unlauteren Wettbewerb), wegen DSGVO-Verstoß als Wettbewerbsverstoß.
• Schadensersatzforderungen von Betroffenen (Art. 82 DSGVO) bei Datenschutzverletzungen.
• Reputationsschäden, insbesondere in sensiblen Branchen wie Medizin, Recht, Bildung oder Seelsorge.

6. Was ist mit einer Einwilligung – reicht das nicht?

In vielen Fällen versuchen beruflich Tätige, sich durch eine Einwilligung abzusichern – etwa per Hinweis in der Datenschutzerklärung oder durch einen entsprechenden Chat-Hinweis.

Doch die DSGVO stellt strenge Anforderungen an eine solche Einwilligung (Art. 6 Abs. 1 lit. a, Art. 7 DSGVO), die in der Praxis häufig nicht erfüllt sind:

• Sie muss informiert erfolgen: Die betroffene Person muss verstehen, welche Daten wie, durch wen, wo und wozu verarbeitet werden.
• Sie muss ausdrücklich erfolgen – eine bloße Nutzung oder „stillschweigende Zustimmung“ reicht nicht.
• Sie muss freiwillig erfolgen: Es muss eine echte Alternative (z. B. E-Mail, Telefon) bestehen.
• Sie muss dokumentiert und jederzeit widerrufbar sein.

Zudem kann die Einwilligung kein Allheilmittel sein: Bei besonders sensiblen Daten (Gesundheit, Religion, Strafrecht etc.) ist die Schwelle noch höher. Auch der EuGH hat betont, dass eine Einwilligung nicht zur Umgehung von strukturellen Datenschutzmängeln dienen darf.

Fazit: WhatsApp und Beruf passen datenschutzrechtlich nicht zusammen

So praktisch WhatsApp auch sein mag – im beruflichen Kontext ist der Einsatz regelmäßig rechtswidrig oder nur mit erheblichem Aufwand risikobegrenzt möglich. Besonders bei sensiblen Daten und vulnerablen Gruppen (Patienten, Schüler, Mandanten) ist die Nutzung fahrlässig oder sogar grob datenschutzwidrig.

Empfehlung:

• Vermeiden Sie WhatsApp im Beruf, wenn personenbezogene Daten Dritter betroffen sind.
• Nutzen Sie stattdessen datenschutzkonforme Messengerlösungen mit Serverstandort in der EU, Ende-zu-Ende-Verschlüsselung, AV-Vertrag und transparenter Datenverarbeitung (z. B. Threema Work, Signal Business, Teamwire).
• Falls WhatsApp dennoch genutzt wird, holen Sie nachweisbare, vollumfängliche Einwilligungen ein und prüfen Sie Ihre Datenschutzmaßnahmen kritisch – am besten mit fachlicher Unterstützung.

nach oben 

WhatsApp Business – ist das besser?

Angesichts der datenschutzrechtlichen Kritik an WhatsApp im beruflichen Kontext greifen viele Unternehmen, Selbstständige und Organisationen inzwischen zur App-Variante „WhatsApp Business“. Diese wird vom Anbieter selbst als Lösung für gewerbliche Kommunikation vermarktet. Doch ist damit das Problem wirklich gelöst? Kann man WhatsApp Business rechtssicher nutzen – und ist diese App tatsächlich DSGVO-konform?

Die kurze Antwort: Nicht wirklich. Auch wenn WhatsApp Business im Vergleich zur Standard-Version gewisse Zusatzfunktionen bietet, bleiben zentrale datenschutzrechtliche Defizite bestehen. Wer die App beruflich einsetzt, muss sich über die rechtlichen Risiken und Einschränkungen sehr genau im Klaren sein – denn die bloße Verwendung der Business-Variante stellt keine automatische Freikarte zur rechtssicheren Kommunikation dar.

1. Unterschiede zur Standard-Version – was macht WhatsApp Business anders?

WhatsApp Business wurde speziell für kleine und mittlere Unternehmen (KMU) konzipiert. Im Gegensatz zur herkömmlichen WhatsApp-Version bietet die Business-App unter anderem folgende Funktionen:

• Unternehmensprofil: Möglichkeit zur Darstellung von Adresse, Öffnungszeiten, Website, Impressum etc.
• Kataloge und automatisierte Nachrichten: Nutzer können Produkte oder Dienstleistungen präsentieren und automatische Begrüßungs- oder Abwesenheitsnachrichten einrichten.
• Etikettierung von Chats: Nachrichten lassen sich in Kategorien wie „Neu“, „In Bearbeitung“, „Erledigt“ unterteilen.
• WhatsApp Business API: Größeren Unternehmen steht eine Schnittstelle zur Verfügung, um WhatsApp automatisiert mit CRM-Systemen zu verknüpfen.

Technisch basiert WhatsApp Business aber auf denselben Datenverarbeitungsprozessen wie die Standard-App. Auch hier erfolgt:

• ein Zugriff auf das Adressbuch (sofern erlaubt),
• eine Verknüpfung mit Meta-Servern (inkl. Drittstaatentransfer),
• die Erhebung und Speicherung von Metadaten,
• und eine Datenverarbeitung unter den allgemeinen Bedingungen von Meta.

Kurz gesagt: Die Business-App bietet Komfortfunktionen für Unternehmer – ändert aber nichts am datenschutzrechtlich problematischen Fundament.

2. Datenschutzerklärung, AV-Vertrag und DSGVO-Konformität – reicht das?

Einige Nutzer gehen davon aus, dass sie mit WhatsApp Business automatisch eine DSGVO-konforme Kommunikation betreiben können, zum Beispiel durch den Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag) mit Meta oder durch Hinweise in ihrer Datenschutzerklärung. Doch auch hier bestehen große Missverständnisse.

a) Datenschutzerklärung

Als Verantwortlicher müssen Sie bei Nutzung von WhatsApp Business gegenüber Ihren Kunden, Patienten oder Mandanten umfassend über die Datenverarbeitung informieren – insbesondere über:

• den Zweck und Umfang der Nutzung,
• die involvierten Datenkategorien (z. B. Telefonnummer, Metadaten),
• die Empfänger (Meta Platforms, ggf. weitere Subdienstleister),
• den Drittlandtransfer (USA) und
• das Risiko einer unsicheren Datenverarbeitung.

Diese Informationen müssen vor der ersten Datenverarbeitung bereitgestellt werden (Art. 13 DSGVO) – meist also noch vor dem ersten Chatkontakt. Eine bloße Erwähnung in der allgemeinen Website-Datenschutzerklärung genügt nicht, wenn die Kommunikation über WhatsApp individuell erfolgt.

b) Auftragsverarbeitungsvertrag (AV-Vertrag)

Bei WhatsApp Business (nicht bei der Standard-App!) ist es theoretisch möglich, einen „Business Services Agreement“ mit Meta Platforms Ireland Ltd. abzuschließen, das auf ein Auftragsverarbeitungsverhältnis hinweist.

Aber:

• Es ist rechtlich umstritten, ob Meta hier überhaupt im Sinne von Art. 28 DSGVO als Auftragsverarbeiter handelt – oder vielmehr als gemeinsam Verantwortlicher.
• Selbst wenn ein AV-Vertrag besteht, entbindet dieser nicht von der Pflicht zur Prüfung, ob die Verarbeitung überhaupt zulässig ist.
• Der Vertrag deckt nicht alle Risiken ab, insbesondere nicht die Metadatenverarbeitung und die US-Übermittlung im Rahmen des Meta-Konzerns.

Mit anderen Worten: Der AV-Vertrag bei WhatsApp Business ist bestenfalls ein erster Schritt, bietet aber keine vollständige rechtliche Absicherung – insbesondere nicht bei sensiblen Daten oder Massennutzung.

c) Drittlandübermittlung in die USA

Ein besonders kritischer Punkt ist die Übertragung personenbezogener Daten in die USA. Zwar existiert seit Juli 2023 das sog. EU-U.S. Data Privacy Framework, das Meta als „zertifiziert“ ausweist. Aber:

• Dieses Framework ist nicht unumstritten und könnte – wie zuvor das „Privacy Shield“ – vom EuGH wieder für ungültig erklärt werden.
• Eine Nutzung ist nur dann zulässig, wenn die Art der Datenverarbeitung unter das Framework fällt – was bei der Verarbeitung durch WhatsApp Business nicht zweifelsfrei der Fall ist.
• Für sensible Daten (z. B. Gesundheitsdaten) reicht die Zertifizierung nicht automatisch aus.

Fazit: Auch mit AV-Vertrag und Datenschutzhinweis bleibt die Rechtmäßigkeit der WhatsApp-Business-Nutzung zweifelhaft.

3. Risiken bleiben trotz Business-Lösung bestehen

Trotz aller Unterschiede zur Standard-Version bleibt WhatsApp Business aus datenschutzrechtlicher Sicht problematisch – und zwar aus folgenden Gründen:

⚠️ Adressbuch-Zugriff

Die App lädt – je nach Geräteeinstellung – weiterhin das vollständige Adressbuch auf WhatsApp-Server, um Kontakte zu erkennen. Damit werden Daten Dritter übermittelt, die nicht aktiv an der Kommunikation beteiligt sind – ohne deren Wissen oder Einwilligung.

⚠️ Metadatenverarbeitung

Die Inhalte Ihrer Nachrichten sind zwar Ende-zu-Ende-verschlüsselt, aber Metadaten (wer, wann, mit wem, von wo, wie oft) sind für Meta voll einsehbar und werden u. a. für Analyse- und Marketingzwecke verwendet. Das ist datenschutzrechtlich besonders brisant – gerade bei Berufsgeheimnisträgern.

⚠️ Fehlende Trennung zwischen beruflicher und privater Nutzung

Viele Nutzer verwenden WhatsApp Business und Standard-WhatsApp auf demselben Gerät – oder parallel. Dadurch besteht das Risiko von Datenverwechslung, Durchmischung von Kommunikationskanälen und versehentlicher Offenlegung.

⚠️ Unzureichende Kontrolle über Datenlöschung

WhatsApp bietet keine rechtsverbindlichen Garantien, dass übermittelte personenbezogene Daten tatsächlich gelöscht oder vollständig kontrolliert werden können. Für Verantwortliche nach DSGVO ist das ein massives Problem – denn sie müssen auf Anfragen reagieren und Daten auch nachweislich löschen können.

Fazit: WhatsApp Business ist keine datenschutzkonforme Lösung

Die Business-Variante von WhatsApp bietet funktionale Vorteile für Unternehmen, löst aber die datenschutzrechtlichen Grundprobleme nicht. Trotz AV-Vertrag, Unternehmensprofil und zusätzlichen Funktionen bleiben zentrale Kritikpunkte bestehen:

• unkontrollierter Drittlandtransfer,
• unzulässiger Adressbuch-Zugriff,
• intransparente Metadatenverarbeitung,
• keine Garantie der DSGVO-Konformität.

Wer personenbezogene Daten – insbesondere sensible oder vertrauliche Informationen – verarbeitet, sollte WhatsApp Business nicht verwenden, es sei denn, eine ausdrückliche, informierte und dokumentierte Einwilligung liegt vor und alle rechtlichen Rahmenbedingungen (inkl. alternativer Kontaktmöglichkeit, Informationspflichten und technischer Absicherung) sind erfüllt.

Empfehlung: Setzen Sie auf echte datenschutzkonforme Alternativen wie:

• Threema Work (Schweizer Anbieter, keine Adressbuchübertragung, AV-Vertrag möglich),
• Signal (mit Einschränkungen),
• Matrix/Element (für Organisationen mit hohem Sicherheitsbedarf),
• Teamwire, Wire oder ähnliche spezialisierte Business-Messenger mit Hosting in der EU.

nach oben  

Besonders kritisch: Adressbuch-Zugriff und das Problem mit den Dritten

WhatsApp lebt davon, dass sich Kontakte gegenseitig finden. Dafür greift die App auf Ihr Smartphone-Adressbuch zu, liest es aus und gleicht die gespeicherten Telefonnummern mit den eigenen Servern ab. So kann die App Ihnen anzeigen, wer aus Ihrem Umfeld WhatsApp nutzt – eine Funktion, die in der Praxis sehr geschätzt wird.

Doch was technisch nützlich erscheint, ist aus datenschutzrechtlicher Sicht hochproblematisch: Denn nicht Sie selbst sind allein von dieser Datenverarbeitung betroffen, sondern vor allem die Menschen, deren Kontaktdaten Sie gespeichert haben – auch wenn diese gar keinen WhatsApp-Account haben. Genau hier liegt der Knackpunkt: Die automatische Adressbuchübertragung betrifft Dritte, die über diese Datenverarbeitung weder informiert noch ihr zugestimmt haben.

1. Warum Sie für hochgeladene Kontakte eigentlich keine Erlaubnis haben

Wenn Sie WhatsApp erlauben, auf Ihre Kontakte zuzugreifen, dann überträgt die App die dort gespeicherten Telefonnummern (und ggf. Namen) an die WhatsApp-Server – also letztlich an die Meta Platforms Inc. in den USA. Dieser Vorgang ist nicht lokal auf Ihrem Gerät beschränkt, sondern ein Fall der Weitergabe personenbezogener Daten an Dritte und – im Ergebnis – auch in ein Drittland.

Diese Übermittlung betrifft sämtliche Kontakte – auch solche, die selbst keine WhatsApp-Nutzer sind. Genau darin liegt der datenschutzrechtliche Verstoß: Sie als Nutzer sind nicht berechtigt, eigenmächtig personenbezogene Daten Dritter an einen Messenger-Dienst zu übertragen, ohne dass:

• eine gesetzliche Grundlage dafür vorliegt oder
• die betroffene Person ihre Einwilligung dazu erteilt hat.

Die Datenschutz-Grundverordnung (DSGVO) ist insoweit eindeutig: Jede Verarbeitung personenbezogener Daten muss auf eine der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen gestützt werden. Im Fall der Adressbuchübermittlung trifft dies regelmäßig nicht zu, da:

• kein Vertrag mit der betroffenen Drittperson besteht,
• keine Einwilligung vorliegt,
• kein überwiegendes berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO angenommen werden kann (dazu gleich mehr).

Fazit: Die automatische Synchronisation Ihres Adressbuchs mit WhatsApp verstößt gegen die DSGVO, sofern Sie nicht zuvor eine rechtskonforme Einwilligung von jedem einzelnen Kontakt eingeholt haben – was in der Praxis faktisch nie geschieht.

2. Besteht eine Pflicht zur Einholung einer Einwilligung?

Ja – grundsätzlich schon, sofern keine andere Rechtsgrundlage greift. Und genau das ist das Problem: In aller Regel gibt es keine alternative Grundlage, weil weder Vertrag noch gesetzliche Pflicht vorliegen und auch die Abwägung nach Art. 6 Abs. 1 lit. f DSGVO zugunsten des Nutzers ausfällt.

a) Berechtigtes Interesse – eine unzulässige Ausrede

Viele Nutzer oder Anbieter versuchen, den Zugriff auf das Adressbuch mit einem „berechtigten Interesse“ zu rechtfertigen – etwa mit dem Argument, dass die Synchronisierung zur Funktionalität des Dienstes gehöre. Doch dieses Interesse muss:

• konkret und schutzwürdig sein,
• in einer Einzelfallabwägung mit den Interessen der betroffenen Person stehen und
• nicht überwiegen.

Hier haben Aufsichtsbehörden und Gerichte mehrfach klargestellt: Das Interesse eines Nutzers an der Bequemlichkeit eines automatischen Abgleichs überwiegt in der Regel nicht das Schutzinteresse eines Dritten, dessen Daten ohne Einwilligung an WhatsApp übermittelt werden.

Insbesondere nicht bei Kontakten, die bewusst keinen WhatsApp-Account besitzen – deren Verweigerung verliert bei einer ungefragten Übermittlung völlig an Bedeutung.

b) Einwilligung erforderlich – aber praktisch kaum umsetzbar

Das führt dazu, dass eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO die einzig zulässige Rechtsgrundlage darstellt. Doch die Einholung einer solchen Einwilligung ist:

• bei hunderten gespeicherten Kontakten praktisch nicht umsetzbar,
• häufig nicht ausreichend dokumentierbar,
• und selbst bei positiver Rückmeldung nur dann wirksam, wenn sie freiwillig, informiert und spezifisch erfolgt ist.

Schon allein der Versuch, bei allen gespeicherten Kontakten vorab eine informierte Einwilligung einzuholen, würde in der Realität scheitern. Hinzu kommt: Auch wenn jemand seine Zustimmung gibt, kann er sie jederzeit widerrufen – mit der Folge, dass Sie die Daten dann nicht weiter verwenden dürften.

Fazit: Der Nutzer müsste vor der Installation von WhatsApp alle Kontakte einzeln fragen, ob er ihre Telefonnummer an WhatsApp weitergeben darf. Da das praktisch nicht geschieht, ist der Datenabgleich fast immer rechtswidrig.

3. Rechtsprechung und Stellungnahmen der Datenschutzbehörden

Die datenschutzrechtliche Unzulässigkeit der Adressbuchübertragung wurde bereits mehrfach von deutschen und europäischen Datenschutzaufsichtsbehörden sowie Gerichten kritisiert.

a) Datenschutzkonferenz (DSK) – Bund-Länder-Gremium

Die DSK hat bereits 2019 festgestellt:

„Die Nutzung von WhatsApp durch Unternehmen zur Kommunikation mit Kunden oder Mitarbeitenden ist aus datenschutzrechtlicher Sicht in der Regel unzulässig, da durch den Adressbuch-Zugriff personenbezogene Daten Dritter ohne deren Einwilligung an WhatsApp übertragen werden.“

b) Landesdatenschutzbeauftragte (z. B. Hamburg, Baden-Württemberg, NRW)

Diese betonen regelmäßig:

• Der Zugriff auf das Adressbuch bedarf einer klaren Einwilligung.
• Die pauschale Zustimmung zu den Nutzungsbedingungen von WhatsApp reicht nicht für Dritte.
• Unternehmen, die WhatsApp nutzen, verstoßen gegen Art. 5 Abs. 1 DSGVO (Grundsätze der Datenverarbeitung).

c) EuGH – mittelbare Relevanz aus „Rynes“-Urteil

Auch wenn sich der Europäische Gerichtshof (EuGH) noch nicht explizit zur WhatsApp-Adressen-Thematik geäußert hat, ist aus dem „Rynes“-Urteil (C-212/13) ableitbar, dass der Schutz personenbezogener Daten auch dann greift, wenn Dritte betroffen sind, die selbst nicht aktiv handeln. Das stärkt die These, dass die Haushaltsausnahme bei solchen Übermittlungen nicht mehr greift.

d) Zivilgerichte und Wettbewerbsrecht

Auch auf zivilrechtlicher Ebene (z. B. nach dem UWG) wurde die WhatsApp-Nutzung wegen Verstoßes gegen datenschutzrechtliche Pflichten bereits erfolgreich abgemahnt. Bei gewerblicher Nutzung stellt die unzulässige Datenverarbeitung regelmäßig einen Wettbewerbsverstoß dar – mit der Folge von Unterlassungs- und Schadensersatzansprüchen.

Fazit: Der Adressbuch-Abgleich ist das zentrale Datenschutzproblem von WhatsApp

Die automatische Adressbuch-Übermittlung ist ein datenschutzrechtliches Kernproblem der WhatsApp-Nutzung – gerade im beruflichen Kontext. Denn sie betrifft:

• unbeteiligte Dritte,
• ohne Information oder Zustimmung,
• und führt zu einer Datenübertragung in die USA, also in ein Drittland ohne ausreichendes Datenschutzniveau (trotz EU-U.S. Data Privacy Framework nur begrenzt rechtssicher).

Empfehlung:

• Deaktivieren Sie bei WhatsApp die Kontakt-Synchronisierung (soweit technisch möglich).
• Verwenden Sie stattdessen Messenger ohne Adressbuchabgleich, etwa Threema Work oder Signal mit deaktivierter Synchronisation.
• Wenn Sie WhatsApp dennoch geschäftlich einsetzen wollen, holen Sie vorab dokumentierte Einwilligungen aller betroffenen Personen ein – inklusive Kontaktalternativen und ausführlicher Datenschutzerklärung.

nach oben 

Datenschutzrechtliche Bewertung durch Aufsichtsbehörden und Gerichte

WhatsApp zählt nach wie vor zu den beliebtesten Messengern weltweit. Doch gerade in Deutschland steht die App seit Jahren unter intensiver Beobachtung der Datenschutzaufsichtsbehörden. Denn der Dienst bringt strukturelle Datenschutzprobleme mit sich, die sich weder technisch noch rechtlich einfach lösen lassen – insbesondere nicht im beruflichen oder geschäftlichen Kontext. Auch erste Gerichtsentscheidungen beschäftigen sich mit der Thematik, etwa im Rahmen von Wettbewerbsverstößen oder Schadensersatzklagen.

In diesem Abschnitt zeigen wir Ihnen, welche zentralen Kritikpunkte die Aufsichtsbehörden regelmäßig erheben, welche rechtlichen Konsequenzen (Bußgelder!) drohen – und warum WhatsApp in datenschutzrechtlicher Hinsicht kein neutraler Kommunikationskanal ist.

1. Zentrale Kritikpunkte der Landesdatenschutzbehörden

Die deutschen Landesdatenschutzbehörden (LfD) sowie die bundesweite Datenschutzkonferenz (DSK) haben sich wiederholt kritisch zur Nutzung von WhatsApp geäußert – vor allem durch Unternehmen, Schulen, Ärzte, Vereine oder Freiberufler.

Die häufigsten Kritikpunkte sind:

✅ Unzulässiger Adressbuch-Zugriff

Wie bereits erläutert, synchronisiert WhatsApp bei Installation (oder bei Freigabe der Berechtigung) das gesamte Adressbuch des Nutzers mit eigenen Servern. Diese Datenweitergabe betrifft auch Personen, die selbst keinen WhatsApp-Account haben, und erfolgt regelmäßig ohne deren Einwilligung. Das verstoße – laut Behörden – gegen Art. 6 Abs. 1 DSGVO (fehlende Rechtsgrundlage) und gegen Art. 5 DSGVO (Grundsätze der Datenverarbeitung).

✅ Fehlende Transparenz

Unternehmen, die WhatsApp einsetzen, informieren ihre Kunden oder Geschäftspartner oft nicht ordnungsgemäß über die Verarbeitung ihrer Daten. Die nach Art. 13 DSGVO erforderlichen Angaben – etwa zur Datenweitergabe an Dritte, zum Zweck der Verarbeitung oder zur Möglichkeit des Widerrufs – fehlen häufig vollständig oder sind zu pauschal.

✅ Unzulässige Datenübermittlung in Drittstaaten

Meta Platforms, der Mutterkonzern von WhatsApp, verarbeitet Daten auch in den USA, also außerhalb des Geltungsbereichs der DSGVO. Auch wenn das EU-U.S. Data Privacy Framework seit Juli 2023 eine neue Grundlage für Datenübermittlungen bietet, bleiben Zweifel an der tatsächlichen Sicherheit bestehen – insbesondere bei besonders sensiblen Daten (z. B. Gesundheitsdaten, Mandantendaten, Bildungsdaten).

✅ Ungeeignete Auftragsverarbeitung

Auch bei Nutzung von WhatsApp Business bleibt offen, ob Meta als echter Auftragsverarbeiter im Sinne von Art. 28 DSGVO auftritt. Die Datenschutzaufsicht kritisiert, dass:

• entweder kein AV-Vertrag abgeschlossen wird (bei der Standardversion ohnehin nicht möglich), oder
• der angebotene Vertrag nicht den Anforderungen der DSGVO genügt,
• der tatsächliche Einfluss und die Kontrolle über die Datenverarbeitung durch Meta unzureichend sei.

✅ Unvereinbarkeit mit dem Berufsgeheimnis

Für Berufsgruppen mit besonderer Verschwiegenheitspflicht (z. B. Ärzte, Rechtsanwälte, Psychologen, Seelsorger) ist der Einsatz von WhatsApp aus Sicht der Datenschutzbehörden grundsätzlich unzulässig, weil:

• kein kontrollierter Kommunikationskanal besteht,
• keine Zugriffskontrolle durch den Berufsträger erfolgt,
• keine datenschutzgerechte Löschung möglich ist,
• und Meta ggf. Zugriff auf Metadaten erhält.

Die Behörden raten Berufsgeheimnisträgern ausdrücklich davon ab, WhatsApp in irgendeiner Form für die berufliche Kommunikation einzusetzen.

2. Bußgeldrisiken bei datenschutzwidriger WhatsApp-Nutzung

Die datenschutzrechtlichen Pflichten der DSGVO sind mit Sanktionsmechanismen versehen – und diese werden inzwischen von den Aufsichtsbehörden zunehmend konsequent angewendet.

Rechtsgrundlage: Art. 83 DSGVO

Die DSGVO sieht Bußgelder von bis zu:

• 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (bei allgemeinen Verstößen) bzw.
• 20 Mio. € oder 4 % des Jahresumsatzes (bei schweren Verstößen, z. B. gegen die Grundprinzipien der Verarbeitung, Art. 5 DSGVO),
  vor.

Typische Szenarien, in denen Bußgelder drohen:

• Unternehmen nutzen WhatsApp zur Kundenkommunikation, ohne Einwilligung der Betroffenen,
• ein Arzt sendet Untersuchungsergebnisse per WhatsApp, ohne ausreichenden Schutz oder Legitimation,
• ein Verein betreibt eine WhatsApp-Gruppe mit personenbezogenen Daten der Mitglieder, ohne diese korrekt zu informieren,
• ein Lehrer nutzt WhatsApp für die Schüler-Eltern-Kommunikation, ohne alternative Kommunikationswege anzubieten,
• ein Unternehmen verarbeitet Daten über WhatsApp ohne einen wirksamen AV-Vertrag mit Meta.

Beispiel aus der Praxis:

• In NRW wurde ein Handwerksbetrieb ermahnt und musste Datenschutzmaßnahmen nachrüsten, weil er WhatsApp für Angebotsversand nutzte – gegenüber Dritten ohne deren Wissen.

Hinweis: Auch bei kleinen Betrieben und Selbstständigen sind Bußgelder in vierstelliger Höhe keine Seltenheit mehr – und es ist zu erwarten, dass die Behörden in Zukunft noch konsequenter vorgehen, da das Bewusstsein für Datenschutz wächst.

Fazit: Die behördliche und gerichtliche Bewertung ist eindeutig – WhatsApp ist im beruflichen Kontext in aller Regel rechtswidrig

Die Datenschutzaufsichtsbehörden und die Rechtsprechung sehen die berufliche Nutzung von WhatsApp als hochproblematisch an. Die pauschale Übertragung von Kontaktdaten ohne Einwilligung, die intransparente Datenverarbeitung durch Meta und die fehlenden Schutzmechanismen führen dazu, dass Unternehmen und Organisationen ein erhebliches rechtliches Risiko eingehen, wenn sie WhatsApp weiterhin einsetzen.

Empfehlung:

• Verzichten Sie auf WhatsApp für alle berufsbezogenen Zwecke, bei denen personenbezogene Daten Dritter betroffen sind.
• Prüfen Sie ernsthaft datenschutzkonforme Alternativen, die auf AV-Verträge, europäische Serverstandorte und funktionierende Lösch- und Schutzmechanismen setzen.
• Lassen Sie sich im Zweifel rechtlich beraten – insbesondere dann, wenn Sie beruflich mit sensiblen Daten arbeiten (Gesundheit, Recht, Bildung, Religion etc.).

nach oben 

Technische und organisatorische Maßnahmen für mehr Datenschutz bei WhatsApp

Wenn Sie WhatsApp trotz der datenschutzrechtlichen Bedenken beruflich oder halbberuflich nutzen möchten oder müssen – etwa, weil Kunden oder Patienten explizit darauf bestehen –, dann sind Sie verpflichtet, alles Zumutbare zu unternehmen, um den Schutz personenbezogener Daten zu gewährleisten.

Das umfasst sowohl technische Maßnahmen (z. B. Geräteeinstellungen, Verschlüsselung, Zugriffssicherung) als auch organisatorische Maßnahmen (z. B. Einwilligungen, Datenschutzinformationen, Verträge mit dem Anbieter). In diesem Abschnitt erfahren Sie, was Sie konkret tun können – und wo die Grenzen liegen.

1. Wie Sie Ihre WhatsApp-Einstellungen datenschutzfreundlicher gestalten

Auch wenn WhatsApp in seiner Grundstruktur nicht DSGVO-konform ist, können Sie zumindest einige Funktionen datenschutzfreundlicher konfigurieren, um Risiken zu minimieren. Dazu zählen insbesondere:

✅ Adressbuchzugriff vermeiden (soweit möglich)

• Verweigern Sie beim Installieren der App den Zugriff auf Ihre Kontakte oder entziehen Sie die Berechtigung nachträglich in den Systemeinstellungen Ihres Smartphones.
• Ohne Synchronisation kann WhatsApp allerdings nicht mehr automatisch erkennen, wer Ihrer Kontakte ebenfalls WhatsApp nutzt. Die Kommunikation ist dann nur mit manuell gespeicherten Kontakten möglich.

✅ Backups verschlüsseln oder deaktivieren

• WhatsApp-Backups (z. B. über Google Drive oder iCloud) sind nicht Ende-zu-Ende-verschlüsselt, sofern Sie dies nicht explizit aktivieren.
• Aktivieren Sie die Option „Verschlüsseltes Backup“ in den WhatsApp-Einstellungen – oder verzichten Sie ganz auf Cloud-Backups, wenn besonders sensible Daten übermittelt werden.

✅ Sichtbarkeit einschränken

• Begrenzen Sie in den Datenschutz-Einstellungen von WhatsApp, wer sehen darf:
• Ihr Profilbild,
• Ihren Status,
• Ihre „Zuletzt online“-Anzeige,
• Ihre Lesebestätigungen (blaue Haken).
• Für berufliche Accounts empfiehlt sich, alle Funktionen auf „Niemand“ oder „Nur meine Kontakte“ zu setzen.

✅ Gruppeneinstellungen kontrollieren

• Setzen Sie in den Gruppeneinstellungen die Option „Wer darf mich zu Gruppen hinzufügen?“ auf „Meine Kontakte“ oder „Meine Kontakte außer …“.
• Bei beruflicher Nutzung sollten Sie keine offenen Gruppen führen, bei denen sich neue Mitglieder ungeprüft hinzufügen lassen.

✅ Sperrbildschirm deaktivieren & App mit Passwort schützen

• Aktivieren Sie in den WhatsApp-Einstellungen die Bildschirmsperre (z. B. Face ID, Fingerabdruck oder PIN).
• Vermeiden Sie, dass Vorschauen auf Nachrichten im Sperrbildschirm angezeigt werden – so vermeiden Sie unbeabsichtigte Datenweitergabe.

2. Was Unternehmen und Freiberufler unbedingt tun sollten

Wenn Sie WhatsApp beruflich nutzen – etwa als Arzt, Friseur, Lehrkraft oder Rechtsanwalt – und mit personenbezogenen Daten arbeiten, dann reicht das Einstellen der App nicht aus. Sie müssen zusätzlich organisatorische Maßnahmen ergreifen, um Ihrer Verantwortung als „Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO gerecht zu werden.

✅ Aufklärung und Einwilligung einholen

• Informieren Sie die betroffenen Personen (Kunden, Patienten, Mandanten etc.) vorab über die Datenverarbeitung via WhatsApp, inklusive:
• welche Daten verarbeitet werden (z. B. Telefonnummer, Metadaten, Inhalte),
• wer der Empfänger ist (Meta Platforms Ireland Ltd.),
• dass Daten in ein Drittland übermittelt werden (USA),
• welche Risiken bestehen (z. B. Profilbildung, Zugriff durch Meta),
• welche Rechte den Betroffenen zustehen (z. B. Widerruf, Löschung).
• Holen Sie eine ausdrückliche, dokumentierte Einwilligung ein – z. B. per Formular oder Checkbox.

✅ Datenschutzerklärung anpassen

• Ihre Datenschutzerklärung (z. B. auf Ihrer Website oder in Papierform in der Praxis) muss die Nutzung von WhatsApp transparent erklären.
• Enthalten sein müssen:
• der Zweck der Datenverarbeitung,
• die Rechtsgrundlage (z. B. Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO),
• die Empfängerkategorie (Meta Platforms),
• Informationen zur Datenübertragung in Drittländer (USA) und zum Datenschutzrisiko.

✅ Alternative Kommunikationskanäle anbieten

• Die Einwilligung in die WhatsApp-Kommunikation ist nur dann freiwillig, wenn der betroffenen Person auch eine gleichwertige Alternative zur Verfügung steht – z. B. E-Mail, Telefon, Briefpost.
• Eine „Zwangskommunikation“ via WhatsApp ist nicht zulässig.

✅ Zugriffsmanagement im Unternehmen

• Achten Sie darauf, dass nur autorisierte Personen Zugriff auf den WhatsApp-Account haben (z. B. über ein Diensthandy, das nicht privat genutzt wird).
• Richten Sie ggf. eine interne Richtlinie ein, wie mit Chatverläufen, Löschung und Dokumentation umzugehen ist.

3. AV-Vertrag mit Meta – sinnvoll oder Scheinsicherheit?

Bei Nutzung der App WhatsApp Business bietet Meta tatsächlich die Möglichkeit, einen „Business Services Agreement“ abzuschließen, das auch einen „Data Processing Addendum“ (DPA) enthält – also einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

✅ Was spricht für den AV-Vertrag?

• Der Abschluss eines AV-Vertrags ist eine notwendige Voraussetzung, um einen Auftragsverarbeiter datenschutzkonform einzubinden.
• Er stellt (formal) sicher, dass Meta die Daten nur nach Weisung verarbeitet.
• Er enthält Zusicherungen zur Datensicherheit und Löschungspflichten.

❌ Was spricht dagegen?

• Der AV-Vertrag schützt nicht vor Drittlandübermittlungen, etwa in die USA.
• Es ist zweifelhaft, ob Meta tatsächlich nur als Auftragsverarbeiter handelt – oder in Wirklichkeit als gemeinsam Verantwortlicher (Art. 26 DSGVO).
• Die tatsächliche Kontrolle über die Datenverarbeitung bleibt beim Anbieter – nicht beim Unternehmen.
• Die Vertragsunterlagen sind in englischer Sprache, häufig schwer verständlich, und inhaltlich rechtlich angreifbar.

Fazit: Der AV-Vertrag mit Meta ist kein Freifahrtschein für DSGVO-Konformität. Er ist zwar eine notwendige Maßnahme – aber keine hinreichende. Die strukturellen Probleme der WhatsApp-Datenverarbeitung (z. B. Adressbuch-Abgleich, Metadatenverarbeitung, Drittlandübermittlung) bleiben bestehen.

Fazit: Datenschutz bei WhatsApp ist mit hohem Aufwand verbunden – und bleibt lückenhaft

Sie können WhatsApp datenschutzfreundlicher konfigurieren und organisatorische Maßnahmen treffen – doch selbst dann bleiben erhebliche Restrisiken bestehen, insbesondere:

• fehlende Kontrolle über Drittlandübertragungen,
• unzulässige Datenweitergabe an Meta,
• keine vollständige Transparenz über Metadatenverarbeitung.

Wenn Sie WhatsApp nutzen möchten, müssen Sie:

• technische Schutzmaßnahmen konsequent umsetzen,
• Ihre Kundschaft ausführlich aufklären,
• dokumentierte Einwilligungen einholen,
• Ihre Prozesse und Datenschutzerklärung anpassen,
• und idealerweise einen AV-Vertrag mit Meta abschließen (nur mit Business-Version möglich).

Noch besser: Prüfen Sie Alternativen, die von vornherein auf Datenschutz ausgelegt sind, etwa:

• Threema Work (mit AV-Vertrag und europäischem Serverstandort),
• Signal (mit deaktivierter Adressbuchfunktion),
• Teamwire, Element oder Wire (für Behörden, Schulen und Unternehmen).

nach oben

Fazit: WhatsApp datenschutzkonform nutzen – (wie) geht das überhaupt?

WhatsApp ist schnell, bequem und weitverbreitet – aber zugleich ein datenschutzrechtlicher Problemdienst, der auf vielen Ebenen mit den Vorgaben der DSGVO kollidiert. Wer die App nutzt, sollte sich darüber im Klaren sein, welche Risiken bestehen, welche rechtlichen Pflichten greifen – und wie groß der eigene Handlungsspielraum tatsächlich ist.

1. Zusammenfassung: Diese Risiken bestehen – und das müssen Sie beachten

Die wichtigsten datenschutzrechtlichen Kritikpunkte bei der WhatsApp-Nutzung lauten:

• Adressbuchzugriff: Automatische Übermittlung der Telefonnummern aller gespeicherten Kontakte – auch von Personen, die WhatsApp gar nicht nutzen. In aller Regel ohne rechtmäßige Einwilligung = klarer Verstoß gegen die DSGVO.
• Datenübertragung in Drittländer: Meta Platforms verarbeitet Daten u. a. in den USA – ein Drittland mit eingeschränktem Datenschutzniveau. Auch das neue „Data Privacy Framework“ bietet keine absolute Rechtssicherheit.
• Metadatenverarbeitung: Auch wenn Inhalte verschlüsselt sind, bleiben Metadaten (wer, wann, mit wem, wie oft) vollständig sichtbar – und sind für Meta wirtschaftlich äußerst interessant.
• Fehlende Verträge und Kontrolle: In der Standard-Version ist kein Auftragsverarbeitungsvertrag möglich. Auch die Business-Version schafft keine vollumfängliche DSGVO-Konformität.
• Berufliche Nutzung ist rechtlich kaum vertretbar: Besonders für Berufsgruppen mit Schweigepflicht oder sensiblen Daten (Ärzte, Anwälte, Lehrer etc.) ist die Nutzung von WhatsApp rechtlich ausgeschlossen – selbst bei Einwilligung bestehen strukturelle Verstöße.

2. Realistische Einschätzung für Privatnutzer und Unternehmen

✅ Für Privatnutzer:

• Wenn Sie WhatsApp ausschließlich im engsten privaten oder familiären Kreis nutzen, greift die sogenannte Haushaltsausnahme (Art. 2 Abs. 2 lit. c DSGVO).
• In diesem Bereich besteht keine unmittelbare Anwendung der DSGVO, solange Sie keine Gruppen mit organisatorischem Charakter führen (z. B. Vereinsarbeit, Elterninitiativen).
• Dennoch: Auch privat sollten Sie überlegen, ob Sie die Kontaktdaten Dritter übermitteln möchten, ohne diese vorher zu fragen – nicht jeder freut sich darüber.

❌ Für berufliche Nutzer:

• Die WhatsApp-Nutzung im beruflichen Kontext ist nur unter engen Voraussetzungen überhaupt vertretbar – in der Praxis fast nie rechtskonform.
• Ohne dokumentierte Einwilligung, umfassende Information, AV-Vertrag, technische Schutzmaßnahmen und alternative Kontaktmöglichkeiten liegt ein klarer DSGVO-Verstoß vor.
• Die Nutzung durch Unternehmen, Kanzleien, Praxen, Schulen oder Behörden ist datenschutzrechtlich hoch riskant und kann zu Bußgeldern, Abmahnungen oder Reputationsschäden führen.

3. Ihr rechtlicher Handlungsspielraum – was ist möglich, was nicht?

Wenn Sie WhatsApp trotz aller Risiken nutzen möchten oder müssen, besteht nur ein sehr enger Spielraum, um datenschutzrechtlich einigermaßen sicher zu agieren:

✅ Möglich:

• Nutzung im rein privaten Kontext (Familie, Freundeskreis),
• Nutzung mit deaktiviertem Adressbuchzugriff,
• Nutzung auf einem isolierten Endgerät (Diensthandy ohne Mischverwendung),
• Nutzung mit expliziter, informierter, freiwilliger Einwilligung der betroffenen Personen,
• Einsatz von WhatsApp Business mit AV-Vertrag (aber nur als Mindestvoraussetzung, nicht als Freifahrtschein),
• Ergänzende Datenschutzmaßnahmen: Datenschutzhinweise, alternative Kommunikationswege, verschlüsselte Backups, Sperrbildschirmschutz.

❌ Nicht möglich:

• Adressbuchübertragung ohne Einwilligung,
• Nutzung durch Berufsgeheimnisträger (Ärzte, Anwälte etc.) ohne technische Trennung und datenschutzkonforme Infrastruktur,
• Kommunikation sensibler Daten über WhatsApp ohne gesicherte Umgebung,
• Einsatz in Schulen, Vereinen, Kirchen oder Behörden ohne vorherige Risikoanalyse, Einwilligung und technische Sicherung.

Fazit in einem Satz:

WhatsApp ist für private Chats vielleicht hinnehmbar – für berufliche Kommunikation aber (fast immer) ein No-Go.

Empfehlung:

Wenn Sie rechtlich auf der sicheren Seite sein möchten:

• Verwenden Sie WhatsApp ausschließlich privat – und nur mit Bedacht.
• Für berufliche Zwecke wählen Sie besser datenschutzkonforme Messenger-Alternativen wie Threema Work, Wire, Signal (eingeschränkt) oder Teamwire.
• Lassen Sie sich im Zweifelsfall rechtlich beraten – insbesondere dann, wenn Sie sensible oder besonders schützenswerte Daten verarbeiten.

Denn: Wer Datenschutz nur als lästige Pflicht betrachtet, riskiert nicht nur rechtliche Konsequenzen, sondern auch das Vertrauen seiner Kunden, Mandanten oder Patienten.

nach oben  

FAQ – Häufige Fragen zum Datenschutz bei WhatsApp

1. Darf ich WhatsApp zur Kundenkommunikation nutzen?

Grundsätzlich: Nein, nicht ohne Weiteres.
Die geschäftliche Nutzung von WhatsApp ist aus datenschutzrechtlicher Sicht hoch problematisch. Denn:

• WhatsApp verarbeitet personenbezogene Daten (z. B. Telefonnummern, Chatinhalte, Metadaten) auf Servern in Drittländern,
• es erfolgt ein automatischer Abgleich mit dem Adressbuch – auch von Personen, die WhatsApp nicht nutzen,
• die Standard-Version erlaubt keinen Auftragsverarbeitungsvertrag, was für Unternehmen aber zwingend erforderlich wäre,
• ohne eine nachweisbare, informierte und freiwillige Einwilligung der Kunden liegt ein klarer Verstoß gegen die DSGVO vor.

Wenn Sie WhatsApp dennoch geschäftlich einsetzen wollen, müssen Sie:

• die Business-Version mit AV-Vertrag nutzen,
• Ihre Kunden vollständig aufklären (Transparenzpflicht),
• eine echte Kommunikationsalternative anbieten,
• und eine dokumentierte Einwilligung einholen.

In der Praxis gelingt das selten vollständig. Daher ist WhatsApp für geschäftliche Kommunikation nicht empfehlenswert.

2. Muss ich meine Kontakte vorab um Erlaubnis fragen, bevor ich WhatsApp nutze?

Ja – jedenfalls dann, wenn Sie deren Daten an WhatsApp weitergeben.

Wenn Sie der App den Zugriff auf Ihr Adressbuch gestatten, werden alle darin gespeicherten Telefonnummern automatisch an WhatsApp (bzw. Meta) übertragen – auch von Personen, die gar keinen WhatsApp-Account haben. Diese Datenverarbeitung ist nur mit einer rechtlichen Grundlage zulässig, insbesondere:

• einer vorherigen Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO), oder
• im Ausnahmefall aufgrund eines berechtigten Interesses – was jedoch bei der automatisierten Übermittlung von Kontakten regelmäßig abgelehnt wird.

Fazit: Wenn Sie Ihre Kontakte nicht vorher fragen, verarbeiten Sie deren Daten rechtswidrig. Die bloße Tatsache, dass jemand selbst WhatsApp nutzt, ersetzt keine Einwilligung. Im beruflichen Kontext ist dieser Punkt besonders brisant und ein häufiger Grund für Beanstandungen durch Aufsichtsbehörden.

3. Was droht mir bei Verstößen gegen die DSGVO durch WhatsApp-Nutzung?

Die Folgen reichen von formalen Beanstandungen bis hin zu empfindlichen Bußgeldern – je nach Schwere und Häufigkeit des Verstoßes.

Mögliche Konsequenzen:

• Bußgelder durch die Datenschutzbehörden (bis zu 20 Mio. € oder 4 % des Jahresumsatzes gemäß Art. 83 DSGVO),
• Abmahnungen von Mitbewerbern oder Verbraucherverbänden (Wettbewerbsverstoß),
• Schadensersatzforderungen durch betroffene Personen (Art. 82 DSGVO),
• Reputationsverlust, insbesondere in vertrauensbasierten Branchen (z. B. Medizin, Recht, Bildung).

Fazit: Selbst bei kleinen Betrieben können die Konsequenzen spürbar sein – und sind rechtlich vermeidbar.

4. Ist WhatsApp in der Schule erlaubt?

In der Regel: Nein.

Die Nutzung von WhatsApp zur Kommunikation mit oder über Schüler, Eltern oder Kolleginnen und Kollegen ist in der schulischen Praxis datenschutzrechtlich sehr riskant – auch dann, wenn die App nur „informell“ genutzt wird.

Hauptprobleme:

• Keine rechtmäßige Datenverarbeitung (z. B. bei Schülernamen, Telefonnummern, Leistungsdaten),
• kein Auftragsverarbeitungsvertrag mit WhatsApp möglich (Standard-Version),
• Drittlandübertragung in die USA,
• fehlende Kontrolle über Datenlöschung, Screenshots, Weiterleitungen,
• keine Einhaltung schulrechtlicher und datenschutzrechtlicher Standards.

Viele Kultusministerien und Datenschutzaufsichtsbehörden empfehlen ausdrücklich, auf WhatsApp im schulischen Bereich zu verzichten und stattdessen datenschutzkonforme Plattformen (z. B. Schul-Clouds, Messenger wie Threema Work oder Signal) einzusetzen.

nach oben