Nutzung von WhatsApp im Unternehmen
© tashatuvango - stock.adobe.com

Nutzung von WhatsApp im Unternehmen

5 min.
27. Mai 2025

Aus der privaten Kommunikation ist WhatsApp längst kaum mehr wegzudenken. Auch viele Unternehmen nutzen den Messenger-Dienst für ihre alltägliche Kommunikation mit Kunden. Datenschutzrechtlich unbedenklich ist dies aber nicht – denn die DSGVO stellt hohe Anforderungen an die Nutzung von WhatsApp im Unternehmenskontext.

Möchten Sie im Unternehmen WhatsApp für die geschäftliche Kommunikation nutzen, liegt der Datenschutz nicht nur in der Verantwortung des Messengers, sondern auch in Ihrer – denn im Sinne der DSGVO verarbeitet WhatsApp die Daten Ihrer Kunden in Ihrem Auftrag.

Die Herausforderung: Datenschutz und WhatsApp

WhatsApp ist aufgrund seiner Nutzerzahl äußerst attraktiv, bringt aber erhebliche datenschutzrechtliche Herausforderungen mit sich.

Auf Firmenhandys lässt sich WhatsApp derzeit oft nicht datenschutzkonform einsetzen:

Upload der Kontaktdaten

Ein zentrales Problem ist die Adressbuchabfrage: Bei der Installation fordert die App die Zustimmung zur Weitergabe der Telefonnummern an WhatsApp. Dabei werden Daten der Kontakte übertragen, auch wenn diese noch keinen WhatsApp-Account haben. Die Kontaktdaten werden dabei auf Servern von WhatsApp in den USA unverschlüsselt gespeichert und mit den Daten anderer Nutzer abgeglichen. Da zudem nicht ausgeschlossen werden kann, dass Kontakte im Adressbuch keinen WhatsApp-Account besitzen, bietet dieser automatisierte Upload eine gewisse datenschutzrechtliche Brisanz. Als Unternehmen müssen Sie nämlich für jeden einzelnen Kontakt eine Rechtsgrundlage für die Übermittlung der Daten vorweisen können. Es wäre daher erforderlich, von allen Kontakten im Vorfeld eine Einwilligung zur Weitergabe der Telefonnummer einzuholen.

Nutzung der Metadaten durch WhatsApp

Bei jeder Kommunikation über WhatsApp werden sogenannte Metadaten verarbeitet und unverschlüsselt an WhatsApp übermittelt: Hierzu zählen neben der Telefonnummer auch diverse weitere Informationen wie Geräteinformationen, Art und Häufigkeit der Nutzung sowie IP-Adresse. WhatsApp kann somit jederzeit nachvollziehen, wer mit wem von welchem Standort über welches Endgerät wie lange kommuniziert hat. Diese Metadaten sind dabei unstrittig von der DSGVO erfasst, da zumindest mittelbar mittels Zuordnung zu einer Kennung ein Rückschluss zu einer natürlichen Person möglich ist (vgl. Art. 4 Nr. 1 DSGVO).

Unverschlüsselte Backups

Auch wenn die Inhalte der eigentlichen Nachricht verschlüsselt (Ende-zu-Ende-Verschlüsselung) übertragen werden, sind die Backups regelmäßig nicht gesondert geschützt.

Rahmenbedingungen im Unternehmen

Für die Nutzung von WhatsApp auf Firmenhandys gilt: Ohne ausdrückliche Einwilligung aller Kontakte ist eine datenschutzkonforme Nutzung schwierig.

Eine mögliche Lösung ist die Containerlösung:  Hier werden dienstliche Daten in einem separaten Bereich gespeichert, sodass WhatsApp keinen Zugriff auf sensible Unternehmens- oder Kontaktdaten hat. Weiterhin kann bei Android und iOS die Weitergabe der Kontakte im Betriebssystem eingeschränkt werden. Das bedeutet, die Adressbuchabfrage kann deaktiviert werden, sodass keine Daten an WhatsApp übertragen werden.

Möglich ist auch, die automatische Kontakt-Synchronisation zu deaktivieren

Weitere Maßnahmen:

  • Schließen Sie einen Auftragsverarbeitungsvertrag mit WhatsApp ab.
  • Deaktivieren Sie automatische Cloud-Backups über Google Drive/Apple iCloud am besten komplett, damit diese nicht (versehentlich) unverschlüsselt gespeichert werden.
  • Informieren Sie Ihre Kunden in der Datenschutzerklärung.
  • Grundsätzlich sollten allerdings Berufsgeheimnisträger wie SteuerberaterInnen oder ÄrztInnen die Nutzung von WhatsApp unterlassen.

WhatsApp ist nicht gleich WhatsApp

Wenn sich Unternehmen bewusst für den Einsatz von WhatsApp als Kommunikationskanal entscheiden, dann ist allerdings eine Differenzierung nötig.

Für den kommerziellen Gebrauch bietet WhatsApp eine Lösung: „WhatsApp Business“ oder auch die „WhatsApp Business Platform“ (ehemals Business API).

„WhatsApp Business“ ist Metas Angebot für kleine Unternehmen oder Einzelunternehmen. Zu beachten: die Metadaten der Nutzer (Telefonnummer, Standort, Geräteinformationen, etc.) können hier durch WhatsApp eingesehen und für eigene Zwecke verwendet werden.

Bei der WhatsApp Business Platform handelt es sich um eine Schnittstelle, die über sogenannte „WhatsApp Business Solution Provider“ (Anbieter von Unternehmenslösungen) abgewickelt wird. Über die Nutzung solcher Drittanbieter – dem Business Solution Provider – können sodann Nachrichten versendet werden, die Speicherung der Kundendaten erfolgt ebenfalls beim Anbieter und nicht bei WhatsApp. Dies stellt die datenschutzrechtlich bessere Lösung dar.

Die tatsächliche Datenschutzkonformität ist hier im Ergebnis abhängig von der Vertragsgestaltung mit dem Drittanbieter sowie der Implementierung der Lösung im eigenen Unternehmen.

WhatsApp Channel

WhatsApp Channels oder Kanäle werden als „Business Service“ von WhatsApp zur Verfügung gestellt. Die Kanäle sind ein One-to-Many- Broadcast- Service, mit dem Unternehmen relevante und aktuelle Statusmeldungen teilen und somit von anderen Benutzern entdeckt und weiterverfolgt werden können. Der Vorteil dabei: die Nutzer bleiben anonym und teilen selbst keine Inhalte, bei denen u.a. auf Verschlüsselung geachtet werden muss.

Aus datenschutzrechtlicher Sicht kann jedoch bereits der Betrieb eines solchen WhatsApp-Kanals eine Datenverarbeitung durch das Unternehmen darstellen. Laut der ergänzenden Datenschutzrichtlinie zu WhatsApp-Kanälen können die Admins der Kanäle die Abonnenten und (je nach Einstellung) deren Profilnamen und -bilder einsehen.

Die Channels können außerdem gegenwärtig nur über die WhatsApp-Business-App genutzt werden – hier bestehen daher die oben dargestellten Herausforderungen bzgl. der Datensicherheit und der Zugriffsmöglichkeit auf die Metadaten.

Fazit

WhatsApp steht seit Jahren in der Kritik, insbesondere wegen der Datenweitergabe an den Mutterkonzern Meta. Trotz hoher Bußgelder und laufender Verfahren bleibt die Nutzung im Unternehmen problematisch, da die Datenweitergabe nicht transparent ist und Nutzer kaum freiwillig und informiert zustimmen können. Die Datenschutzbehörden in Europa, vor allem die irische Aufsichtsbehörde, versuchen, den Datenaustausch zu regulieren, doch bisher ohne endgültigen Erfolg.

Obwohl WhatsApp im beruflichen Umfeld äußerst beliebt ist, ist die datenschutzkonforme Nutzung nur unter strengen Bedingungen möglich. Um die Vorgaben der DSGVO einzuhalten, ist die Nutzung der WhatsApp Business Plattform aktuell zu bevorzugen.

Sollten Sie WhatsApp im Rahmen der Kundenkommunikation in Ihrem Unternehmen einsetzen wollen, beraten wir Sie gern.

Axel Keller
Axel Keller
Rechtsanwalt in Rostock
Tel.: +49 381 12 88 49 0