Die jüngsten Stellungnahmen der Datenschutzaufsichtsbehörden der deutschen Bundesländer zeigen, dass der unternehmensbezogene Einsatz von WhatsApp weiterhin als hoch problematisch und meist nicht datenschutzkonform betrachtet wird. Aus Sicht der Behörden bestehen insbesondere folgende Risiken und Einschränkungen:
Aktuelle Behördenmeinungen
Die Landesdatenschutzbehörden und die Datenschutzkonferenz (DSK) betonen, dass insbesondere der Adressbuch-Abgleich durch WhatsApp, der personenbezogene Daten auch von Nicht-Nutzern ohne deren Einwilligung überträgt, gegen zentrale Grundsätze der DSGVO verstößt. Die meisten Behörden raten klar davon ab, WhatsApp als Kommunikationskanal für Unternehmen zu nutzen, wenn kein explizites Einverständnis aller Kontaktpersonen vorliegt oder der Adressbuchabgleich technisch verhindert wird.
Der Bayerische Landesdatenschutzbeauftragte (BayLDA) hält den Einsatz von WhatsApp im Unternehmen grundsätzlich für nicht datenschutzkonform, sofern Kontaktdaten Dritter ohne informierte Einwilligung weitergegeben werden. Unternehmen wurden konkret aufsichtsbehördliche Maßnahmen bis hin zum Untersagungsverfahren angedroht.
Die Datenschutzbehörde Baden-Württemberg verweist darauf, dass nur bei einer technisch und rechtlich sauber umgesetzten API-Lösung – vorzugsweise durch DSGVO-konforme Business Solution Provider (BSP) mit Servern in der EU/EWR – WhatsApp Business grundsätzlich in Betracht kommen kann.
Typische Kritik- und Risikopunkte
- Unzulässiger Adressbuchzugriff und fehlende Einwilligung.
- Mangelnde Transparenz über die Datenverarbeitung und unklarer Datenfluss zu Meta-Diensten.
- Fehlerhafte oder fehlende Kundeninformation nach Art. 13 DSGVO.
- Datentransfers in unsichere Drittländer und mangelnde Kontrolle über Weitergabe.
- Unternehmensführungen gelten für die Verarbeitung als Verantwortliche und tragen volle rechtliche Verantwortung.
Bedingungen für eine datenschutzkonforme Nutzung
Die Behörden sehen nur in Ausnahmefällen eine eingeschränkt datenschutzkonforme Anwendung:
- Verwendung der WhatsApp Business Cloud API via DSGVO-konformen BSP.
- Nachweisbare informierte Einwilligung aller Kontakte.
- Ausschluss des Adressbuchabgleichs und strikte Trennung dienstlicher und privater Nutzung (z. B. durch Mobile Device Management).
- Klare und transparente Datenschutzinformationen an die Kommunikationspartner.
Weiterführende Hinweise
Einen aktuellen und sehr lesenswerten Artikel zudem Thema findet man hier:
https://www.ratgeberrecht.eu/aktuell/geschaeftliche-kommunikation-per-whatsapp
