WhatsApp und der Datenschutz

Verfasst von SERVICE POINT

Was Sie wissen müssen – auch relevant für kleine Unternehmen und Selbständige.

WhatsApp im Unternehmen?

WhatsApp ist nicht nur in Bezug des Datenschutzes bedenklich, sondern auch hinsichtlich der gesetzeskonformen Archivierungspflicht.

Das das Titelbild “WhatsApp Datenschutz” wurde mit Gemini – KI-Assistent von Google erzeugt.

WhatsApp gehört zu den meistgenutzten Messenger-Diensten der Welt – und steht gleichzeitig immer wieder wegen Datenschutzbedenken im Fokus. Wer den Dienst nutzt, sollte genau wissen, welche datenschutzrechtlichen Regeln gelten, welche Einverständnisse notwendig sind und welche Konsequenzen bei Verstößen drohen.

Rechtliche Rahmenbedingungen zur Nutzung von WhatsApp im Unternehmen

  1. Datenschutz-Grundverordnung (DSGVO)
    Unternehmen dürfen personenbezogene Daten nur mit klarer Rechtsgrundlage verarbeiten.
    Einwilligungen der Kontakte und ein Auftragsverarbeitungsvertrag (AV-Vertrag) sind Pflicht.

  2. Nutzungsbedingungen von WhatsApp
    WhatsApp ist primär für private Kommunikation gedacht.
    Für geschäftliche Nutzung muss die WhatsApp-Business-Lösung verwendet und den dortigen AGB zugestimmt werden.

  3. Gesetzliche Archivierungspflicht von Handelsbriefen
    Deutschland: GoBD und HGB verlangen eine revisionssichere 10-jährige Aufbewahrung geschäftsrelevanter elektronischer Korrespondenz.

    Österreich: Nach BAO und UGB gilt für steuerlich relevante Unterlagen eine mindestens 7-jährige Aufbewahrungsfrist.

    In anderen EU-Ländern gelten ähnliche handels- und steuerrechtliche Vorgaben.

    WhatsApp bietet kein manipulationssicheres Archivsystem, weshalb sich formelle Geschäftskorrespondenz über diesen Kanal nicht rechtssicher archivieren lässt.

1. WhatsApp und die DSGVO – die rechtlichen Rahmenbedingungen

In der EU gilt die Datenschutz-Grundverordnung (DSGVO). Diese schreibt vor, dass personenbezogene Daten nur mit einer klaren Rechtsgrundlage verarbeitet werden dürfen.

  • Für die rein private Kommunikation zwischen zwei oder mehren Privatpersonen über WhatsApp findet die DSGVO keine Anwendung.

  • Zur geschäftlichen Kommunikation – wenn ein Kommunikationspartner nicht als Privatperson angesehen wird. Bei der Kommunikation mit Selbstständige, Freiberuflern, Unternehmen, Vereine und Organisationen über WhatsApp ist die DSGVO zu beachten und bedarf einer Einwilligungserklärung.

Das bedeutet: Wer WhatsApp geschäftlich nutzt, trägt Verantwortung für den Schutz aller gespeicherten und ausgetauschten Daten.

2. Einverständniserklärung und Datenschutz­erklärung

Einwilligung der Kontakte
WhatsApp greift auf das Telefonbuch des Geräts zu, um Kontakte anzuzeigen. Dadurch werden Telefonnummern an WhatsApp weitergegeben – auch von Personen, die den Dienst gar nicht nutzen.

Unternehmen und Organisationen müssen daher vorab die Einwilligung aller Kontakte einholen, deren Nummern hochgeladen werden.

Es ist daher empfehlenswert das Adressbuch nicht freizugeben, damit WhatsApp keinen Zugriff hat.

Datenschutzerklärung
Für geschäftliche Nutzung sollte eine eigene, transparente Datenschutzerklärung bereitstehen, die u. a. erklärt:

  • welche Daten verarbeitet werden,

  • zu welchem Zweck,

  • wie lange sie gespeichert bleiben,

  • wie Betroffene ihre Rechte (Auskunft, Löschung) wahrnehmen können.


3. Voraussetzungen für die rechtmäßige Nutzung

Auftragsverarbeitungsvertrag (AV-Vertrag):
WhatsApp bietet für die Business-Variante einen solchen Vertrag an, der nach DSGVO vorgeschrieben ist.

Datensparsamkeit:
Nur notwendige Daten speichern und regelmäßig prüfen.

Ende-zu-Ende-Verschlüsselung:
Diese ist bei WhatsApp standardmäßig aktiv und schützt Inhalte vor unbefugtem Zugriff, ersetzt aber nicht die Pflicht zur DSGVO-Konformität.

4. Mögliche Strafen bei Verstößen

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 ein zentraler Compliance-Faktor – mit strengen Regeln und teils hohen Bußgeldern.

Nicht nur Großkonzerne, auch kleine Unternehmen und Soloselbstständige sind betroffen.

Laut dem GDPR Enforcement Tracker wurden bis März 2025 bereits rund 2.245 Verstöße mit Bußgeldern von insgesamt ca. 5,65 Mrd. Euro geahndet.

Für schwere Verstöße (z. B. gegen Grundsätze, Betroffenenrechte oder Datenübermittlungen) drohen bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist.

Geringere Verstöße – etwa bei Dokumentationspflichten – können mit bis zu 10 Mio. € oder 2 % des Umsatzes sanktioniert werden.

Privatpersonen sowie Verbraucherschützer sind aktiver geworden und stellen vermehrt Auskunftsanfragen, die bei mangelhafter Bearbeitung ebenfalls zu Bußgeldern führen können.

6. WhatsApp im Geschäftsverkehr

Chats lassen sich zwar exportieren, sind aber nicht manipulationssicher und schwer in ein gesetzeskonformes Archivsystem einzubinden.

Deutschland:
Geschäftliche elektronische Korrespondenz, die Inhalte für die Buchführung oder steuerlich relevante Informationen enthält, muss bis zu 10 Jahre in einem revisionssicheren, GoBD-konformen Archivsystem aufbewahrt werden.

Österreich:
Geschäftlich relevante elektronische Korrespondenz kann unter bestimmten Voraussetzungen archiviert werden müssen, insbesondere wenn sie steuerlich oder buchhalterisch relevant ist. Gesetzliche Grundlage: Bundesabgabenordnung (BAO) und Unternehmensgesetzbuch (UGB).
Für steuerlich relevante Unterlagen gilt eine mindestens 7-jährige Aufbewahrungsfrist.

Das allein reicht aus, um den Einsatz für formelle Geschäftskorrespondenz rechtlich problematisch zu machen – unabhängig von DSGVO-Fragen.

7. Einschränkung der WhatsApp-Kommunikation

WhatsApp darf nur für allgemeine Mitteilungen genutzt werden. Alle Nachrichten oder Dokumente, die der gesetzlichen Archivierungspflicht unterliegen, sind in der Einwilligungserklärung ausdrücklich von der Übermittlung auszuschließen.

Dokumente oder Informationen, die dennoch über WhatsApp eingehen, gelten nicht als ordnungsgemäß zugestellt.

Ein wirksamer Zugang liegt erst vor, wenn die Unterlagen per E-Mail, Kontaktformular oder über einen gesicherten Downloadbereich bereitgestellt und abgerufen werden.

Fazit

  1. WhatsApp kann in der EU datenschutzkonform genutzt werden – aber nur unter klaren Voraussetzungen. Wer den Dienst geschäftlich verwendet, muss sich Einwilligungen einholen, eine transparente Datenschutzerklärung bereitstellen und technische wie organisatorische Maßnahmen ergreifen.

  2. Missachtung kann teuer werden: Hohe Bußgelder, fehlende Archivierungsmöglichkeiten und Vertrauensverlust sind echte Risiken.
    Darum gilt: Vor Einsatz von WhatsApp immer zuerst den Datenschutz und die Archivierungspflichten prüfen und sauber dokumentieren.

  3. Einschränkung der WhatsApp-Kommunikation
    WhatsApp darf nur für allgemeine Mitteilungen genutzt werden. Alle Nachrichten oder Dokumente, die der gesetzlichen Archivierungspflicht unterliegen, sind in der Einwilligungserklärung ausdrücklich von der Übermittlung auszuschließen.

SERVICE POINT https://www.service-points.at
Zurück

E-Mail gesetzeskonforme Archiviert.