WhatsApp Business API und Datenschutz (DSGVO)

Was Sie zu Drittlandübermittlung, Rechtsgrundlage und Opt-In beim WhatsApp-Versand wissen müssen

Der Versand über die WhatsApp Business API ist für viele B2C-Anwendungsfälle attraktiv: Reservierungsbestätigungen, Versandbenachrichtigungen, Terminerinnerungen, Kundenservice. Gleichzeitig wirft der Kanal datenschutzrechtliche Fragen auf, die Sie als Verantwortlicher klären müssen, bevor Sie produktiv senden.

Auf einen Blick

  • Nachrichten laufen zwingend über Meta-Server in den USA. Rechtsgrundlage: EU-US Data Privacy Framework, ergänzt um Standardvertragsklauseln.
  • Sie brauchen einen AVV mit seven.io und sollten Metas WhatsApp Business Terms und DPA kennen.
  • Versand an Endnutzer braucht eine dokumentierte Einwilligung, idealerweise per Double-Opt-In.
  • Ihre Datenschutzerklärung muss um einen WhatsApp-Abschnitt ergänzt werden.

Wer ist beteiligt?

Akteur Rolle Sitz
Sie als Kunde von seven.io Datenschutzrechtlich Verantwortlicher Ihr Land
seven.io Auftragsverarbeiter (Art. 28 DSGVO) Deutschland
Meta Platforms Ireland Ltd. Vertragspartner für WhatsApp Business im EWR Irland
Meta Platforms, Inc. Betreibt die Cloud-Infrastruktur USA
Endempfänger Betroffene Person weltweit

So fließen die Daten:

diagramdiagram

Drittlandübermittlung an Meta (USA)

Bei jedem Versand werden personenbezogene Daten zwingend an Meta-Systeme übertragen:

  • die Telefonnummer des Empfängers,
  • der Inhalt der Nachricht (Text, Medien, Templates, Variablen),
  • technische Metadaten (Zustellzeitpunkt, Lese-/Empfangsstatus, Fehler-Codes).

WhatsApp-Nachrichteninhalte zwischen Business und Endnutzer sind nach Angaben von Meta zwar transportverschlüsselt, jedoch für Meta als Cloud-Betreiber zugänglich, soweit dies zur Bereitstellung des Dienstes erforderlich ist. Eine Verarbeitung in den USA durch Meta Platforms, Inc. ist daher technisch nicht vermeidbar und stellt eine Drittlandübermittlung im Sinne von Kapitel V DSGVO dar.

Rechtsgrundlage für die Drittlandübermittlung

Seit dem 10. Juli 2023 besteht mit dem EU-US Data Privacy Framework (DPF) ein Angemessenheitsbeschluss der EU-Kommission. Meta Platforms, Inc. gibt an, unter dem DPF zertifiziert zu sein. Übermittlungen an DPF-zertifizierte US-Empfänger sind damit grundsätzlich auf Art. 45 DSGVO stützbar.

Ergänzend setzen Meta und seven.io weiterhin EU-Standardvertragsklauseln (SCCs, Art. 46 DSGVO) ein - als Fallback, falls der DPF-Status entfällt oder einzelne Verarbeitungen nicht erfasst sind.

Achtung

Trotz DPF bleiben Schrems-II-Restrisiken: Zugriffsbefugnisse von US-Sicherheitsbehörden (FISA 702, Executive Order 12333), die praktische Wirksamkeit der durch Executive Order 14086 geschaffenen Rechtsschutzmechanismen, sowie mögliche zukünftige EuGH-Verfahren. Bei sensiblen Daten empfiehlt sich eine dokumentierte Risikoabwägung (Transfer Impact Assessment, TIA).

Welche Verträge Sie brauchen

1. Auftragsverarbeitungsvertrag (AVV) mit seven.io

Da seven.io in Ihrem Auftrag Nachrichten versendet, schließen Sie einen AVV nach Art. 28 DSGVO ab. seven.io stellt hierfür einen Vertrag bereit.

2. Vertragliche Grundlage gegenüber Meta

Die Nutzung läuft zusätzlich über die WhatsApp Business Terms of Service und das WhatsApp Business Data Processing Addendum (DPA) von Meta. Meta ist dabei für bestimmte Verarbeitungen Auftragsverarbeiter, für andere (Plattform-Sicherheit/Integrität) potenziell eigener oder gemeinsam Verantwortlicher. Welche Rolle Meta im Einzelfall einnimmt, ergibt sich aus Metas aktuellen Vertragsdokumenten.

Tipp

Dokumentieren Sie Metas Rolle im jeweiligen Verarbeitungsschritt in Ihrem Verzeichnis von Verarbeitungstätigkeiten (VVT).

Rechtsgrundlage für den Versand an Endnutzer

Die Übermittlung an Meta ist die eine Seite. Mindestens ebenso wichtig: Auf welcher Rechtsgrundlage senden Sie überhaupt an Ihre Empfänger?

Einwilligung als Regelfall

Für den Versand von WhatsApp-Nachrichten ist regelmäßig eine dokumentierte, ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich. WhatsApp ist ein privater Kanal, die Hürde für einen Direktkontakt liegt entsprechend hoch.

Ergänzend gelten:

  • § 7 UWG - werbliche Ansprache braucht eine vorherige Einwilligung.
  • TDDDG (vormals TTDSG) - zusätzliche Anforderungen, sobald auf das Endgerät des Empfängers zugegriffen oder dort gespeichert wird.

Transaktional vs. werblich

Kriterium Transaktional Werblich
Beispiele Reservierungsbestätigung, Versandstatus, Terminerinnerung Aktionen, Rabatte, Newsletter, Cross-Selling
Rechtsgrundlage Vertrag/Anbahnung (Art. 6 Abs. 1 lit. b), Opt-In empfohlen Einwilligung Pflicht (Art. 6 Abs. 1 lit. a)
§ 7 UWG nicht direkt einschlägig greift
Praxisempfehlung dokumentierter, kanalspezifischer Opt-In dokumentierter, kanalspezifischer Opt-In

Wichtig

Beispiel: Ein Restaurant bestätigt Reservierungen via WhatsApp. Im Reservierungsformular steht eine eindeutige Checkbox "Bestätigung per WhatsApp senden", die nicht vorausgewählt ist. Das ist der saubere Weg, auch wenn die Nachricht selbst transaktional ist.

Empfehlung Double-Opt-In

Beim Double-Opt-In trägt der Empfänger seine Nummer ein und bestätigt anschließend aktiv über WhatsApp (z.B. durch Senden eines Schlüsselworts oder Klick auf einen Bestätigungslink). Damit weisen Sie nach, dass die Nummer tatsächlich dem Einwilligenden gehört.

Halten Sie zu jeder Einwilligung mindestens fest: Zeitpunkt, Wortlaut, Quelle (z.B. Webformular-URL), IP-Adresse oder vergleichbarer Nachweis und eine eindeutige Zuordnung zur Telefonnummer.

Anpassung Ihrer Datenschutzerklärung

Inhalt Was reingehört
Kanalbenennung "WhatsApp Business API"
Empfänger Meta Platforms Ireland Ltd. und Meta Platforms, Inc. (USA)
Drittlandtransfer Hinweis auf USA, EU-US Data Privacy Framework, ergänzende SCCs
Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (ggf. lit. b bei Vertragserfüllung)
Speicherdauer für Nummern, Nachrichteninhalte, Logdaten
Widerruf Hinweis auf jederzeitiges Widerrufsrecht und einfache Möglichkeit (z.B. "STOP" per WhatsApp)
Restrisiko laienverständlicher Hinweis auf US-Drittlandübermittlung

Eine mögliche Formulierungsrichtung (kein fertiger Rechtstext):

Wir nutzen die WhatsApp Business API, um Sie auf von Ihnen gewählten Wegen
zu kontaktieren. Hierbei werden Ihre Telefonnummer sowie der
Nachrichteninhalt an Meta Platforms Ireland Ltd. und Meta Platforms, Inc.
(USA) übermittelt. Rechtsgrundlage ist Ihre Einwilligung nach
Art. 6 Abs. 1 lit. a DSGVO. Die Übermittlung in die USA erfolgt auf Basis
des EU-US Data Privacy Framework, ergänzt um Standardvertragsklauseln.
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft
widerrufen.

Vorsicht

Lassen Sie die konkrete Formulierung durch Ihren Datenschutzbeauftragten oder einen spezialisierten Anwalt prüfen. Sie ersetzt keine Rechtsberatung.

Praxis-Checkliste

  • Opt-In je Empfänger und Kanal dokumentiert erfassen (Zeitpunkt, Wortlaut, Quelle).
  • AVV mit seven.io abgeschlossen und im DMS abgelegt.
  • WhatsApp Business Terms und DPA von Meta geprüft und Rolle zugeordnet.
  • Datenschutzerklärung um WhatsApp-Abschnitt erweitert.
  • Verzeichnis von Verarbeitungstätigkeiten (VVT) um WhatsApp-Versand erweitert.
  • Prozesse für Auskunft, Berichtigung, Löschung und Widerruf definiert.
  • Transfer Impact Assessment (TIA) für die US-Übermittlung erstellt und aktuell gehalten.
  • Mitarbeiter, die WhatsApp-Nachrichten senden oder beantworten, datenschutzrechtlich geschult.

Häufige Fragen

Brauche ich auch für reine Bestellbestätigungen einen Opt-In?

Rechtlich ist das umstritten. § 7 UWG greift bei rein transaktionalen Nachrichten in der Regel nicht, und Art. 6 Abs. 1 lit. b DSGVO trägt den Versand grundsätzlich. Praktisch empfehlen viele Aufsichtsbehörden trotzdem einen kanalspezifischen Opt-In, weil WhatsApp ein privater Kanal ist und der Empfänger explizit zustimmen sollte, gerade dort kontaktiert zu werden.

Reicht das EU-US Data Privacy Framework als Rechtsgrundlage?

Für den reinen Drittlandtransfer ja. Trotzdem bestehen Restrisiken aus US-Überwachungsgesetzen, weshalb seven.io und Meta zusätzlich Standardvertragsklauseln einsetzen und ein Transfer Impact Assessment empfehlenswert ist.

Was passiert beim Widerruf einer Einwilligung?

Sie müssen den Versand an die widerrufende Nummer stoppen, die Einwilligungsdokumentation als "widerrufen" markieren und prüfen, ob Sie die Nummer aus aktiven Kontaktlisten löschen müssen. Bei reinen WhatsApp-Templates greift der Widerruf nur für Marketing-Templates - transaktionale Nachrichten im Rahmen eines bestehenden Vertrags bleiben zulässig, sofern dafür eine eigene Rechtsgrundlage besteht.

Wie lange darf ich WhatsApp-Nachrichten speichern?

Es gibt keine starre Frist. Speichern Sie nur so lange, wie es für den Zweck erforderlich ist. Marketing-Logs werden typischerweise nach Widerruf oder spätestens nach 3 Jahren gelöscht; Transaktionsdaten richten sich nach handels- und steuerrechtlichen Aufbewahrungsfristen.

Hinweis

Dieser Artikel dient der allgemeinen Information und gibt den Stand zum Veröffentlichungsdatum wieder. Er ersetzt keine individuelle rechtliche Beratung. Stimmen Sie konkrete Implementierungen mit Ihrem eigenen Datenschutzbeauftragten oder einem spezialisierten Rechtsanwalt ab.

Hat dies Ihre Frage beantwortet?

Verwandte Artikel

Auftragsverarbeitungsvertrag (AVV) abschließen

AVV-Vertrag direkt im Dashboard abschließen - DSGVO-konform und in wenigen Klicks.

Datenschutz & Recht

Vorlage für Datenschutzerklärung

Datenschutz & Recht

WhatsApp Business API einrichten

Schritt-für-Schritt-Anleitung zur Einrichtung der WhatsApp Business API über seven.io

WhatsApp