SiDIT Logo
    Zurück zum Blog
    Aktuelles24. März 2026

    WhatsApp im Unternehmen: Wann Ihnen ein Bußgeld droht

    WhatsApp im Unternehmen: Wann Ihnen ein Bußgeld droht

    WhatsApp ist in manchen Unternehmen noch immer Alltag – ob zur schnellen Abstimmung mit Mitarbeitenden, zur Organisation von Touren oder für den Kundenservice. Eine aktuelle Entscheidung der Landesdatenschutzaufsicht in Nordrhein-Westfalen zeigt jedoch sehr deutlich: Bequemlichkeit schützt nicht vor Bußgeldern.

    Der konkrete Fall: WhatsApp-Gruppen mit hochsensiblen Daten

    Ein Taxiunternehmen aus NRW nutzte zwei WhatsApp-Gruppen, um Fahrten zu organisieren und abzurechnen. In diesen Gruppen wurden unter anderem Fotos von Personal- und Schwerbehindertenausweisen, ärztlichen Verordnungen, Rezepten, Kliniknamen, Terminen sowie Namen und Adressen der Kunden geteilt – für alle Fahrer sichtbar.

    Die Landesbeauftragte für Datenschutz NRW hat diese Praxis untersagt und prüft nun ein Bußgeld. Besonders kritisch: Es handelte sich teilweise um Gesundheitsdaten im Sinne von Art. 9 DSGVO, eine ausdrückliche Einwilligung der Betroffenen lag nicht vor, Transparenzinformationen fehlten – und die Kontrolle darüber, was mit den Bildern nach dem Versand geschah, hatte das Unternehmen faktisch verloren.

    Warum WhatsApp im Unternehmen datenschutzrechtlich so problematisch ist

    Die grundsätzlichen Probleme von WhatsApp und DSGVO haben wir in unseren älteren Beiträgen „Datenschutz bei WhatsApp" und „WhatsApp im Unternehmen: Datenschutz!" ausführlich erläutert. Kurz zusammengefasst:

    • WhatsApp synchronisiert typischerweise das gesamte Adressbuch – inklusive Kontakte, die den Dienst gar nicht nutzen.
    • Personenbezogene Daten werden an Meta-Unternehmen in Drittländer übermittelt.
    • Metadaten (wer mit wem, wann, wie oft kommuniziert) ermöglichen umfangreiche Profile.

    Für Unternehmen bedeutet das: Sie müssen nachweisen, dass die eingesetzte Technik datenschutzfreundlich ist (Art. 25 DSGVO) und die Grundsätze wie Datenminimierung und Zweckbindung einhalten. Bei klassischer WhatsApp-Nutzung gelingt dieser Nachweis praktisch nicht – erst recht nicht, wenn sensible Daten oder ganze Kundendossiers in Gruppen geteilt werden.

    Ein weiteres Problem besteht, sobald Mitarbeiter WhatsApp zwar auf ihren privaten Handys nutzen, aber dort geschäftliche Kontakte speichern. Unternehmen müssen klare Regeln zum Umgang mit privaten Endgeräten in der dienstlichen Kommunikation treffen (sog. Bring Your Own Device), damit es nicht zu Datenschutzvorfällen kommt.

    Betroffen sind fast alle Branchen – ein paar typische Szenarien

    Der NRW-Fall betrifft ein Taxiunternehmen, aber die Risiken sind in vielen Bereichen identisch:

    • Handwerk, Bau, Field Service: Monteur schickt aus der Wohnung des Kunden Fotos von Schaden, Rechnung und Telefonnummer in die WhatsApp-Teamgruppe – inklusive vollständiger Kontaktdaten.
    • Einzelhandel, Gastronomie, Hotellerie: Reservierungslisten, Allergiehinweise oder Beschwerde-Screenshots in WhatsApp-Chats können schnell sensible Informationen offenlegen.
    • Gesundheitswesen & soziale Dienste (Arztpraxis, Physiotherapie, Pflegedienst): Diagnose, Befunde oder Bilder von Wunden per WhatsApp mit Kolleg*innen oder externen Dienstleistern zu teilen, ist regelmäßig unzulässig.

    Kurz gesagt: Immer wenn Sie Kundendaten, Mitarbeitendendaten oder Fotos über WhatsApp teilen, bewegen Sie sich datenschutzrechtlich auf sehr dünnem Eis und sollten diese Praxis einstellen.

    WhatsApp Business und Business API – die richtige Lösung?

    Die „normale" WhatsApp-App und die WhatsApp-Business-App sind nach unserer Einschätzung im Unternehmenskontext grundsätzlich nicht datenschutzkonform nutzbar – daran hat auch die aktuelle Entscheidung nichts geändert. Spannender ist die Frage nach der WhatsApp Business API.

    Hier wird nicht die App selbst genutzt, sondern eine technische Schnittstelle über einen (idealerweise EU-basierten) Dienstleister. Das kann datenschutzkonform ausgestaltet werden – wenn unter anderem folgende Punkte erfüllt sind:

    • Auftragsverarbeitungsvertrag und sorgfältig geprüfte technische und organisatorische Maßnahmen
    • klare Rechtsgrundlage für jede Kontaktaufnahme (z. B. Einwilligung, Vertragsbezug)
    • strikte Trennung von Privat- und Geschäftskommunikation
    • keine unkontrollierten Gruppen, sondern gesteuerte 1:1- oder Kampagnenkommunikation

    Ohne dieses „Rundum-Paket" bleibt auch die Business API rechtlich riskant.

    Was Unternehmen jetzt konkret tun sollten

    Die Entscheidung der Aufsichtsbehörde aus NRW ist ein Warnschuss für alle, die WhatsApp im Unternehmen „mal eben" einsetzen. Jetzt ist der richtige Zeitpunkt, die eigene Messenger-Strategie zu überprüfen – bevor die Aufsicht bei Ihnen anklopft.

    Benötigen Sie Unterstützung bei der Auswahl von Messenger-Tools? Melden Sie sich gerne bei uns! Wir sind bundesweit als Externe Datenschutzbeauftragte tätig. E-Mail: info@sidit.de

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen

    Verwandte Beiträge

    Wird Google reCAPTCHA jetzt DSGVO konform?
    Aktuelles21. Apr. 2026

    Wird Google reCAPTCHA jetzt DSGVO konform?

    Seit 2. April 2026 ist Google bei reCAPTCHA Auftragsverarbeiter. Was das für DSGVO, Einwilligung und US-Transfer nun konkret bedeutet.

    Weiterlesen
    Auftragsverarbeitung beendet: Was nun? Die sichere Löschung von Daten nach Art. 28 DSGVO
    Aktuelles31. März 2026

    Auftragsverarbeitung beendet: Was nun? Die sichere Löschung von Daten nach Art. 28 DSGVO

    Nach Ende der Auftragsverarbeitung müssen Daten gelöscht oder zurückgegeben werden. Was Art. 28 DSGVO und das BGH-Urteil vom 11.11.2025 von Verantwortlichen fordern.

    Weiterlesen
    Rechtssicher durch den Datenschutzdschungel: Webseitenbetreiber
    Aktuelles4. März 2026

    Rechtssicher durch den Datenschutzdschungel: Webseitenbetreiber

    Ob Online-Shop, Unternehmensseite oder Blog – Nutzerinteraktionen bergen datenschutzrechtliche Herausforderungen. Ein Leitfaden.

    Weiterlesen