Dürfen wir WhatsApp für die Kommunikation mit Ratsuchenden in unserer Beratungsstelle nutzen?

1. WhatsApp-Nutzung – Was ist zu beachten?

Die Nutzung von WhatsApp im beruflichen bzw. beratenden Kontext erfordert besondere Vorsicht, insbesondere wenn es um sensible personenbezogene Daten (z. B. Gesundheitsdaten, Angaben zum Mobbing) geht. WhatsApp überträgt standardmäßig Daten an Server außerhalb der EU, insbesondere in die USA, was datenschutzrechtlich kritisch ist.

Zu beachten sind insbesondere:

Die Adressbuchdaten werden bei Nutzung der App mit den WhatsApp-Servern synchronisiert – auch von Personen, die dem nicht zugestimmt haben.

Es findet eine Verarbeitung in Drittländern (insbesondere den USA) statt, für die kein angemessenes Datenschutzniveau vorliegt.

WhatsApp kann Metadaten wie Nutzungszeiten, Kommunikationspartner etc. erfassen.

Es liegt kein vollständiger Auftragsverarbeitungsvertrag (AVV) mit WhatsApp vor.

Daher ist WhatsApp aus datenschutzrechtlicher Sicht für die Kommunikation mit Betroffenen nicht empfehlenswert.

2. Kontenform – Privat oder geschäftlich?

WhatsApp unterscheidet zwischen:

WhatsApp Messenger (Privatperson)

WhatsApp Business (für Unternehmen und Organisationen)

Wichtig:

Die private Variante darf nicht für berufliche Zwecke genutzt werden.

Die Business-Variante bietet zwar gewisse Optionen (z. B. automatisierte Nachrichten), löst aber nicht die grundlegenden Datenschutzprobleme, da dieselbe Datenverarbeitung erfolgt wie bei der Privatvariante.

Auch bei WhatsApp Business besteht keine konforme Möglichkeit, sensible Daten sicher zu verarbeiten.

Fazit: Weder die private noch die Business-Variante von WhatsApp ist datenschutzkonform, wenn sensible Daten verarbeitet werden.

3. Datenschutzrechtliche Bewertung der WhatsApp-Nutzung

Gemäß Art. 5 und 6 DSGVO ist eine Verarbeitung nur rechtmäßig, wenn eine entsprechende Rechtsgrundlage besteht und die Datenverarbeitung transparent, zweckgebunden und sicher erfolgt.

Bei WhatsApp ergeben sich folgende datenschutzrechtliche Risiken:

Keine wirksame Einwilligung der betroffenen Personen zur Verarbeitung durch WhatsApp möglich.

Fehlende Transparenz bezüglich der Datenverarbeitung durch WhatsApp.

Unzureichender Schutz besonders sensibler Daten (Art. 9 DSGVO).

Unmöglichkeit der vollständigen Löschung durch den Anbieter.

Die Nutzung widerspricht daher in den meisten Fällen den Anforderungen der DSGVO.

4. Nutzung auf Diensthandys – Sensible Daten

Die Nutzung auf Diensthandys ist besonders heikel:

Es besteht die Gefahr, dass personenbezogene Daten unkontrolliert in Drittländer abfließen.

Selbst wenn Kontakte nicht manuell importiert werden, synchronisiert WhatsApp standardmäßig die Kontaktliste.

Eine sichere Trennung von dienstlicher und privater Nutzung ist schwer umzusetzen.

Besonders bei Beratungsstellen, die mit schutzbedürftigen Personengruppen (z. B. Kindern und Jugendlichen) arbeiten, ist ein besonders hohes Schutzniveau erforderlich.

Fazit: Auch auf Diensthandys ist die Nutzung aus datenschutzrechtlicher Sicht nicht empfehlenswert.

5. Alternative – Signal als datenschutzkonforme Lösung?

Signal ist im Vergleich deutlich besser geeignet:

Open Source und durch Dritte geprüft

Ende-zu-Ende-Verschlüsselung

Keine Weitergabe der Daten an Dritte

Keine Speicherung von Metadaten

Keine Synchronisation von Kontakten ohne explizite Zustimmung

Zudem ist Signal gemeinnützig und verfolgt kein kommerzielles Interesse an den Daten. Der Einsatz von Signal wäre aus datenschutzrechtlicher Sicht deutlich unbedenklicher, auch wenn für eine DSGVO-konforme Nutzung dennoch eine saubere Dokumentation, Einwilligung und Aufklärung erforderlich bleibt.

Empfehlung

Verzichten Sie auf WhatsApp, insbesondere wenn sensible oder besonders schützenswerte Daten verarbeitet werden.

Nutzen Sie Alternativen wie Signal oder Threema, ggf. ergänzt durch ein datenschutzkonformes Messenger-Konzept.

Erstellen Sie ein Kommunikationskonzept für die niedrigschwellige Kontaktaufnahme (z. B. Signal + Kontaktformular auf Website).

Dokumentieren Sie die Verarbeitungstätigkeit und holen Sie ggf. Einwilligungen ein.

Lassen Sie sich ggf. datenschutzrechtlich begleiten, um alle Pflichten (z. B. Informationspflichten, TOMs, AVV) zu erfüllen.

Aktualisiert am: 08/05/2025