Der Tischler aus dem Kreis Plön will seinen Kunden eine kurze Nachricht schicken, sobald die Küche zur Abholung bereitsteht. Die Ferienwohnungs-Verwaltung an der Ostsee möchte am Vorabend automatisch an die Anreise erinnern. Beide haben die Daten längst in ihrer Anwendung liegen, und beide wissen: Eine E-Mail bleibt oft tagelang ungelesen, eine WhatsApp liest fast jeder innerhalb von Minuten. Also die naheliegende Frage: Kann unsere Datenbank das nicht einfach selbst verschicken?
Technisch lautet die Antwort ja, und der technische Teil ist der kleinste. Die eigentliche Frage ist eine andere, und sie ist in Deutschland unangenehm: Welcher dieser Wege ist erlaubt, und was kostet einen das im Zweifel mehr als Geld?
Worum es wirklich geht
Bei einer Datenbank, die WhatsApp verschickt, entscheidet in Deutschland und der EU nicht der Preis. Es entscheidet ein Stapel aus Nutzungsbedingungen, Datenschutzrecht und Abkommen mit den USA, der für die meisten Unternehmer undurchsichtig ist. Ein kostenloses Werkzeug kann dich teuer zu stehen kommen, und ein Dienst für 49 Euro im Monat kann der günstigere sein, weil er das Rechtliche mit abräumt.
Wer das verstehen will, muss drei Schichten auseinanderhalten. Sie bauen aufeinander auf, und jede kann den ganzen Weg unbrauchbar machen.
Schicht eins: offiziell oder inoffiziell
Es gibt zwei Arten, technisch an WhatsApp heranzukommen. Der inoffizielle Weg automatisiert im Hintergrund eine ganz normale WhatsApp-Sitzung, so wie es selbstgehostete Werkzeuge wie OpenWA oder WAHA tun. Das verstößt gegen die Nutzungsbedingungen von WhatsApp. Die Folge ist nicht theoretisch: Die genutzte Nummer kann jederzeit gesperrt werden, gerade bei höherem Versand.
Der offizielle Weg läuft über die WhatsApp Business Plattform von Meta. Hier kommt ein Begriff ins Spiel, der für die ganze Entscheidung zentral ist. Ein BSP (Business Solution Provider) ist ein von Meta zugelassener Vermittler, über den die offizielle Schnittstelle überhaupt erst zugänglich wird. Nur auf diesem Weg lässt sich ein Auftragsverarbeitungsvertrag sauber abbilden. Ein Auftragsverarbeitungsvertrag, kurz AVV, ist der nach Artikel 28 DSGVO vorgeschriebene Vertrag zwischen dir als Verantwortlichem und dem Dienstleister, der die Daten in deinem Auftrag verarbeitet.
Der entscheidende Satz dazu: Über ein inoffizielles Gateway bekommst du für die Kundenkommunikation gar keinen gültigen AVV mit Meta, weil die Nutzung selbst schon nicht vorgesehen ist. Damit ist der inoffizielle Weg für echte Kundenkommunikation in Deutschland praktisch erledigt, bevor das Datenschutzrecht überhaupt im Detail geprüft wird.
Schicht zwei: der Sitz des Anbieters und die USA-Kette
Bist du auf der offiziellen Seite, geht die Frage weiter: Wo sitzt der BSP? Ein in der EU ansässiger Anbieter wie die 360dialog GmbH aus Berlin verarbeitet als dein Auftragsverarbeiter innerhalb des europäischen Rechtsrahmens. Ein in den USA ansässiger Anbieter wie Twilio oder sent.dm ist ein Drittland-Anbieter.
Für einen US-Dienstleister brauchst du einen gültigen Übertragungsmechanismus. In der Praxis heißt das: Der Anbieter sollte unter dem EU-US Data Privacy Framework zertifiziert sein, dem 2023 von der EU-Kommission als angemessen anerkannten Nachfolger des Privacy Shield, und für den Fall der Fälle sollten Standardvertragsklauseln danebenliegen. Das ist machbar, aber es ist Prüfarbeit, und es ist juristisch nicht in Stein gemeißelt, denn das Framework steht erneut vor Gericht.
Schicht drei: die unbequeme Grundtatsache
Hier kommt der Punkt, den die Hochglanz-Seiten der Anbieter gern verschweigen. WhatsApp gehört Meta, und Meta sitzt in den USA. Egal, welchen Anbieter du wählst, die Nachricht selbst läuft am Ende über Metas Infrastruktur. Ein EU-BSP ändert daran nichts, er sorgt nur dafür, dass die Vertragskette sauber ist und nicht noch ein zweiter US-Transfer obendraufkommt.
Der stehende Satz dazu: Bei WhatsApp gibt es keinen Weg, der die USA umgeht, die Frage ist nur, wie sauber der Vertrag drumherum ist. Wer echte Datensouveränität will, im Sinne von „die Daten verlassen die EU nicht“, der landet zwangsläufig bei der Frage, ob WhatsApp überhaupt der richtige Kanal ist.
Und noch etwas gilt unabhängig vom Anbieter: Deine eigenen Pflichten als Verantwortlicher. Werbliche Nachrichten per WhatsApp sind nach Paragraf 7 UWG nur mit vorheriger ausdrücklicher Einwilligung erlaubt. Du brauchst eine Rechtsgrundlage, einen Hinweis in der Datenschutzerklärung und eine einfache Möglichkeit zum Widerspruch. Diese Arbeit nimmt dir kein Dienstleister ab.
Die Lösungswege im Überblick
| Lösungsweg | Vorteile | Nachteile |
|---|---|---|
| WhatsApp Business App, manuell | Kostenlos, sofort startklar, kein Vertrag nötig | Keine Anbindung an die Datenbank, jede Nachricht von Hand, nicht skalierbar |
| Inoffizielles Gateway, selbst gehostet (OpenWA, WAHA) | Kostenlos bis günstig, Daten auf eigenem Server, schnell gebaut | Verstoß gegen WhatsApp-Bedingungen, Sperr-Risiko, kein AVV mit Meta möglich, fragil bei Updates |
| Inoffizielles Cloud-Gateway (z. B. Green API) | Günstig, wenig eigener Betrieb | Gleicher ToS-Verstoß, oft Anbieter außerhalb der EU (Green API sitzt in Russland), zusätzlicher Drittland-Transfer |
| Offizieller BSP mit EU-Sitz (z. B. 360dialog) | Offizieller Kanal, kein Sperr-Risiko, AVV im EU-Rahmen, keine zusätzliche US-Kette über Meta hinaus | Laufende Kosten ab rund 49 Euro pro Monat und Nummer plus Meta-Gebühren, Einrichtung mit Verifizierung |
| Offizieller BSP mit US-Sitz (z. B. Twilio, sent.dm) | Offizieller Kanal, kein Sperr-Risiko, oft sehr entwicklerfreundlich | Drittland-Anbieter, AVV und Data-Privacy-Framework-Status müssen geprüft werden, schwieriger zu verteidigen |
| Eigenentwicklung direkt gegen die Meta Cloud API | Volle Kontrolle, kein BSP-Aufschlag | Hoher Aufwand für Einrichtung, Vorlagen-Genehmigung und Betrieb, für die meisten KMU unwirtschaftlich |
Was das für ein KMU in Schleswig-Holstein heißt
Aus meiner Praxis im norddeutschen Mittelstand zeigt sich ein klares Bild, wenn man die drei Schichten ehrlich durchgeht.
Die inoffiziellen Gateways fallen für Kundenkommunikation aus. Für eine interne Benachrichtigung an den eigenen Betrieb mögen sie taugen, für Nachrichten an Kunden sind das Sperr-Risiko und der fehlende AVV ein zu hoher Einsatz. Die Eigenentwicklung direkt gegen Meta ist für einen typischen Handwerks- oder Tourismusbetrieb zu aufwändig, der Betrieb und die Vorlagen-Verwaltung kosten mehr, als ein BSP im Jahr nimmt.
Bleibt der offizielle BSP. Die verteidigbarste Wahl für ein deutsches KMU ist ein Anbieter mit EU-Sitz, weil die Vertragskette dann im europäischen Rahmen bleibt und keine zweite US-Diskussion aufmacht. Ein US-Anbieter ist nicht verboten, aber er verlagert die Beweislast auf dich: Du musst AVV und Transfermechanismus prüfen und dokumentieren.
Und der unbequeme, aber ehrliche Schluss: Wenn Datensouveränität für dich wirklich zählt, gehört die Frage auf den Tisch, ob es WhatsApp sein muss. Eine SMS über einen deutschen Versanddienstleister, der Telegram-Kanal als Alternative oder ein einfaches eigenes Portal halten die Daten näher bei dir. WhatsApp gewinnt man wegen der Reichweite, nicht wegen des Datenschutzes.
Wo der Ansatz an Grenzen stößt
„EU-konform“ heißt bei WhatsApp nicht „die Daten bleiben in der EU“. Es heißt „der Transfer in die USA ist sauber vertraglich abgesichert und dokumentiert“. Diese Unterscheidung ist der Kern der ganzen Abwägung, und sie ist auch der Grund, warum es kein eindeutiges Richtig gibt. Die rechtliche Lage rund um Datentransfers in die USA hat sich in den letzten Jahren mehrfach verschoben und kann sich wieder verschieben.
Was für die Praxis bleibt
Der Preisvergleich ist die kleinste Variable in dieser Entscheidung. Die Wahl des Anbieters ist in einer halben Stunde getroffen. Die eigentliche Arbeit ist der saubere Einwilligungsprozess, die Rechtsgrundlage und die Dokumentation, und die fällt bei jedem Anbieter an. Wer das vorher klärt, für den wird WhatsApp ein verlässlicher Kanal. Wer es überspringt, hat sich ein Risiko eingekauft, das kein Tarif abdeckt.
Wenn du überlegst, deine Datenbank an einen solchen Kanal anzubinden, und vorher wissen willst, welcher Weg in deinem Fall der vertretbare ist, lass uns das in Ruhe durchsprechen. Erreichbar bin ich über sesoft.de/kontakt.
Quellen und weiterführende Links
- 360dialog, Preise WhatsApp Business API: 360dialog.com/de/pricing
- EU-US Data Privacy Framework, offizielle Teilnehmerliste: dataprivacyframework.gov
- Europäische Kommission, Rechtsrahmen Datenschutz und internationale Transfers: commission.europa.eu
- WhatsApp Business Plattform, offizielle Dokumentation: business.whatsapp.com
- Sent (sent.dm) und WAHA (waha.devlike.pro) als Beispiele für US-Anbieter und selbstgehostete Gateways
Disclaimer
Dieser Beitrag ist eine technische und organisatorische Einordnung, keine Rechtsberatung. Ich bin kein Anwalt. Die rechtliche Bewertung von WhatsApp-Versand und USA-Datentransfers ist im Einzelfall zu prüfen und kann sich durch neue Urteile oder Abkommen ändern. Inoffizielle WhatsApp-Gateways verstoßen gegen die Nutzungsbedingungen von WhatsApp und können zur Sperrung der genutzten Nummer führen. Für eine verbindliche Einschätzung ziehe einen Fachanwalt für IT-Recht oder deinen Datenschutzbeauftragten hinzu.
Über den Autor
Sönke Schäfer ist selbstständiger IT-Berater und Datenarchitekt in Ostholstein und entwickelt seit über 25 Jahren Datenbank-Anwendungen für den Mittelstand in Schleswig-Holstein und Norddeutschland. Sein Schwerpunkt liegt auf Microsoft Access und SQL Server sowie auf der pragmatischen Anbindung gewachsener Anwendungen an externe Dienste, immer mit Blick darauf, was rechtlich und betrieblich tragfähig ist.
