Blog

DSGVO-konforme Kundenkommunikation: Ein umfassender Leitfaden für Unternehmen, die WhatsApp nutzen

21. April 2026 · 7 Min. Lesezeit

Kunden erwarten von ihren Dienstleistern eine schnelle und bequeme Kommunikation. Sie wünschen sich Terminerinnerungen auf ihrem Smartphone, schnelle Antworten auf Fragen vor dem Besuch und einfache Möglichkeiten zur Terminverschiebung. WhatsApp mit über zwei Milliarden Nutzern weltweit ist dafür prädestiniert. Für Unternehmen, die in der Europäischen Union tätig sind, muss jedoch jede Kundenmitteilung der Datenschutz-Grundverordnung (DSGVO) entsprechen. Es steht viel auf dem Spiel: Die Bußgelder können bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Dieser Leitfaden erläutert, was die DSGVO für die Kundenkommunikation tatsächlich vorschreibt, wo die meisten Unternehmen Fehler machen und wie eine speziell entwickelte Plattform wie Lambda DSGVO-konforme Nachrichtenübermittlung nicht nur möglich, sondern auch unkompliziert macht.

Warum die DSGVO für die Kundenkommunikation wichtig ist

Personenbezogene Daten, die in der Geschäftskommunikation verwendet werden, unterliegen den strengen Schutzanforderungen der DSGVO. Alle Informationen über die Termine, die Servicehistorie oder die Kontaktdaten eines Kunden müssen mit der gebotenen Sorgfalt behandelt werden. Ein Unternehmen, das eine Erinnerung über ein persönliches WhatsApp-Konto versendet, verarbeitet personenbezogene Daten in einer Messaging-App für Verbraucher, und diese Kombination birgt ein Compliance-Risiko.

DSGVO-konformes Messaging im geschäftlichen Umfeld erfordert mehr als nur gute Absichten. Es erfordert eine dokumentierte Rechtsgrundlage für die Verarbeitung, technische Sicherheitsvorkehrungen und organisatorische Maßnahmen, die überprüfbar sind. Aufsichtsbehörden in ganz Europa haben den Unternehmensbereich zu einem Schwerpunkt der Durchsetzung gemacht, und Kundenbeschwerden über den Umgang mit Daten gehören zu den häufigsten Auslösern für Untersuchungen.

Einwilligungsanforderungen: Die richtige Rechtsgrundlage schaffen

Gemäß der DSGVO erfordert die Verarbeitung von Gesundheitsdaten eine ausdrückliche Rechtsgrundlage. Für den Großteil der geschäftlichen Nachrichtenübermittlung bedeutet dies, dass vor dem Versand jeglicher Kommunikation über WhatsApp die ausdrückliche Einwilligung des Kunden eingeholt werden muss. Die Einwilligung muss:

  • freiwillig erteilt sein – Kunden darf die Versorgung nicht verweigert werden, wenn sie den Empfang von WhatsApp-Nachrichten ablehnen
  • Konkret sein – in der Einwilligung muss genau angegeben werden, welche Arten von Nachrichten versendet werden (Erinnerungen, Nachfassaktionen, Laborergebnisse)
  • Aufgeklärt – Kunden müssen verstehen, wie ihre Daten verarbeitet werden und durch wen
  • Eindeutig sein – es ist eine aktive Handlung erforderlich, wie das Ankreuzen eines nicht angekreuzten Kästchens oder das Unterzeichnen einer Einverständniserklärung

Voreingekreiste Kästchen gelten nicht. Das Verstecken der Einwilligungserklärung in den Allgemeinen Geschäftsbedingungen gilt nicht. Das Unternehmen muss nachweisen können, dass die Einwilligung eingeholt wurde, einschließlich wann und wie. Die Plattform von Lambda zeichnet Einwilligungsereignisse automatisch auf und erstellt so einen Prüfpfad, der die gesetzlichen Anforderungen erfüllt, ohne Ihren Empfangsmitarbeitern zusätzlichen Verwaltungsaufwand zu verursachen.

Wenn die Einwilligung nicht die richtige Rechtsgrundlage ist

In einigen Fällen können sich Unternehmen bei administrativen Nachrichten, die in direktem Zusammenhang mit einem bestehenden Termin stehen, auf die „Erfüllung eines Vertrags“ (Artikel 6 Absatz 1 Buchstabe b) stützen oder in Notfallsituationen auf „lebenswichtige Interessen“. Für die meisten laufenden Kundenkommunikationen, einschließlich Erinnerungen, Nachsorge-Mitteilungen und Zufriedenheitsumfragen, bleibt die ausdrückliche Einwilligung jedoch die sicherste und am besten zu rechtfertigende Grundlage. Ein qualifizierter Datenschutzbeauftragter kann dabei helfen, die richtige Rechtsgrundlage für jede Art von Nachricht zu ermitteln.

Datenminimierung: Senden Sie nur das Nötigste

Der Grundsatz der Datenminimierung der DSGVO (Artikel 5 Absatz 1 Buchstabe c) verlangt, dass personenbezogene Daten „angemessen, relevant und auf das Notwendige beschränkt“ sind. Im Zusammenhang mit Kundenmitteilungen bedeutet dies, dass Ihre WhatsApp-Nachrichten nur die Mindestmenge an Informationen enthalten sollten, die zur Erfüllung ihres Zwecks erforderlich ist.

Eine gut gestaltete Terminerinnerung könnte lauten: „Sie haben am Donnerstag um 14:30 Uhr einen Termin. Antworten Sie mit JA, um zu bestätigen, oder rufen Sie uns an, um einen neuen Termin zu vereinbaren.“ Sie muss weder das Fachgebiet des Mitarbeiters, den Grund für den Besuch noch weitere Details enthalten. Wenn ein Kunde detaillierte Informationen benötigt, kann die Nachricht ihn auf ein sicheres Kundenportal verweisen.

Lambda setzt die Datenminimierung auf Vorlagenebene durch. Nachrichtenvorlagen werden überprüft, um sicherzustellen, dass sie keine unnötigen sensiblen Informationen enthalten, und der KI-Assistent ist so konfiguriert, dass er in automatisierten Antworten keine sensiblen Details preisgibt. Dies ist eine strukturelle Sicherheitsmaßnahme und hängt nicht davon ab, dass sich einzelne Mitarbeiter an die Regeln erinnern.

Das Recht auf Löschung: Kunden können Sie auffordern, ihre Daten zu löschen

Artikel 17 der DSGVO gewährt Kunden das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, allgemein bekannt als das „Recht auf Vergessenwerden“. Wenn ein Kunde dieses Recht ausübt, muss Ihr Unternehmen seine Daten aus allen Systemen löschen, in denen sie gespeichert sind, einschließlich Messaging-Plattformen, es sei denn, eine gesetzliche Verpflichtung schreibt die Aufbewahrung vor (wie z. B. Aufbewahrungspflichten, die je nach Land variieren).

Wenn Ihr Unternehmen private WhatsApp-Konten für die Kundenkommunikation nutzt, wird die Löschung zu einem Albtraum. Nachrichten befinden sich auf den privaten Handys der Mitarbeiter, in Backups und im Cloud-Speicher von WhatsApp. Es gibt keine zentrale Möglichkeit, alle Spuren der Kundendaten aufzufinden und zu löschen. Ein einziges übersehenes Backup kann Ihr Unternehmen in einen Verstoß gegen die Vorschriften bringen.

Lambda bietet ein zentralisiertes System zur Verwaltung von Kundendaten. Wenn ein Kunde die Löschung beantragt, kann sein Nachrichtenverlauf über ein einziges Dashboard gelöscht werden. Die Plattform führt Protokolle über Löschanfragen und deren Abschluss, wodurch Ihr Unternehmen einen dokumentierten Nachweis der Compliance erhält. Dies ist die Art von betrieblichen Details, auf die es bei einer behördlichen Prüfung ankommt.

Datenverarbeitungsvereinbarungen: Der Vertrag, den Sie wahrscheinlich nicht haben

Wenn ein Unternehmen eine Plattform eines Drittanbieters zur Verarbeitung von Kundendaten nutzt, schreibt Artikel 28 der DSGVO eine Datenverarbeitungsvereinbarung (DPA) zwischen dem Unternehmen (dem für die Datenverarbeitung Verantwortlichen) und dem Plattformanbieter (dem Auftragsverarbeiter) vor. Diese Vereinbarung muss Folgendes festlegen:

  • Welche Daten zu welchem Zweck verarbeitet werden
  • Die Dauer der Verarbeitung
  • Die Pflichten des Auftragsverarbeiters hinsichtlich der Datensicherheit
  • Vereinbarungen über Unterauftragsverarbeiter
  • Was mit den Daten geschieht, wenn der Vertrag endet

Wenn Ihre Mitarbeiter Kunden über private WhatsApp-Konten anschreiben, verfügen Sie über keine Datenverarbeitungsvereinbarung (DPA) mit Meta (der Muttergesellschaft von WhatsApp), die die Verarbeitung von Kundendaten abdeckt. Die Standard-Nutzungsbedingungen von WhatsApp stellen keine gültige DPA für Gesundheitsdaten dar. Allein diese Lücke stellt ein erhebliches Compliance-Risiko dar.

Lambda stellt im Rahmen jeder Geschäftsvereinbarung eine umfassende DPA zur Verfügung. Die DPA ist speziell für die Verarbeitung von Geschäftsdaten ausgearbeitet und deckt alle Anforderungen gemäß Artikel 28 ab. Sie können unsere Datenschutzverpflichtungen auf unserer Seite zur DSGVO-Konformität einsehen.

WhatsApp Business API vs. privates WhatsApp: Ein entscheidender Unterschied

Es besteht ein grundlegender Unterschied zwischen der Nutzung von WhatsApp über die offizielle Business-API von Meta und der Kommunikation von Mitarbeitern mit Kunden über persönliche WhatsApp-Konten, die auf ihren Smartphones installiert sind. Das Verständnis dieses Unterschieds ist für die DSGVO-konforme Nachrichtenübermittlung in Unternehmen von zentraler Bedeutung.

Persönliche WhatsApp-Konten: Die Compliance-Risiken

Wenn eine Rezeptionistin oder ein Mitarbeiter Kunden über ein privates WhatsApp-Konto anschreibt:

  • werden die Telefonnummern der Kunden über die Kontakt-Synchronisierungsfunktion auf die Server von Meta hochgeladen
  • Werden die Nachrichtendaten auf privaten Geräten gespeichert, die möglicherweise nicht über ausreichende Sicherheitsvorkehrungen verfügen (keine Verschlüsselung im Ruhezustand, keine Fernlöschfunktion)
  • Das Unternehmen hat keinen Einblick in den Inhalt der Kommunikation
  • Durch Personalfluktuation gelangen Kundendaten auf privaten Mobiltelefonen aus dem Unternehmen
  • Es gibt keinen Prüfpfad, keine Einwilligungsverwaltung und keine zentralisierte Löschfunktion
  • Backups auf persönliche iCloud- oder Google Drive-Konten können Daten außerhalb der EU übertragen

WhatsApp Business API: Der konforme Weg

Die WhatsApp Business API wurde für Unternehmen entwickelt, die in großem Umfang mit Kunden kommunizieren und gleichzeitig die Kontrolle über die Datenverarbeitung behalten müssen. Nachrichten werden über einen autorisierten Business Solution Provider (BSP) gesendet und empfangen, nicht über private Mobiltelefone. Diese Architektur ermöglicht eine ordnungsgemäße Datenverwaltung, Zugriffskontrollen und Audit-Protokollierung.

Lambda basiert auf der offiziellen WhatsApp Business API. Jede Nachricht durchläuft eine Infrastruktur, die das Unternehmen (über die Lambda-Plattform) kontrolliert, mit vollständiger Protokollierung, Einwilligungsüberprüfung und Garantien zur Datenlokalisierung. Keine Kundendaten gelangen auf ein privates Gerät.

Wie Lambda die DSGVO-Konformität für Business Messaging gewährleistet

Wir haben Lambda speziell für Dienstleister entwickelt, die effizient mit Kunden kommunizieren müssen, ohne Kompromisse beim Datenschutz einzugehen. So erfüllt die Plattform die wichtigsten DSGVO-Anforderungen:

Datenspeicherung in der EU auf Microsoft Azure

Alle von Lambda verarbeiteten Kundendaten werden auf Microsoft Azure in der Region Westeuropa gehostet. Die Daten verlassen niemals die Europäische Union. Dadurch entfallen die komplexen rechtlichen Prüfungen, die bei der Übermittlung von Daten in Drittländer erforderlich sind, und Ihr Unternehmen muss sich nicht auf Standardvertragsklauseln oder andere Übermittlungsmechanismen verlassen, die in den letzten Jahren rechtlich angefochten wurden. Die EU-Infrastruktur von Azure ist nach ISO 27001, SOC 2 und anderen Sicherheitsstandards zertifiziert und bietet somit eine zusätzliche Sicherheitsebene.

End-to-End-Verschlüsselung und Zugriffskontrollen

Nachrichten zwischen Kunden und der Lambda-Plattform werden sowohl während der Übertragung als auch im Ruhezustand verschlüsselt. Die Plattform implementiert rollenbasierte Zugriffskontrollen, sodass nur autorisierte Mitarbeiter des Unternehmens Kundengespräche einsehen können. Zugriffsprotokolle erfassen, wer was wann angesehen hat, und erstellen so einen Prüfpfad, der die Rechenschaftspflicht gemäß Artikel 5 Absatz 2 der DSGVO unterstützt.

Keine Weitergabe von Daten an Dritte

Lambda verkauft, teilt oder nutzt Kundendaten nicht für Werbezwecke, zum Trainieren von Modellen oder für andere Zwecke, die über die Bereitstellung des Messaging-Dienstes für das Unternehmen hinausgehen. Dies ist vertraglich in unserer DPA garantiert. Kundendaten gehören dem Unternehmen und werden ausschließlich auf dessen Anweisung hin verarbeitet. Lesen Sie die vollständigen Details in unserer Datenschutzerklärung.

Automatisiertes Einwilligungsmanagement

Lambda verfolgt die Einwilligung auf individueller Kundenebene. Wenn ein Kunde dem Empfang von WhatsApp-Nachrichten zustimmt, zeichnet die Plattform das Einwilligungsereignis mit einem Zeitstempel auf. Wenn ein Kunde seine Einwilligung widerruft, wird der Nachrichtenversand sofort eingestellt und der Widerruf protokolliert. Dies bietet Unternehmen einen vollständigen, überprüfbaren Einwilligungsverlauf ohne manuelle Aufzeichnungen.

Löschung von Kundendaten auf Anfrage

Wenn ein Kunde sein Recht auf Löschung geltend macht, können Unternehmensadministratoren den gesamten Nachrichtenverlauf des Kunden über das Lambda-Dashboard löschen. Die Löschung wird innerhalb der von der DSGVO vorgeschriebenen Fristen auf alle Systeme, einschließlich Backups, übertragen. Für die Unterlagen des Unternehmens wird eine Löschbescheinigung erstellt.

KI, die Datenschutzeinschränkungen respektiert

Der KI-Assistent von Lambda ist darauf ausgelegt, routinemäßige Kundeninteraktionen wie Terminbuchungen, Terminverschiebungen und die Beantwortung häufig gestellter Fragen zu bewältigen. Die KI arbeitet innerhalb strenger Leitplanken: Sie speichert den Konversationskontext nicht über das für die aktuelle Interaktion erforderliche Maß hinaus, trifft keine operativen Entscheidungen und befolgt bei jeder Antwort den Grundsatz der Datenminimierung. Erfahren Sie auf der Seite „Funktionen“, wie unsere KI-Funktionen funktionieren.

Praktische Schritte für Unternehmen, die auf GDPR-konforme WhatsApp-Nachrichten umsteigen

Wenn Ihr Unternehmen derzeit private WhatsApp-Konten für die Kundenkommunikation nutzt und auf eine konforme Lösung umsteigen möchte, finden Sie hier einen praktischen Leitfaden:

  1. Überprüfen Sie Ihre aktuellen Messaging-Praktiken. Dokumentieren Sie, wer mit Kunden kommuniziert, von welchen Geräten aus und welche Informationen ausgetauscht werden. Diese Bestandsaufnahme wird Ihre größten Compliance-Lücken aufzeigen.
  2. Wählen Sie eine Plattform, die auf der WhatsApp Business API basiert. Stellen Sie sicher, dass der Anbieter eine geschäftsspezifische Datenverarbeitungsvereinbarung (DPA), EU-Datenspeicherung und Tools zur Einwilligungsverwaltung anbietet.
  3. Aktualisieren Sie Ihre Datenschutzerklärung. Die Datenschutzerklärung Ihres Unternehmens muss Kunden darüber informieren, dass Sie WhatsApp für die Kommunikation nutzen, den Datenverarbeiter benennen und die Rechtsgrundlage für die Verarbeitung erläutern.
  4. Führen Sie die Einholung der Einwilligung ein. Entwerfen Sie einen klaren Opt-in-Prozess für WhatsApp-Nachrichten, der von der allgemeinen Einwilligung zur Datenverarbeitung getrennt ist. Schulen Sie das Personal am Empfang darin, wie es den Kunden das Opt-in erklärt.
  5. Migrieren und deaktivieren Sie die alte Lösung. Sobald die Kunden auf die neue Plattform umgestellt sind, löschen Sie die Kundendaten aus den persönlichen WhatsApp-Konten und führen Sie eine Richtlinie ein, die es Mitarbeitern untersagt, Kunden über persönliche Konten zu kontaktieren.
  6. Dokumentieren Sie alles. Führen Sie Aufzeichnungen über Ihre Verarbeitungsaktivitäten (Artikel 30), Ihre Datenschutz-Folgenabschätzung, falls erforderlich (Artikel 35), sowie Ihre Einwilligungsaufzeichnungen.

Die Kosten von Fehlern

Die Durchsetzung der DSGVO in der Wirtschaft nimmt europaweit zu. In den letzten Jahren wurden Unternehmen und Krankenhäuser mit Geldstrafen wegen unbefugter Datenweitergabe, unzureichender Sicherheitsmaßnahmen und der Nichtbeantwortung von Anfragen betroffener Personen belegt. Über Geldstrafen hinaus verursacht eine Datenschutzverletzung, die personenbezogene Kundendaten betrifft, einen Reputationsschaden, von dem sich ein Unternehmen erst nach Jahren erholen kann. Kunden vertrauen ihren Dienstleistern ihre sensibelsten Informationen an, und dieses Vertrauen lässt sich, einmal gebrochen, nur schwer wiederherstellen.

Die gute Nachricht ist, dass die Einhaltung der Vorschriften nicht kompliziert sein muss. Durch die Wahl der richtigen Tools und die Einrichtung klarer Prozesse können Unternehmen schnell und bequem mit Kunden kommunizieren und gleichzeitig alle Anforderungen der DSGVO erfüllen. Die Einhaltung der DSGVO für WhatsApp-Unternehmen ist mit der richtigen Infrastruktur möglich.

Mit Zuversicht in die Zukunft

Die Kundenkommunikation über Messaging wird nicht verschwinden. Im Gegenteil: Kunden erwarten zunehmend digitale Kommunikation von ihren Dienstleistern. Die Frage ist nicht, ob WhatsApp für die Kundenkommunikation genutzt werden soll, sondern wie man es verantwortungsbewusst einsetzt. Die DSGVO ist kein Hindernis für moderne Kundenbindung; sie ist ein Rahmenwerk, das – bei korrekter Einhaltung – das Vertrauen schafft, das digitale Geschäftskommunikation erst möglich macht.

Lambda bietet Unternehmen die Tools, um mit Kunden über WhatsApp zu kommunizieren und dabei alle DSGVO-Verpflichtungen zu erfüllen. In der EU gehostet, verschlüsselt, überprüfbar und von Grund auf für Unternehmen konzipiert. So sieht DSGVO-konforme Nachrichtenkommunikation in der Praxis aus.

Sind Sie bereit, Ihre Kundenkommunikation DSGVO-konform zu gestalten?

Erfahren Sie, wie Lambda Unternehmen dabei unterstützt, über WhatsApp mit Kunden zu kommunizieren und dabei alle DSGVO-Anforderungen zu erfüllen. Gehostet in der EU auf Azure, vollständig verschlüsselt, mit integrierten Tools für die Einwilligungsverwaltung und Datenlöschung.

Buchen Sie eine Demo