WhatsApp Business und DSGVO in Österreich: § 174 TKG 2021

WhatsApp ist auch in Österreich der mit Abstand am stärksten verbreitete Messenger. Was attraktiv klingt, ist datenschutz- und telekommunikationsrechtlich anspruchsvoll: WhatsApp gehört zu Meta Platforms, läuft auf US-Servern und greift in seinen Standardeinstellungen auf das Adressbuch zu. Neben der DSGVO greifen in Österreich § 174 TKG 2021 (vormals § 107 TKG 2003) und § 7 UWG parallel. Die Praxisanforderungen sind dadurch in einigen Punkten strenger als in Deutschland.

Wenn Sie WhatsApp im Unternehmenskontext einsetzen wollen, kommen die Hauptprobleme nicht aus der Website, sondern aus dem Smartphone. Eine vollständige Datenschutzerklärung und ein konformer Einwilligungsprozess sind trotzdem nötig. Ob Ihre Website diese Drittanbieter heute schon korrekt benennt, prüfen Sie mit dem kostenlosen DSGVO-Scanner in 60 Sekunden.

Drei verschiedene WhatsApp-Varianten

Bevor man die Konformität bewerten kann, muss klar sein, welche WhatsApp-Variante eingesetzt wird:

• WhatsApp (normale App): privat. Im geschäftlichen Einsatz problematisch, weil die App auf das gesamte Adressbuch zugreift und Kontaktdaten Dritter an Meta überträgt.
• WhatsApp Business App: kostenlose Smartphone-App für Kleinunternehmen. Funktional erweitert (Kataloge, Auto-Antworten, Etiketten), aber technisch nahe an der normalen App. Auch hier Zugriff auf das Adressbuch.
• WhatsApp Business Platform (API): serverseitige Schnittstelle, über zertifizierte Business Solution Provider wie 360dialog, MessageBird oder Twilio. Kein Adressbuch-Zugriff, Auftragsverarbeitungsvertrag mit Meta möglich.

Aus DSGVO-Sicht ist die Business Platform der einzige Weg, der für strukturierte Kundenkommunikation handhabbar ist.

Das Adressbuch-Problem

Wenn Sie die WhatsApp-App oder die Business App auf einem Smartphone installieren, fragt sie nach Zugriff auf Ihr Adressbuch. Bei Erteilung lädt sie alle dort gespeicherten Kontakte zu den Meta-Servern hoch. Das umfasst auch Personen, die selbst nicht bei WhatsApp sind und nie eingewilligt haben.

Aus österreichischer Sicht ist das gleich aus zwei Richtungen problematisch:

1. DSGVO: Die Übermittlung personenbezogener Daten Dritter ohne Rechtsgrundlage verstößt gegen Art. 6 DSGVO. Die Datenschutzbehörde (DSB) prüft in solchen Konstellationen regelmäßig die Einwilligungsdokumentation des Verantwortlichen, die in diesen Fällen meist fehlt.
2. § 174 TKG 2021: Die Vorschrift regelt zwar primär die Werbe-Zusendung, ihre Schutzrichtung (Vermeidung unaufgeforderter Kontaktaufnahme) wird durch unkontrollierten Adressbuch-Upload faktisch unterlaufen.

Drei Konsequenzen für die Praxis:

1. Auf dem Firmen-Smartphone darf das WhatsApp-Adressbuch nur Kontakte enthalten, die nachweislich eingewilligt haben. Am einfachsten ein dediziertes Gerät, das ausschließlich für WhatsApp-Kommunikation genutzt wird.
2. Auf dem Gerät dürfen keine privaten Kontakte gespeichert sein.
3. Der Adressbuch-Zugriff in der App sollte ausgeschaltet werden, wo möglich (in den Geräte-Einstellungen unter Berechtigungen).

Drittlandübermittlung

WhatsApp Inc. gehört zu Meta Platforms in den USA. Auch wenn der europäische Datenverkehr formal über WhatsApp Ireland Limited läuft, fließen Daten in die USA. Meta ist nach dem EU-US Data Privacy Framework zertifiziert, das die Drittlandübermittlung grundsätzlich abdeckt.

Das DPF ersetzt jedoch nicht die Notwendigkeit einer Rechtsgrundlage für die Verarbeitung selbst. Sie brauchen weiterhin eine Einwilligung der Kund:innen oder eine andere Rechtsgrundlage nach Art. 6 DSGVO. Typischerweise greift die Vertragsanbahnung oder Vertragsabwicklung (Art. 6 Abs. 1 lit. b DSGVO), wenn die Kund:innen von sich aus über WhatsApp Kontakt aufgenommen haben.

Die DSB folgt dabei der EDSA-Linie: Ohne dokumentierte Rechtsgrundlage und ohne saubere Auftragsverarbeitungs-Kette ist die Übermittlung nicht zulässig, unabhängig davon, ob ein Angemessenheitsbeschluss vorliegt.

Was Sie bei einer Business-Lösung dokumentieren müssen

Für den geschäftlichen Einsatz brauchen Sie:

• Vereinbarung über die Auftragsverarbeitung nach Art. 28 DSGVO mit dem WhatsApp-Anbieter. Bei der Business Platform schließen Sie die Vereinbarung mit dem Business Solution Provider, der wiederum eine Vereinbarung mit Meta hat.
• Eintrag im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.
• Datenschutzerklärung-Abschnitt: Anbieter, Zwecke, Daten, Rechtsgrundlage, Drittlandübermittlung, Widerrufsmöglichkeit.
• Einwilligungsprozess: Wenn Sie aktiv Kund:innen anschreiben oder Newsletter über WhatsApp versenden möchten, eine dokumentierte Einwilligung nach Art. 7 DSGVO und § 174 TKG 2021. Bei reaktivem Kundenservice (Kund:in schreibt zuerst an) ist Art. 6 Abs. 1 lit. b DSGVO in der Regel tragfähig.
• Technisch-organisatorische Maßnahmen: dediziertes Gerät oder Multi-Device-Web-Variante, deaktivierter Adressbuch-Zugriff, Schulung der Mitarbeiter:innen.

WhatsApp-Newsletter: Drei parallel laufende Schienen

Werbliche Nachrichten über WhatsApp sind in Österreich gleich dreifach reguliert. Sie brauchen:

• DSGVO-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, analog zum Newsletter-Double-Opt-In.
• Telekommunikationsrechtliche Einwilligung nach § 174 Abs. 1 TKG 2021. Verstöße sind eine Verwaltungsübertretung und können nach § 188 TKG 2021 mit Strafen bis EUR 50.000 pro Verstoß durch das Fernmeldebüro geahndet werden.
• Wettbewerbsrechtliche Einwilligung nach § 7 UWG. Mitbewerber und der VKI können parallel auf Unterlassung klagen. Der Oberste Gerichtshof hat das Erfordernis ausdrücklicher, dokumentierter Einwilligung in ständiger Spruchpraxis bestätigt.

In der Praxis trifft Versender:innen, die ohne Einwilligung WhatsApp-Werbung verschicken, typischerweise alle drei Schienen gleichzeitig: ein Verwaltungsstrafverfahren beim Fernmeldebüro, eine UWG-Unterlassungsklage durch den aufmerksamsten Mitbewerber und eine DSB-Anzeige der betroffenen Person. Eine ausführlichere Behandlung der drei Schienen im B2B-Kontext steht in B2B-Cold-E-Mail in Österreich: Was § 174 TKG 2021 und § 7 UWG erlauben. Die Logik ist für WhatsApp identisch.

Hinzu kommt: Meta selbst beschränkt Marketing-Nachrichten über die Business Platform stark. Nach einer Kundennachricht haben Sie ein 24-Stunden-Service-Fenster für freie Antworten. Außerhalb davon müssen Sie zugelassene Template-Nachrichten verwenden, die Meta vorab freigeben muss.

Was die österreichischen Aufsichtsbehörden konkret prüfen

Die DSB prüft im Streitfall die konkrete Implementierung: dediziertes Gerät, getrennte Adressbücher, Vereinbarung über die Auftragsverarbeitung, dokumentierte Einwilligung. Wer das sauber umsetzt, hat im Fall einer Beschwerde gute Argumente.

Das Fernmeldebüro (im Geschäftsbereich der RTR) ist für § 174 TKG 2021 zuständig und betreibt die Beschwerdestelle für unerwünschte elektronische Werbung. Anders als bei der DSGVO ist die Beweislast für die Einwilligung beim Versender. Eine bloße Behauptung „Kund:in hat zugestimmt" reicht nicht.

Der VKI und Mitbewerber treiben die UWG-Schiene voran. Streitwerte für eine WhatsApp-Werbe-Klage liegen typischerweise im fünfstelligen Bereich, in qualifizierten Fällen auch höher.

Das bedeutet nicht, dass WhatsApp völlig tabu ist. Wer mit dokumentierter Einwilligung, getrennten Geräten und sauberer Auftragsverarbeitungs-Kette arbeitet, ist gegen Aufsichtsverfahren weitgehend abgesichert.

DSGVO-freundliche Alternativen

Wer den WhatsApp-Aufwand vermeiden möchte, hat mehrere Optionen:

• Signal: Open-Source-Messenger, Server in der EU, Verschlüsselungs-Goldstandard. Schwach: Verbreitung bei Endkund:innen gering.
• Threema Work: kommerzieller Schweizer Anbieter, Server in der Schweiz (FADP-konform), hohe Datenschutzstandards, Vereinbarung über die Auftragsverarbeitung verfügbar.
• Element / Matrix: dezentrales, föderiertes Protokoll. Selbst hostbar in der EU.
• E-Mail mit Transport-Verschlüsselung: oft unterschätzt, aber rechtlich am einfachsten zu handhaben.
• EU-Live-Chat-Tools: Crisp (Frankreich), Userlike (Deutschland), Chatwoot (Open Source) bieten Kundenservice direkt auf der Website ohne Drittland-Problematik.

Das 24-Stunden-Service-Fenster

Eine technische Besonderheit der WhatsApp Business Platform, die in der Praxis oft Probleme macht: das 24-Stunden-Service-Fenster. Sobald eine Kund:in Ihnen eine Nachricht schickt, dürfen Sie 24 Stunden lang frei antworten. Nach Ablauf des Fensters sind nur noch zugelassene, von Meta vorab freigegebene Template-Nachrichten erlaubt.

In der Praxis bedeutet das: Wer Kund:innen außerhalb des Fensters proaktiv kontaktieren möchte (etwa für eine Versandbestätigung, eine Terminerinnerung oder einen Status-Update), braucht ein abgestimmtes Template und eine dokumentierte Marketing-Einwilligung. Reine Service-Mitteilungen (Bestellbestätigung, Rechnung) sind oft auch ohne separate Marketing-Einwilligung zulässig, sofern sie Teil der Vertragserfüllung sind und keinen werblichen Charakter haben.

Diese Beschränkung ist nicht TKG- oder DSGVO-spezifisch, sondern eine Geschäftsbedingung von Meta. Sie wirkt aber wie eine Schutzschicht gegen unkontrollierten Massenversand und sollte daher als Vorteil und nicht als Hürde betrachtet werden.

Praxis-Empfehlung für kleine österreichische Unternehmen

Wenn WhatsApp aufgrund der Reichweite zwingend nötig ist:

1. WhatsApp Business Platform über einen EU-zertifizierten Solution Provider buchen (kein Privatgerät mit Business App).
2. Vereinbarung über die Auftragsverarbeitung unterschreiben, im Verzeichnis nach Art. 30 DSGVO dokumentieren.
3. Datenschutzerklärung anpassen, eigenen WhatsApp-Abschnitt einfügen.
4. Adressbuch-Zugriff vermeiden, keine privaten Kontakte auf dem Geschäftsgerät.
5. Keine ungefragten Marketing-Nachrichten. Einwilligung nach Art. 7 DSGVO und § 174 TKG 2021 dokumentieren oder direkt sein lassen.

Wenn der Aufwand in keinem Verhältnis zum Nutzen steht (etwa bei einem kleinen Solo-Unternehmen mit zwei oder drei WhatsApp-Anfragen pro Monat), ist die ehrliche Empfehlung: WhatsApp im Geschäftskontext nicht einsetzen. Eine gut gepflegte E-Mail-Adresse und ein einfacher Live-Chat auf der Website lösen die meisten Kommunikationsbedürfnisse, ohne dass Adressbuch-Upload, Auftragsverarbeitung, Drittlandübermittlung und Datenschutzerklärungs-Pflege überhaupt zum Thema werden.

Mit dem kostenlosen Datenschutz-Scanner prüfen Sie, ob die Datenschutzerklärung Ihrer Website die Drittanbieter (auch WhatsApp) korrekt benennt.