Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

WhatsApp Business Chat

PraeferenzenWebsite

Was macht WhatsApp Business Chat?

WhatsApp Business Chat ist die offizielle Click to Chat Lösung von Meta, mit der ein Website Besucher per wa.me Link oder eingebettetem WhatsApp Business Widget eine WhatsApp Konversation mit einer Geschäftsnummer öffnet. Sobald der Besucher klickt oder das Widget Skript geladen wird, erhält Meta Platforms Inc in den USA Telefonnummer, IP, User Agent und Seitenkontext. DSGVO und ePrivacy verlangen daher eine klare Information und, für jeden Widget Skript vor der Nutzerinteraktion, eine vorherige Opt in Einwilligung.

Wie eine WhatsApp Business Chat Integration technisch funktioniert

Eine WhatsApp Business Chat Integration kombiniert in der Regel einen Click to Chat Link (wa.me/{nummer}?text=) auf der Betreiber Domain mit einem optionalen JavaScript Widget, das die Konversation in einem Seitenpanel oder schwebenden Chat öffnet. Die einfachste Variante ist ein Button, der https://wa.me/ mit der Geschäftsnummer und einer vordefinierten Nachricht öffnet. Aufwendigere Lösungen nutzen die WhatsApp Business API über Meta oder einen Business Solution Provider (Twilio, MessageBird, 360dialog) und können ein Widget von facebook.net oder vom Provider laden. Der Besucher kann die erste Nachricht direkt aus dem Operator Frontend über die API senden.

Welche Daten WhatsApp und Meta erhalten

Beim Klick oder, im Fall eines Widgets, beim Laden des Skripts, erhalten Meta und der optionale Business Solution Provider die Seiten URL, die IP, den User Agent und die eingegebene oder voreingestellte Telefonnummer. Sobald der WhatsApp Chat startet, verarbeitet Meta alle Nachrichten, Anhänge, die WhatsApp Konto Kennung und Geräte Metadaten. Ende zu Ende Verschlüsselung schützt den Inhalt, aber Meta verarbeitet erhebliche Metadaten (Zeitstempel, Empfänger Identifikator, Frequenz) außerhalb der E2EE Schicht.

DSGVO, ePrivacy und Einwilligungspflichten

Ein reiner wa.me Button setzt selbst keine Cookies und benötigt nach Artikel 5(3) ePrivacy Richtlinie keine vorherige Einwilligung: es ist ein normaler Link zu einem Drittdienst. Das WhatsApp Business Widget (oder ein gleichwertiges Third Party Chat Widget) lädt jedoch Tracking Code und muss vor jeder Nutzerinteraktion an eine Opt in Einwilligung gekoppelt sein. Die Rechtsgrundlage nach Artikel 6 DSGVO hängt vom Zeitpunkt ab: Einwilligung für das Widget Loading, Vertrag oder vorvertragliche Maßnahmen für den Chat Inhalt nach Versand der ersten Nachricht.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Übermittlungen an Meta in die USA

WhatsApp gehört zu Meta und läuft auf US Infrastruktur. Telefonnummern, IP, Konversations Metadaten und verschlüsselte Nachrichten fließen an Meta Platforms Inc. Die Hamburger Datenschutzaufsicht beschränkte 2024 die Nutzung von WhatsApp durch Bundesbehörden wegen Transfer Bedenken, und mehrere EU Behörden raten vom Einsatz in sensiblen Bereichen ab. Betreiber müssen sich auf das EU US Data Privacy Framework (Meta ist zertifiziert) und Standardvertragsklauseln stützen, ein Transfer Impact Assessment dokumentieren und die Besucher informieren.

Praktische Compliance und sicherere Alternativen

Bevorzugen Sie einen einfachen wa.me Link statt eines eingebetteten Widgets, damit vor dem Klick keine Skripte laden. Zeigen Sie einen klaren Hinweis am Button, der erklärt, dass der Klick WhatsApp öffnet und Telefonnummer und Nachricht mit Meta teilt. Schließen Sie die WhatsApp Business Terms und die relevanten Meta Business Tool Bedingungen ab. Aktualisieren Sie die Datenschutzerklärung mit Link zur WhatsApp Datenschutzerklärung. Sicherere Alternativen: Signal (keine zentralisierten Metadaten), Threema Work (Schweizer Anbieter, ohne Telefonnummer), Matrix oder ein selbst gehostetes Webchat mit Anbindung an Ihr CRM, das Besucherdaten in Ihrer Infrastruktur hält.

GDPR consent category

Praeferenzen

Websites using WhatsApp Business Chat must obtain user consent under GDPR regulations.

Legal basisArticle 6(1)(a) GDPR (consent) for the placement of any WhatsApp widget script or third party cookie before user interaction. Article 6(1)(b) GDPR (contract or pre contractual measures) is the dominant basis once the user has clicked the button or sent the first message. A simple wa.me link without widget script does not by itself trigger ePrivacy storage but the subsequent processing still requires lawful basis and information.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive, French CNIL messaging guidance, German TTDSG, Spanish LSSI, Schrems II case law, Hamburg DPA 2024 decision, EU US Data Privacy Framework, WhatsApp Business Terms, Meta business tools terms

DPIA considerations

Eine DSFA wird dringend empfohlen, sobald WhatsApp Business als Support oder Vertriebskanal auf EU Properties eingesetzt wird, wegen der risikobehafteten Übermittlung an Meta in den USA und der systematischen Verarbeitung von Telefonnummern und Konversationsmetadaten. Sie muss den Einwilligungsfluss für das optionale Widget, die Rechtsgrundlage des Chats, das Restrisiko unter dem EU US Data Privacy Framework, die Aufbewahrung der Konversationen sowie geprüfte sicherere Alternativen abdecken.

Sample consent text

Ein Klick auf den WhatsApp Button öffnet ein Gespräch mit unserem Unternehmen in WhatsApp. Ihre Telefonnummer und Ihre Nachricht werden von Meta Platforms Inc in den USA gemäß der WhatsApp Datenschutzerklärung verarbeitet. Falls unsere Seite ein WhatsApp Widget verwendet, lädt es erst, nachdem Sie Kommunikations und Social Media Cookies akzeptiert haben.

Technical details

Tracking methodClick to chat button on the operator domain that opens a wa.me link, optional JavaScript widget loaded from facebook.net or a Business Solution Provider (Twilio, MessageBird, 360dialog), WhatsApp Business API for server side flows

Server locationMeta Platforms Ireland Ltd acts as the EEA controller for WhatsApp. Production infrastructure runs on Meta Platforms Inc data centres in the United States and Europe. The WhatsApp Business API may be operated via solution providers in various regions.

Cookieless tracking availableYes

Data transferred outside the EUWhatsApp is operated by Meta Platforms Ireland Ltd for the EEA and by Meta Platforms Inc globally. When the visitor opens the chat or when a widget script loads, the phone number, IP, User Agent and page context are transferred to Meta in the US. Transfers rely on the EU US Data Privacy Framework (Meta is self certified) and Standard Contractual Clauses. The Hamburg DPA restricted use of WhatsApp by federal authorities in 2024.

Third-party domains contacted

wa.meweb.whatsapp.combusiness.whatsapp.comgraph.facebook.comfacebook.netstatic.whatsapp.net

Cookies placed

Name	Type	Duration	Purpose
datr	http	2 years	Meta browser identifier set on facebook.net or facebook.com domain when a WhatsApp Business widget is loaded.
fr	http	90 days	Meta advertising cookie set when a WhatsApp Business widget or Meta Business Suite chat plugin is loaded.
wa_account_id	http	12 months	WhatsApp account identifier exposed when the visitor is logged into WhatsApp Web and opens the widget.
wa_csrf_token	http	Session	CSRF token used by the WhatsApp Business widget to secure interactions with wa.me and the Business API.

WhatsApp Business Chat verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt der WhatsApp Business Chat?

Ein einfacher wa.me Link setzt keine Cookies auf der Betreiber Domain. Ein eingebettetes WhatsApp Business Widget oder ein Drittanbieter (Twilio, MessageBird, 360dialog) lädt JavaScript und kann Provider Cookies sowie Meta Cookies auf facebook.net (datr, fr) und auf wa.me (Sitzungs Identifikatoren) setzen. Eingeloggte WhatsApp Web Nutzer können dem Widget zusätzlich ihre wa_account_id offenlegen.

Erfordert der WhatsApp Business Chat eine Einwilligung?

Ein einfacher wa.me Button ohne Widget Skript löst keinen Speichervorgang im Sinne der ePrivacy Richtlinie aus und benötigt für den Link selbst keine vorherige Einwilligung, sondern nur eine klare Information. Ein eingebettetes WhatsApp Widget oder ein Third Party Chat Skript lädt Tracking Code und muss vor jeder Nutzerinteraktion an eine Opt in Einwilligung gekoppelt sein. Sobald der Besucher eine Nachricht sendet, stützt sich die Folgeverarbeitung auf Vertrag oder vorvertragliche Maßnahmen sowie Informationspflichten.

Welche Rechtsgrundlage gilt für die durch WhatsApp verarbeiteten Daten?

Artikel 6(1)(a) DSGVO (Einwilligung) deckt das optionale Widget und jegliches Tracking vor der Interaktion. Artikel 6(1)(b) DSGVO (Vertrag oder vorvertragliche Maßnahmen) ist die maßgebliche Grundlage für den Chat Inhalt nach Beginn der Konversation. Die Rechtsgrundlage muss in der Datenschutzerklärung ausdrücklich genannt und die Aufbewahrungsdauer der Konversation klar definiert sein.

Überträgt WhatsApp Business Daten in Nicht EU Länder?

Ja. WhatsApp wird von Meta Platforms Inc in den USA betrieben. Telefonnummern, IP, Konversations Metadaten und verschlüsselte Nachrichten fließen an US Infrastruktur. Die Transfers stützen sich auf das EU US Data Privacy Framework (Meta ist zertifiziert) und auf Standardvertragsklauseln. Die Hamburger Datenschutzaufsicht beschränkte 2024 die Nutzung von WhatsApp durch Bundesbehörden wegen Transfer Bedenken.

Ist für WhatsApp Business als Support Kanal eine DSFA erforderlich?

In den meisten Fällen wird sie dringend empfohlen und ist bei großvolumigem Einsatz für Support oder Vertrieb in regulierten Branchen verpflichtend. Die Kombination aus großvolumiger Verarbeitung durch Meta, hochriskantem internationalem Transfer und Verarbeitung von Telefonnummern, die Personen über mehrere Meta Dienste hinweg identifizieren, überschreitet in der Regel die Schwelle von Artikel 35 DSGVO.

Wie binde ich den WhatsApp Business Chat rechtskonform ein?

Bevorzugen Sie einen wa.me Link gegenüber einem eingebetteten Widget. Setzen Sie einen Hinweis am Button, der erklärt, dass der Klick WhatsApp öffnet und die Telefonnummer mit Meta teilt. Falls ein Widget erforderlich ist, blockieren Sie es bis zur Einwilligung in Kommunikations Cookies. Schließen Sie die WhatsApp Business Terms ab, dokumentieren Sie die Aufbewahrung der Konversationen und aktualisieren Sie die Datenschutzerklärung mit dem Link zur WhatsApp Datenschutzerklärung.

Welche sichereren Alternativen gibt es zu WhatsApp Business?

Signal Business (keine zentrale Metadaten Sammlung), Threema Work (Schweizer Anbieter, ohne Telefonnummer), selbst gehostetes Matrix, Microsoft Teams oder Webex für B2B Kontexte oder ein selbst gehostetes Webchat in Anbindung an Ihr CRM (LiveChat, selbst gehostetes Crisp, Chatwoot). Diese Alternativen halten Besucher Daten unter Ihrer Infrastruktur oder unter EU Adäquanzregimen.

Wie aktualisiere ich meine Cookie Richtlinie für WhatsApp Business?

Nennen Sie Meta Platforms Inc als Empfänger, listen Sie die mit dem Widget geladenen Meta Cookies (datr, fr) auf, deklarieren Sie die Übermittlung in die USA, beschreiben Sie die geteilten Daten (Telefonnummer, Seiten URL, Nachricht), verweisen Sie auf die WhatsApp Datenschutzerklärung und die WhatsApp Business Terms und erläutern Sie die Aufbewahrungsdauer der Konversationen auf Ihrer Seite.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note