Ist ein WhatsApp Bot DSGVO-konform?

Ja, wenn drei Bedingungen erfüllt sind: 1) Der Bot läuft über die offizielle WhatsApp Business API, 2) mit allen Dienstleistern sind Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO abgeschlossen, 3) die Datenschutzerklärung informiert über den Bot-Einsatz.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein AVV nach Art. 28 DSGVO regelt wie ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Als Betreiber eines WhatsApp Bots brauchen Sie AVVs mit dem Bot-Anbieter und allen Unterauftragsverarbeitern (KI-Provider, Hosting, WhatsApp API).

Welche Daten verarbeitet ein WhatsApp Bot?

Typischerweise: WhatsApp-Telefonnummern, Namen (wenn angegeben), Nachrichteninhalte (Anfragen, Termine), Zeitstempel. Bei Mr. Bell werden diese Daten in Ihrem Google Sheet dokumentiert und per E-Mail an Sie weitergeleitet.

Brauche ich eine eigene Datenschutzerklärung für den Bot?

Sie brauchen keine separate Datenschutzerklärung, aber Ihre bestehende muss den Bot-Einsatz beschreiben: welche Daten erhoben werden, zu welchem Zweck, Rechtsgrundlage (Art. 6 Abs. 1 lit. b DSGVO), und welche Unterauftragsverarbeiter beteiligt sind.

← Zurück zur Startseite

DSGVO-konformer WhatsApp Bot: Datenschutz für deutsche Unternehmen

Q: Werden Kundendaten in Deutschland gespeichert?

Teilweise. Bei Mr. Bell: WhatsApp-Nachrichten laufen über 360dialog (Serverstandort Berlin). Das Hosting läuft über Vercel (EU-Rechenzentrum Frankfurt). Die KI-Verarbeitung erfolgt über Anthropic Claude (USA) mit EU-Standardvertragsklauseln. Anbieter die behaupten alle Daten bleiben in Deutschland sind bei KI-Bots in der Regel nicht ehrlich.

Von Ben Deschler · Aktualisiert: Mai 2026

Lesezeit: 7 Minuten

Kurzfassung: Ein WhatsApp Bot ist DSGVO-konform wenn er über die offizielle API läuft, AVVs mit allen Dienstleistern abgeschlossen sind und die Datenschutzerklärung den Einsatz beschreibt. Mr. Bell erfüllt alle drei Bedingungen.

Darf ich als Unternehmen einen WhatsApp Bot einsetzen?

Ja — aber nicht über die normale WhatsApp-App oder WhatsApp Web. Die DSGVO und die ePrivacy-Richtlinie verlangen, dass geschäftliche Kommunikation über die offizielle WhatsApp Business API läuft. Der Unterschied: Die Business API ist für Unternehmen konzipiert, bietet Datenschutz-Kontrollmöglichkeiten und ermöglicht den Abschluss von Auftragsverarbeitungsverträgen.

Laut dem Landesbeauftragten für Datenschutz Baden-Württemberg (LfDI, 2024) ist die Nutzung der normalen WhatsApp-App für geschäftliche Zwecke datenschutzrechtlich problematisch, da Kontaktdaten aller Telefonbuch-Einträge an Meta übertragen werden.

Welche Datenschutz-Anforderungen muss ein WhatsApp Bot erfüllen?

1. Offizielle WhatsApp Business API

Der Bot muss über einen offiziellen Business Solution Provider (BSP) wie 360dialog, Twilio oder MessageBird laufen. Mr. Bell nutzt 360dialog mit Serverstandort Berlin.

2. Auftragsverarbeitungsverträge (AVV)

Mit jedem Dienstleister der personenbezogene Daten verarbeitet, muss ein AVV nach Art. 28 DSGVO abgeschlossen sein.

Bei Mr. Bell sind folgende AVVs abgeschlossen:

Dienstleister	Funktion	Standort	Rechtsgrundlage
360dialog	WhatsApp Business API	Berlin, Deutschland	AVV + DSGVO
Anthropic	KI-Provider (Claude)	USA	AVV + EU-Standardvertragsklauseln
Vercel	Hosting	Frankfurt, Deutschland	AVV + DSGVO
Stripe	Zahlungsabwicklung	Irland (EU)	AVV + DSGVO
Google	Sheets (Datendokumentation)	EU	CDPA

3. Datenschutzerklärung

Ihre Datenschutzerklärung muss den WhatsApp-Bot-Einsatz beschreiben: welche Daten erhoben werden (Telefonnummer, Name, Nachrichteninhalt), den Zweck (Beantwortung von Kundenanfragen, Terminweiterleitung), die Rechtsgrundlage (Art. 6 Abs. 1 lit. b DSGVO — Vertragsanbahnung) und die beteiligten Unterauftragsverarbeiter.

Werden Kundendaten in Deutschland gespeichert?

Ehrliche Antwort: Teilweise. WhatsApp-Nachrichten laufen über 360dialog (Berlin). Das Hosting läuft über Vercel (Frankfurt). Aber die KI-Verarbeitung erfolgt über Anthropic Claude — ein US-Anbieter mit EU-Standardvertragsklauseln. Das ist DSGVO-konform, aber die Aussage "alle Daten in Deutschland" wäre falsch. Achten Sie bei jedem Anbieter auf ehrliche Angaben.

Häufige Fragen

Können Kunden ihre Daten löschen lassen?

Ja. Nach Art. 17 DSGVO haben Betroffene ein Recht auf Löschung. Bei Kündigung Ihres Mr. Bell Abos werden alle Kundendaten innerhalb von 90 Tagen gelöscht.

Muss ich meine Kunden informieren dass ein Bot antwortet?

Eine gesetzliche Pflicht zur Kennzeichnung von KI-Kommunikation besteht ab August 2026 nach dem EU AI Act. Mr. Bell informiert Kunden transparent, dass es sich um einen digitalen Assistenten handelt.

Was passiert bei einem Datenschutz-Vorfall?

Alle AVVs enthalten Regelungen zur Meldepflicht. Im Falle eines Vorfalls werden Sie als Verantwortlicher informiert. Die zuständige Aufsichtsbehörde (für Mr. Bell: LfDI Baden-Württemberg) muss innerhalb von 72 Stunden benachrichtigt werden.

Testen Sie Mr. Bell 5 Tage kostenlos

WhatsApp-Assistent für Ihren Betrieb. Einrichtung in 48h, keine Kreditkarte nötig.

Jetzt kostenlos testen →

Über den Autor

Ben Deschler ist Gründer von Mr. Bell und studiert International Finance & Accounting an der HSB Bremen. Er hat Mr. Bell als Self-Service SaaS-Produkt für deutsche Dienstleister entwickelt, nachdem er auf einer Asien-Reise gesehen hat, wie KMU dort WhatsApp-Automatisierung bereits als Standard nutzen.

Kontakt: kontakt@mrbell.de · Standorte: Bremen & Baden-Baden

Weitere Artikel: Alle Artikel · Häufige Fragen