WhatsApp: Kurz-Timer für Web-Version startet – doch Compliance-Probleme bleiben

Die Debatte um WhatsApp im Beruf ist neu entfacht. Meta hat für die Desktop-Version des Messengers neue Kurzzeit-Timer für Nachrichten eingeführt. Doch Datenschützer warnen: Die Funktionen sind kein Freibrief für den geschäftlichen Einsatz.

Meta reagiert mit neuen Privatsphäre-Tools auf die Bedürfnisse hybrider Arbeitsmodelle. Seit dieser Woche können Nutzer von WhatsApp Web und Desktop Nachrichten so einstellen, dass sie nach nur einer Stunde oder 12 Stunden automatisch verschwinden. Bislang war ein Tag die kürzeste mögliche Dauer. Die neuen „Short-Timer“ sollen insbesondere Berufstätigen, die zwischen Smartphone und Rechner wechseln, mehr Vertraulichkeit für spontane Absprachen bieten.

Doch schaffen die Funktionen wirklich Rechtssicherheit? Die klare Antwort von Datenschutzexperten lautet: Nein. Die grundlegenden Probleme im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) bleiben ungelöst. „Verschwindende Nachrichten sind eine nette Spielerei, aber sie beheben nicht die Kernprobleme“, warnt ein auf IT-Recht spezialisierter Anwalt aus München.

Fehlende Auftragsverarbeitungsverträge sind eines der größten Risiken beim Einsatz von Consumer-Messengern im Unternehmen. Viele Arbeitgeber wissen nicht, wie ein DSGVO-konformer AVV aussehen muss – und riskieren damit Bußgelder und Haftung. Unser kostenloses E‑Book erklärt Schritt für Schritt die Anforderungen, liefert fertige Vertragsvorlagen und praktische Checklisten zur sicheren Umsetzung. Ideal für Datenschutzbeauftragte und Führungskräfte, die schnell Rechtssicherheit brauchen. Gratis E‑Book: Auftragsverarbeitung jetzt herunterladen

Das Compliance-Dilemma: Technik vs. Recht

Die neuen Timer setzen auf das Prinzip der Datensparsamkeit. Theoretisch hinterlassen sie einen kleineren digitalen Fußabdruck auf den Geräten. Doch genau hier liegt der Trugschluss, der Unternehmen in die Falle locken könnte. Mitarbeiter könnten glauben, mit den selbstzerstörenden Nachrichten seien alle Compliance-Probleme vom Tisch. Ein fataler Irrtum.

Die rechtlichen Stolpersteine sind nach wie vor massiv:
* Metadaten: Selbst wenn der Nachrichteninhalt verschwindet, sammelt Meta weiterhin Metadaten. Wer hat mit wem wann und von wo kommuniziert? Für diese Verarbeitung fehlt im geschäftlichen Kontext oft eine rechtliche Grundlage.
* Datenexport in die USA: Die Übermittlung personenbezogener Daten auf Server in die Vereinigten Staaten bleibt ein Graubereich. Trotz des EU-US-Datenprivatschutzrahmens sehen viele europäische Aufsichtsbehörden die Praxis kritisch.
* Fehlende Verträge: Für die Standardversion von WhatsApp können Unternehmen keinen Auftragsverarbeitungsvertrag (AVV) mit Meta abschließen. Dies ist für eine konforme Datenweitergabe an Dritte jedoch zwingend erforderlich. Die Verarbeitung von Kundendaten auf nicht konformen Servern stellt einen Verstoß dar – und zwar in dem Moment, in dem sie geschieht. Die spätere Löschung ändert daran nichts.

Ein Jahr Telearbeitsgesetz: Die Schatten-IT wächst

Das Update fällt mit einem Jubiläum zusammen: Seit dem 1. Januar 2025 gilt in Österreich das reformierte Telearbeitsgesetz. Es hat die Regeln für mobiles Arbeiten modernisiert und den Druck auf Arbeitgeber erhöht, für Datensicherheit auch im Home-Office oder Co-Working-Space zu sorgen.

Genau hier liegt das Problem. Die Gesetzesverschärfung hat die Nutzung mobiler Tools beschleunigt, aber auch die „Schatten-IT“ vergrößert. Mitarbeiter nutzen private Messenger wie WhatsApp weiterhin für dienstliche Absprachen – oft aus Bequemlichkeit. Die neuen, benutzerfreundlichen Web-Features könnten diesen Trend sogar noch befördern und etablierte Firmenlösungen wie Microsoft Teams oder Slack umgehen.

Fragmentierter Markt: Keine Einigung in Sicht

Die Messaging-Landschaft ist im Umbruch. Der Digital Markets Act (DMA) zwingt große Plattformen zur Interoperabilität. Seit Ende 2025 öffnet WhatsApp langsam seinen „walled garden“ und erlaubt erste Dritt-Anbindungen.

Doch die sicherheitsorientierten Konkurrenten Signal und Threema verweigern die Integration. Sie argumentieren mit inkompatiblen Datenschutzstandards. Für Unternehmen bedeutet diese Zersplitterung ein Dilemma: Setzen sie auf den allgegenwärtigen, aber rechtlich riskanten Messenger? Oder schreiben sie sichere, aber isolierte Alternativen vor, die die Kommunikation mit Kunden erschweren können?

Was Unternehmen jetzt tun sollten

Die Empfehlungen der Datenschutzbeauftragten sind eindeutig. Die Kurz-Timer sind kein „Compliance-Patch“. Unternehmen müssen aktiv werden:

1. Trennung der Kanäle: Private und geschäftliche Kommunikation müssen strikt getrennt werden.
2. Klare Richtlinien: Es braucht verbindliche Regeln, die die Übermittlung von personenbezogenen Kundendaten über Consumer-Messenger verbieten.
3. Kompliente Alternativen anbieten: Wenn Messenger unverzichtbar sind, müssen konforme Lösungen wie Threema Work bereitgestellt werden.
4. Mobilarbeitsverträge prüfen: Die Vereinbarungen müssen die spezifischen Risiken mobiler Apps abdecken, wie es das Telearbeitsgesetz verlangt.

Solange Meta keine vollständig DSGVO-konforme Business-Lösung mit EU-Hosting und transparenter Metadatenverarbeitung anbietet, bleibt WhatsApp im geschäftlichen Umfeld ein erhebliches Haftungsrisiko. Die neuen Timer sind ein Feature – aber keine Lösung.

PS: Wenn Sie organisatorisch sofort handeln wollen, hilft unser Praxis‑E‑Book mit Muster‑AVV, konkreten Umsetzungs‑Tipps und einer Checkliste für sicheres mobiles Arbeiten. So trennen Sie private und dienstliche Kanäle rechtskonform und minimieren Haftungsrisiken. Laden Sie das Paket gratis herunter und setzen Sie die wichtigsten Maßnahmen noch heute um. Jetzt Auftragsverarbeitung‑E‑Book anfordern