WhatsApp in der Steuerkanzlei – erlaubt oder riskant?

Warum WhatsApp in Kanzleien so beliebt ist

Die Beliebtheit von WhatsApp ist nachvollziehbar: Nahezu alle Mandanten haben die App bereits installiert, die Bedienung ist intuitiv, Nachrichten werden sofort zugestellt, und Fotos von Belegen lassen sich mit wenigen Tippen verschicken. Für viele Kanzleien – insbesondere kleinere Einzelpraxen – senkt WhatsApp die Hemmschwelle auf Mandantenseite erheblich. Dokumente, die früher per Post oder Fax übermittelt wurden, landen heute als JPEG-Foto im Chat.

Auch auf Seiten der Kanzlei ist der Reiz verständlich: kein separates Kanzleiportal einzurichten, keine Schulung der Mandanten, keine technischen Hürden. Der Kommunikationskanal, den die Mandanten ohnehin täglich nutzen, wird einfach mitgenutzt.

Das Problem: Kontakte und Metadaten fließen an Dritte

WhatsApp verschlüsselt Nachrichteninhalte Ende-zu-Ende – das ist zunächst positiv. Das eigentliche Problem liegt jedoch nicht im Inhalt, sondern in den Metadaten und dem Zugriffsverhalten der App. Wer WhatsApp installiert, erteilt der Anwendung typischerweise Zugriff auf das gesamte Adressbuch des Smartphones. Sämtliche dort gespeicherten Kontakte – einschließlich Mandantennamen und Telefonnummern – werden an die Server von Meta übermittelt, um festzustellen, welche Kontakte ebenfalls WhatsApp nutzen.

Das bedeutet: Schon durch die bloße Installation von WhatsApp auf dem Kanzlei-Smartphone können personenbezogene Daten Ihrer Mandanten – ohne deren Wissen und ohne eigene aktive Handlung – an einen US-amerikanischen Konzern übertragen werden. Hinzu kommt, dass WhatsApp umfangreiche Metadaten erhebt: wer mit wem kommuniziert, wann, wie häufig und von welchem Gerät aus.

• Adressbuchzugriff: Mandantenkontakte werden an Meta-Server übermittelt, sobald die App synchronisiert.
• Metadaten: Kommunikationsmuster, Zeitstempel und Gerätedaten werden erfasst – unabhängig vom Nachrichteninhalt.
• Cloud-Backups: Auf iOS und Android können WhatsApp-Verläufe in iCloud oder Google Drive gesichert werden – dort sind sie in der Regel nicht Ende-zu-Ende-verschlüsselt.
• Drittlandtransfer: Meta ist ein US-Unternehmen; die Datenübermittlung in die USA unterliegt den Anforderungen des Art. 44 ff. DSGVO.

DSGVO- und Verschwiegenheits-Konflikt

Steuerberater unterliegen einer strengen gesetzlichen Verschwiegenheitspflicht. § 57 Abs. 1 des Steuerberatungsgesetzes (StBerG) verpflichtet zur Verschwiegenheit über alle Tatsachen, die im Rahmen der Berufsausübung anvertraut wurden. Ergänzend stellt § 203 StGB die unbefugte Offenbarung von Geheimnissen durch Angehörige bestimmter Berufsgruppen – darunter auch Steuerberater – unter Strafe.

Wenn Mandantendaten durch den Adressbuchzugriff oder durch Metadaten-Erhebung an Meta gelangen, könnte dies als unbefugte Weitergabe gewertet werden – auch wenn kein konkreter Nachrichteninhalt übermittelt wurde. Hinzu kommt die datenschutzrechtliche Dimension: Nach der DSGVO müssen Verarbeitungsvorgänge auf einer Rechtsgrundlage beruhen (Art. 6 DSGVO), und bei sensiblen Daten – etwa Informationen über finanzielle Verhältnisse – sind die Anforderungen besonders hoch.

Für den Einsatz von WhatsApp in der Kanzlei wäre grundsätzlich eine informierte Einwilligung der Mandanten erforderlich. Diese müsste transparent über den Adressbuchzugriff, die Metadatenerhebung und den Drittlandtransfer aufklären. Praktisch ist das schwer umsetzbar – und eine einmal erteilte Einwilligung kann jederzeit widerrufen werden, was die Rechtssicherheit weiter einschränkt. Darüber hinaus ist fraglich, ob WhatsApp Business allein ausreicht, um die berufsrechtlichen Anforderungen zu erfüllen.

Zur Klarheit sei jedoch auch gesagt: Viele Kanzleien setzen WhatsApp trotz dieser Risiken ein – oft aus pragmatischen Gründen und weil Mandanten es wünschen. Eine pauschale strafrechtliche oder datenschutzrechtliche Verurteilung wäre überzogen. Gleichwohl sollte jede Kanzlei die Risiken kennen und bewusst abwägen, bevor sie WhatsApp als Regelkanal etabliert.

Sichere Alternative ohne App-Zwang

Der entscheidende Nachteil vieler datenschutzkonformer Kanzleilösungen ist die Hürde für Mandanten: Ein Konto anlegen, eine App herunterladen, ein Portal erlernen – das schreckt viele ab. Dabei muss Sicherheit nicht zwangsläufig mit Komplexität verbunden sein.

Browser-basierte Peer-to-Peer-Kommunikation bietet hier einen anderen Ansatz: Statt Nachrichten über zentrale Server zu leiten, wird eine direkte, verschlüsselte Verbindung zwischen den Geräten aufgebaut. Der Schlüssel zur Sitzung lebt ausschließlich im Gerätearbeitspeicher beziehungsweise im URL-Fragment des geteilten Links – er wird nie an einen Server übertragen. Es entstehen weder Gesprächsprotokolle noch Kontaktlisten auf zentralen Servern.

Für den Mandanten bedeutet das: Er erhält einen Link, öffnet ihn im Browser und befindet sich bereits in der verschlüsselten Kommunikation – ohne App-Download, ohne Kontoregistrierung. Die Verbindung ist Ende-zu-Ende-verschlüsselt, und nach dem Schließen des Browserfensters verbleiben keine Gesprächsdaten auf fremden Servern. Auch Dateien werden direkt von Gerät zu Gerät übertragen, ohne zwischengespeichert zu werden.

Signalisierungsserver – die für den Verbindungsaufbau kurzzeitig benötigt werden – können in Deutschland betrieben werden, was den Drittlandtransfer vermeidet. Optional lässt sich ein TURN-Relay einsetzen, das zudem die IP-Adressen beider Seiten verschleiert. Das ist ein strukturell anderer Ansatz als WhatsApp: Nicht der Dienstanbieter verwaltet Kommunikation und Kontakte, sondern die Verbindung gehört ausschließlich den beteiligten Parteien.