Kapitel 1 — Was WhatsApp sammelt

Verschlüsselt — aber nicht unsichtbar

WhatsApp nutzt das Signal-ProtokollSignal-ProtokollKryptographisches Protokoll für Ende-zu-Ende-Verschlüsselung, entwickelt von Open Whisper Systems. Gilt als goldener Standard. Wird auch von Signal, iMessage und Threema genutzt. Quelloffen und von Experten geprüft. für Ende-zu-Ende-Verschlüsselung. Das bedeutet: Nachrichten können selbst von WhatsApp und Meta nicht gelesen werden — das nennt sich Ende-zu-Ende-VerschlüsselungEnde-zu-Ende-Verschlüsselung (E2EE)Verschlüsselung, bei der nur Sender und Empfänger die Nachrichten entschlüsseln können. Der Anbieter selbst hat keinen Zugriff. Schützt den Inhalt — aber nicht Metadaten wie Zeitpunkt, Häufigkeit oder Kommunikationspartner.. Das ist real — und wichtig. Es ist aber nur ein Teil der Geschichte.

Was WhatsApp nämlich trotzdem sammelt und an Meta weiterleitet, steht in der eigenen Datenschutzrichtlinie (Stand März 2025):

Die Kontaktlisten-Falle

Besonders folgenreich: Beim Einrichten der App überträgt WhatsApp das gesamte AdressbuchAdressbuch-UploadWhatsApp lädt beim Einrichten alle Telefonnummern aus dem Kontaktspeicher hoch — auch von Personen, die WhatsApp nie installiert haben und der Übertragung nie zugestimmt haben. Datenschutzrechtlich umstritten, in mehreren Verfahren als rechtswidrig eingestuft.. Das betrifft auch Personen, die WhatsApp nie installiert haben und der Datenverarbeitung nie zugestimmt haben. Die Landesdatenschutzbeauftragte NRW stellte 2025 fest:

„Diese Daten werden auch dann verarbeitet, wenn die gespeicherten Kontakte selbst keine Nutzer der App sind. Eine datenschutzkonforme Rechtsgrundlage für diese Praxis existiert nicht."

Landesdatenschutzbeauftragte NRW, 2025 [20]
Kapitel 2 — Die gebrochenen Versprechen

19 Milliarden Dollar und ein Handschlag ↑ nach oben

Als Facebook WhatsApp im Februar 2014 für 19 Milliarden Dollar kaufte, gab WhatsApp-Mitgründer Jan Koum eine öffentliche Zusicherung ab: „Respekt für deine Privatsphäre ist in unsere DNA kodiert." Zuckerberg versprach: WhatsApp werde unabhängig bleiben.

2016
Erste Datenweitergabe: Telefonnummern werden mit Facebook geteilt. EU-Kartellbehörden werfen Meta vor, bei der Übernahme 2014 falsche Angaben gemacht zu haben.
2017
EU-Kommission verhängt 110 Millionen Euro Strafe gegen Meta für irreführende Angaben über geplante Datenzusammenführung bei der Übernahme.
Jan. 2021
Neue Datenschutzrichtlinie — kein Opt-out. Nutzer müssen zustimmen oder die App verlieren. Reaktion: Signal und Telegram verzeichnen innerhalb eines Monats je über 20 Millionen Neuinstallationen.
Dez. 2025
Meta AI in WhatsApp — aktive Gespräche mit dem KI-Assistenten fließen in personalisierte Werbung (außerhalb EU/UK).
Kapitel 3 — Das FBI-Dokument

Echtzeit-Metadaten alle 15 Minuten ↑ nach oben

Am 7. Januar 2021 erstellte das FBI ein internes Dokument namens „Lawful Access" — eine Übersicht, welche Daten neun populäre Messenger an Strafverfolgungsbehörden herausgeben können. Das Dokument wurde durch einen Freedom-of-Information-AntragFreedom of Information Act (FOIA)US-Bundesgesetz von 1966. Gibt Bürgern und Journalisten das Recht, Regierungsdokumente anzufordern. Grundlage für viele investigative Enthüllungen — darunter das FBI-Dokument zu WhatsApp-Datenweitergaben. öffentlich und von Rolling Stone im November 2021 veröffentlicht.[9]

WhatsApp ist der einzige der neun untersuchten Dienste, der Metadaten nahezu in Echtzeit liefert. Nach einer sogenannten „Pen Register"-AnfragePen RegisterUS-Rechtsbegriff für einen Überwachungsbefehl, der Absender und Empfänger von Kommunikation erfasst — aber nicht den Inhalt. Niedrigere rechtliche Hürde als ein Durchsuchungsbefehl. Ermöglicht Echtzeit-Metadaten-Überwachung. — einem Abhörantrag, der Absender und Empfänger erfasst — liefert WhatsApp entsprechende Metadaten in Intervallen von 15 Minuten.[9]

Das FBI-Dokument hält dazu fest: „Die Rückgabedaten der anderen aufgeführten Dienste sind tatsächlich Protokolle latenter Daten, die Strafverfolgungsbehörden nicht in Echtzeit bereitgestellt werden."

WhatsApp bestätigte diese Praxis gegenüber Rolling Stone — und formulierte es dabei als Stärke: Sie zeige, „dass Strafverfolgungsbehörden die Ende-zu-Ende-Verschlüsselung nicht brechen müssen, um Verbrechen erfolgreich zu ermitteln." Die Verschlüsselung ist also intakt — und gleichzeitig nutzlos, wenn die Metadaten schon alles verraten.

Was Behörden bekommen — mit und ohne Richter

Ohne Durchsuchungsbefehl liefert WhatsApp: Abonnentendaten (Name, Telefonnummer, E-Mail, IP-Adresse), Registrierungszeitpunkt, Absender- und Empfängerdaten, Kontaktliste des Ziels sowie Datum und Uhrzeit jeder Kommunikation — und auf Pen-Register-Anfrage: Echtzeit-Metadaten alle 15 Minuten.

Mit DurchsuchungsbefehlDurchsuchungsbefehl (Search Warrant)Gerichtlich angeordnete Genehmigung zur Datenbeschlagnahme. Höhere rechtliche Hürde als ein Pen Register. In den USA durch den 4. Verfassungszusatz geregelt. Ermöglicht Zugriff auf gespeicherte Nachrichteninhalte. kommen zusätzlich: Backups von WhatsApp-Nachrichten — soweit diese nicht verschlüsselt in der Cloud gespeichert sind — was bei iCloud und Google DriveCloud-Backup-VerschlüsselungWhatsApp-Backups in iCloud oder Google Drive sind standardmäßig NICHT Ende-zu-Ende-verschlüsselt. Apple und Google können sie im Auftrag von Behörden herausgeben. Seit 2021 kann man in WhatsApp-Einstellungen E2E-verschlüsselte Backups aktivieren — ist aber opt-in. der Standardfall ist, wenn Nutzer die Ende-zu-Ende-Verschlüsselung für Backups nicht manuell aktiviert haben.

WhatsApp vs. Signal: Der direkte Vergleich

Merkmal WhatsApp Signal
Nachrichteninhalt Verschlüsselt, nicht lesbar Verschlüsselt, nicht lesbar
Metadaten an Behörden Umfangreich, 15-Min.-Echtzeit Nur Registrierungsdatum + letzte Nutzung
Kontaktliste An Meta weitergeleitet Nicht gespeichert
Backup-Verschlüsselung Optional, manuell aktivieren Standardmäßig aktiviert
Werbeprofilierung Ja, über Meta Keine (Non-Profit)
Kapitel 4 — Ein konkreter Fall

Natalie Edwards: Verurteilt durch Metadaten ↑ nach oben

Das Investigativmedium ProPublica dokumentierte 2021 einen konkreten Fall, der zeigt, was Metadaten in der Praxis bedeuten.

Natalie Edwards, leitende Beraterin beim US-Finanzministerium, leitete vertrauliche Bankberichte an BuzzFeed News weiter. Das FBI überwachte ihre WhatsApp-Verbindungen per Pen Register. Das Protokoll verzeichnete: Am 1. August 2018 „tauschte das Gerät von Edwards innerhalb von etwa sechs Stunden nach Aktivierung des Pen Registers etwa 70 Nachrichten über die verschlüsselte Anwendung aus" — in einem 20-minütigen Zeitfenster nachts.

Die Behörden mussten keine einzige Nachricht lesen. Die Metadaten — wer, wann, wie oft — reichten für eine Verurteilung. Edwards wurde zu sechs Monaten Gefängnis verurteilt.[8]
Kapitel 5 — Was Metadaten verraten

„Wir töten Menschen auf Basis von Metadaten" ↑ nach oben

Metadaten wirken harmlos. Sie sind es nicht. Wer wann mit wem wie oft wie lange kommuniziert — das erlaubt weitreichende Rückschlüsse:

🏥
Gesundheit
Häufige Kontakte zu Arztpraxen, Krankenhäusern oder Selbsthilfegruppen
🗳️
Politische Überzeugungen
Kontakt zu Parteistrukturen, Aktivistennetzwerken, Journalisten
🕌
Religiöse Praxis
Kommunikationsspitzen zu Gebetszeiten, Kontakt zu religiösen Institutionen
💸
Finanzlage
Kontakt zu Schuldnerberatung, Gerichtsvollzieher, Pfandleihe
❤️
Beziehungsstatus
Kommunikationsmuster, Häufigkeit, Tageszeiten
🏢
Berufliche Netzwerke
Kontakt zu Konkurrenten, Gewerkschaften, Whistleblower-Organisationen

Der frühere NSA-Direktor Michael Hayden sagte 2014 öffentlich: „Wir töten Menschen auf Basis von Metadaten."[16]

Kapitel 6 — Pegasus

Die Spyware, die WhatsApp als Einfallstor nutzte ↑ nach oben

Im Mai 2019 entdeckten WhatsApp-Ingenieure eine aktive Angriffskampagne. Der israelische Spyware-Hersteller NSO Group hatte eine SicherheitslückeZero-Click-ExploitAngriff, der keinerlei Interaktion des Opfers erfordert — kein Klick, kein Öffnen einer Datei. Das Gerät wird allein durch den Empfang eines präparierten Anrufs oder Pakets kompromittiert. Gilt als gefährlichste Angriffskategorie. in WhatsApps Audio-Anruf-Funktion ausgenutzt, um die Überwachungssoftware PegasusPegasus-SpywareStaatstrojaner der israelischen NSO Group. Kann nach Installation alle Daten eines Smartphones abgreifen: Nachrichten, Fotos, Mikrofon, Kamera, Standort — auch aus verschlüsselten Apps. Wird an Regierungen verkauft, wurde vielfach gegen Journalisten und Aktivisten eingesetzt. auf Zielgeräten zu installieren — ohne jede Interaktion des Opfers nötig. Das Gerät musste nur den Anruf empfangen.

1.400 Geräte in 51 Ländern wurden kompromittiert — darunter 456 in Mexiko, 100 in Indien, 82 in Bahrain. Zu den Betroffenen zählten Journalisten, Menschenrechtsaktivisten, Diplomaten und Regierungsbeamte.

WhatsApp verklagte NSO Group im Oktober 2019. Das Verfahren brachte entscheidende Erkenntnisse:

⚠️

Was dieser Fall zeigt: Auch verschlüsselte Kommunikation schützt nicht vor staatlich beauftragter SchadsoftwareStaatstrojanerVon Behörden eingesetzte Malware zur Überwachung von Verdächtigen. In Deutschland durch §100b StPO geregelt (Online-Durchsuchung). Setzt direkt auf dem Zielgerät an — vor der Verschlüsselung. Umgeht damit jede Transportverschlüsselung., die direkt auf dem Endgerät ansetzt — bevor Inhalte verschlüsselt werden. Die Verschlüsselung in der Übertragung hilft nichts, wenn das Gerät selbst kompromittiert ist.

Kapitel 7 — DSGVO-Strafen

Über 230 Millionen Euro — und ein Verfahren, das elf Jahre dauerte ↑ nach oben

Datum Behörde Betrag Grund
Sept. 2021 DPC Irland 225 Mio. € Mangelnde Transparenz: Nutzer nicht ausreichend informiert. Zunächst 30–50 Mio. geplant, auf Druck des EDPB erhöht.
Jan. 2023 DPC Irland 5,5 Mio. € Keine ausreichende Rechtsgrundlage für Datenverarbeitung zu Serviceverbesserungen
Nov. 2024 CCI Indien ~25 Mio. € Marktmachtmissbrauch durch „Take-it-or-leave-it"-Richtlinie 2021

Das Ausgangsverfahren, das zur 225-Millionen-Euro-Strafe führte, begann mit einer Beschwerde am 25. Mai 2018 — dem ersten Tag der DSGVODSGVO (Datenschutz-Grundverordnung)EU-Datenschutzgesetz, seit 25. Mai 2018 in Kraft. Gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten — unabhängig vom Firmensitz. Bußgelder bis 4 % des weltweiten Jahresumsatzes oder 20 Mio. €.-Geltung. Der österreichische Oberste Gerichtshof bestätigte einen ähnlichen Fall von Max Schrems im Dezember 2025 rechtskräftig — nach elf Jahren Verfahren.[3]

ℹ️

Die irische DPC ist als Hauptaufsichtsbehörde für WhatsApp in der EU zuständig — ein Umstand, der von deutschen und europäischen Datenschützern wiederholt kritisiert wird. Der Bundesdatenschutzbeauftragte (BfDI)BfDIUnabhängige Bundesbehörde, zuständig für den Datenschutz bei Bundesbehörden und privatem Sektor mit Bundesbezug. Kann Empfehlungen aussprechen und Verfahren einleiten. Kooperiert mit der DPC als zuständiger EU-Behörde für Meta/WhatsApp. forderte im Januar 2024 öffentlich, dass die DPC „die offenen Fragen des Verfahrens endlich abschließend klärt."[5]

Kapitel 8 — Deutschland

Für Behörden verboten — aber trotzdem genutzt ↑ nach oben

Bereits 2020 schickte der damalige Bundesdatenschutzbeauftragte Ulrich Kelber ein Rundschreiben an alle oberen Bundesbehörden und Bundesministerien:

„Der Einsatz von WhatsApp für eine Behörde ist ausgeschlossen."

Bundesdatenschutzbeauftragter Ulrich Kelber, 2020 [21]

Begründung: Allein durch das Versenden von Nachrichten werden Metadaten an WhatsApp übermittelt, die dann an Meta weitergehen und zur Profilbildung beitragen. Auch eine Einzelperson als Behördenmitarbeiterin darf WhatsApp nicht dienstlich nutzen, wenn dabei Metadaten von Dritten — also Bürgern — anfallen. Der BfDI bestätigte 2024: „An dieser Einschätzung hat sich nichts geändert." (Kelbers Amtszeit endete Januar 2024; seit September 2024 ist Prof. Dr. Louisa Specht-Riemenschneider Bundesdatenschutzbeauftragte.)

Trotzdem passiert es. netzpolitik.org befragte 2021 das BKA und alle 16 Landeskriminalämter zu WhatsApp-Metadaten-Anfragen. Keine einzige Behörde nannte konkrete Zahlen. Die sächsische Behörde erläuterte offen die gängige Praxis:

„Da [der formale Weg über RechtshilfeabkommenRechtshilfeabkommen (MLAT)Mutual Legal Assistance Treaty — zwischenstaatliche Verträge zur Zusammenarbeit bei Strafverfolgung. Ermöglichen deutschen Behörden, Daten von US-Anbietern formal anzufordern. Gilt als langsam und aufwändig — weshalb viele Behörden auf freiwillige Zusammenarbeit setzen.] sehr ressourcenintensiv und zeitaufwändig ist, bieten zahlreiche Anbieter eine freiwillige Zusammenarbeit mit den Polizeibehörden an."

Sächsisches Landeskriminalamt, gegenüber netzpolitik.org, 2021 [10]

WhatsApp betreibt für solche Anfragen eigens ein Online-Anforderungsportal.

Kapitel 9 — Indien

25 Millionen Euro Strafe und ein empörtes Oberstes Gericht ↑ nach oben

Im Januar 2021 erzwang WhatsApp eine neue Datenschutzrichtlinie: Zustimmen oder die App verlieren. Das indische Wettbewerbsamt CCICompetition Commission of India (CCI)Indische Wettbewerbsbehörde, gegründet 2003. Untersucht Marktmachtmissbräuche und Kartellverstöße. Im WhatsApp-Fall: Bußgeld von ~25 Mio. € wegen Missbrauchs der Marktdominanz durch Pflicht-Datenschutzrichtlinie 2021. eröffnete von Amts wegen ein Verfahren. Nach dreieinhalbjähriger Untersuchung kam es im November 2024 zum Urteil: rund 25 Millionen Euro Strafe. WhatsApp hatte durch die Pflichtrichtlinie seine Marktdominanz missbraucht — Nutzer hatten „keine echte Wahl".[7]

Im November 2025 hob das Berufungsgericht (NCLAT) das fünfjährige Werbedatenverbot auf, bestätigte aber Strafe und Transparenzauflagen. Die CCI selbst hat gegen die Aufhebung des Werbeverbots Berufung beim Obersten Gericht eingelegt — das Verfahren ist noch nicht endgültig abgeschlossen.

Meta focht das Urteil vor dem Obersten Gerichtshof Indiens an. Der reagierte am 3. Februar 2026 ungewöhnlich scharf und erklärte, er werde nicht erlauben, dass WhatsApp oder Meta mit dem Recht auf Privatsphäre der Inderinnen und Inder „spielen" oder die Verfassung „lächerlich machen". Am 24. Februar 2026 erklärte WhatsApp, es werde die CCI-Auflagen bis zum 16. März 2026 umsetzen.[14]

Update Dezember 2025 / Anfang 2026

WhatsApp führt Werbung im Status-Tab ein: Ab Dezember 2025 erscheinen Anzeigen zwischen Status-Updates und in der Channels-Sektion — zum ersten Mal direkt in WhatsApp. Grundlage für die Aussteuerung: Standort, Sprache, abonnierte Kanäle und Werbeinteraktionen. Die Ende-zu-Ende-Verschlüsselung der Nachrichten bleibt unberührt — aber WhatsApp ist damit kein werbefreier Dienst mehr.

EU-Kartellverfahren wegen KI-Exklusivität: Im Dezember 2025 eröffnete die EU-Kommission ein Kartellverfahren gegen Meta, weil WhatsApp im Oktober 2025 Drittanbieter-KI-Assistenten aus der Business API ausgesperrt hatte. Im Februar 2026 verschickte die Kommission eine Mitteilung der Beschwerdepunkte und drohte mit einstweiligen Maßnahmen. Mögliche Strafe: bis zu 10 % des weltweiten Jahresumsatzes.

Fazit

Verschlüsselung ist der Anfang — nicht das Ende ↑ nach oben

WhatsApp schützt den Inhalt deiner Nachrichten. Das ist real und wichtig. Aber Verschlüsselung ist kein Datenschutz — sie ist ein Teil davon.

Was nicht geschützt ist: wer du bist, wer deine Kontakte sind, wann du schreibst, wo du bist, mit wem du wie oft kommunizierst. Diese Metadaten werden an Meta weitergegeben, an Behörden geliefert und für Werbeprofile genutzt — entgegen aller Versprechen, die 2014 bei der Übernahme gemacht wurden.

Der frühere NSA-Direktor Michael Hayden sagte 2014, was Metadaten wert sind. Der Fall Natalie Edwards zeigt, wie das in der Praxis aussieht. Und das FBI-Dokument beweist: Keine Strafverfolgungsbehörde muss WhatsApp-Nachrichten lesen, um zu wissen, was du tust.
22 Quellen
  1. WhatsApp Datenschutzrichtlinie EWR (20. März 2025): whatsapp.com/legal/privacy-policy-eea
  2. WhatsApp FAQ — Information We Share With Meta: faq.whatsapp.com
  3. Data Protection Commission Irland — Entscheidung WhatsApp, September 2021: dataprotection.ie
  4. Data Protection Commission Irland — Entscheidung WhatsApp, Januar 2023: dataprotection.ie
  5. Bundesdatenschutzbeauftragter (BfDI) — Kurzmeldung WhatsApp-Verfahren, Januar 2024: bfdi.bund.de
  6. FBI-Dokument „Lawful Access" (7. Januar 2021), veröffentlicht durch Property of the People: propertyofthepeople.org
  7. Competition Commission of India (CCI) — Entscheidung gegen Meta/WhatsApp, November 2024
  8. ProPublica — „How Facebook Undermines Privacy Protections for Its 2 Billion WhatsApp Users" (September 2021): propublica.org
  9. Rolling Stone — „FBI Can Pump WhatsApp Data In Real-Time" (November 2021): rollingstone.com
  10. netzpolitik.org — „Metadaten: Kriminalämter schweigen zu Abfragen bei WhatsApp" (September 2021): netzpolitik.org
  11. The Hacker News — „NSO Group Fined $168M for Targeting 1,400 WhatsApp Users With Pegasus Spyware" (Mai 2025): thehackernews.com
  12. The Record — „1,400 Pegasus spyware infections detailed in WhatsApp's lawsuit filings" (November 2024): therecord.media
  13. Business and Human Rights Resource Centre — NSO Group lawsuit (chronologisch): business-humanrights.org
  14. Storyboard18 — „WhatsApp tells SC it will comply with CCI's data sharing safeguards by March 16" (Februar 2026): storyboard18.com
  15. MediaNama — „WhatsApp's 2021 Policy Update And The Legal Battles — A Timeline" (Dezember 2025): medianama.com
  16. Freedom of the Press Foundation — „Metadata 102: What is communications metadata and why do we care about it?": freedom.press
  17. ACM CHI 2022 — „Caught in the Network: The Impact of WhatsApp's 2021 Privacy Policy Update" (peer-reviewed): dl.acm.org
  18. Mozilla Foundation — WhatsApp Privacy Review 2025: foundation.mozilla.org
  19. TechRadar — „WhatsApp encryption isn't the problem, metadata is" (Juni 2024): techradar.com
  20. DataAgenda — „WhatsApp im Polizeidienst: Datenschutzbeauftragte kritisiert Nutzung" (April 2025): dataagenda.de
  21. Staatsanzeiger BW — „Dürfen Behörden WhatsApp benutzen?" (März 2024): staatsanzeiger.de
  22. The Federal (Indien) — „When yes isn't really a choice: WhatsApp privacy battle" (Februar 2026): thefederal.com