Baustellen-Fotos in WhatsApp: Warum das ein DSGVO-Problem ist, und wie eine saubere Doku aussieht

Wenn wir in einem Erstgespräch fragen, wie die Foto-Dokumentation auf der Baustelle heute läuft, ist die Antwort fast immer dieselbe: „Die Jungs schicken Bilder über WhatsApp." Manchmal in einer Gruppe, manchmal direkt an den Bauleiter, manchmal an die Buchhaltung. Wenn ein Streitfall kommt, klickt sich jemand mühsam durch Chat-Verläufe und sucht das Bild, das beweist, dass die Wand am 14. März tatsächlich noch nicht geöffnet war.

Das funktioniert, bis es nicht mehr funktioniert. Und es funktioniert datenschutzrechtlich ohnehin nicht.

Warum WhatsApp auf der Baustelle attraktiv ist

Bevor wir auf die Probleme eingehen, ist es ehrlicher, kurz festzuhalten, warum dieses Setup so verbreitet ist:

• Jeder hat es. Eine eigene App muss niemand installieren, niemand einrichten, niemand erklären.
• Es ist schnell. Drei Klicks vom Sehen zum Senden.
• Es funktioniert auch bei schlechter Verbindung. Die App optimiert die Bilder für mobile Netze, der Versand klappt auch mit zwei Strichen.
• Es ist sozial niederschwellig. Niemand fragt sich, ob ein Bild „doku-würdig" ist. Es wird einfach geteilt.

Das alles ist real und legitim. Es ist gleichzeitig der Grund, warum WhatsApp als Doku-Werkzeug schwer abzulösen ist: Jede Alternative muss diese vier Punkte mindestens halten, um im Alltag zu überleben.

Drei DSGVO-Probleme, die im Schadensfall sichtbar werden

Es gibt drei Stellen, an denen WhatsApp-Doku rechtlich heikel wird, und sie alle werden erst dann zum Problem, wenn etwas passiert:

1. Verarbeitung über private Konten

Wenn ein Monteur Fotos über sein privates WhatsApp-Konto verschickt, verarbeitet er personenbezogene Daten (etwa: Kunden-Adressen, sichtbare Personen, KFZ-Kennzeichen, Schadens-Situationen) auf einem Kanal, der dem Arbeitgeber nicht gehört, nicht weisungsgebunden ist und keinem dokumentierten Auftragsverarbeitungs-Vertrag unterliegt.

Das ist im Zweifel ein Verstoß gegen Artikel 32 DSGVO (Sicherheit der Verarbeitung) und Artikel 28 (Auftragsverarbeitung). Der Betrieb haftet, nicht der Mitarbeiter.

2. Datenfluss in Drittländer ohne klare Rechtsgrundlage

WhatsApp-Inhalte werden über Server der Meta Platforms Inc. abgewickelt. Auch wenn die Ende-zu-Ende-Verschlüsselung greift, werden Metadaten (wer hat wem wann was geschickt) verarbeitet und gespeichert. Die rechtliche Bewertung dieser Datenflüsse hat sich seit Schrems II und dem EU-US Data Privacy Framework mehrfach verändert. Verlässlich ist nur eins: Eine dokumentierte Rechtsgrundlage hat ein durchschnittlicher Mittelständler dafür in der Regel nicht.

3. Fehlende Löschkonzepte

Die DSGVO verlangt, dass personenbezogene Daten gelöscht werden, sobald der Zweck der Verarbeitung erreicht ist (Artikel 5 Abs. 1 lit. e). In einem WhatsApp-Chatverlauf ist das faktisch nicht umsetzbar. Wenn der Kunde nach drei Jahren ein Auskunftsersuchen stellt, müssten Sie alle Bilder über alle Geräte aller Mitarbeiter finden — und entweder herausgeben oder begründen, warum sie noch da sind.

Diese drei Punkte sind nicht theoretisch. Aufsichtsbehörden in mehreren Bundesländern haben in den letzten Jahren wiederholt klargestellt, dass die dienstliche Nutzung von WhatsApp ohne entsprechendes Setup nicht DSGVO-konform ist.

Was eine saubere Foto-Doku leisten muss

In der Praxis haben wir aus Projekten mit Handwerks- und Bau-Betrieben gelernt, dass eine ernsthafte Foto-Doku-Lösung fünf Anforderungen erfüllen muss:

• Geräte-übergreifend. Vom Smart-Phone des Monteurs bis zum Browser im Büro. Wer ein Modell baut, das nur auf einem Firmen-Handy funktioniert, scheitert spätestens beim ersten Subunternehmer.
• Offline-fähig. Im Keller, im Heizungs-Raum, im Funkschatten der Baustelle ist die Verbindung weg. Wer dann nicht erfassen kann, fällt zurück auf das eigene WhatsApp.
• Eindeutig zuordbar. Jedes Bild gehört zu einem Auftrag, einer Position, einem Datum. Wer Bilder zentral ablegt, aber Zuordnung dem Zufall überlässt, hat dasselbe Problem wie vorher, nur an einer anderen Stelle.
• Auffindbar. Such-Funktion über Kunde, Auftrag, Datum, Tag, freie Kommentare. Eine Foto-Doku ohne Suche ist ein Foto-Friedhof.
• Konform exportierbar. Wenn der Kunde Bilder zur Abnahme braucht, müssen sie sauber, beschriftet und vollständig in einen Bericht überführt werden können. Wer aus 200 Bildern manuell ein PDF bastelt, gibt den Zeitgewinn der App komplett wieder ab.

Drei dieser Anforderungen — Offline, eindeutige Zuordnung, saubere Exporte — sind genau die Punkte, an denen viele Standard-Apps stillschweigend scheitern. Sie sind zugleich der Hebel, an dem sich der Aufwand für eine zugeschnittene Eigenentwicklung amortisiert.

Drei Wege weg von WhatsApp

Aus der Beratung sehen wir drei Wege, die in der Praxis funktionieren, mit unterschiedlichem Aufwand und unterschiedlichem Reifegrad:

Pfad A: Bestehende Standard-App einführen

Es gibt brauchbare Standard-Lösungen für Baustellen-Doku (Craftboxx, CENDAS, BauMaster, KEVOX, plan.one). Der Vorteil: Sie sind schnell verfügbar, der DSGVO-Rahmen ist beim Anbieter geklärt. Der Nachteil: Sie sind häufig nicht offline-fähig oder nur eingeschränkt, sie folgen einer fixen Prozess-Logik, und sie kosten pro Nutzer und Monat. Bei 30 Mitarbeitern wird das schnell teuer.

Sinnvoll vor allem dann, wenn die Doku als eigenständiger Prozess läuft und nicht eng mit Auftragsverwaltung, ERP oder Abrechnung verflochten ist.

Pfad B: Standard-App mit Custom-Anbindung

Wenn die Standard-App grundsätzlich passt, aber die Verbindung zur eigenen Auftragsverwaltung oder zum Lohnbüro fehlt, lohnt sich ein schlanker, individueller Connector. Das ist genau der Anwendungsfall, den wir unter Prozess-Automatisierung bearbeiten: API-Anbindung, automatische Übertragung in Bauakten, Trigger für Abrechnung. Die App bleibt Standard, die Integration wird Eigenbau.

Pfad C: Foto-Modul in einer eigenen Web-App

Wenn die Foto-Doku Teil einer größeren Auftragsverwaltung sein soll — also etwa direkt im Auftragsdetail, neben Stunden, Material, Status — ist eine eigene Web-App häufig die nachhaltigere Lösung. Sie haben dann eine Oberfläche für die Baustelle, in der alles passiert, und keine Insellösung neben drei anderen. Wir haben das in den letzten Monaten bei mehreren Betrieben so gebaut, jeweils als Erweiterung einer bestehenden Custom Web-App oder als Modul einer Auftragsverwaltung, die zuvor eine Excel war (Auftragsverwaltung in der Schreinerei).

Welcher Pfad zu welchem Betrieb passt, hängt vor allem davon ab, wie eng die Foto-Doku mit dem übrigen Workflow verzahnt ist. Bei einer reinen Schaden-Doku reicht Pfad A. Wenn die Bilder die Abnahme stützen sollen und in der Abrechnung gebraucht werden, ist Pfad B oder C realistischer.

Der organisatorische Teil, der oft unterschätzt wird

Eine technische Lösung allein löst das WhatsApp-Problem nicht. Drei organisatorische Punkte gehen damit einher:

• Klare interne Regel. „Ab dem 1. des nächsten Monats wird Foto-Doku ausschließlich in der App XY erfasst. WhatsApp-Bilder werden nicht mehr in Bauakten übernommen." Ohne diese Regel laufen beide Kanäle parallel, und die App wird zur lästigen Zweitanwendung.
• Eine Person, die die Spielregeln durchsetzt. Bauleitung oder Geschäftsführung. Wer hier weich bleibt, verliert binnen Wochen die Disziplin.
• Eine Erklärung an die Kunden. Wenn der Kunde gewohnt war, per WhatsApp Bilder zu bekommen, muss er wissen, wie die neue Kommunikation aussieht. Sonst entsteht das Gefühl, der Betrieb sei „distanzierter geworden".

Wir sehen regelmäßig, dass technisch saubere Lösungen scheitern, weil dieser organisatorische Teil fehlt. Wir sehen aber auch, dass Betriebe, die diesen Schritt konsequent gehen, im Rückblick sagen, sie hätten ihn früher gemacht.

Was wir Betrieben mit Baustellen-Tätigkeit raten

Drei Sätze, die wir in fast jedem Erstgespräch zu diesem Thema sagen:

• WhatsApp ist keine Doku. Es ist Kommunikation, in der Bilder zufällig auch vorkommen. Eine Doku ist etwas anderes: zuordbar, suchbar, archivierbar. Wer beide Funktionen in einer App lässt, verliert beides.
• Beginnen Sie mit einer Baustelle, nicht mit allen. Suchen Sie sich eine laufende Baustelle aus und führen Sie dort die neue Lösung ein. Die Erkenntnisse aus dieser Pilotphase sind mehr wert als jede Bedarfsanalyse vorher.
• Lassen Sie sich nicht über DSGVO einschüchtern, aber auch nicht beruhigen. Der Datenschutz-Aspekt ist real. Er ist aber kein Grund, ein Mammut-Projekt aufzusetzen. Eine schlanke, konforme Lösung ist meistens näher als gedacht.

Wenn Sie gerade prüfen, wie eine saubere Foto-Doku in Ihrem Betrieb aussehen könnte: Schreiben Sie uns kurz. Wir schauen mit Ihnen ehrlich auf das, was Sie heute haben, und sagen, ob eine Standard-Lösung reicht oder ob es Zeit ist, das Thema in den eigenen Workflow zu integrieren.