Research-Run: 360dialog als WhatsApp BSP
Frage
Geht das Setup eines neuen WhatsApp-Business-Accounts (WABA + Phone-Number + Permissions + App Review) end-to-end API-driven ohne Meta-UI-Krampf, und ist 360dialog dafuer der richtige BSP fuer Agentic Ventures?
Antwort
Ja, 360dialog erfuellt das. Drei Kernfunktionen relevant:
- Integrated Onboarding (Partner-Feature) — Partner kann Onboarding-Flow auf eigener Domain hosten. Kunde durchlaeuft Browser-Flow:
- 360dialog-Signup (Email + Name, beides via Partner-API vorbelegbar)
- Meta Embedded Signup (Kunde logged sich mit Meta-Account ein, erstellt WABA + Phone-Number, akzeptiert Permissions)
- Permission-Screen (gibt Partner Verwaltungsrechte)
- Webhook informiert Partner ueber Status
- Partner API — programmatisch WABAs + Channels managen, Templates submitten, Webhook-Konfiguration, Phone-Number-Operations.
- Cloud API-Pass-Through — sobald Channel live, redet man via
https://waba-v2.360dialog.io/messagesmit (Payload-Shape identisch zu Meta Cloud API, nur Base-URL + Auth-HeaderD360-API-KEYstattAuthorization: Bearer).
Was entfaellt vs. Direct-Meta:
- Meta App im developers.facebook.com bauen
- App Review fuer
whatsapp_business_management+whatsapp_business_messaging(typisch 1-3 Wochen Vorlauf) - Tech-Provider-Status bei Meta beantragen
- Eigenes Webhook-Hosting mit Meta-Verification-Challenge (360dialog reicht Inbounds an unsere URL durch)
Pricing (Stand 2026-05, ohne Steuer)
Partner-Modell
| Posten | Kosten |
|---|---|
| Partner-Plan Growth (≤20 Clients, Core-Support) | €500/Monat |
| Partner-Plan Premium (Enterprise-Support, Meta-Eskalations-Lane) | €1.000/Monat |
| Channel-Lizenz Regular (pro WABA pro Monat) | €25 |
| Channel-Lizenz Premium (schnellere SLA, Pre-Verify, Credit-Line) | €49 |
| Channel-Lizenz Higher Throughput (1000 msg/s statt 80) | €249 |
| Meta-Conversation-Gebuehren | 1:1 Pass-Through Metas Rate-Card, kein BSP-Markup |
| Setup-Fees | keine |
| Pro-rata Abrechnung bei Mid-Month-Activation | ja |
Break-Even Partner-Plan vs Direct-Client: Direct-Client kostet €49/Channel ohne Partner-Plan. Partner-Plan (€500 + €25/Channel) lohnt ab ~20 Channels mathematisch — aber Partner-API + eigenes Onboarding + Brand-Kontrolle ist der eigentliche Wert, nicht Marge.
Direct-Client-Modell (ohne Partner-Plan)
| Tier | Kosten |
|---|---|
| Regular | €49/Monat pro WABA |
| Premium | €99/Monat pro WABA |
| Higher Throughput | €249/Monat pro WABA |
DSGVO / AV
[Update 2026-05-18 nach Docs-Tiefenrecherche] Erste Annahme „AV nicht oeffentlich gelistet” stimmt nicht — der DPA ist sehr wohl oeffentlich verfuegbar:
- DPA-PDFs direkt downloadbar unter Legal Information — 4 EN-Versionen + 2 DE-Versionen (vermutlich General + Meta-Sub-Annex). Sechs PDFs ohne Login zugaenglich, lesbar im Browser, kein Email-Schritt noetig.
- 360dialog GmbH, Sitz Berlin (deutsche Firma) — Impressum verlinkt
- Lokale Storage-Region pro Phone-Number konfigurierbar (Local Storage Doc) — Setting auf WABA-Ebene, Optionen u.a. EU (Germany), UK, Schweiz. Daten-at-Rest werden dann nur in der gewaehlten Region persistiert (Data-in-Use kann weiter international fliessen, aber das ist Meta-Cloud-API-Architektur). Das ist DSGVO-Gold fuer Industriekunden wie Becker/Icking — pro Channel auf „EU (Germany)” stellen, fertig.
- Cloud-API-Architektur (Architecture & Security): seit Oktober 2025 ist Cloud API der einzige Weg (alte On-Premises-API abgekuendigt). Cloud API ist Meta-operated, 360dialog ist nur API-Hub/Auth-Layer davor. Daher gilt fuer Daten-Hosting primaer Metas Architektur. Nachrichten werden max 30 Tage im Meta-DC vorgehalten (fuer Retransmission), danach geloescht. Signal-Protocol-Encryption fuer Transit, Cloud API hat „industry-standard encryption” fuer Data-at-Rest.
- ISO 27001 fuer Cloud API (Meta-zertifiziert) — relevant fuer Industriekunden-Audit-Fragen
- 360dialog-eigene Infra-Standort nicht explizit dokumentiert — Webhook-Doc empfiehlt „Webhook-Infrastruktur in Central/Eastern Europe wegen 360dialog Data Centres”, was implizit EU bedeutet aber kein hartes Commitment ist. EINZIGE offene Frage an
legal@, falls Marvin’s Industriekunden das hart pruefen. - Sub-Prozessor-Liste + SCC sind im DPA-PDF zu pruefen — Inhalt durch Marvin direkt sichtbar (kein Black-Box)
Konsequenz fuer den Plan:
- Phase 0 kollabiert: DPA selber laden + lesen statt Email-Ping-Pong. AV ist verfuegbar ohne Anfrage.
- Local-Storage „EU (Germany)” muss in Onboarding-Checkliste fuer jeden neuen Channel rein (pro Phone-Number-Setting, nicht Default)
- Falls beim DPA-Lesen Sub-Prozessor-Liste unvollstaendig oder Server-Standort der 360dialog-Hub-Infra fehlt: dann gezielt eine Email mit nur DIESER offenen Frage
Migrations-Implikation mcp-whatsapp
Aktueller Stand (~/source/mcps/mcp-whatsapp/src/mcp_whatsapp/server.py, 737 LOC):
- Eine zentrale HTTP-Helper-Funktion bei Zeile 196, alle Tools gehen dort durch
GRAPH_BASE = "https://graph.facebook.com/{API_VERSION}"(Zeile 47)- Auth via
WHATSAPP_ACCESS_TOKENBearer (Zeile 53) - Phone-Number-ID hart aus env (
WHATSAPP_PHONE_NUMBER_ID, Zeile 63) — d.h. Single-Tenant
Migration ist drei Aenderungen:
- Base-URL
https://graph.facebook.com/v20.0→https://waba-v2.360dialog.io - Auth-Header
Authorization: Bearer <token>→D360-API-KEY: <key> - Phone-Number-ID entfaellt im Path — 360dialog routet anhand des API-Keys (jeder Channel hat eigenen Key)
Multi-Tenant-Wendung: Phone-Number-ID raus, dafuer Tenant-Lookup ueber Header oder per-Tenant-API-Key. Variante A: Brain-Lambda holt Tenant-Key aus DDB und reicht im Request mit. Variante B: ein MCP-Instanz pro Tenant (skaliert nicht). Variante A klar besser.
Geschaetzter Aufwand: 0.5-1 Tag fuer Code-Migration + Tests, plus Onboarding-UI als separates Projekt.
Empfehlung
- Phase 0 (diese Woche): AV-Vertrag bei
legal@360dialog.comanfordern + Server-Standort klaeren. Parallel Direct-Client-Sandbox-Account fuer Eval anlegen (kein Partner-Plan-Commitment noch). - Phase 1 (Icking-Pilot): Icking als Direct-Client bei 360dialog onboarden manuell (1 Channel, €49/Mo). Receptionist-Brain auf 360dialog-Endpoint umstellen fuer Tenant
icking. Friseur bleibt direkt-Meta — duale Provider-Faehigkeit ist sinnvoll als Resilienz-Hedge. - Phase 2 (ab 3. Kunde): Partner-Plan Growth (€500/Mo) abschliessen, Integrated Onboarding auf
onboarding.agenticventures.debauen, ab dann „API-Call → WABA fertig”-UX. - Phase 3 (Friseur-Migration): Friseur von Direct-Meta auf 360dialog-Channel migrieren wenn Partner-Hub live (Phone-Number-Portierung via 360dialog moeglich, Downtime kalkulieren).
Risiken
- AV-Vertrag-Antwortzeit unbekannt — vor Phase-1-Live muss AV durch sein, sonst DSGVO-Verstoss. Anfrage diese Woche raus, Erwartung 1-2 Wochen Bearbeitungszeit.
- Server-Standort wenn USA — dann Notausgang noetig (z.B. eigenes Hosting der Meta-Cloud-API-Calls). Erwartung aber EU.
- Lock-in moderat — Payload-Shape ist Meta-kompatibel, Migration zurueck zu Direct-Meta oder zu anderem BSP ist ein Tag Arbeit (gleicher Refactor in Gegenrichtung).
- Meta-Eskalations-Lane nur in Premium-Plan (€1k/Mo) — bei Account-Sperre Friseur/Icking koennte das wichtig werden. Erstmal Growth-Plan reicht.
- Embedded Signup-Status bei Meta — Meta hat 2024-2025 die Tech-Provider-Anforderungen verschaerft. 360dialog ist seit Jahren etablierter Tech-Provider, sollte stabil sein, aber Meta-Policy-Aenderungen koennen jederzeit BSPs treffen.
Quellen
- 360dialog Partner Pricing — Partner-Plan + Channel-Lizenz-Tiers
- 360dialog Direct-Client Pricing — Regular/Premium/High-Throughput Tiers
- 360dialog Integrated Onboarding — Self-Hosted Embedded-Signup Flow
- 360dialog Partner API Overview — programmatisches WABA-Management
- 360dialog Embedded Signup Docs — Meta-Embedded-Signup-Integration
- 360dialog Legal Information — DPA-PDFs (4 EN + 2 DE) + Impressum + Privacy Policy direkt downloadbar
- 360dialog Architecture & Security — Cloud-API-only seit Oktober 2025, Signal-Encryption, 30-Tage-Retention, ISO 27001
- 360dialog Local Storage — EU(Germany)/UK/Switzerland Daten-at-Rest pro Phone-Number-Setting
- AV-Vertrag-Datenbank-Eintrag 360dialog — Stand 2022, veraltet (siehe Docs-Findings oben)
- Docs-Hint: Die 360dialog-Docs unterstuetzen
?ask=<frage>Query-Param auf jeder.md-URL fuer LLM-basierte Tiefenrecherche — schneller als manuell durchsuchen.
Folge-Aktionen
legal@360dialog.comanschreiben: AV-Vertrag + Server-Standort-Bestaetigung (Email-Draft als Folge-Skill)whatsapp-bsp-migration-Projekt anlegen (siehe _index)- Routing-Map in
CLAUDE.mdergaenzen mit Pointer auf Migrations-Projekt
End-to-End-Smoketest 2026-05-18 (gruen)
Gleiche Session: Account app.360dialog.io mit Meta-provided 555-Test-Nummer +1 555-973-8821 angelegt („Agentic Receptionist”), API-Key generiert, curl gegen https://waba-v2.360dialog.io/messages mit Header D360-API-KEY abgefeuert.
| Schritt | Ergebnis |
|---|---|
POST /messages initial (cold outbound) | 200 + Message-ID, aber keine Delivery (kein 24h-Service-Window offen) |
| Empfaenger sendet „Hi” an +1 555-973-8821 ueber WhatsApp | Service-Window eroeffnet |
POST /messages zweiter Versuch (free-form text) | 200, Message-ID wamid.HBgNNDkxNTEyODk0NTYwNxUCABEYEkI3RkM0MkQyOURCREE2MDJFRgA=, Delivery bestaetigt |
Lesson learned fuer Onboarding-Doku: Free-Form-Outbound im Hub-Test funktioniert NUR im 24h-Service-Window. Erstes Outbound ohne offene Conversation erfordert approved Template. Gilt fuer +1 555 wie fuer eigene Nummern.
AVV gesichert unter 360dialog:
2025-04-360dialog-AVV-Partner-Klienten.pdf(Partner-Variante — fuer Marvin als Partner mit Direkt-Vertrag mit Endkunden)2025-04-360dialog-AVV-Endnutzer.pdf2025-04-360dialog-DPA-Partners-Clients-EN.pdf
AVV Highlight (Seite 3, §5): „Datenverarbeitung ausschliesslich innerhalb der EU/EWR” — DSGVO-Lage ist ausreichend fuer KMU-Kunden ohne separate Email-Schleife mit legal@.