Blog / Ratgeber
WhatsApp-Marketing und DSGVO: der Praxisleitfaden, um regelkonform zu sein
Kurz gesagt
WhatsApp-Marketing DSGVO-konform zu betreiben bedeutet, eine Rechtsgrundlage zum Schreiben zu haben – fast immer die ausdrückliche Einwilligung –, eine Datenschutzerklärung, die erklärt, wer die Daten verarbeitet und warum, und Verfahren für Widerruf und Aufbewahrung. Der Verantwortliche der Verarbeitung bist du, auch mit einer externen Plattform: Ein Werkzeug mit Datenvereinbarung und automatischer Einwilligungsverwaltung zu wählen reduziert das Risiko.
Die Telefonnummer einer Person ist ein personenbezogenes Datum, und ihr eine Werbenachricht zu schicken ist in jeder Hinsicht eine Verarbeitung. Deshalb lebt das WhatsApp-Marketing genau wie das E-Mail-Marketing innerhalb der DSGVO – nur dass der Kanal intimer ist, also der Fehlerspielraum enger. Die gute Nachricht ist, dass es keine Rechtsabteilung braucht, um regelkonform zu werden: Es braucht eine klare Rechtsgrundlage, etwas Ordnung in den Dokumenten und automatische Verfahren für Einwilligung und Widerruf. Dieser Leitfaden übersetzt die Pflichten in konkrete Schritte.
Was DSGVO auf WhatsApp angewendet bedeutet
Die DSGVO ist die europäische Verordnung zum Schutz personenbezogener Daten und gilt für jeden, der Daten von Personen verarbeitet, die sich in der Union befinden, unabhängig davon, wo das Unternehmen seinen Sitz hat. Wenn du Telefonnummern sammelst, um Nachrichten zu senden, verarbeitest du Daten und musst ihre Grundsätze beachten: Rechtmäßigkeit (einen gültigen Grund dafür haben), Transparenz (es klar sagen), Datenminimierung (nur das sammeln, was nötig ist), Speicherbegrenzung (die Daten nicht für immer behalten). Auf WhatsApp ändern sich diese Grundsätze nicht; es ändert sich nur die Tatsache, dass die Nachricht in einer persönlichen App ankommt, wo der Nutzer weniger tolerant und schneller bereit zu melden ist. Die Konformität schützt, neben dem Vermeiden von Sanktionen, die saftig ausfallen können, auch die Qualität der Nummer.
Die Rechtsgrundlage: in der Regel die Einwilligung
Um Marketingmitteilungen auf WhatsApp zu senden, ist die solideste Rechtsgrundlage die ausdrückliche Einwilligung: freiwillig, spezifisch, informiert und unmissverständlich. Freiwillig bedeutet nicht an einen Service gebunden (du kannst sie nicht erzwingen, um einen Kauf abzuschließen); spezifisch bedeutet genau auf WhatsApp und Marketing bezogen, keine generische Einwilligung; informiert bedeutet, dass die Person weiß, wer die Daten verarbeiten wird und warum; unmissverständlich bedeutet eine positive Handlung, nie ein bereits gesetztes Häkchen. Es gibt auch das berechtigte Interesse, aber für die Direktwerbung auf einem so persönlichen Kanal ist es eine fragile und anfechtbare Grundlage: Setze für die Werbenachrichten auf die Einwilligung.
Unterscheide stets die Service-Nachricht von der werblichen. Einen Versand zu bestätigen oder an einen Termin zu erinnern, den die Person gebucht hat, stützt sich auf die Vertragserfüllung; ihr ein Angebot zu schicken erfordert die Marketing-Einwilligung. Die zwei Erlaubnisse getrennt zu halten ist das, was dir erlaubt, jeden einzelnen Versand zu verteidigen.
Die Datenschutzerklärung: was sie sagen muss
Vor oder in dem Moment, in dem du die Nummer sammelst, muss die Person eine Datenschutzerklärung lesen können, die präzise Fragen beantwortet: wer der Verantwortliche der Verarbeitung ist, für welche Zwecke du die Daten nutzen wirst, auf welcher Rechtsgrundlage, wie lange du sie aufbewahren wirst, an wen sie übermittelt werden könnten (einschließlich der Versandplattform und Meta als Anbieter des WhatsApp-Dienstes), welche Rechte die Person hat und wie sie sie ausübt. Es braucht keinen monumentalen Text: Es braucht einen klaren Text, erreichbar über einen Link neben dem Punkt, an dem die Einwilligung gesammelt wird. Der typische Fehler ist, die Nummer ohne jeden Verweis auf die Erklärung zu sammeln: So ist die Einwilligung nicht informiert, also nicht gültig.
Widerruf und Rechte der betroffenen Person
Die Einwilligung kann mit derselben Leichtigkeit zurückgezogen werden, mit der sie gegeben wurde: Es ist ein Recht, kein Zugeständnis. In der Praxis muss, wer STOP schreibt oder den Kündigungsbutton nutzt, sofort von den werblichen Mitteilungen ausgeschlossen werden. Aber der Widerruf der Einwilligung ist nur eines der Rechte: Die Person kann den Zugang zu ihren Daten, die Berichtigung, die Löschung, die Einschränkung der Verarbeitung und den Widerspruch verlangen. Du musst ein Verfahren haben, um auf diese Anfragen in angemessener Zeit zu antworten. Die automatische Verwaltung des Opt-outs deckt den häufigsten Teil ab; für die anderen Anfragen musst du wissen, wo die Daten sind und wie man sie extrahiert oder löscht.
SendApp verwaltet das Opt-out automatisch: Wer STOP schreibt, wird ohne manuelle Eingriffe von den folgenden Kampagnen ausgeschlossen, und jeder Kontakt trägt Herkunft und Datum der Einwilligung mit sich. Das gilt sowohl, wenn du deine Nummer per QR-Code verbindest, als auch, wenn du die offiziellen APIs von Meta nutzt – das doppelte Gleis, ohne Aufschläge auf die Kosten der Nachrichten.
Aufbewahrung der Daten: nicht für immer
Die DSGVO schreibt vor, die Daten nicht über das Notwendige hinaus zu behalten. Lege einen Aufbewahrungszeitraum fest, der mit dem Zweck übereinstimmt: Solange die Beziehung zum Kontakt aktiv und die Einwilligung gültig ist, macht es Sinn, ihn aufzubewahren; wenn die Person sich abmeldet oder lange inaktiv bleibt, erwäge die Löschung oder Anonymisierung. Bewahre hingegen den Nachweis der Einwilligung auch nach dem Widerruf auf, für die Zeit, die nützlich ist, um nachzuweisen, korrekt gehandelt zu haben: Er wird gerade im Fall einer Anfechtung gebraucht, wenn die Beweislast für die Rechtmäßigkeit auf dir liegt. Die praktische Regel ist, eine interne Richtlinie zu schreiben – wie lange ich was behalte und warum – und sie regelmäßig anzuwenden, statt Nummern endlos „zur Sicherheit“ anzuhäufen.
Wer verantwortlich ist: der Verantwortliche bist du
Auch wenn du eine externe Plattform nutzt, um die Nachrichten zu senden, bist du der Verantwortliche der Verarbeitung: Du entscheidest über Zwecke und Modalitäten der Verarbeitung. Die Plattform handelt als Auftragsverarbeiter, das heißt, sie verarbeitet die Daten in deinem Auftrag, und dafür müsst ihr eine dedizierte Vereinbarung unterzeichnen (den sogenannten AVV, Auftragsverarbeitungsvereinbarung), die festlegt, was sie mit den Daten tun darf und mit welchen Garantien. Prüfe auch, wo die Daten aufbewahrt werden und wie die Plattform die Übermittlungen verwaltet. Ein seriöses Werkzeug an dieser Front zu wählen befreit dich nicht von deinen Verantwortlichkeiten als Verantwortlicher, reduziert aber das Risiko erheblich.
| Rolle | Wer es ist | Was er entscheidet / tut |
|---|---|---|
| Verantwortlicher der Verarbeitung | Dein Unternehmen | Legt Zwecke und Modalitäten fest, holt die Einwilligung ein, antwortet den betroffenen Personen |
| Auftragsverarbeiter | Die Versandplattform | Verarbeitet die Daten im Auftrag des Verantwortlichen gemäß der Vereinbarung (AVV) |
| Betroffene Person | Der Empfänger der Nachrichten | Gibt oder widerruft die Einwilligung, übt ihre Rechte aus |
Best Practices für ein konformes WhatsApp-Marketing
- Hol eine ausdrückliche und spezifische Einwilligung für das Marketing auf WhatsApp ein, getrennt von jedem anderen Häkchen.
- Verlinke immer die Datenschutzerklärung an dem Punkt, an dem du die Nummer erbittest.
- Unterscheide Service- und Werbenachrichten: Sie stützen sich auf verschiedene Rechtsgrundlagen.
- Mache den Widerruf sofortig und verwalte das Opt-out automatisch.
- Lege einen Aufbewahrungszeitraum fest und wende ihn an, bewahre aber den Nachweis der Einwilligung auf.
- Unterzeichne eine Auftragsverarbeitungsvereinbarung mit der Plattform und prüfe, wo die Daten gehostet werden.
Setz es mit SendApp um
Kampagnen, KI und Multichannel-Posteingang ohne Aufschlag auf die Nachrichtenkosten. Kostenlos testen, ohne Kreditkarte.
Redazione SendApp
Das SendApp-Team — WhatsApp-Marketing- und KI-Plattform für Unternehmen.