DSGVO-konformes SMS- und WhatsApp-Marketing für Finanzdienstleister: Was erlaubt ist und was nicht

Finanzdienstleister nehmen nach der DSGVO eine besondere Stellung ein. Die von ihnen verarbeiteten Daten – Transaktionshistorien, Kreditinformationen, Anlageportfolios, gesundheitsbezogene Versicherungsdaten – gelten in den Augen der EU-Datenschutzbehörden als sensibel oder hochpersönlich. Die zuständigen nationalen Aufsichtsbehörden – ICO, CNIL, BaFin und andere – wenden bei Marketing-Kommunikation von Finanzdienstleistern eine strengere Kontrolle an als in den meisten anderen Sektoren.

Das bedeutet nicht, dass SMS- und WhatsApp-Marketing ausgeschlossen sind. Es bedeutet, dass der Compliance-Rahmen von Anfang an richtig aufgebaut werden muss – Einwilligungen müssen spezifisch sein, Nachweise müssen geführt werden, und die Unterscheidung zwischen Servicekommunikation und Marketing muss konsequent eingehalten werden.

Die entscheidende Unterscheidung: Service vs. Marketing

Das wichtigste Compliance-Konzept für die Finanzdienste-Kommunikation ist die Unterscheidung zwischen Servicekommunikation und Marketingkommunikation. Diese haben unterschiedliche Rechtsgrundlagen, unterschiedliche Einwilligungsanforderungen und unterschiedliche Pflichten.

Servicekommunikation sind Nachrichten, die der Kunde zur Verwaltung seiner Beziehung zu Ihnen benötigt:

• Transaktionsbestätigungen
• Betrugswarnungen und Sicherheitsbenachrichtigungen
• Zahlungsstatusaktualisierungen
• Police-Verlängerungserinnerungen (sachlich, nicht werbend)
• Hinweise zur Kontoauszugsverfügbarkeit
• Regulatorische Offenlegungen

Servicekommunikation kann in der Regel auf der Rechtsgrundlage berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) oder Vertragserfüllung (Art. 6 Abs. 1 lit. b) versandt werden, sofern sie für die Dienstleistungsbeziehung wirklich notwendig ist und der Kunde sie vernünftigerweise erwarten konnte. Für reine Servicekommunikation ist keine ausdrückliche Marketingeinwilligung erforderlich.

Marketingkommunikation sind Nachrichten zur Bewerbung von Produkten oder Dienstleistungen:

• Cross-Selling-Angebote („Sie könnten auch an unserer Hausratversicherung interessiert sein”)
• Werbekampagnen („Nur diesen Monat – reduzierte Prämie für neue Kfz-Versicherung”)
• Produkteinführungen („Wir stellen unser neues Investment-ISA vor”)
• Upsell-Hinweise („Upgrade auf Premium für erweiterten Schutz”)

Marketingkommunikation erfordert ausdrückliche, granulare Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Einwilligung muss den spezifischen Kanal (SMS, WhatsApp), die Nachrichtenart und die abgedeckten Produktkategorien benennen.

Einwilligungsstandards für Finanzdienstleister

Die grundlegenden DSGVO-Einwilligungsanforderungen gelten für alle Sektoren: freiwillig, spezifisch, informiert, eindeutig. Im Finanzdienstleistungsbereich erhöhen zwei zusätzliche Standards die Anforderungen.

Granularität: Eine gebündelte Einwilligung („Ich stimme dem Erhalt von Marketing von [Bankname] zu”) ist nicht ausreichend. Die Einwilligung muss den Kanal (SMS, WhatsApp, E-Mail), die Nachrichtenart (Produktangebote, Werbekampagnen, Marktkommentare) und gegebenenfalls die Produktkategorie (Versicherungsprodukte, Anlageprodukte, Kredite) spezifizieren.

Trennung von Servicebedingungen: Die Marketingeinwilligung darf nicht in den allgemeinen Geschäftsbedingungen eines Girokontos, einer Versicherungspolice oder eines Anlagevertrags vergraben werden. Sie muss separat dargestellt werden, mit der Möglichkeit, Marketing ohne Beeinträchtigung der Dienstleistungsbeziehung abzulehnen.

Dokumentation: Der Einwilligungsnachweis muss festhalten: den genauen Wortlaut der Einwilligungsanfrage, Datum und Uhrzeit der Einwilligung, den Kanal, über den die Einwilligung erteilt wurde, und die Version des Einwilligungsformulars. Dieser Nachweis muss abrufbar sein, wenn ein Kunde oder eine Aufsichtsbehörde die Grundlage für eine Kommunikation anficht.

WhatsApp-spezifische Pflichten

Die WhatsApp Business API fügt über die DSGVO hinaus eine Schicht von Plattformanforderungen hinzu:

Vorgenehmigte Vorlagen: Alle ausgehenden Nachrichten an Kunden müssen vorab genehmigte Nachrichtenvorlagen verwenden (für die erste Nachricht in einem Gespräch oder für Nachrichten, die außerhalb eines 24-stündigen aktiven Gesprächsfensters gesendet werden). Vorlagen werden von Meta geprüft und dürfen nicht werbend sein, es sei denn, der Kunde hat das Gespräch initiiert.

24-Stunden-Fenster: Sobald ein Kunde eine Nachricht an das Geschäfts-WhatsApp sendet, öffnet sich ein 24-Stunden-Fenster, in dem das Unternehmen Freiformat-Nachrichten senden kann. Außerhalb dieses Fensters dürfen nur genehmigte Vorlagen verwendet werden. Für Finanzdienstleister bedeutet dies, dass geplante Marketingkampagnen Vorlagen verwenden müssen, während Serviceantworten gesprächiger sein können.

Abmelde-Mechanismus: Wenn ein Kunde „STOP” oder eine gleichwertige Phrase sendet, darf das Unternehmen keine weiteren Marketingbotschaften über diesen Kanal senden. Die Abmeldung muss sofort und dauerhaft im CRM erfasst werden.

Aufzeichnungspflichten für regulatorische Anfragen

Finanzdienstleister müssen auf Anfrage einer Aufsichtsbehörde die Einhaltung der Vorschriften nachweisen können. Das bedeutet die Aufrechterhaltung von:

• Vollständigen Einwilligungsnachweisen pro Kunde und Kanal
• Vollständigen Nachrichtenprotokollen (gesendet, empfangen, Lieferstatus, Zeitstempel)
• Abmeldenachweisen mit Zeitstempeln
• Nachweis der Bearbeitung von Beschwerden über unerwünschte Nachrichten

Ein CRM, das alle WhatsApp- und SMS-Interaktionen automatisch protokolliert, Einwilligungsnachweise pro Kunde führt und auf Anfrage Compliance-Berichte erstellt, ist kein Luxus – es ist die praktische Infrastruktur, die erforderlich ist, um diesen Kanal im großen Maßstab ohne regulatorisches Risiko zu betreiben.

Das vollständige WhatsApp-Implementierungs-Framework für das Banking finden Sie in Beitrag 170. Wie Sie die Einwilligungserfassung beim Onboarding und bei der Verlängerung strukturieren, lesen Sie in Beitrag 172.