DSGVO und WhatsApp-Marketing: So sieht eine konforme Einwilligung aus – und das bringt Sie zur Sperrung

WhatsApp-Marketing ohne eine DSGVO-konforme Einwilligung ist nicht nur ein regulatorisches Risiko – es ist ein Kanalrisiko. Meta setzt aktiv gegen nicht konsentiertes Messaging auf seiner Plattform durch: Ein Unternehmen, dessen Kontakte Nachrichten häufig blockieren oder melden, wird feststellen, dass die Qualitätsbewertung seiner WhatsApp-Nummer sinkt, die Messaging-Stufen reduziert werden und die Nummer schließlich gesperrt wird. Die regulatorische Strafe und die Plattformstrafe kommen aus verschiedenen Richtungen, aber sie führen zum selben Ergebnis.

Eine korrekt strukturierte Einwilligung schützt den Kanal. So sieht das in der Praxis aus.

Was die DSGVO für WhatsApp-Marketing verlangt

Der Einwilligungsstandard der DSGVO (Artikel 7, konkretisiert durch Erwägungsgrund 32) erfordert, dass die Einwilligung:

Freiwillig erteilt wird: Der Kunde darf keinerlei Nachteile erleiden, wenn er die Einwilligung verweigert. Die Bedingung, einen Rabatt, einen Servicezugang oder eine Kontoeröffnung von der Einwilligung in WhatsApp-Marketing abhängig zu machen, ist keine freiwillig erteilte Einwilligung. Die Einwilligung muss wirklich optional sein.

Spezifisch ist: Die Einwilligung muss den spezifischen Kanal (WhatsApp), die spezifische Art der Nachrichten (Werbeangebote, Produktupdates usw.) und idealerweise die ungefähre Häufigkeit angeben. Eine pauschale Einwilligung in „Marketingmitteilungen”, die WhatsApp nicht ausdrücklich nennt, ist für WhatsApp-Nachrichten nicht ausreichend.

Informiert erfolgt: Der Kunde muss verstehen, was er konsensiert, bevor er das Kästchen ankreuzt. Das bedeutet, dass der Opt-In-Mechanismus von einer klaren, verständlichen Beschreibung begleitet werden muss – und nicht nur einem Verweis auf eine 40-seitige Datenschutzerklärung.

Unmissverständlich ist: Die Einwilligung muss durch eine eindeutige aktive Handlung ausgedrückt werden – ein Kontrollkästchen, das der Kunde aktiv ankreuzt. Ein vorangekreuztes Kästchen, eine in AGB eingebettete „Ich stimme allen Mitteilungen zu”-Klausel oder Opt-Out-Formulierungen („Wir senden Ihnen Nachrichten, sofern Sie uns nicht mitteilen, dass Sie das nicht wollen”) erfüllen den Standard nicht.

Wo WhatsApp-Einwilligungen gesammelt werden sollten

Die effektivsten Erfassungspunkte hängen vom Unternehmenstyp ab, aber das Prinzip ist konsistent: Holen Sie die Einwilligung im Moment des höchsten Engagements ein, wenn der Kunde am ehesten bereit ist, Nachrichten als wertvoll zu empfinden.

E-Commerce-Checkout: „Fügen Sie Ihre WhatsApp-Nummer hinzu, um Bestellupdates und exklusive Angebote zu erhalten.” Präsentieren Sie dies als optionales Feld. Machen Sie die WhatsApp-Einwilligung nicht zur Voraussetzung für den Kaufabschluss.

Anmeldung zum Treueprogramm: „Treten Sie unserer WhatsApp-Liste bei, um exklusive Mitgliederangebote und frühzeitigen Zugang zu Verkäufen zu erhalten.” Das Treuewertversprechen lässt die WhatsApp-Einwilligung eher wie ein Vorteil denn wie eine Belastung erscheinen.

QR-Code im Geschäft: Ein QR-Code an der Kasse, auf Quittungen oder auf Produktverpackungen, der zu einer Landing Page mit einem WhatsApp-Opt-In führt. Dies erfasst Kontakte von Kunden, die nicht online kaufen.

Meta Lead-Formulare: Das Formular kann ein WhatsApp-Opt-In-Kästchen neben den Standard-Kontaktfeldern enthalten. Da der Kunde bereits auf einer Meta-Plattform ist, wirkt der Übergang zu WhatsApp natürlich.

Bestätigungsseite nach dem Kauf: „Möchten Sie WhatsApp-Updates für Ihre Bestellung und zukünftige Käufe erhalten? [Ja, fügen Sie mich hinzu] [Nein danke].”

Die Opt-Out-Pflicht

Jede WhatsApp-Marketingbotschaft muss einen klaren, einfachen Opt-Out-Mechanismus enthalten. In der Praxis: „Antworten Sie STOP, um sich abzumelden” oder eine Ein-Tap-Abmeldeschaltfläche über WhatsApps interaktive Schaltflächenfunktion.

Wenn sich ein Kontakt abmeldet, muss er sofort von allen WhatsApp-Marketinglisten entfernt werden. Die Abmeldung muss im CRM mit einem Zeitstempel vermerkt werden. Das weitere Senden von Marketingnachrichten nach einer Abmeldung ist sowohl ein DSGVO-Verstoß als auch ein Verstoß gegen die Meta-Richtlinien.

Dokumentationspflichten im Sinne der DSGVO-Rechenschaftspflicht

Artikel 5(2) DSGVO verlangt, dass Unternehmen auf Anfrage nachweisen können, dass sie die DSGVO einhalten. Für WhatsApp-Marketing bedeutet das die Führung von:

• Einem Nachweis über die Einwilligung jedes Kontakts: wann sie erteilt wurde, über welchen Kontaktpunkt und den genauen Wortlaut der Einwilligungsanfrage zu diesem Zeitpunkt
• Abmeldeprotokollen: wann die Abmeldung eingegangen ist und wann der Kontakt von den Marketinglisten entfernt wurde
• Nachrichtenprotokollen: was an jeden Kontakt gesendet wurde, wann und über welche Vorlage

Ein CRM, das all dies automatisch protokolliert – statt auf manuelle Aufzeichnungen angewiesen zu sein – ist die praktische Infrastruktur, die für ein gesetzeskonformes WhatsApp-Marketing in nennenswertem Umfang erforderlich ist.

Wie Vorlagennachrichten funktionieren und wie sie genehmigt werden, erfahren Sie in WhatsApp-Vorlagennachrichten: Was genehmigt wird, was abgelehnt wird – und wie man sie schreibt. Das vollständige WhatsApp Business API-Setup, das diese Compliance-Infrastruktur möglich macht, finden Sie in WhatsApp Business API vs. WhatsApp Business App: Was brauchen Sie wirklich?.