More in
Chat-Funnel-Einrichtung
WhatsApp Business API-Integration mit Ihrem CRM (funktionierende Einrichtung)
Apr. 18, 2026
Click-to-WhatsApp-Werbekampagnen: Von der Einrichtung bis zur ersten Conversion
Apr. 18, 2026
Konversationelle Qualifizierung: Fragen, die Käufer nicht nerven
Apr. 18, 2026
Einen Chat-Funnel für hochpreisiges B2B gestalten (kein E-Commerce)
Apr. 18, 2026
Fallback-Flows konfigurieren, wenn KI-Agents versagen
Apr. 18, 2026
Einen 24/7-Chat-Funnel aufbauen, ohne Ihr Team auszubrennen
Apr. 18, 2026
Chat-Funnel-A/B-Testing: Was testen und wie
Apr. 18, 2026
DSGVO-konforme Chat-Funnels für EU-Käufer
Apr. 18, 2026 · Currently reading
Chat-Funnel-Performance messen: Die Metriken, die zählen
Apr. 9, 2026
Lead-Routing-Automatisierung für per Chat erfasste Leads
Apr. 7, 2026
GDPR-konforme Chat-Funnels für EU-Käufer
Die EU-WhatsApp-Kampagne einer Marketing-Ops-Managerin wurde zwei Wochen vor dem Launch von der Rechtsabteilung beanstandet. Die Kampagne war solide: Targeting, Creative, Automatisierungs-Flow alles eingerichtet. Das Problem war die Datenverarbeitung: keine dokumentierte Einwilligung, kein Lösch-Workflow, CRM-Daten, die ohne Data Processing Agreement an ein US-amerikanisches Tool flossen.
Sie behob das in 3 Tagen, ohne den Funnel aufzugeben. Die Änderungen waren verfahrenstechnischer Natur, nicht architektonischer: Einen Einwilligungsschritt im Flow hinzufügen, den Link zur Datenschutzerklärung aktualisieren, Anbieter-DPAs prüfen und einen Lösch-Workflow im CRM aufbauen.
WhatsApp-Funnels für EU-Zielgruppen befinden sich an der Schnittstelle von GDPR, Metas Datenschutzrichtlinien und WhatsApp-Business-Bedingungen. Dieser Leitfaden behandelt alle drei, übersetzt in konkrete Flow-Änderungen, die Sie ohne juristisches Studium umsetzen können.
Die drei GDPR-Pflichten, die für Chat-Funnels gelten
GDPR-Compliance für einen WhatsApp-Chat-Funnel läuft auf drei Kernpflichten hinaus. Alles andere ist Detail. Der vollständige Text der Datenschutz-Grundverordnung ist auf EUR-Lex verfügbar, der offiziellen EU-Rechtsdatenbank. Die Artikel 6 (Rechtsgrundlage), 7 (Bedingungen für die Einwilligung) und 17 (Recht auf Löschung) sind am direktesten auf Chat-Funnel-Operationen anwendbar. Diese Pflichten gelten unabhängig davon, auf welcher Plattform Sie den Funnel betreiben. Wenn Sie auf Respond.io oder ManyChat aufbauen, behandelt der WhatsApp-CRM-Integrationsleitfaden, wie personenbezogene Daten an Ihr CRM fließen, was Ihre GDPR-Datenschutzhaltung direkt beeinflusst.
| Pflicht | Was das in der Praxis bedeutet | Wo es Ihren Funnel betrifft |
|---|---|---|
| Rechtsgrundlage für die Verarbeitung | Sie benötigen einen dokumentierten gesetzlichen Grund zur Verarbeitung der personenbezogenen Daten des Kontakts | Bestimmt, wann und wie Sie die Einwilligung einholen |
| Transparenz bei der Datenerhebung | Kontakte müssen wissen, welche Daten Sie erheben, warum und was Sie damit tun | Bereitstellung der Datenschutzerklärung im Flow |
| Betroffenenrechte | Kontakte können jederzeit Auskunft, Löschung oder Portabilität ihrer Daten verlangen | Lösch-Workflow in CRM und Chat-Plattform |
Diese Pflichten bestehen unabhängig voneinander. Transparent zu sein entbindet nicht von der Pflicht, eine Rechtsgrundlage zu haben. Eine Einwilligung zu haben entbindet nicht davon, Löschanfragen nachzukommen. Alle drei müssen erfüllt werden.
Rechtsgrundlage für WhatsApp-Lead-Generierung
Die GDPR verlangt, dass Sie eine Rechtsgrundlage identifizieren und dokumentieren, bevor Sie personenbezogene Daten verarbeiten. Für WhatsApp-Lead-Generierungsfunnels wählen Sie typischerweise zwischen:
Einwilligung: Der Kontakt stimmt ausdrücklich zu, dass seine Daten für einen angegebenen Zweck verarbeitet werden. Erforderlich für Cold Outreach, Marketingkommunikation und Situationen, in denen die Verarbeitung nicht offensichtlich erwartet wird.
Berechtigtes Interesse: Sie haben ein echtes Unternehmensinteresse an der Verarbeitung der Daten, das die Rechte des Kontakts nicht überwiegt. Kann bei eingehenden Gesprächen gelten (die Person hat den Kontakt initiiert), ist aber eine schwächere Grundlage als die Einwilligung und schwerer zu verteidigen, wenn sie angefochten wird.
Die praktische Orientierung:
Bei eingehenden Chat-Funnels, bei denen ein Lead auf Ihre Anzeige geklickt und das Gespräch gestartet hat, ist das berechtigte Interesse für die erste Verarbeitung potenziell vertretbar (er kam zu Ihnen). Für alles nachgelagerte ist es jedoch riskant: ihn zu einer nurture sequence hinzuzufügen, seine Daten in einem Marketing-CRM zu speichern oder Follow-up-Kampagnen zu senden. Für diese Nutzungen benötigen Sie eine Einwilligung.
Für ausgehende Nachrichten über die WhatsApp API (erste Nachrichten an eine Liste senden) benötigen Sie eine ausdrückliche vorherige Einwilligung. Berechtigtes Interesse deckt unaufgeforderte Kontaktaufnahme nicht ab.
Ihre Rechtsgrundlage-Entscheidung dokumentieren: Führen Sie eine einfache Aufzeichnung: „Für eingehende WhatsApp-Lead-Generierungsgespräche stützen wir uns auf die im Qualifizierungs-Flow eingeholte ausdrückliche Einwilligung. Die Einwilligung wird mit Zeitstempel in [CRM-Name] für jeden Kontakt aufgezeichnet."
Einwilligungsmechanismus im Flow
Wo Sie die Einwilligung im Flow einholen und wie Sie sie formulieren, bestimmt, ob sie rechtlich gültig ist und ob sie konvertiert. Für EU-Leads, die über Paid Acquisition kommen, geht Lead-Capture-Automatisierung und GDPR für EU-Zielgruppen tiefer auf die spezifischen Pflichten ein, die gelten, wenn die Lead-Quelle eine Meta-Anzeige ist.
Vor oder nach dem Eröffnungsaustausch?
Bei eingehenden Chat-Funnels haben Sie etwas Spielraum. Ein gängiger Ansatz: 1 bis 2 Austausche durchführen, um Kontext und Mehrwert zu etablieren, dann vor der Erhebung weiterer personenbezogener Daten, die über WhatsApp bereits vorhanden sind, nach der Einwilligung fragen. Das ist kein Aufschieben. Es ist, genug Mehrwert zu liefern, damit die Einwilligungsanfrage vernünftig wirkt.
Die Einwilligungsanfrage sollte kommen, bevor Sie nach E-Mail, Firmenname oder Informationen fragen, die nicht bereits im WhatsApp-Gespräch vorhanden sind.
Was eine gültige GDPR-Einwilligung ausmacht:
- Freiwillig gegeben (der Kontakt wird nicht unter Druck gesetzt)
- Spezifisch (die Einwilligung gilt für einen angegebenen Zweck, nicht für „alle zukünftigen Marketingaktivitäten")
- Informiert (er weiß, dem er zustimmt)
- Eindeutig (eine bejahende Handlung, kein vorangekreuztes Kästchen)
Die Leitlinien des Europäischen Datenschutzausschusses zur Einwilligung bieten die maßgebliche Interpretation aller vier Anforderungen. Das ist das primäre Referenzdokument dafür, was Regulierungsbehörden erwarten.
Beispiel-Einwilligungsnachricht für einen WhatsApp-Flow:
„Kurze Anmerkung, bevor ich fortfahre: Um auf dieses Gespräch reagieren und Ihnen relevante Informationen zu [Produkt] zusenden zu können, speichere ich Ihre Kontaktdaten und unsere Gesprächsnotizen in unserem CRM. Sie können das jederzeit widerrufen, indem Sie ‚abmelden' schreiben. Sind Sie damit einverstanden?"
Button-Optionen: „Ja, einverstanden" / „Nein danke"
Diese Nachricht ist explizit in Bezug auf den Zweck (Nachverfolgung, relevante Informationen), erwähnt das Recht auf Widerruf und erfordert eine bejahende Handlung (Button-Tipp).
Einwilligung aufzeichnen. Wenn der Kontakt „Ja" tippt, zeichnen Sie auf:
- Seine Telefonnummer
- Den Zeitstempel der Einwilligung (in UTC)
- Den gezeigten Einwilligungstext (Versionsnummer oder Hash)
- Den Kanal und Flow-Namen
Speichern Sie das in einem CRM-Feld, das für Einwilligungsaufzeichnungen vorgesehen ist. Speichern Sie es nicht nur in der Chat-Plattform. Sie brauchen es, wenn Sie Tools wechseln.
Einwilligungskästchen vs. bejahende Antwort. WhatsApp unterstützt keine Kästchen. Die bejahende Antwort (Button-Tipp) ist die gültige Einwilligungsmethode für WhatsApp-Flows. Stellen Sie sicher, dass der „Ja"-Button die opt-in-Aktion ist, nicht der Standard, und dass der „Nein danke"-Pfad den Marketingflow höflich beendet.
Transparenzanforderungen
Die GDPR verlangt, dass Sie dem Kontakt zum Zeitpunkt der Datenerhebung mitteilen:
- Wer die Daten erhebt (Ihr Firmenname)
- Welche personenbezogenen Daten Sie erheben
- Warum Sie sie erheben (der Zweck)
- Wie lange Sie sie aufbewahren
- Mit wem Sie sie teilen (relevante Dritte)
- Ihre Rechte (Auskunft, Löschung, Portabilität)
Die Datenschutzerklärung im WhatsApp-Kontext. Sie können keine 2.000-Wörter-Datenschutzrichtlinie in eine Chat-Nachricht einfügen. Aber Sie können darauf verlinken. Die Einwilligungsnachricht sollte eine URL enthalten: „Unsere vollständige Datenschutzerklärung finden Sie hier: [Link]."
Stellen Sie sicher, dass die verlinkte Datenschutzerklärung aktuell ist, WhatsApp als Datenerhebungskanal erwähnt und ohne Login zugänglich ist. Eine Datenschutzerklärung, für deren Lesen ein Konto erforderlich ist, ist für GDPR-Zwecke nicht zugänglich.
Transparenz-Checkliste für Ihren Flow:
- Firmenname im WhatsApp-Business-Profil sichtbar
- Einwilligungsnachricht nennt den Zweck ausdrücklich
- Datenschutzrichtlinien-URL in oder in der Nähe der Einwilligungsnachricht
- Kontakt über das Recht auf Widerruf informiert
- Klarer Weg zur Löschanfrage (z. B. „Schreiben Sie jederzeit ‚Daten löschen'")
- Einwilligung mit Zeitstempel aufgezeichnet, bevor weitere Daten erhoben werden
Datensparsamkeit im Flow-Design
Der Grundsatz der Datensparsamkeit der GDPR besagt, dass Sie nur personenbezogene Daten erheben sollten, die für Ihren angegebenen Zweck notwendig sind. Dieser Grundsatz prägt auch, wie Sie Ihre konversationelle Qualifizierungssequenz gestalten. Weniger erhobene Felder bedeuten geringeres GDPR-Risiko, was ein weiterer Grund ist, warum die 5-Fragen-Architektur gut für EU-Zielgruppen funktioniert. Für einen Lead-Qualifizierungs-Flow bedeutet das, jeden erhobenen Datenpunkt zu überprüfen und zu fragen: Brauchen wir das tatsächlich, um den angegebenen Zweck (diesen Lead zu qualifizieren und nachzuverfolgen) zu erreichen?
Häufige Felder, die für EU-Zielgruppen entfernt werden können:
- Telefonnummer, die als Flow-Frage gestellt wird, obwohl WhatsApp sie bereits bereitstellt (Sie haben die Telefonnummer bereits, also ist erneutes Fragen redundant und potenziell ein GDPR-Risiko, wenn Sie zwei Kopien speichern)
- Geburtsdatum oder Altersverifizierung, es sei denn, rechtlich für Ihr Produkt erforderlich
- Im Flow erfasste IP-Adresse (für die Qualifizierung nicht erforderlich)
- Branchen-Unterkategorien, die detaillierter sind, als Ihr Vertriebsteam tatsächlich für das Routing verwendet
Felder, die mit einem klaren Zweck vertretbar sind:
- Firmenname (benötigt, um das Konto vor der Nachverfolgung zu recherchieren)
- Teamgröße (benötigt für ICP-Qualifizierung und Routing)
- Anwendungsfall (benötigt, um die Nachverfolgungskommunikation zu personalisieren)
- Timeline (benötigt, um die Dringlichkeit für das Vertriebsrouting zu bestimmen)
Für jedes Feld, das Sie behalten, sollten Sie antworten können: „Wir erheben das, weil [spezifischer Grund, der mit dem angegebenen Zweck zusammenhängt]." Wenn Sie das nicht klar beantworten können, entfernen Sie das Feld.
Datenspeicherung und Löschung
Wie lange dürfen Sie WhatsApp-Gesprächsdaten aufbewahren? Die GDPR legt keine genauen Aufbewahrungsfristen fest. Sie verlangt, dass Daten „nicht länger als notwendig" für den angegebenen Zweck aufbewahrt werden. Der gdpr.eu-Leitfaden zur Datenspeicherung bietet eine praktische Zusammenfassung, wie Regulierungsbehörden „nicht länger als notwendig" für verschiedene Datenkategorien, einschließlich Marketing-Kontaktdaten, interpretieren. Für Leads, die zu Kunden werden, ist die Aufbewahrung für die Dauer der Kundenbeziehung zuzüglich anwendbarer gesetzlicher Anforderungen (oft 7 Jahre für Finanzdaten) typisch. Für Leads, die nicht konvertieren, sind 12 bis 24 Monate für die meisten B2B-Kontexte eine vertretbare Position.
Automatisierte Löschregeln in Respond.io. Respond.io hat Kontakt-Lebenszykluseinstellungen unter Einstellungen → Datenschutz. Konfigurieren Sie die automatische Kontaktlöschung nach einer festgelegten Inaktivitätsdauer. Für EU-Kontakte, die als nicht konvertierende Leads gekennzeichnet sind, setzen Sie eine 12-monatige Inaktivitäts-Löschregel.
Automatisierte Löschung in Ihrem CRM. Verwenden Sie in HubSpot einen Workflow: Trigger bei „Lead-Status = verloren oder 365 Tage ohne Kontakt UND Land = EU → zur Löschung markieren → Kontaktdatensatz nach 30-tägiger Gnadenfrist löschen." Die Gnadenfrist ermöglicht eine manuelle Überprüfung vor der endgültigen Löschung.
Wenn ein Kontakt mitten im Funnel Löschung beantragt: Stoppen Sie sofort alle automatisierten Nachrichten. Löschen Sie den Kontaktdatensatz aus Ihrem CRM und der Chat-Plattform. Dokumentieren Sie die Löschanfrage und das Abschlussdatum. Bestätigen Sie dem Kontakt, dass die Löschung abgeschlossen ist. Tun Sie das innerhalb von 30 Tagen nach der Anfrage (die Standardfrist der GDPR). Die Formulierung „Schreiben Sie jederzeit ‚Daten löschen'" in Ihrer Einwilligungsnachricht schafft einen impliziten Prozess, also stellen Sie sicher, dass der eigentliche Workflow vorhanden ist, um das einzuhalten.
Hinweise zum grenzüberschreitenden Datentransfer
Wenn Ihr CRM, Automatisierungstool oder Ihre Chat-Plattform in den USA oder außerhalb der EU/des EWR ansässig ist, haben Sie möglicherweise Pflichten beim grenzüberschreitenden Datentransfer. Wenn Sie prüfen, über welches CRM Sie EU-Daten routen wollen, enthält der HubSpot-vs.-Salesforce-Vergleich für B2B-Teams Hinweise zur Datenresidenz und DPA-Verfügbarkeit der jeweiligen Plattformen. Das Senden von EU-Kontaktdaten an einen US-Server erfordert einen rechtlichen Mechanismus.
Standard Contractual Clauses (SCC). Die meisten großen B2B-SaaS-Anbieter (HubSpot, Salesforce, Respond.io) haben SCCs in ihren Standard-Data Processing Agreements (DPA) verfügbar. Wenn Sie sich für den Dienst registrieren, treten Sie möglicherweise automatisch in ein DPA ein. Prüfen Sie das Trust Center oder die Datenschutzdokumentation Ihres Anbieters.
So überprüfen Sie den DPA-Status Ihres Anbieters:
| Anbieter | Wo das DPA zu finden ist | Was zu überprüfen ist |
|---|---|---|
| HubSpot | trust.hubspot.com | DPA enthält EU-SCCs, deckt Kontaktdaten ab |
| Salesforce | salesforce.com/privacy | Data Processing Addendum, Standard Contractual Clauses |
| Respond.io | respond.io/privacy | DPA verfügbar, Abdeckung für WhatsApp-Gesprächsdaten prüfen |
| ManyChat | manychat.com/legal | Data Processing Agreement in Geschäftsbedingungen |
| Zapier/Make | zapier.com/legal | DPA deckt Daten ab, die durch Zaps fließen |
Schnelle Anbieter-Compliance-Checkliste:
- Bietet der Anbieter ein DPA an? (Muss Ja sein)
- Enthält das DPA EU-SCCs oder einen gleichwertigen Transfermechanismus? (Muss Ja sein)
- Fällt Ihre spezifische Nutzung (Gesprächsdaten, Kontaktdatensätze) in den Geltungsbereich des DPA? (Überprüfen Sie die abgedeckten Datentypen)
- Haben Sie das DPA akzeptiert? (Einige Anbieter erfordern eine aktive Annahme, nicht nur die Nutzungsbedingungen)
Wenn ein Anbieter kein DPA anbietet, können Sie keine personenbezogenen EU-Daten rechtmäßig durch seine Systeme senden. Das bedeutet, dass Sie EU-Kontakte möglicherweise über ein anderes Tool als das für Nicht-EU-Kontakte routen müssen.
Häufige Fehler
Vorangekreuzte Einwilligungskästchen. Die GDPR verbietet ausdrücklich vorangekreuzte Kästchen als Einwilligungsmechanismus. Der Kontakt muss aktiv opt-in. WhatsApp unterstützt keine nativen Kästchen, aber wenn Sie ein webbasiertes Formular als Teil Ihres Funnels verwenden, stellen Sie sicher, dass das Einwilligungsfeld standardmäßig unmarkiert ist.
EU-Telefonnummern in einem US-CRM ohne DPA speichern. Eine Telefonnummer ist nach GDPR ein personenbezogenes Datum. Wenn Sie EU-Kontakte an ein CRM oder einen inbox weiterleiten, ohne den DPA des Anbieters für grenzüberschreitende Transfers zu überprüfen, haben Sie eine Compliance-Lücke.
Kein Lösch-Workflow. Sie haben dem Flow Einwilligungsmechanismen hinzugefügt, aber Sie haben den Prozess für den Fall, dass jemand Löschung beantragt, nicht aufgebaut. Die GDPR verlangt eine Antwort innerhalb von 30 Tagen. Ohne einen dokumentierten Workflow gehen Löschanfragen verloren oder werden verzögert.
Denselben Flow für EU- und Nicht-EU-Zielgruppen ohne Geo-Routing verwenden. Wenn Sie eine globale Kampagne durchführen und Ihre EU-spezifischen Einwilligungsschritte nur in einer separaten „EU-Version" des Flows vorhanden sind, stellen Sie sicher, dass Sie Geo-basiertes Routing haben, das EU-Kontakte zuverlässig zur konformen Version schickt. Ein Lead aus Deutschland, der durch den Nicht-EU-Flow geht, ist immer noch Ihr Compliance-Problem.
Nächste Schritte
Führen Sie vor dem nächsten EU-Kampagnen-Launch Ihren aktuellen WhatsApp-Flow durch die Checkliste in diesem Leitfaden:
- Rechtsgrundlage dokumentiert
- Einwilligungsschritt im Flow mit erforderlicher bejahender Handlung
- Einwilligung mit Zeitstempel im CRM aufgezeichnet
- Datenschutzrichtlinien-URL in der Einwilligungsnachricht
- Nur notwendige Felder erhoben (Datensparsamkeits-Überprüfung abgeschlossen)
- Aufbewahrungsfrist im CRM und in der Chat-Plattform festgelegt
- Löschanfrage-Workflow vorhanden und dokumentiert
- Alle Anbieter auf DPA-Abdeckung überprüft
- EU-Kontakte per Geo-Routing an konforme Flow-Version geleitet
Melden Sie Lücken Ihrer Rechtsabteilung vor dem Go-live, nicht danach. Die Korrekturen sind in der Regel schnell. Die Bußgelder für Fehler sind es nicht (bis zu 4 % des globalen Jahresumsatzes nach GDPR). Der Enforcement-Tracker der Europäischen Kommission zeigt, dass Bußgelder für Einwilligungs- und Transparenzverstöße zu den häufigsten Durchsetzungsmaßnahmen gehören, mit einem Durchschnitt von 2,8 Mio. EUR pro Fall im Jahr 2024, wobei B2B-Marketingkanäle zunehmend unter Beobachtung stehen.
Weiterführende Themen
- Einen Meta-Ads-zu-WhatsApp-Chat-Funnel von A bis Z einrichten
- WhatsApp Business API in Ihr CRM integrieren
- Die AI-Governance-Lücke in Enterprise-Tools
- Click-to-WhatsApp-Kampagneneinrichtung für EU-Zielgruppen
- Konversationelle Qualifizierung: Fragen, die Käufer nicht nerven
- Chat-Funnel-Performance messen: die wichtigen Metriken
Principal Product Marketing Strategist
On this page
- Die drei GDPR-Pflichten, die für Chat-Funnels gelten
- Rechtsgrundlage für WhatsApp-Lead-Generierung
- Einwilligungsmechanismus im Flow
- Transparenzanforderungen
- Datensparsamkeit im Flow-Design
- Datenspeicherung und Löschung
- Hinweise zum grenzüberschreitenden Datentransfer
- Häufige Fehler
- Nächste Schritte
- Weiterführende Themen