Das Wichtigste in Kürze
- Growth Hacking und virales Marketing müssen stets deutsche Rechtsvorschriften wie DSGVO, UWG und ggf. HWG einhalten.
- Transparenz, Freiwilligkeit und die Einhaltung von Opt-in-Verfahren sind entscheidend, um rechtliche Fallstricke bei Datenerhebung und Werbung zu vermeiden.
- Besondere Vorsicht ist bei Gewinnspielen und Empfehlungsprogrammen geboten, um Kopplungsverbote und unzumutbare Belästigung zu verhindern.
- Für Health-Startups gelten zusätzliche, strenge Regeln des Heilmittelwerbegesetzes, die irreführende oder unsachliche Werbung für Heilmittel untersagen.
- Die Expertise eines IT- und Medienrechtlers ist unerlässlich, um innovative Marketingkampagnen rechtskonform und risikoarm umzusetzen.
Growth Hacking und virales Marketing: Juristische Anforderungen und Fallstricke für Startups
Growth Hacking und virales Marketing versprechen Startups rasantes Wachstum und hohe Reichweite mit geringem Budgeteinsatz. Gerade in der digitalen Szene werden kreative Kampagnen – von raffinierten Gewinnspielen über Empfehlungsprogramme bis hin zu kontroversen Social-Media-Aktionen – als Geheimrezept gehandelt. Ziel ist es, Nutzerzahlen und Bekanntheit explosionsartig zu steigern.
Doch was aus Marketingsicht genial ist, bewegt sich rechtlich oft in Grauzonen. Deutsches Recht setzt klare Grenzen. Datenschutz (DSGVO), Wettbewerbsrecht (UWG) und bei Gesundheitsprodukten sogar das Heilmittelwerbegesetz (HWG) schränken die freie Entfaltung vieler Growth-Hacking-Strategien ein.
Dieser Beitrag beleuchtet die rechtlichen Anforderungen und Fallstricke solcher viralen Wachstumsstrategien. Er soll Gründer*innen und Marketing-Verantwortlichen in deutschen Startups helfen, innovative Kampagnen rechtskonform und risikoarm umzusetzen. Die Expertise eines IT- und Medienrechtlers spiegelt sich in jedem Abschnitt wider.
DSGVO, UWG & Co.: Der Rechtsrahmen für virales Marketing
| Kriterium | Datenschutz-Grundverordnung (DSGVO) | Gesetz gegen den unlauteren Wettbewerb (UWG) | Heilmittelwerbegesetz (HWG) |
|---|---|---|---|
| Anwendungsbereich | Verarbeitung personenbezogener Daten | Unlautere geschäftliche Handlungen | Werbung für Heilmittel, Medizinprodukte, medizinische Verfahren |
| Kernverbote | Zweckbindung, Einwilligungspflicht, Kopplungsverbot, fehlende Transparenz | Irreführende Angaben, aggressive Verkaufsmethoden, unzumutbare Belästigung, Schleichwerbung | Irreführende oder unsachliche Werbung, Heilversprechen, Laienwerbung für rezeptpflichtige Medikamente |
| Sanktionen | Bußgelder, Abmahnungen durch Aufsichtsbehörden | Abmahnungen, Unterlassungsansprüche, Schadensersatz, Bußgelder | Abmahnungen, Bußgelder, strafrechtliche Konsequenzen |
| Relevanz für Growth Hacking | Datenerhebung bei Gewinnspielen, Empfehlungsprogrammen, Newsletter-Anmeldungen | Gestaltung von Werbekampagnen, Transparenzpflichten, Vermeidung von Spam und Belästigung | Spezielle Regeln für Health-Startups, Influencer-Marketing im Gesundheitsbereich |
Datenschutz-Grundverordnung (DSGVO)
Sobald personenbezogene Daten für Marketingzwecke genutzt werden, ist die DSGVO einschlägig. Growth-Hacking-Kampagnen sammeln oft Daten, etwa E-Mail-Adressen bei Gewinnspielen oder Empfehlungen. Hier gilt strikte Zweckbindung und Einwilligungspflicht.
- Newsletter-Anmeldungen
- Gewinnspiel-Teilnahmen
- Referral-Registrierungen
Die Einwilligung sollte freiwillig, spezifisch und informiert sein. Wichtig ist, dass sie nicht zwangskoppelt sein darf. Ein Gewinnspiel, das nur bei gleichzeitiger Newsletter-Einwilligung mitgemacht werden kann, verstößt gegen das Kopplungsverbot der DSGVO.
Teilnehmer müssen zudem über die Datenverarbeitung und ihre Rechte aufgeklärt werden. Dazu gehören beispielsweise das Widerrufsrecht der Einwilligung. Ohne DSGVO-Compliance drohen Abmahnungen und Bußgelder von den Aufsichtsbehörden. Diese können gerade bei Startups empfindlich sein.
Daher ist Privacy by Design auch im Marketing Pflicht. Es sollten nur die nötigsten Daten erhoben werden, eine sichere Speicherung ist essenziell. Nutzen Sie vor allem Double-Opt-in-Verfahren, um Einwilligungen zu verifizieren.
Gesetz gegen den unlauteren Wettbewerb (UWG)
Neben dem Datenschutz setzt das UWG den Rahmen für zulässige Werbepraktiken. Virale Marketingstrategien sind Werbung – und Werbung darf nicht unlauter sein. Das UWG verbietet unter anderem irreführende Angaben (§ 5 UWG), aggressive Verkaufsmethoden und vor allem Belästigung durch unerwünschte Werbung (§ 7 UWG).
Für Growth Hacking bedeutet das: Keine Spam-Mails, keine unverlangten Werbe-Nachrichten an Dritte und keine Schleichwerbung. Werbe-E-Mails oder -Nachrichten ohne ausdrückliche vorherige Einwilligung des Empfängers gelten als unzumutbare Belästigung
und sind unzulässig.
Selbst moderne Ansätze wie „Tell-a-Friend“-Funktionen, bei denen Nutzer Freunde über ein Produkt oder einen Dienst empfehlen können, wurden vom Bundesgerichtshof als unzulässige Werbung eingestuft. Dies gilt, wenn die Empfehlung über das System des Unternehmens versandt wird.
Jede geschäftliche Handlung, die den Empfänger überrascht, täuscht oder bedrängt, ist riskant. Viral geht nur, was transparent als Werbung erkennbar ist und auf freiwilliger Teilnahme beruht. Insbesondere muss der kommerzielle Zweck von Aktionen offensichtlich sein.
Versteckte Werbung in scheinbar privaten Beiträgen, etwa durch Influencer ohne Kennzeichnung, fällt unter das Schleichwerbungsverbot des UWG (§ 5a Abs.6 UWG).
Heilmittelwerbegesetz (HWG)
Für Health-Startups kommt eine weitere rechtliche Schicht hinzu. Das HWG reglementiert Werbung für Arzneimittel, Medizinprodukte und medizinische Verfahren. Hier gilt: Spezialgesetz schlägt Allgemeingesetz.
In der Gesundheitsbranche gelten neben UWG und DSGVO strenge Sonderregeln. Das HWG verbietet irreführende oder unsachliche Werbung für Heilmittel (§ 3 HWG). Heilversprechen, übertriebene Erfolgsaussagen oder die Werbung mit fachfremden Testimonials können unzulässig sein.
Beispiel: Ein Gesundheitsstartup darf nicht ungeprüft behaupten, sein Produkt heilt garantiert
oder Prominente ohne Genehmigung als Fürsprecher einsetzen. Zudem untersagt das HWG die Laienwerbung für rezeptpflichtige Medikamente vollständig. Solche Produkte dürfen weder offline noch viral im Netz gegenüber der Allgemeinheit beworben werden.
Influencer-Marketing im Healthcare-Bereich ist daher besonders heikel. Auch Social-Media-Posts müssen HWG-konform sein, zum Beispiel mit Pflichtangaben wie Zu Risiken und Nebenwirkungen…
bei Arzneimitteln. Unzulässige Heilaussagen sind zu vermeiden.
Startups mit Fitness-Apps oder Telemedizin-Angeboten bewegen sich manchmal am Rand des HWG. Entscheidend ist, ob ein konkretes Heilmittel oder medizinischer Zweck beworben wird. Im Zweifel muss Werbung im Gesundheitssektor besonders zurückhaltend und präzise sein, um nicht gegen das HWG zu verstoßen.
Diese strengen Regeln bestehen neben den allgemeinen Vorgaben des UWG. Ein Verstoß kann Abmahnungen durch Mitbewerber oder Aufsichtsbehörden sowie hohe Geldbußen nach sich ziehen.
Grauzonen-Taktiken im Check: Gewinnspiele, Empfehlungen, B2B-Hacks
Gewinnspiele als Viral-Treiber
Gewinnspiele sind ein klassischer Growth Hack, um schnell Aufmerksamkeit und neue Leads zu gewinnen. Doch rechtlich lauern Fallstricke. Teilnahmebedingungen sind unerlässlich.
Die Teilnehmer müssen klar und verständlich erfahren:
- Wer der Veranstalter ist.
- Was es zu gewinnen gibt.
- Wie die Teilnahme abläuft und bis wann.
- Welche Regeln und Einschränkungen gelten.
Nach UWG dürfen Gewinnspiele nicht irreführend oder unfair sein. Der ausgelobte Preis muss real und wie beschrieben vergeben werden; versteckte Kosten oder Bedingungen wären unlauter. Für weitere Informationen kann auch der Artikel „Gewinnspiele im Marketing: Wann ein Abbruch zulässig ist“ hilfreich sein.
Wichtig: Die Teilnahme an einem Gewinnspiel darf nicht von einem Kauf oder einer Zahlung abhängig gemacht werden. Andernfalls besteht die Gefahr, dass es als unerlaubtes Glücksspiel gewertet wird.
In Deutschland wäre ein Gewinnspiel mit Kaufzwang unter Umständen ein Verstoß gegen das Glücksspielrecht (§ 284 StGB verbietet unerlaubte Lotterien). Daher sind seriöse Promotions immer ohne Einsatz
möglich.
Ebenso kritisch ist die oft gesehene Kopplung von Gewinnspiel und Newsletter: Nimm teil, indem du dich für unseren Newsletter registrierst.
Hier ist Vorsicht geboten. Laut DSGVO muss die Einwilligung zum Newsletter freiwillig sein.
Teilnehmer müssen also die Chance haben, am Gewinnspiel teilzunehmen, ohne den Newsletter abonnieren zu müssen. Ansonsten ist die Einwilligung unwirksam, und die nachfolgende Werbung wäre rechtswidrig. Das Setzen von Cookies ohne Einwilligung kann hier ebenfalls problematisch sein.
Datenschutz bei Gewinnspielen bedeutet auch: Teilnehmerdaten nur für die Gewinnabwicklung und die klar kommunizierten Zwecke nutzen. Eine separate Einwilligung zur Nutzung der Daten für Werbung ist zu empfehlen, wenn dies geplant ist.
Schließlich sollten gerade Social-Media-Gewinnspiele die Plattformregeln beachten. Facebook erlaubt zum Beispiel nicht, dass Teilnehmer sich selbst auf Fotos oder fremde Freunde markieren müssen.
Ein Beispiel aus der Praxis: Das deutsche Startup Got Bag erreichte 2023 mit einem Instagram-Gewinnspiel (Win a Van
) hunderttausende Nutzer. Es sorgte aber zugleich dafür, die Teilnahmebedingungen prominent zu verlinken und alle Anforderungen einzuhalten. Dazu gehörten kostenfreie Teilnahme, klare Fristen und neutrale Auslosung. Damit blieb der virale Erfolg juristisch sauber.
Merke: Gewinnspiele generieren Reichweite. Ohne rechtliches Fundament führen sie jedoch schnell zu Ärger. Transparenz und Fairness sind das A und O.
Empfehlungsmarketing und Referral-Programme
Empfiehl uns weiter und erhalte eine Prämie
– solche Kunden-werben-Kunden-Programme sind Gold wert fürs Wachstum. Doch auch hier gilt es, die Balance zwischen Viralität und Recht zu halten.
Problematisch wird es immer dann, wenn die Empfehlung ohne Zustimmung des Geworbenen erfolgt. Ein klassisches No-Go: Das Startup bietet einen Tell-a-Friend
-Button an, worüber Bestandskunden automatisch Einladungs-E-Mails an Freunde senden lassen können.
Die Gerichte sehen darin unzulässige Werbung. Der Bundesgerichtshof hat entschieden, dass ein Unternehmen, das den Versand solcher Empfehlungs-Mails ermöglicht, dafür haftet wie für eigene Werbe-E-Mails. Voraussetzung ist, dass der Freund dem Erhalt nicht vorher ausdrücklich zugestimmt hat.
Mit anderen Worten: Eine unverlangte E-Mail bleibt Werbung des Unternehmens, auch wenn ein Kunde sie auslöst. Daher sollten Referral-Systeme datenschutzfreundlich gestaltet sein.
Besser als Direkt-E-Mails über das System sind personalisierte Einladungslinks, die der zufriedene Kunde selbst an Freunde weitergeben kann. Teilt der Kunde den Link aus freien Stücken, etwa via WhatsApp oder persönlich, bewegt man sich eher im privaten Bereich. Dann findet das UWG keine Anwendung auf die private Kommunikation unter Freunden.
Das Unternehmen sollte jedoch keinesfalls selbst aktiv die Kontaktdaten der Freunde nutzen, solange keine Einwilligung dieser Personen vorliegt. DSGVO-technisch ist schon die Verarbeitung einer fremden E-Mail-Adresse kritisch, wenn keine Rechtsgrundlage existiert.
Empfehlungsprogramme sollten deshalb möglichst ohne direkte Verarbeitung der Freundesdaten auskommen. Alternativ sollten sie erst nach eigenständiger Registrierung des Geworbenen greifen.
Double-Opt-in beim Onboarding: Meldet sich der Geworbene über den Empfehlungslink an, zum Beispiel für einen Newsletter oder Account, ist ein Bestätigungsprozess Pflicht. Dies dient dem Ausschluss von Missbrauch. Einwilligungsbestätigungen dürfen dabei keinen werblichen Inhalt haben, sonst könnten auch sie als Spam gewertet werden.
Viele Startups, etwa die Neobank N26, setzen erfolgreich auf Freundschaftswerbung. Bestandskunden erhalten einen Bonus (z.B. 15 €), wenn sie einen Freund überzeugen, Kunde zu werden. Entscheidend ist, dass der Freund freiwillig kommt und bei der Registrierung allen Datenschutz- und Einwilligungserfordernissen zugestimmt hat.
Nicht zulässig wäre hingegen, massenhaft E-Mail-Adressen aus dem Adressbuch der Kunden ohne deren Zutun anzuschreiben. Hier ist die Devise: Empfehlungen ja, aber ohne Belästigung Dritter.
Startups sollten zudem ihre Prämien sauber abwickeln. Versprochene Boni müssen gezahlt werden, sonst drohen vertragsrechtliche Forderungen und Imageschäden. Vertragsklauseln in den Referral-AGB, etwa kein Anspruch auf Prämie bei Missbrauch
, müssen transparent und wirksam sein. Andernfalls könnten sie unwirksam sein oder Ärger mit der AGB-Kontrolle bereiten.
Virale B2B-Strategien
Auch im Business-to-Business-Marketing setzen Startups zunehmend auf virale Effekte. Taktiken wie Gated Content (hochwertige Inhalte, abrufbar erst nach Registrierung), Invite-Only-Plattformen (begrenzter Zugang, um Begehrlichkeit zu wecken) oder provokanter Rage Content
(polarisierende Inhalte, die bewusst Diskussionen anfachen) sollen Fachpublikum neugierig machen.
Rechtlich sind diese Ansätze zulässig, solange gewisse Grenzen gewahrt bleiben. Gated Content ist im Prinzip nichts anderes als ein Tauschgeschäft: Der potenzielle Kunde erhält ein Whitepaper oder eine Studie, das Startup im Gegenzug seine Kontaktdaten für spätere Ansprache.
Achtung DSGVO: Hier muss klar kommuniziert werden, wozu die Daten angefordert werden. Wer seine E-Mail für ein Whitepaper hergibt, rechnet vielleicht mit einer Folgemail. Jedoch nicht automatisch mit einem Newsletter-Abo. Daher sollte die Einwilligung zur weiteren Kontaktaufnahme getrennt eingeholt werden.
Oft ist es sinnvoll, beim Download-Formular Checkboxen anzubieten, etwa Ich bin einverstanden, dass Sie mich in Zukunft zu Ihren Produkten kontaktieren
. Ohne eine solche Einwilligung darf das Startup die gewonnenen Kontaktdaten nur sehr eingeschränkt verwenden.
Im B2B-Bereich könnte allenfalls ein sehr zielgerichteter individueller Kontakt per E-Mail zulässig sein, wenn ein berechtigtes Interesse vorliegt. Dies gilt, sofern § 7 UWG nicht greift. Für Werbung braucht es aber eigentlich immer Opt-in, außer es handelt sich um einen Bestandskunden.
Limited Access/Invite-Only Strategien, wie seinerzeit der Hype um exklusive Beta-Zugänge, sind marketingtechnisch erlaubt. Dies gilt, solange sie nicht in eine Irreführung abgleiten. Wenn Knappheit nur künstlich vorgespielt wird, ohne dass tatsächlich eine Limitierung besteht, könnte man darüber diskutieren, ob das täuschend ist.
In der Regel wird das Publikum solche Mittel aber durchschauen, sodass keine relevante Irreführung gegeben ist. Rechtlich unproblematisch sind Wartelisten oder Einladungsrunden, solange alle, die sich registrieren, fair behandelt werden. Zudem dürfen keine diskriminierenden Kriterien eingesetzt werden.
Ein Beispiel: Ein SaaS-Startup könnte eine Beta-Phase nur für eingeladene Nutzer starten, um Exklusivität zu erzeugen – das ist zulässig. Es sollte jedoch in den Nutzungsbedingungen klarstellen, dass kein Anspruch auf Zugang besteht. Die Auswahl erfolgt gegebenenfalls per Los oder objektiven Kriterien, um Transparenz zu wahren.
Zum Thema Cold Contacting auf LinkedIn gibt es spezifische Urteile, die beachtet werden sollten.
„Rage Content“ und polarisierende Kampagnen
Im B2B-Marketing, besonders auf LinkedIn oder Twitter, beobachten wir den Trend, bewusst kantige Meinungen oder kontroverse Thesen zu posten. Ziel ist es, virale Verbreitung zu erreichen – positiver oder negativer Zuspruch, Hauptsache Engagement.
Juristisch bewegt sich das in keinem Sonderrechtsgebiet, solange die Inhalte nicht gegen allgemeine Gesetze verstoßen. Allerdings ist die Grenze schnell erreicht, wenn aus Provokation Beleidigung, Verleumdung oder volksverhetzende Inhalte werden.
Startups dürfen auch im Eifer der viralen Jagd keine Persönlichkeitsrechte verletzen. Wer zum Beispiel einen Mitbewerber öffentlich anprangert oder herabwürdigt, könnte wegen § 4 UWG (Herabsetzung von Mitbewerbern) oder gar wegen übler Nachrede (§ 186 StGB) belangt werden. Darf ich schlecht über einen Wettbewerber sprechen? beleuchtet dies genauer.
Hate-Baiting oder Aufruf zu Extremen kann außerdem gegen die Plattformrichtlinien verstoßen. Viele Netzwerke verbieten Inhalte, die Hass oder Gewalt fördern. Somit ist Rage Content eine zweischneidige Strategie.
Er bringt zwar Diskussion, birgt aber hohe Reputations- und Rechtsrisiken. Zudem sollten Unternehmen bedenken, dass etwa auf LinkedIn ein allzu aggressiver Tonfall dem seriösen Image schaden kann.
Empfehlung: Kontroverse Statements mit Bedacht einsetzen, Fakten checken und nie illegalen Content posten. Dann bleibt das Worst-Case-Risiko nur
ein Shitstorm – nicht aber eine Abmahnung oder Sperre.
Social Media Marketing: Influencer, Ads und Plattform-Regeln
Influencer-Marketing und skalierende Effekte
Influencer können einer Kampagne zum Durchbruch verhelfen. Ihre Empfehlungen wirken authentisch und erreichen tausende Follower. Doch gerade hier schaut der Gesetzgeber genau hin.
Kennzeichnungspflicht: In Deutschland ist inzwischen klar geregelt, dass Influencer-Beiträge, die kommerzieller Natur sind, als Werbung kenntlich gemacht werden müssen. Es darf keine Schleichwerbung stattfinden.
Die Herausforderung: Influencer bewegen sich im Lifestyle-Kontext, wo persönliche Empfehlungen und Werbung verschwimmen. Deutsche Gerichte haben in den letzten Jahren Maßstäbe gesetzt. Ein Leitfaden zur Werbekennzeichnung ist hier unerlässlich.
So entschied der BGH 2021 in mehreren Fällen, dass das Verlinken von Marken (Tap Tags
auf Instagram) ohne Werbekennzeichnung zulässig sein kann. Dies gilt, wenn die Influencerin keine Gegenleistung für den Post erhalten hat und der Beitrag nicht übertrieben werblich gerät.
Sobald jedoch eine Gegenleistung (Bezahlung, Gratisprodukte oder andere Vorteile) im Spiel ist, gilt der Post als kommerziell. Dann muss ein Hinweis wie Anzeige
oder Werbung
deutlich sichtbar angebracht werden. Für Details zu vertraglichen Regelungen für Influencer ist der Artikel „Verträge für Influencer: Was Du wissen musst“ relevant.
Startups, die mit Influencern zusammenarbeiten, sollten dies unbedingt vertraglich festhalten. Die Influencer müssen alle vom deutschen Recht geforderten Kennzeichnungen vornehmen. Fehlt der Werbehinweis, drohen Abmahnungen durch Wettbewerbsverbände oder Mitbewerber nach UWG. Auch die Medienaufsichtsbehörden interessieren sich für Influencer-Werbung und können Bußgelder verhängen.
Neben der Kennzeichnung ist die Inhaltstransparenz wichtig. Insbesondere im Gesundheitssektor (siehe HWG) dürfen Influencer keine ungeprüften Gesundheitsversprechen abgeben. Ein Health-Startup darf seinem Influencer beispielsweise nicht gestatten, das Produkt als Wundermittel
anzupreisen. Hier haftet am Ende auch das Unternehmen mit, wenn falsche Heilversprechen verbreitet werden.
Datengetriebenes Influencer-Marketing, zum Beispiel Tracking der Conversion der Influencer-Aktion mittels Cookies oder Codes, muss ebenfalls DSGVO-konform sein. Wird etwa ein spezieller Trackinglink verwendet, ist sicherzustellen, dass Nutzer gegebenenfalls eingewilligt haben, getrackt zu werden (Stichwort Cookies/Tracking-Pixel auf der Landingpage).
Ein weiterer Aspekt sind Umsatzsteuerfragen bei Spenden und Support für Influencer. Insgesamt gilt: Influencer-Marketing kann skalieren, aber es muss astrein gekennzeichnet und vertraglich klug gesteuert sein. So agieren beide Seiten, Startup und Influencer, rechtlich sicher. Auch Influencer im Ausland sind an deutsche Gesetze gebunden. Sunset-Klauseln und Einnahmenbeteiligungen sind wichtige vertragliche Details.
Social Ads und personalisierte Werbung
Viralität lässt sich oft mit bezahlten Anzeigen verstärken – ob auf Facebook, Instagram, TikTok oder LinkedIn. Diese sozialen Plattformen bieten leistungsstarke Targeting-Möglichkeiten, stellen aber auch eigene Regeln und bringen datenschutzrechtliche Verantwortlichkeiten mit.
GDPR und Targeting: Wenn ein Startup Social-Media-Ads schaltet, die auf bestimmten Nutzerprofilen basieren (Interessen, Standort, Verhalten), werden die Daten direkt vom Plattformanbieter genutzt. Dennoch muss der Werbetreibende die Nutzer darüber informieren, zum Beispiel in der Datenschutzerklärung, dass er auf Plattformen zielgerichtete Werbung einsetzt.
Bei Custom Audiences, etwa wenn man eine Kundenliste zu Facebook hochlädt, um diese oder ähnliche Personen gezielt anzusprechen, ist eine vorherige Einwilligung der betroffenen Kunden erforderlich. Facebook verlangt von Werbekunden vertraglich die Zusicherung, dass die hochgeladenen Kontakte rechtskonform erhoben wurden.
Ohne Einwilligung verstößt man gegen DSGVO, da sensible Nutzerdaten zu Werbezwecken verarbeitet und an Dritte (Facebook) gegeben werden. Dies kann zu hohen Schadensersatzforderungen bei Datenschutzverletzungen führen.
Gemeinsame Verantwortlichkeit: Ein wichtiger rechtlicher Aspekt ist, dass der Europäische Gerichtshof festgestellt hat, dass Betreiber von Facebook-Fanpages oder ähnlichen Auftritten mitverantwortlich für die Verarbeitung der Nutzerdaten sind.
Das heißt, ein Startup, das eine Unternehmensseite auf Facebook betreibt oder eine Werbekampagne dort startet, trägt Mitverantwortung für die Datenerhebung. Beispiele sind Insights-Daten oder das Tracking der Seitenbesucher. Praktisch sollte man daher mit dem Plattformbetreiber eine Vereinbarung zur geteilten Verantwortung abschließen. Facebook stellt entsprechende Zusatzbedingungen bereit.
Zusätzlich sollten Nutzer auf der eigenen Website informiert werden. Die Thematik um Facebook-Seiten und Datenschutz ist seit Längerem relevant.
Opt-in/Opt-out bei Tracking: In Deutschland verlangt das Telemedienrecht (speziell das TTDSG) für nicht notwendige Cookies und Pixel eine Einwilligung. Wer also zum Beispiel den Facebook-Pixel auf seine Landingpage setzt, um Conversions zu messen oder Retargeting zu ermöglichen, muss von Besuchern vorab die Erlaubnis einholen (Cookie-Banner).
Ohne Opt-in kann allein der Pixel-Aufruf schon unzulässig sein, wie deutsche Gerichte in Cookie-Urteilen klargestellt haben.
Plattform-Richtlinien und Compliance
Jede Social-Media-Plattform hat eigene Nutzungsbedingungen und Werberichtlinien, die bei viralen Marketingaktionen im Auge behalten werden müssen. Startups sind vertraglich an diese Regeln gebunden, wenn sie die Plattform nutzen.
Ein Verstoß kann zur Sperrung des Accounts oder Löschung von Inhalten führen, unabhängig von der Rechtslage. Bei Problemen mit dem Account kann juristische Strategie gegen unberechtigte Sperrungen helfen. Auch unberechtigte Schutzrechtsverwarnungen sind ein Thema.
Beispiel Facebook/Instagram: Hier gelten Promotionsrichtlinien, die unter anderem festlegen, dass Gewinnspiele eine vollständige Freistellung von Facebook in den Teilnahmebedingungen enthalten müssen. Zudem dürfen sie nicht über private Chroniken abgewickelt werden.
So darf ein Gewinnspiel-Posting nicht verlangen, dass Nutzer das Gewinnspiel auf ihrer eigenen Pinnwand teilen oder Freunde darauf markieren, da Facebook dies als unerwünschte Spam-Praktik ansieht. Stattdessen sind Aufforderungen zum Liken, Kommentieren oder der Nutzung offizieller Funktionen, wie dem Facebook-Poll-Tool, erlaubt.
Instagram als zu Facebook gehörende Plattform handhabt dies ähnlich. Auch dort sollte man vorsichtig sein, Teilnehmer nicht zum Taggen wildfremder Personen zu animieren.
TikTok hat ebenfalls Community Guidelines und Werbepolicies. Virale Challenges oder Hashtag-Aktionen sind beliebt. Inhalte, die gegen TikToks Regeln verstoßen (z.B. gefährliche Stunts, beleidigende oder politische Inhalte), werden entfernt. Wer also eine Challenge startet, muss dafür sorgen, dass sie mit den TikTok-Richtlinien vereinbar ist.
LinkedIn als berufliches Netzwerk duldet keine Automatisierungs-Growth-Hacks wie Bots zum massenhaften Versenden von Kontaktanfragen oder Nachrichten. Ein Startup, das beispielsweise mittels Scraping oder automatisierten Tools Kontakte generiert und anspricht, verstößt gegen die LinkedIn-Nutzungsbedingungen und riskiert eine Sperre.
Zudem können ungebetene Verkaufsnachrichten an Fremde als unzulässige Werbung (UWG) gewertet werden.
AGB-Kontrolle: Zwar unterliegen die Plattform-AGB grundsätzlich dem Recht des jeweiligen Anbieters (oft irisches Recht bei Facebook/Instagram, US-Recht bei LinkedIn mit EU-Ausnahmen). Ein deutsches Unternehmen kann unwirksame Klauseln im Zweifel aber auch nach deutschem AGB-Recht beanstanden.
In der Praxis ist man jedoch als einzelner Nutzer kaum in der Position, die Vertragsbedingungen großer Plattformen zu verhandeln. Daher liegt der Schwerpunkt auf Compliance: Die Einhaltung der Plattformregeln wird Teil der Compliance-Strategie des Startups.
Es gilt, Kampagnen so zu planen, dass sie sowohl deutschen Gesetzen als auch den Richtlinien von TikTok, Meta, LinkedIn & Co. entsprechen. Dies schützt nicht nur vor Account-Sperren, sondern bewahrt auch vor Reputationsproblemen. Ein öffentlich bekannt gewordenes Verbot oder ein gelöschter Post wirft ein schlechtes Licht auf die Professionalität der Firma.
Das Digitale-Dienste-Gesetz (DDG) ist hierbei ebenfalls ein wichtiger Faktor.
Praxisbeispiele: Growth Hacking zwischen Legalität und Innovation
Beispiel 1: Viraler Gewinnspiel-Coup
Ein bekanntes deutsches Jungunternehmen aus der Nachhaltigkeitsbranche, Got Bag, verdoppelte seine Instagram-Follower binnen weniger Tage durch ein spektakuläres Gewinnspiel. Verlost wurde ein hochwertiger Camper-Van. Die Teilnahme war an typische virale Aktionen geknüpft: Folgen, Liken, Teilen, Freunde markieren.
Dieser Erfolg zeigt das Potenzial – aber Got Bag achtete auch auf die Regeln. Die Teilnahme war kostenlos und ohne weitere Gegenleistung möglich. Die Bedingungen waren transparent veröffentlicht. So wurde die Aktion nicht als unlauter angesehen.
Lerneffekt: Auch bei aggressiver Reichweitensteigerung müssen die Spielregeln klar und fair bleiben. Hätte Got Bag etwa die Vergabe des Gewinns willkürlich geändert oder versteckte Agenden verfolgt, wären schnell enttäuschte Teilnehmer und rechtliche Schritte gefolgt.
Stattdessen kommunizierte das Startup offen über den Ablauf und hielt Wort bei der Preisvergabe. So wurde aus einem Growth Hack kein Rechtsproblem, sondern eine Erfolgsstory.
Beispiel 2: Empfehlungsprogramm mit Stolpersteinen (hypothetisch)
Stellen wir uns das FinTech-Startup PaySmart vor, das Neukunden durch ein Kunden-werben-Kunden-Programm gewinnen will. Bestandskunde Alice kann über die App Freunde einladen und für jeden geworbenen Nutzer 20 Euro Prämie kassieren.
Um den Prozess zu beschleunigen, implementiert PaySmart eine Funktion, bei der Alice lediglich E-Mail-Adressen ihrer Freunde eingibt und das System automatisch eine Einladung verschickt. Dieser vermeintliche Komfort führte jedoch zu Beschwerden.
Freund Bob fühlte sich von der unverlangten Werbemail belästigt und meldete dies der Verbraucherzentrale. Kurze Zeit später erhielt PaySmart eine Abmahnung wegen Verstoßes gegen § 7 UWG (unzumutbare Belästigung durch Werbe-E-Mails).
Die Lehre: Das Startup hätte besser den Weg gewählt, Alice einen Empfehlungslink bereitzustellen, den sie eigenständig weiterleiten kann. So bleibt die Kommunikation privat-initiiert.
In der echten Startup-Welt haben einige Unternehmen teuer lernen müssen, dass ungefragte Einladungs-E-Mails an Dritte tabu sind. Heute setzen fast alle auf selbst geteilte Links oder fragen vor dem Versand von Empfehlungsnachrichten zumindest um Erlaubnis.
PaySmart korrigiert in unserem Beispiel sein Programm, integriert ein Double-Opt-in für Newsletter-Anmeldungen der Geworbenen und vermeidet fortan automatisierte Freundesanschreiben. Damit funktioniert das Empfehlungsmarketing nachhaltig und rechtssicher.
Beispiel 3: Influencer-Kampagne eines Health-Startups
Das Berliner Startup FitLife vertreibt eine Gesundheits-App, die trainingsbasierte Therapie bei Rückenschmerzen verspricht. Zur schnellen Bekanntheitssteigerung kooperiert FitLife mit einer reichweitenstarken Influencerin.
Diese postet Videos auf TikTok und Instagram, in denen sie ihre Rückengymnastik mit FitLife lobt. Die Kampagne geht viral – doch plötzlich erhält FitLife Post von der Wettbewerbszentrale, einem in Deutschland sehr aktiven Selbstkontrollorgan.
In einem der Videos fehlte der Hinweis, dass es sich um Werbung handelt, obwohl die Influencerin von FitLife bezahlt wurde. Zudem wurden Sätze verwendet wie Mit dieser App sind meine Rückenschmerzen für immer weg – garantiert!
.
Die Wettbewerbszentrale moniert einen Verstoß gegen das HWG wegen irreführender Gesundheitswerbung. FitLife muss reagieren: Umgehend werden die betreffenden Posts gelöscht oder nachträglich mit #Werbung gekennzeichnet.
Gemeinsam mit der Influencerin erarbeitet man neue Richtlinien für künftige Posts. Jede gesundheitsbezogene Aussage wird vorab juristisch geprüft, absolute Heilversprechen werden vermieden.
Das Beispiel zeigt: Gerade bei Gesundheitsprodukten schlagen gleich zwei Regime zu – das UWG (Schleichwerbung) und das HWG (Heilversprechen). Startups sollten mit ihren Marketing-Partnern klare Absprachen treffen, Schulungen anbieten und im Zweifel vor Veröffentlichung fachkundigen Rat einholen.
So lässt sich Influencer-Marketing auch in regulierten Branchen erfolgreich, aber compliant umsetzen.
Beispiel 4: Gated Content im B2B (hypothetisch)
Das SaaS-Startup DataSecure bietet eine Cybersecurity-Software für Unternehmen an. Um Leads zu generieren, erstellt es einen hochkarätigen Branchenreport zum Thema IT-Sicherheit 2025.
Interessenten können diesen Report kostenlos von der Website herunterladen. Dafür müssen sie jedoch ein Formular mit Angaben wie Name, Firma und E-Mail ausfüllen. DataSecure plant, alle Downloader in den Wochen danach durch das Sales-Team per E-Mail und Telefon kontaktieren zu lassen, um die Software zu pitchen.
Rechtliche Bewertung: Das Prinzip des Gated Content ist zulässig. Die nachgelagerte Nutzung der Kontaktdaten erfordert jedoch Sorgfalt. Idealerweise hat DataSecure im Formular eine Einwilligung eingeholt, zum Beispiel: Ja, ich möchte von DataSecure bezüglich Angeboten und Updates kontaktiert werden.
Liegt eine solche ausdrückliche Einwilligung vor, darf das Startup die Leads proaktiv anschreiben oder anrufen. Bei Telefon gilt zusätzlich § 7 UWG: Anrufe zu Werbezwecken erfordern ebenfalls vorheriges Einverständnis des Angerufenen.
Hat DataSecure keine ausdrückliche Zustimmung, könnte es sich allenfalls auf ein berechtigtes Interesse berufen, um einmalig per E-Mail nachzufragen. Im B2B-Bereich werden Erstkontakte manchmal toleriert, wenn ein konkretes Interesse vermutet werden kann. Sicherer ist aber stets das Opt-in.
In unserem Beispiel entscheidet sich DataSecure dafür, die Nutzer im Downloadformular optional ein Häkchen für künftige Infos setzen zu lassen. Das Ergebnis: Etwas weniger Leads willigen ein, aber dafür sind die anschließenden Marketingkontakte abgesichert.
Sollte dennoch jemand die Kontaktaufnahme als störend empfinden, bietet DataSecure natürlich jederzeit eine Opt-out-Möglichkeit. Dazu gehören ein Abmeldelink in E-Mails und eine Widerspruchsmöglichkeit gegen Datennutzung – ein weiterer wichtiger Compliance-Aspekt.
Fazit aus dem Beispiel: Selbst in der Lead-Generierung via Content sollten Datenschutz und UWG im Hinterkopf bleiben. Wer frühzeitig die Kommunikation auf Einwilligung stützt, erspart sich spätere Konflikte und zeigt Professionalität.
Rechtliche Risiken und typische Problemfelder bei viralen Wachstumsstrategien
Abmahnungen und gerichtliche Verfahren
Abschließend lohnt der Blick auf die allgemeinen Risiken, die mit aggressiven Growth-Hacking-Maßnahmen einhergehen, und wie man ihnen begegnen kann. Der größte Risikofaktor sind sicherlich Abmahnungen. In Deutschland können Mitbewerber oder befugte Verbände, wie Verbraucherzentralen und die Wettbewerbszentrale, Wettbewerbsverstöße kostenpflichtig abmahnen.
Eine unzulässige Werbemail, eine irreführende Werbeaussage oder ein fehlender Influencer-Hinweis – all das kann innerhalb weniger Tage eine Abmahnung nach sich ziehen. Für Startups, die meist kein großes Budget für Rechtsstreitigkeiten haben, bedeutet dies zum einen Kosten für Anwaltsgebühren und gegebenenfalls Vertragsstrafen.
Zum anderen entsteht ein immenser Zeit- und Nervenaufwand, um die Angelegenheit zu klären. Auch gerichtliche Verfügungsverfahren sind möglich, wenn man auf eine Abmahnung nicht angemessen reagiert. Das kann zur Untersagung einer ganzen Kampagne durch Gerichtsbeschluss führen. Dies ist das Worst-Case-Szenario für jede Marketingaktion.
Bußgelder nach DSGVO
Ein weiteres Risiko stellen Bußgelder nach DSGVO dar. Datenschutzverstöße, etwa das Versenden von Newslettern ohne gültige Einwilligung, unsichere Gewinnspiel-Formulare oder die unerlaubte Weitergabe von Nutzerdaten an Werbepartner, können von den Datenschutzbehörden mit beträchtlichen Geldbußen geahndet werden.
Dabei schauen die Behörden verstärkt auch auf kleinere Unternehmen, besonders wenn diese datengetrieben arbeiten. Für ein Startup kann schon ein fünfstelliges Bußgeld äußerst schmerzhaft sein.
Daher sollte Datenschutz-Compliance im Marketing Chefsache sein. Dazu gehören regelmäßige Checks, ob alle Opt-ins dokumentiert sind und ob Datenschutzerklärungen vollständig sind. Zudem muss überprüft werden, ob beispielsweise bei Einsatz von Tracking-Tools die Consent-Mechanismen funktionieren.
Typische Problemfelder in der Umsetzung
Typische Problemfelder in der Umsetzung solcher Strategien lassen sich zusammenfassen:
- Die Einwilligungsverwaltung: Oft mangelt es nicht am Willen der Kunden zur Teilnahme, sondern an der sauberen Einholung und Protokollierung der Einwilligung. Ein Startup muss jederzeit nachweisen können, dass Person X am Datum Y explizit zugestimmt hat, Marketing zu erhalten. Technisch bedeutet das, die entsprechenden Logs aufzubewahren.
- Die Ausgestaltung von Kampagnen-Mechaniken: Kreative Ideen stoßen manchmal an unsichtbare Mauern. Ein viral gestaltetes Gewinnspiel kann beispielsweise durch Plattformregeln oder rechtliche Vorgaben eingeschränkt werden (man denke an die Facebook-Richtlinie gegen
Teile und Gewinne
). Hier ist das Problem oft Unkenntnis – viele Gründer sind Marketingexperten, aber eben keine Juristen. Die Lösung besteht darin, frühzeitig juristischen Rat einzuholen oder spezialisierte Blogs/Quellen zu konsultieren, damit Fallstricke umschifft werden. - Das Feld Verträge und AGB: Wenn mit Influencern kooperiert wird, sollten schriftliche Vereinbarungen existieren, die die Pflichten (Kennzeichnung, inhaltliche Abstimmung, Haftung bei Rechtsverstößen) regeln. Ebenso bei Referral-Programmen oder Bonusaktionen – allgemeine Geschäftsbedingungen sollten rechtssicher formuliert sein. Startups tappen hier oft in die Falle, aus Zeitgründen auf Muster zurückzugreifen oder gar ohne klare Regeln zu agieren. Das kann sich rächen, wenn es zum Streit kommt. Auch AGB-Kontrolle durch Gerichte kann zum Thema werden, wenn etwa Teilnahmebedingungen zu einseitig sind; dann werden Klauseln im Zweifel zu Lasten des Aufstellers ausgelegt.
Zuletzt darf man den Compliance-Aspekt nicht vergessen. Ein legales Marketing ist Teil der Gesamt-Compliance eines Unternehmens. Gerade gegenüber Investor*innen oder Kooperationspartnern müssen Startups zeigen, dass sie verantwortungsvoll agieren.
Ein kleiner Rechtsverstoß kann im falschen Moment, etwa während einer Due-Diligence-Prüfung, große Schatten auf das Unternehmen werfen. Reputation steht hier auf dem Spiel. Das beste virale Wachstum nützt nichts, wenn parallel der Ruf leidet, man würde rechtliche Tricksereien
betreiben.
Im digitalen Zeitalter spricht sich auch unter Konsumenten schnell herum, wenn ein Unternehmen mit fragwürdigen Methoden agiert. Besser ist es, kreativ, aber ehrlich zu wachsen. Dazu gehört auch, im Zweifel transparent zu kommunizieren. Dies beinhaltet zum Beispiel das Offenlegen, warum bestimmte Daten erbittet werden, oder das schnelle und einsichtige Reagieren auf Kritik aus der Community.
Fazit
Growth Hacking und virales Marketing bleiben wichtige Instrumente für Startups, um sich gegen etablierte Wettbewerber durchzusetzen. Die juristischen Anforderungen sind dabei kein Grund, auf solche Strategien zu verzichten. Vielmehr sorgen sie für einen Rahmen, der letztlich auch das Vertrauen der Nutzer stärkt.
Wer die DSGVO beachtet, das UWG respektiert und branchenspezifische Gesetze wie das HWG kennt, kann kampagn
Häufig gestellte Fragen
Welche Gesetze sind für Growth Hacking und virales Marketing in Deutschland relevant?
Warum ist die Einwilligung bei Marketingkampagnen so wichtig?
Sind "Tell-a-Friend"-Funktionen rechtlich zulässig?
Was muss ich bei Gewinnspielen beachten, um rechtlich auf der sicheren Seite zu sein?