Growth Hacking und virales Marketing – Juristische Anforderungen

Growth Hacking und virales Marketing versprechen Startups rasantes Wachstum und hohe Reichweite mit geringem Budgeteinsatz. Gerade in der digitalen Szene werden kreative Kampagnen – von raffinierten Gewinnspielen über Empfehlungsprogramme bis hin zu kontroversen Social-Media-Aktionen – als Geheimrezept gehandelt, um Nutzerzahlen und Bekanntheit explosionsartig zu steigern. Doch was aus Marketingsicht genial ist, bewegt sich rechtlich oft in Grauzonen. Deutsches Recht setzt klare Grenzen: Datenschutz (DSGVO), Wettbewerbsrecht (UWG) und bei Gesundheitsprodukten sogar das Heilmittelwerbegesetz (HWG) schränken die freie Entfaltung vieler Growth-Hacking-Strategien ein. Dieser Beitrag beleuchtet die rechtlichen Anforderungen und Fallstricke solcher viralen Wachstumsstrategien. Er soll Gründer*innen und Marketing-Verantwortlichen in deutschen Startups helfen, innovative Kampagnen rechtskonform und risikoarm umzusetzen – und die Expertise eines IT- und Medienrechtlers spiegelt sich in jedem Abschnitt wider.

DSGVO, UWG & Co.: Rechtsrahmen für virales Marketing

Datenschutz-Grundverordnung (DSGVO): Sobald personenbezogene Daten für Marketingzwecke genutzt werden, ist die DSGVO einschlägig. Growth-Hacking-Kampagnen sammeln oft Daten – etwa E-Mail-Adressen bei Gewinnspielen oder Empfehlungen. Hier gilt strikte Zweckbindung und Einwilligungspflicht: Personen dürfen nur dann in Werbung einbezogen oder kontaktiert werden, wenn eine gültige Einwilligung (Opt-in) vorliegt oder ein anderer Erlaubnistatbestand greift. Für Startups heißt das konkret: Newsletter-Anmeldungen, Gewinnspiel-Teilnahmen oder Referral-Registrierungen müssen DSGVO-konform erfolgen. Die Einwilligung sollte freiwillig, spezifisch und informiert sein. Wichtig: Sie darf nicht zwangskoppelt sein – ein Gewinnspiel etwa, das nur bei gleichzeitiger Newsletter-Einwilligung mitgemacht werden kann, verstößt gegen das Kopplungsverbot der DSGVO. Auch müssen Teilnehmer über die Datenverarbeitung und ihre Rechte (z.B. Widerruf der Einwilligung) aufgeklärt werden. Ohne DSGVO-Compliance drohen Abmahnungen und Bußgelder von den Aufsichtsbehörden, die gerade bei Startups empfindlich sein können. Daher ist Privacy by Design auch im Marketing Pflicht: nur die nötigsten Daten erheben, sichere Speicherung, und vor allem Double-Opt-in-Verfahren nutzen, um Einwilligungen zu verifizieren.

Gesetz gegen den unlauteren Wettbewerb (UWG): Neben dem Datenschutz setzt das UWG den Rahmen für zulässige Werbepraktiken. Virale Marketingstrategien sind Werbung – und Werbung darf nicht unlauter sein. Das UWG verbietet unter anderem irreführende Angaben (§ 5 UWG), aggressive Verkaufsmethoden und vor allem Belästigung durch unerwünschte Werbung (§ 7 UWG). Für Growth Hacking bedeutet das: Keine Spam-Mails, keine unverlangten Werbe-Nachrichten an Dritte und keine Schleichwerbung. Werbe-E-Mails oder -Nachrichten ohne ausdrückliche vorherige Einwilligung des Empfängers gelten als unzumutbare Belästigung und sind unzulässig. Selbst moderne Ansätze wie “Tell-a-Friend”-Funktionen – bei denen Nutzer Freunde über ein Produkt oder einen Dienst empfehlen können – wurden vom Bundesgerichtshof als unzulässige Werbung eingestuft, wenn die Empfehlung über das System des Unternehmens versandt wird. Fazit UWG: Jede geschäftliche Handlung, die den Empfänger überrascht, täuscht oder bedrängt, ist riskant. Viral geht nur, was transparent als Werbung erkennbar ist und auf freiwilliger Teilnahme beruht. Insbesondere muss der kommerzielle Zweck von Aktionen offensichtlich sein – versteckte Werbung in scheinbar privaten Beiträgen (etwa durch Influencer ohne Kennzeichnung) fällt unter das Schleichwerbungsverbot des UWG (§ 5a Abs.6 UWG).

Heilmittelwerbegesetz (HWG): Für Health-Startups kommt eine weitere Schicht hinzu. Das HWG reglementiert Werbung für Arzneimittel, Medizinprodukte und medizinische Verfahren. Spezialgesetz schlägt Allgemeingesetz: In der Gesundheitsbranche gelten neben UWG und DSGVO strenge Sonderregeln. So verbietet das HWG irreführende oder unsachliche Werbung für Heilmittel (§ 3 HWG). Heilversprechen, übertriebene Erfolgsaussagen oder die Werbung mit fachfremden Testimonials können unzulässig sein. Beispiel: Ein Gesundheitsstartup darf nicht ungeprüft behaupten, sein Produkt “heilt garantiert” oder Prominente ohne Genehmigung als Fürsprecher einsetzen. Zudem untersagt das HWG die Laienwerbung für rezeptpflichtige Medikamente vollständig – solche Produkte dürfen gar nicht gegenüber der Allgemeinheit beworben werden, weder offline noch viral im Netz. Influencer-Marketing im Healthcare-Bereich ist daher besonders heikel: Auch Social-Media-Posts müssen HWG-konform sein, z.B. mit Pflichtangaben (“Zu Risiken und Nebenwirkungen…” bei Arzneimitteln) und ohne unzulässige Heilaussagen. Startups mit Fitness-Apps oder Telemedizin-Angeboten bewegen sich manchmal am Rand des HWG – entscheidend ist, ob ein konkretes Heilmittel oder medizinischer Zweck beworben wird. Grundsatz: Im Zweifel muss Werbung im Gesundheitssektor besonders zurückhaltend und präzise sein, um nicht gegen das HWG zu verstoßen. Diese strengen Regeln bestehen neben den allgemeinen Vorgaben des UWG; ein Verstoß kann Abmahnungen durch Mitbewerber oder Aufsichtsbehörden und hohe Geldbußen nach sich ziehen.

Grauzonen-Taktiken im Check: Gewinnspiele, Empfehlungen, B2B-Hacks

Gewinnspiele als Viral-Treiber: Gewinnspiele sind ein klassischer Growth Hack, um schnell Aufmerksamkeit und neue Leads zu gewinnen. Doch rechtlich lauern Fallstricke. Teilnahmebedingungen sind unerlässlich – die Teilnehmer müssen klar und verständlich erfahren, wer der Veranstalter ist, was es zu gewinnen gibt, wie die Teilnahme abläuft und bis wann, und vor allem welche Regeln und Einschränkungen gelten. Nach UWG dürfen Gewinnspiele nicht irreführend oder unfair sein. Beispielsweise muss der ausgelobte Preis real und wie beschrieben vergeben werden; versteckte Kosten oder Bedingungen wären unlauter. Wichtig: Die Teilnahme an einem Gewinnspiel darf nicht von einem Kauf oder einer Zahlung abhängig gemacht werden, sonst besteht die Gefahr, dass es als unerlaubtes Glückspiel gewertet wird. In Deutschland wäre ein Gewinnspiel mit Kaufzwang u.U. ein Verstoß gegen Glücksspielrecht (§ 284 StGB verbietet unerlaubte Lotterien). Daher sind seriöse Promotions immer “ohne Einsatz” möglich. Ebenso kritisch ist die oft gesehene Kopplung von Gewinnspiel und Newsletter: “Nimm teil, indem du dich für unseren Newsletter registrierst.” Hier ist Vorsicht geboten – laut DSGVO muss die Einwilligung zum Newsletter freiwillig sein. Teilnehmer müssen also die Chance haben, am Gewinnspiel teilzunehmen, ohne den Newsletter zu abonnieren. Ansonsten ist die Einwilligung unwirksam, und die nachfolgende Werbung wäre rechtswidrig. Datenschutz bei Gewinnspielen heißt auch: Teilnehmerdaten nur für die Gewinnabwicklung und die klar kommunizierten Zwecke nutzen. Eine separate Einwilligung zur Nutzung der Daten für Werbung ist zu empfehlen, wenn das geplant ist. Schließlich sollten gerade Social-Media-Gewinnspiele die Plattformregeln beachten (dazu gleich mehr): z.B. Facebook erlaubt nicht, dass Teilnehmer sich selbst auf Fotos oder fremde Freunde markieren müssen. Ein Beispiel aus der Praxis: Das deutsche Startup Got Bag erreichte 2023 mit einem Instagram-Gewinnspiel (“Win a Van”) hunderttausende Nutzer – sorgte aber zugleich dafür, die Teilnahmebedingungen prominent zu verlinken und alle Anforderungen (kostenfreie Teilnahme, klare Fristen, neutrale Auslosung) einzuhalten. Damit blieb der virale Erfolg juristisch sauber. Merke: Gewinnspiele generieren Reichweite, aber ohne rechtliches Fundament führen sie schnell zu Ärger – Transparenz und Fairness sind das A und O.

Empfehlungsmarketing und Referral-Programme: “Empfehle uns weiter und erhalte eine Prämie” – solche Kunden-werben-Kunden-Programme sind Gold wert fürs Wachstum. Doch auch hier gilt es, die Balance zwischen Viralität und Recht zu halten. Problematisch wird es immer dann, wenn die Empfehlung ohne Zustimmung des Geworbenen erfolgt. Ein klassisches No-Go: Das Startup bietet einen “Tell-a-Friend”-Button an, worüber Bestandskunden automatisch Einladungs-E-Mails an Freunde senden lassen können. Die Gerichte sehen darin unzulässige Werbung – der Bundesgerichtshof hat entschieden, dass ein Unternehmen, das den Versand solcher Empfehlungs-Mails ermöglicht, dafür haftet wie für eigene Werbe-E-Mails, sofern der Freund dem Erhalt nicht vorher ausdrücklich zugestimmt hat. Mit anderen Worten: Eine unverlangte E-Mail bleibt Werbung des Unternehmens, auch wenn ein Kunde sie auslöst. Daher sollten Referral-Systeme datenschutzfreundlich gestaltet sein: Besser als Direkt-E-Mails über das System sind personalisierte Einladungslinks, die der zufriedene Kunde selbst an Freunde weitergeben kann. Teilt der Kunde den Link aus freien Stücken – etwa via WhatsApp oder persönlich – bewegt man sich eher im privaten Bereich, und das UWG findet keine Anwendung auf die private Kommunikation unter Freunden. Das Unternehmen sollte jedoch keinesfalls selbst aktiv die Kontaktdaten der Freunde nutzen, solange keine Einwilligung dieser Personen vorliegt. DSGVO-Technisch ist schon die Verarbeitung einer fremden E-Mail-Adresse kritisch, wenn keine Rechtsgrundlage existiert. Empfehlungsprogramme sollten deshalb möglichst ohne direkte Verarbeitung der Freundesdaten auskommen, oder zumindest erst nach eigenständiger Registrierung des Geworbenen greifen. Double-Opt-in beim Onboarding: Meldet sich der Geworbene über den Empfehlungslink an (z.B. für einen Newsletter oder Account), ist ein Bestätigungsprozess Pflicht, um Missbrauch auszuschließen. Einwilligungsbestätigungen dürfen dabei keinen werblichen Inhalt haben, sonst könnten auch sie als Spam gewertet werden. Viele Startups – etwa die Neobank N26 – setzen erfolgreich auf Freundschaftswerbung: Bestandskunden erhalten einen Bonus (z.B. 15 €), wenn sie einen Freund überzeugen, Kunde zu werden. Entscheidend ist, dass der Freund freiwillig kommt und bei der Registrierung allen Datenschutz- und Einwilligungserfordernissen zugestimmt hat. Nicht zulässig wäre hingegen, massenhaft E-Mail-Adressen aus dem Adressbuch der Kunden ohne deren Zutun anzuschreiben. Hier ist die Devise: Empfehlungen ja, aber ohne Belästigung Dritter. Startups sollten zudem ihre Prämien sauber abwickeln – versprochene Boni müssen gezahlt werden, sonst drohen vertragsrechtliche Forderungen und Imageschäden. Vertragsklauseln in den Referral-AGB (etwa “kein Anspruch auf Prämie bei Missbrauch”) müssen transparent und wirksam sein, andernfalls könnten sie unwirksam sein oder Ärger mit der AGB-Kontrolle bereiten.

Virale B2B-Strategien: Auch im Business-to-Business-Marketing setzen Startups zunehmend auf virale Effekte. Taktiken wie Gated Content (hochwertige Inhalte, abrufbar erst nach Registrierung), Invite-Only-Plattformen (begrenzter Zugang, um Begehrlichkeit zu wecken) oder provokanter “Rage Content” (polarisierende Inhalte, die bewusst Diskussionen anfachen) sollen Fachpublikum neugierig machen. Rechtlich sind diese Ansätze zulässig, solange gewisse Grenzen gewahrt bleiben. Gated Content etwa ist im Prinzip nichts anderes als ein Tauschgeschäft: der potenzielle Kunde erhält ein Whitepaper oder eine Studie, das Startup im Gegenzug seine Kontaktdaten für spätere Ansprache. Achtung DSGVO: Hier muss klar kommuniziert werden, wozu die Daten angefordert werden. Wer seine E-Mail für ein Whitepaper hergibt, rechnet vielleicht mit einer Folgemail – aber nicht automatisch mit einem Newsletter-Abo. Daher sollte die Einwilligung zur weiteren Kontaktaufnahme getrennt eingeholt werden. Oft ist es sinnvoll, beim Download-Formular Checkboxen anzubieten (etwa “Ich bin einverstanden, dass Sie mich in Zukunft zu Ihren Produkten kontaktieren”). Ohne eine solche Einwilligung darf das Startup die gewonnenen Kontaktdaten nur sehr eingeschränkt verwenden – im B2B-Bereich könnte allenfalls ein sehr zielgerichteter individueller Kontakt per E-Mail zulässig sein, wenn ein berechtigtes Interesse vorliegt und § 7 UWG nicht greift (für Werbung braucht es aber eigentlich immer Opt-in, außer es handelt sich um einen Bestandskunden). Limited Access/Invite-Only Strategien – wie seinerzeit der Hype um exklusive Beta-Zugänge – sind marketingtechnisch erlaubt, solange sie nicht in eine Irreführung abgleiten. Wenn Knappheit nur künstlich vorgespielt wird, ohne dass tatsächlich eine Limitierung besteht, könnte man darüber diskutieren, ob das täuschend ist; in der Regel wird das Publikum solche Mittel aber durchschauen, sodass keine relevante Irreführung gegeben ist. Rechtlich unproblematisch sind Wartelisten oder Einladungsrunden, solange alle, die sich registrieren, fair behandelt werden und keine diskriminierenden Kriterien eingesetzt werden. Ein Beispiel: Ein SaaS-Startup könnte eine Beta-Phase nur für eingeladene Nutzer starten, um Exklusivität zu erzeugen – das ist zulässig. Es sollte jedoch in den Nutzungsbedingungen klarstellen, dass kein Anspruch auf Zugang besteht und die Auswahl ggf. per Los oder objektiven Kriterien erfolgt, um Transparenz zu wahren.

“Rage Content” und polarisierende Kampagnen: Im B2B-Marketing, besonders auf LinkedIn oder Twitter, beobachten wir den Trend, bewusst kantige Meinungen oder kontroverse Thesen zu posten, um virale Verbreitung zu erreichen – positiver oder negativer Zuspruch, Hauptsache Engagement. Juristisch bewegt sich das in keinem Sonderrechtsgebiet, solange die Inhalte nicht gegen allgemeine Gesetze verstoßen. Allerdings ist die Grenze schnell erreicht, wenn aus Provokation Beleidigung, Verleumdung oder volksverhetzende Inhalte werden. Startups dürfen auch im Eifer der viralen Jagd keine Persönlichkeitsrechte verletzen. Wer z.B. einen Mitbewerber öffentlich anprangert oder herabwürdigt, könnte wegen § 4 UWG (Herabsetzung von Mitbewerbern) oder gar wegen übler Nachrede (§ 186 StGB) belangt werden. Hate-Baiting oder Aufruf zu Extremen kann außerdem gegen die Plattformrichtlinien verstoßen (viele Netzwerke verbieten Inhalte, die Hass oder Gewalt fördern). Somit ist Rage Content eine zweischneidige Strategie: Er bringt zwar Diskussion, birgt aber hohe Reputations- und Rechtsrisiken. Zudem sollten Unternehmen bedenken, dass etwa auf LinkedIn ein allzu aggressiver Tonfall dem seriösen Image schaden kann. Empfehlung: Kontroverse Statements mit Bedacht einsetzen, Fakten checken und nie illegalen Content posten. Dann bleibt das Worst-Case-Risiko “nur” ein Shitstorm – nicht aber eine Abmahnung oder Sperre.

Social Media Marketing: Influencer, Ads und Plattform-Regeln

Influencer-Marketing und skalierende Effekte: Influencer können einer Kampagne zum Durchbruch verhelfen – ihre Empfehlungen wirken authentisch und erreichen tausende Follower. Doch gerade hier schaut der Gesetzgeber genau hin. Kennzeichnungspflicht: In Deutschland ist inzwischen klar geregelt, dass Influencer-Beiträge, die kommerzieller Natur sind, als Werbung kenntlich gemacht werden müssen. Es darf keine Schleichwerbung stattfinden. Die Herausforderung: Influencer bewegen sich im Lifestyle-Kontext, wo persönliche Empfehlungen und Werbung verschwimmen. Deutsche Gerichte haben in den letzten Jahren Maßstäbe gesetzt. So entschied der BGH 2021 in mehreren Fällen, dass das Verlinken von Marken (“Tap Tags” auf Instagram) ohne Werbekennzeichnung zulässig sein kann, wenn die Influencerin keine Gegenleistung für den Post erhalten hat und der Beitrag nicht übertrieben werblich gerät. Sobald jedoch eine Gegenleistung (Bezahlung, Gratisprodukte oder andere Vorteile) im Spiel ist, gilt der Post als kommerziell – dann muss ein Hinweis wie “Anzeige” oder “Werbung” deutlich sichtbar angebracht werden. Startups, die mit Influencern zusammenarbeiten, sollten dies unbedingt vertraglich festhalten: Die Influencer müssen alle vom deutschen Recht geforderten Kennzeichnungen vornehmen. Fehlt der Werbehinweis, drohen Abmahnungen durch Wettbewerbsverbände oder Mitbewerber nach UWG. Auch die Medienaufsichtsbehörden interessieren sich für Influencer-Werbung und können Bußgelder verhängen. Neben der Kennzeichnung ist die Inhaltstransparenz wichtig: Insbesondere im Gesundheitssektor (siehe HWG) dürfen Influencer keine ungeprüften Gesundheitsversprechen abgeben. Ein Health-Startup darf seinem Influencer beispielsweise nicht gestatten, das Produkt als “Wundermittel” anzupreisen – hier haftet am Ende auch das Unternehmen mit, wenn falsche Heilversprechen verbreitet werden. Datengetriebenes Influencer-Marketing (z.B. Tracking der Conversion der Influencer-Aktion mittels Cookies oder Codes) muss ebenfalls DSGVO-konform sein. Wird etwa ein spezieller Trackinglink verwendet, ist sicherzustellen, dass Nutzer ggf. eingewilligt haben, getrackt zu werden (Stichwort Cookies/Tracking-Pixel auf der Landingpage). Insgesamt gilt: Influencer-Marketing kann skalieren, aber es muss astrein gekennzeichnet und vertraglich klug gesteuert sein, damit beide Seiten – Startup und Influencer – rechtlich sicher agieren.

Social Ads und personalisierte Werbung: Viralität lässt sich oft mit bezahlten Anzeigen verstärken – ob auf Facebook, Instagram, TikTok oder LinkedIn. Diese sozialen Plattformen bieten leistungsstarke Targeting-Möglichkeiten, stellen aber auch eigene Regeln und bringen datenschutzrechtliche Verantwortlichkeiten mit. GDPR und Targeting: Wenn ein Startup Social-Media-Ads schaltet, die auf bestimmten Nutzerprofilen basieren (Interessen, Standort, Verhalten), werden zwar die Daten direkt vom Plattformanbieter genutzt, jedoch muss der Werbetreibende die Nutzer darüber informieren (z.B. in der Datenschutzerklärung), dass er auf Plattformen zielgerichtete Werbung einsetzt. Bei Custom Audiences – etwa wenn man eine Kundenliste zu Facebook hochlädt, um diese oder ähnliche Personen gezielt anzusprechen – ist eine vorherige Einwilligung der betroffenen Kunden erforderlich. Facebook verlangt von Werbekunden vertraglich die Zusicherung, dass die hochgeladenen Kontakte rechtskonform erhoben wurden. Ohne Einwilligung verstößt man gegen DSGVO, da sensible Nutzerdaten zu Werbezwecken verarbeitet und an Dritte (Facebook) gegeben werden. Gemeinsame Verantwortlichkeit: Ein wichtiger rechtlicher Aspekt ist, dass der Europäische Gerichtshof festgestellt hat, dass Betreiber von Facebook-Fanpages oder ähnlichen Auftritten mitverantwortlich für die Verarbeitung der Nutzerdaten sind. Das heißt, ein Startup, das eine Unternehmensseite auf Facebook betreibt oder eine Werbekampagne dort startet, trägt Mitverantwortung für die Datenerhebung (z.B. Insights-Daten, Tracking der Seitenbesucher). Praktisch sollte man daher mit dem Plattformbetreiber eine Art Vereinbarung zur geteilten Verantwortung abschließen – Facebook stellt entsprechende Zusatzbedingungen bereit – und auf der eigenen Website die Nutzer informieren. Opt-in/Opt-out bei Tracking: In Deutschland verlangt das Telemedienrecht (speziell das TTDSG) für nicht notwendige Cookies und Pixel eine Einwilligung. Wer also z.B. den Facebook-Pixel auf seine Landingpage setzt, um Conversions zu messen oder Retargeting zu ermöglichen, muss von Besuchern vorab die Erlaubnis einholen (Cookie-Banner). Ohne Opt-in kann allein der Pixel-Aufruf schon unzulässig sein, wie deutsche Gerichte in Cookie-Urteilen klargestellt haben.

Plattform-Richtlinien und Compliance: Jede Social-Media-Plattform hat eigene Nutzungsbedingungen und Werberichtlinien, die bei viralen Marketingaktionen im Auge behalten werden müssen. Startups sind vertraglich an diese Regeln gebunden, wenn sie die Plattform nutzen – ein Verstoß kann zur Sperrung des Accounts oder Löschung von Inhalten führen, unabhängig von der Rechtslage. Beispiel Facebook/Instagram: Hier gelten Promotionsrichtlinien, die u.a. festlegen, dass Gewinnspiele eine vollständige Freistellung von Facebook in den Teilnahmebedingungen enthalten müssen und dass sie nicht über private Chroniken abgewickelt werden dürfen. So darf ein Gewinnspiel-Posting nicht verlangen, dass Nutzer das Gewinnspiel auf ihrer eigenen Pinnwand teilen oder Freunde darauf markieren, da Facebook dies als unerwünschte Spam-Praktik ansieht. Stattdessen sind Aufforderungen zum Liken, Kommentieren oder der Nutzung offizieller Funktionen (wie dem Facebook-Poll-Tool) erlaubt. Instagram als zu Facebook gehörende Plattform handhabt dies ähnlich – auch dort sollte man vorsichtig sein, Teilnehmer nicht zum Taggen wildfremder Personen zu animieren. TikTok hat ebenfalls Community Guidelines und Werbepolicies: Virale Challenges oder Hashtag-Aktionen sind beliebt, aber Inhalte, die gegen TikToks Regeln verstoßen (z.B. gefährliche Stunts, beleidigende oder politische Inhalte), werden entfernt. Wer also eine Challenge startet, muss dafür sorgen, dass sie mit den TikTok-Richtlinien vereinbar ist. LinkedIn als berufliches Netzwerk duldet keine Automatisierungs-Growth-Hacks wie Bots zum massenhaften Versenden von Kontaktanfragen oder Nachrichten. Ein Startup, das z.B. mittels Scraping oder automatisierten Tools Kontakte generiert und anspricht, verstößt gegen die LinkedIn-Nutzungsbedingungen und riskiert eine Sperre – zudem können ungebetene Verkaufsnachrichten an Fremde als unzulässige Werbung (UWG) gewertet werden. AGB-Kontrolle: Zwar unterliegen die Plattform-AGB grundsätzlich dem Recht des jeweiligen Anbieters (oft irisches Recht bei Facebook/Instagram, US-Recht bei LinkedIn mit EU-Ausnahmen), aber ein deutsches Unternehmen kann unwirksame Klauseln im Zweifel auch nach deutschem AGB-Recht beanstanden. In der Praxis ist man jedoch als einzelner Nutzer kaum in der Position, die Vertragsbedingungen großer Plattformen zu verhandeln. Daher liegt der Schwerpunkt auf Compliance: Die Einhaltung der Plattformregeln wird Teil der Compliance-Strategie des Startups. Es gilt, Kampagnen so zu planen, dass sie sowohl deutschen Gesetzen als auch den Richtlinien von TikTok, Meta, LinkedIn & Co. entsprechen. Dies schützt nicht nur vor Account-Sperren, sondern bewahrt auch vor Reputationsproblemen – denn ein öffentlich bekannt gewordenes Verbot oder ein gelöschter Post wirft ein schlechtes Licht auf die Professionalität der Firma.

Praxisbeispiele: Growth Hacking zwischen Legalität und Innovation

Beispiel 1 – Viraler Gewinnspiel-Coup: Ein bekanntes deutsches Jungunternehmen aus der Nachhaltigkeitsbranche, Got Bag, verdoppelte seine Instagram-Follower binnen weniger Tage durch ein spektakuläres Gewinnspiel. Verlost wurde ein hochwertiger Camper-Van, und die Teilnahme war an typische virale Aktionen geknüpft: Folgen, Liken, Teilen, Freunde markieren. Dieser Erfolg zeigt das Potenzial – aber Got Bag achtete auch auf die Regeln. Die Teilnahme war kostenlos und ohne weitere Gegenleistung möglich, die Bedingungen waren transparent veröffentlicht. So wurde die Aktion nicht als unlauter angesehen. Lerneffekt: Auch bei aggressiver Reichweitensteigerung müssen die Spielregeln klar und fair bleiben. Hätte Got Bag etwa die Vergabe des Gewinns willkürlich geändert oder versteckte Agenden verfolgt, wären schnell enttäuschte Teilnehmer und rechtliche Schritte gefolgt. Stattdessen kommunizierte das Startup offen über den Ablauf und hielt Wort bei der Preisvergabe – so wurde aus einem Growth Hack kein Rechtsproblem, sondern eine Erfolgsstory.

Beispiel 2 – Empfehlungsprogramm mit Stolpersteinen (hypothetisch): Stellen wir uns das FinTech-Startup PaySmart vor, das Neukunden durch ein Kunden-werben-Kunden-Programm gewinnen will. Bestandskunde Alice kann über die App Freunde einladen und für jeden geworbenen Nutzer 20 Euro Prämie kassieren. Um den Prozess zu beschleunigen, implementiert PaySmart eine Funktion, bei der Alice lediglich E-Mail-Adressen ihrer Freunde eingibt und das System automatisch eine Einladung verschickt. Dieser vermeintliche Komfort führte jedoch zu Beschwerden: Freund Bob fühlte sich von der unverlangten Werbemail belästigt und meldete dies der Verbraucherzentrale. Kurze Zeit später erhielt PaySmart eine Abmahnung wegen Verstoßes gegen § 7 UWG (unzumutbare Belästigung durch Werbe-E-Mails). Die Lehre: Das Startup hätte besser den Weg gewählt, Alice einen Empfehlungslink bereitzustellen, den sie eigenständig weiterleiten kann. So bleibt die Kommunikation privat-initiiert. In der echten Startup-Welt haben einige Unternehmen teuer lernen müssen, dass ungefragte Einladungs-E-Mails an Dritte tabu sind – heute setzen fast alle auf selbst geteilte Links oder fragen vor dem Versand von Empfehlungsnachrichten zumindest um Erlaubnis. PaySmart korrigiert in unserem Beispiel sein Programm, integriert ein Double-Opt-in für Newsletter-Anmeldungen der Geworbenen und vermeidet fortan automatisierte Freundesanschreiben. Damit funktioniert das Empfehlungsmarketing nachhaltig und rechtssicher.

Beispiel 3 – Influencer-Kampagne eines Health-Startups: Das Berliner Startup FitLife vertreibt eine Gesundheits-App, die trainingsbasierte Therapie bei Rückenschmerzen verspricht. Zur schnellen Bekanntheitssteigerung kooperiert FitLife mit einer reichweitenstarken Influencerin. Diese postet Videos auf TikTok und Instagram, in denen sie ihre Rückengymnastik mit FitLife lobt. Die Kampagne geht viral – doch plötzlich erhält FitLife Post von der Wettbewerbszentrale (einem in Deutschland sehr aktiven Selbstkontrollorgan): In einem der Videos fehlte der Hinweis, dass es sich um Werbung handelt, obwohl die Influencerin von FitLife bezahlt wurde. Zudem wurden Sätze verwendet wie “Mit dieser App sind meine Rückenschmerzen für immer weg – garantiert!”. Die Wettbewerbszentrale moniert einen Verstoß gegen das HWG wegen irreführender Gesundheitswerbung. FitLife muss reagieren: Umgehend werden die betreffenden Posts gelöscht oder nachträglich mit #Werbung gekennzeichnet. Gemeinsam mit der Influencerin erarbeitet man neue Richtlinien für künftige Posts – jede gesundheitsbezogene Aussage wird vorab juristisch geprüft, absolute Heilversprechen werden vermieden. Das Beispiel zeigt: Gerade bei Gesundheitsprodukten schlagen gleich zwei Regime zu – das UWG (Schleichwerbung) und das HWG (Heilversprechen). Startups sollten mit ihren Marketing-Partnern klare Absprachen treffen, Schulungen anbieten und im Zweifel vor Veröffentlichung fachkundigen Rat einholen. So lässt sich Influencer-Marketing auch in regulierten Branchen erfolgreich, aber compliant umsetzen.

Beispiel 4 – Gated Content im B2B (hypothetisch): Das SaaS-Startup DataSecure bietet eine Cybersecurity-Software für Unternehmen an. Um Leads zu generieren, erstellt es einen hochkarätigen Branchenreport zum Thema IT-Sicherheit 2025. Interessenten können diesen Report kostenlos von der Website herunterladen – müssen dafür jedoch ein Formular ausfüllen mit Angaben wie Name, Firma und E-Mail. DataSecure plant, alle, die den Report herunterladen, in den Wochen danach durch das Sales-Team per E-Mail und Telefon kontaktieren zu lassen, um die Software zu pitchen. Rechtliche Bewertung: Das Prinzip des Gated Content ist zulässig, aber die nachgelagerte Nutzung der Kontaktdaten erfordert Sorgfalt. Idealerweise hat DataSecure im Formular eine Einwilligung eingeholt, z.B.: “Ja, ich möchte von DataSecure bezüglich Angeboten und Updates kontaktiert werden.” Liegt eine solche ausdrückliche Einwilligung vor, darf das Startup die Leads proaktiv anschreiben oder anrufen (bei Telefon gilt zusätzlich § 7 UWG: Anrufe zu Werbezwecken erfordern ebenfalls vorheriges Einverständnis des Angerufenen). Hat DataSecure keine ausdrückte Zustimmung, könnte es sich allenfalls auf ein berechtigtes Interesse berufen, um einmalig per E-Mail nachzufragen – im B2B-Bereich werden Erstkontakte manchmal toleriert, wenn ein konkretes Interesse vermutet werden kann. Sicherer ist aber stets das Opt-in. In unserem Beispiel entscheidet sich DataSecure dafür, die Nutzer im Downloadformular optional ein Häkchen für künftige Infos setzen zu lassen. Das Ergebnis: Etwas weniger Leads willigen ein, aber dafür sind die anschließenden Marketingkontakte abgesichert. Sollte dennoch jemand die Kontaktaufnahme als störend empfinden, bietet DataSecure natürlich jederzeit eine Opt-out-Möglichkeit (Abmeldelink in E-Mails, Widerspruchsmöglichkeit gegen Datennutzung) – ein weiterer wichtiger Compliance-Aspekt. Fazit aus dem Beispiel: Selbst in der Lead-Generierung via Content sollte Datenschutz und UWG im Hinterkopf bleiben. Wer frühzeitig die Kommunikation auf Einwilligung stützt, erspart sich spätere Konflikte und zeigt Professionalität.

Rechtliche Risiken und typische Problemfelder

Abschließend lohnt der Blick auf die allgemeinen Risiken, die mit aggressiven Growth-Hacking-Maßnahmen einhergehen, und wie man ihnen begegnen kann. Der größte Risikofaktor sind sicherlich Abmahnungen. In Deutschland können Mitbewerber oder befugte Verbände (z.B. Verbraucherzentralen, Wettbewerbszentrale) Wettbewerbsverstöße kostenpflichtig abmahnen. Eine unzulässige Werbemail, eine irreführende Werbeaussage oder ein fehlender Influencer-Hinweis – all das kann innerhalb weniger Tage eine Abmahnung nach sich ziehen. Für Startups, die meist kein großes Budget für Rechtsstreitigkeiten haben, bedeutet dies zum einen Kosten (für Anwaltsgebühren und ggf. Vertragsstrafen) und zum anderen einen immensen Zeit- und Nervenaufwand, um die Angelegenheit zu klären. Auch gerichtliche Verfügungsverfahren sind möglich, wenn man auf eine Abmahnung nicht angemessen reagiert – das kann zur Untersagung einer ganzen Kampagne durch Gerichtsbeschluss führen. Das ist das Worst-Case-Szenario für jede Marketingaktion.

Ein weiteres Risiko stellen Bußgelder nach DSGVO dar. Datenschutzverstöße – etwa das Versenden von Newslettern ohne gültige Einwilligung, unsichere Gewinnspiel-Formulare oder die unerlaubte Weitergabe von Nutzerdaten an Werbepartner – können von den Datenschutzbehörden mit beträchtlichen Geldbußen geahndet werden. Dabei schauen die Behörden verstärkt auch auf kleinere Unternehmen, besonders wenn sie datengetrieben arbeiten. Für ein Startup kann schon ein fünfstelliges Bußgeld äußerst schmerzhaft sein. Daher sollte Datenschutz-Compliance im Marketing Chefsache sein: regelmäßige Checks, ob alle Opt-ins dokumentiert sind, ob Datenschutzerklärungen vollständig sind, und ob z.B. bei Einsatz von Tracking-Tools die Consent-Mechanismen funktionieren.

Typische Problemfelder in der Umsetzung solcher Strategien lassen sich zusammenfassen: Erstens die Einwilligungsverwaltung – oft mangelt es nicht am Willen der Kunden zur Teilnahme, sondern an der sauberen Einholung und Protokollierung der Einwilligung. Ein Startup muss in der Lage sein, jederzeit nachzuweisen, dass Person X am Datum Y explizit zugestimmt hat, Marketing zu erhalten. Technisch bedeutet das, die entsprechenden Logs aufzubewahren. Zweitens die Ausgestaltung von Kampagnen-Mechaniken: Kreative Ideen stoßen manchmal an unsichtbare Mauern. Ein viral gestaltetes Gewinnspiel kann z.B. durch Plattformregeln oder rechtliche Vorgaben eingeschränkt werden (man denke an die Facebook-Richtlinie gegen “Teile und Gewinne”). Hier ist das Problem oft Unkenntnis – viele Gründer sind Marketingexperten, aber eben keine Juristen. Die Lösung besteht darin, frühzeitig juristischen Rat einzuholen oder spezialisierte Blogs/Quellen zu konsultieren, damit man Fallstricke umschifft. Drittens das Feld Verträge und AGB: Wenn mit Influencern kooperiert wird, sollten schriftliche Vereinbarungen existieren, die die Pflichten (Kennzeichnung, inhaltliche Abstimmung, Haftung bei Rechtsverstößen) regeln. Ebenso bei Referral-Programmen oder Bonusaktionen – allgemeine Geschäftsbedingungen sollten rechtssicher formuliert sein. Startups tappen hier oft in die Falle, aus Zeitgründen auf Muster zurückzugreifen oder gar ohne klare Regeln zu agieren. Das kann sich rächen, wenn es zum Streit kommt. Auch AGB-Kontrolle durch Gerichte kann zum Thema werden, wenn etwa Teilnahmebedingungen zu einseitig sind; dann werden Klauseln im Zweifel zu Lasten des Aufstellers ausgelegt.

Zuletzt darf man den Compliance-Aspekt nicht vergessen: Ein legales Marketing ist Teil der Gesamt-Compliance eines Unternehmens. Gerade gegenüber Investor*innen oder Kooperationspartnern müssen Startups zeigen, dass sie verantwortungsvoll agieren. Ein kleiner Rechtsverstoß kann im falschen Moment (etwa während einer Due-Diligence-Prüfung) große Schatten auf das Unternehmen werfen. Reputation steht hier auf dem Spiel – das beste virale Wachstum nützt nichts, wenn parallel der Ruf leidet, man würde “rechtliche Tricksereien” betreiben. Im digitalen Zeitalter spricht sich auch unter Konsumenten schnell herum, wenn ein Unternehmen mit fragwürdigen Methoden agiert. Besser ist es, kreativ, aber ehrlich zu wachsen. Dazu gehört auch, im Zweifel transparent zu kommunizieren: z.B. offenlegen, warum man bestimmte Daten erbittet, oder auf Kritik aus der Community schnell und einsichtig zu reagieren.

Fazit: Growth Hacking und virales Marketing bleiben wichtige Instrumente für Startups, um sich gegen etablierte Wettbewerber durchzusetzen. Die juristischen Anforderungen sind dabei kein Grund, auf solche Strategien zu verzichten – vielmehr sorgen sie für einen Rahmen, der letztlich auch das Vertrauen der Nutzer stärkt. Wer die DSGVO beachtet, das UWG respektiert und branchenspezifische Gesetze wie das HWG kennt, kann kampagnenstark und gleichzeitig rechtssicher agieren. Die Unterstützung durch einen im Medien- und IT-Recht versierten Juristen kann helfen, Ideen in rechtskonforme Bahnen zu lenken, ohne dass der kreative Kern verloren geht. So gelingt der Spagat zwischen viralem Buzz und Compliance – und ein Startup kann mit gutem Gewissen in die nächste Wachstumsrunde gehen.