Telemach-Strafe beendet Ära der Freundeswerbung

Datenschützer und Juristen warnen eindringlich: Beliebte „Empfehle einen Freund“-Funktionen sind nach aktuellen EU-Urteilen rechtlich nicht mehr haltbar und werden zur teuren Falle.

Während auf dem Chaos Communication Congress (39C3) in Hamburg über die Machtzyklen der Technik diskutiert wird, herrscht unter Compliance-Experten in der EU Alarmstimmung. Das Jahr 2025 brachte Rekordstrafen und eine verschärfte Rechtsdurchsetzung – und besiegelte das Aus für laxes Empfehlungsmarketing. Die Botschaft an Unternehmen ist unmissverständlich: Die Ära des beiläufigen Datentauschs im Namen der Kundenakquise ist vorbei.

Null-Toleranz: 2025 wurde zum Wendepunkt

Europäische Datenschutzbehörden sind von Warnungen zu drastischen Geldstrafen übergegangen. Ein Präzedenzfall war die 4,5-Millionen-Euro-Strafe gegen den kroatischen Telekommunikationsanbieter Telemach im November 2025. Zwar ging es im Kern um Datenübermittlungen, doch Juristen sehen darin ein klares Signal: Die Verarbeitung personenbezogener Daten ohne eindeutige Rechtsgrundlage wird nicht mehr geduldet.

Bereits im September legten französische Aufseher Tech-Plattformen für irreführende „Dark Patterns“ in Einwilligungsdialogen auf die Finger. Diese Urteile ziehen direkte Konsequenzen für Empfehlungsmarketing nach sich. Wird ein Nutzer dazu gebracht, Daten zu teilen – oder werden Daten Dritter ohne deren Wissen verarbeitet –, haftet das Unternehmen.

Lücken im DSGVO-Verarbeitungsverzeichnis können Unternehmen teuer zu stehen kommen – Bußgelder von bis zu 2% des Jahresumsatzes drohen. Mit unserer kostenlosen, vollständig editierbaren Excel‑Vorlage nach Art. 30 DSGVO erstellen Sie Ihr Verzeichnis schnell und prüfungssicher. Das Paket enthält ein E‑Book mit Erläuterungen zu Pflichtfeldern, Beispiele für typische Verarbeitungstätigkeiten und eine Schritt‑für‑Schritt‑Anleitung für Datenschutzbeauftragte und Verantwortliche. Kostenlose Verzeichnis‑Vorlage herunterladen

Genau hier liegt das Problem bei „Empfehle einen Freund“-Funktionen: Der empfohlene Freund hat nie eingewilligt, kontaktiert zu werden. Der einladende Nutzer kann diese Einwilligung nicht stellvertretend erteilen. Ein fast unüberwindbares Hindernis.

Die Falle der scheinbar privaten Empfehlung

Rechtsexperten betonen, dass der klassische „Tell-a-Friend“-Mechanismus gegen das GDPR-Grundprinzip „Privacy by Design“ verstößt. Der entscheidende Punkt ist die Einordnung der Nachricht.

Lockt ein Unternehmen den Nutzer mit Rabatten, Punkten oder Boni zur Weiterempfehlung, handelt dieser nicht mehr als Privatperson, sondern als de-facto-Vertreter des Unternehmens. Die Einladung wird damit zur kommerziellen Werbung. Da der Empfänger dieser Werbung nie zugestimmt hat, handelt es sich um unverlangte Werbung (Spam) – ein Verstoß gegen die DSGVO und die ePrivacy-Richtlinie.

Auf dem 39C3 in Hamburg diskutieren Privatsphären-Forscher, wie solche Mechanismen oft auf „Social Engineering“ setzen: Sie nutzen das Vertrauen zwischen Freunden, um an Postfächer zu gelangen, die für direkte Firmenwerbung verschlossen blieben. Regulierer betrachten dieses „Growth Hacking“ Ende 2025 zunehmend als systematischen Verstoß gegen Betroffenenrechte.

EDPB-Leitlinien und der Kampf gegen Dark Patterns

Die Schraube wurde Mitte Dezember 2025 weiter angezogen. Der Europäische Datenschutzausschuss (EDPB) verschärfte seine Fokussierung auf täuschende Designmuster. Seine Leitlinien machen klar: Jede Oberfläche, die Nutzer durch „Nudging“ dazu bringt, Kontaktlisten zu teilen oder Einladungen ohne klare, granulare Einwilligung zu versenden, ist nicht konform.

Einwilligung muss eine eindeutige, bestätigende Handlung der betroffenen Person sein. Im Empfehlungsszenario ist die betroffene Person (der Freund) jedoch vom Vorgang völlig ausgeschlossen – bis die E-Mail in ihrem Posteingang landet. Dann ist der Verstoß aber bereits geschehen.

Die oft von Marketern vorgebrachte „berechtigtes Interesse“-Argumentation wurde durch jüngste Urteile praktisch entkräftet. Die vorherrschende Rechtsauffassung lautet: Das Interesse eines Unternehmens an Neukundengewinnung geht nie vor das Recht des Einzelnen, keine unverlangte Werbung zu erhalten.

Kompatible Alternativen für das Jahr 2026

Da die rechtlichen Risiken den Marketingnutzen überwiegen, raten Compliance-Berater zu einer grundlegenden Überholung der Empfehlungsstrategien noch vor dem neuen Geschäftsjahr.

• Generische Empfehlungslinks: Statt der E-Mail-Adresse des Freundes erhält der Nutzer einen persönlichen Empfehlungslink, den er selbst über WhatsApp, Signal oder sein E-Mail-Programm teilt. Das Unternehmen bleibt außen vor, bis der Freund aktiv auf den Link klickt und einwilligt.
• Entkopplung der Anreize: Belohnungen sollten an die Conversion (Anmeldung und Einwilligung des Freundes) geknüpft sein, nicht an die bloße Einladung. So verarbeitet das Unternehmen Daten erst nach Begründung einer Rechtsbeziehung.
• Transparenz-Prüfungen: Die Datenschutzerklärungen müssen überprüft werden. Sie dürfen nicht behaupten, „Freundesdaten“ ohne Rechtsgrundlage zu verarbeiten.

Ausblick: Automatisierte Durchsetzung droht

Die Botschaft des „Power Cycles“-Kongresses an die digitale Wirtschaft ist eindeutig: Die Ära von „move fast and break things“ in der Datensammlung ist beendet. Die Regulierungsmaschinerie von 2025 hat bewiesen, dass sie strukturelle Datenschutzverstöße ahnden kann und wird.

Für 2026 prognostizieren Experten, dass automatisierte Prüfwerkzeuge es Aufsichtsbehörden leichter machen werden, nicht konforme Empfehlungsformulare aufzuspüren. Unternehmen, die an veralteten „Tell-a-Friend“-Funktionen festhalten, riskieren gezielte Audits. Der kluge Schachzug für das kommende Jahr ist der Abschied von diesen riskanten Werkzeugen – hin zu einem Wachstum, das auf Einwilligung basiert und rechtliche Integrität wahrt.

PS: Viele Prüfenden bemängeln fehlende Details in Verzeichnissen – solche Lücken führen zu Nachforderungen und Bußgeldern. Unser Gratis‑Download zeigt, welche Felder in 80% der Verzeichnisse fehlen, liefert fertige Excel‑Tabellen und erklärt, wie Sie Ihre Dokumentation so aufbauen, dass sie Audits überzeugt. Ideal für Compliance‑Teams und Datenschutzbeauftragte, die schnell Rechtssicherheit schaffen wollen. Jetzt Excel‑Vorlage für das Verarbeitungsverzeichnis sichern