← Zurück zum Blog
Leitfaden

SMS-Opt-in 2026: TCPA, DSGVO & globale Einwilligung

SMS-Opt-in- und Einwilligungsregeln 2026: TCPA, DSGVO und der globale Compliance-Leitfaden

Kurzantwort: 2026 verlangen US-Marketing-SMS eine vorherige ausdrückliche schriftliche Einwilligung, und Abmeldungen auf jedem zumutbaren Weg müssen binnen 10 Werktagen umgesetzt werden. Die One-to-One-Consent-Regel ist tot (gekippt im Januar 2025), die „Revoke-all"-Bestimmung auf den 31. Januar 2027 verschoben. EU, Großbritannien und Kanada verlangen dokumentierte Opt-in-Einwilligung mit einfachem Widerruf. Die universelle Regel: Wer Einwilligung nicht beweisen kann, hat keine.

Das SMS-Einwilligungsrecht hat sich in den letzten zwei Jahren stärker bewegt als im Jahrzehnt davor. Hier der aktuelle Stand, Markt für Markt — und der Einwilligungs-Stack, der alle erfüllt.

Was verlangt der TCPA 2026?

Der Telephone Consumer Protection Act regelt das US-Messaging, durchgesetzt von der FCC und einer sehr aktiven Sammelklage-Branche. Der gesetzliche Schadensersatz beträgt 500 Dollar pro Verstoß, 1.500 bei Vorsatz — pro Nachricht.

Für Marketingnachrichten brauchen Sie Prior Express Written Consent (PEWC):

  • Schriftliche Zustimmung (elektronische Checkbox oder Webformular zählt), eingeholt vor der ersten Werbenachricht
  • Klare Offenlegung, dass die Person Marketing-SMS Ihres konkreten Unternehmens erhält
  • Hinweis, dass die Einwilligung keine Kaufbedingung ist
  • Nachrichtenfrequenz, Hinweis „Nachrichten- und Datentarife können anfallen" und STOP/HELP-Anweisungen

Für Transaktionsnachrichten — Bestellbestätigungen, Lieferupdates, OTPs — genügt die einfache vorherige Einwilligung (Nummer im Rahmen einer zugehörigen Transaktion angegeben), solange der Inhalt nicht werblich ist. Ein Marketingsatz in einem Versandupdate macht die ganze Nachricht zu Marketing.

Was hat sich 2025–2026 geändert?

Drei Verschiebungen zählen:

ÄnderungStatusBedeutung
Widerruf auf „jedem zumutbaren Weg"In Kraft seit April 2025STOP, aber auch Klartext-Antworten, E-Mail, Voicemail — alles gültige Abmeldungen
10-Werktage-Frist für AbmeldungenIn Kraft seit April 2025Vorher 30 Tage; automatisieren Sie die Sperrliste
One-to-One-Consent-RegelGekippt im Januar 2025Ein Opt-in kann mit sauberer Offenlegung mehrere Anbieter abdecken — breite Partnerklauseln bleiben riskant
„Revoke-all"-BestimmungVerschoben auf 31. Januar 2027Ein Widerruf erfasst künftig alle Nachrichtentypen — bauen Sie jetzt dafür

Die praktische Folge: Ihre Abmeldeverarbeitung darf kein Keyword-Filter mehr sein. „Bitte keine SMS mehr", eine Antwort in anderer Sprache oder eine Mail an den Support starten die 10-Tage-Uhr.

Wie behandeln DSGVO und europäische Regeln SMS?

In der EU fällt Marketing-SMS unter die DSGVO plus nationale ePrivacy-Umsetzungen:

  • Opt-in-Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein — keine vorangekreuzten Kästchen, keine in AGB versteckte Einwilligung
  • Die Soft-Opt-in-Ausnahme: Bestandskunden dürfen zu ähnlichen Produkten angeschrieben werden, wenn ihnen bei der Erhebung und in jeder Nachricht eine klare Ablehnungsmöglichkeit geboten wurde
  • Die Beweislast liegt bei Ihnen: wer hat wann, über welche Oberfläche, mit welchem Text eingewilligt
  • Der Widerruf muss so einfach sein wie die Erteilung — und unverzüglich umgesetzt werden

Großbritannien spiegelt dies mit UK GDPR und PECR. Bußgelder skalieren bis 4% des Weltumsatzes, und europäische Aufsichtsbehörden haben gezeigt, dass sie SMS-Fälle für Exempel nutzen.

Was gilt in Kanada, Australien und anderen Märkten?

  • Kanada (CASL): eine der strengsten weltweit — ausdrückliches Opt-in mit dokumentiertem Nachweis, Absenderidentifikation und funktionierender Abmeldung in jeder Nachricht. Strafen bis 10 Millionen CAD pro Verstoß.
  • Australien (Spam Act): Einwilligung (ausdrücklich oder klar ableitbar), Absenderidentifikation und funktionierender Abmeldemechanismus in jeder kommerziellen Nachricht.
  • Indien, VAE, Singapur und weite Teile Asiens und der Golfregion: Einwilligung plus Pflichtregistrierung von Absendern/Vorlagen (Indiens DLT am aufwendigsten); nicht registrierter Traffic wird unabhängig von der Einwilligung blockiert.

Das Muster ist globale Konvergenz: dokumentiertes Opt-in, einfache Abmeldung, Absenderidentifikation. Bauen Sie für den strengsten Markt, den Sie bedienen — dann brauchen Sie selten Länderausnahmen.

Wie sieht ein konformer Opt-in-Flow aus?

  1. Separate Checkbox oder Keyword-Opt-in — getrennt von der AGB-Zustimmung, nie vorangekreuzt
  2. Vollständige Offenlegung am Erhebungspunkt: Markenname, Nachrichtentypen, Frequenz, Tarifhinweis, „Einwilligung ist keine Kaufbedingung", STOP/HELP
  3. Double-Opt-in-Bestätigungsnachricht — in den USA nicht gesetzlich verlangt, aber sie erzeugt den zeitgestempelten Nachweis, der Streitfälle gewinnt und die DSGVO-Beweislast erfüllt
  4. Sofortige schriftliche Bestätigung mit denselben Angaben und Abmeldehinweisen

Wie sollten Sie Abmeldungen 2026 handhaben?

  • Honorieren Sie jeden zumutbaren Widerruf: Keywords, Klartext-Antworten, E-Mail, Support-Anrufe
  • Sperren Sie spätestens binnen 10 Werktagen — Best Practice sind Minuten, automatisiert
  • Senden Sie eine einzige finale Bestätigungsnachricht (erlaubt, und nur diese)
  • Verteilen Sie die Sperrung über jede Plattform, die für Sie versendet — die Lücke fragmentierter Systeme ist die Geburtsstätte von Sammelklagen
  • Bereiten Sie sich auf Revoke-all (2027) vor: Gestalten Sie Ihr Sperrmodell so, dass ein Widerruf alle Kampagnentypen erfassen kann, wenn die Bestimmung greift

Welche Einwilligungsnachweise müssen Sie aufbewahren?

Je Abonnent: Opt-in-Zeitstempel, Erhebungsquelle (URL, Keyword, Kasse), der exakt angezeigte Einwilligungstext, IP/Gerät wo zutreffend und die vollständige Historie von Präferenzänderungen und Abmeldungen. Aufbewahren für die Abonnementdauer plus Verjährungsfrist. Vor Gericht wie im Audit gilt: undokumentierte Einwilligung ist keine Einwilligung.

ViteMobile setzt Sperrlisten auf Gateway-Ebene über alle Sender-IDs durch, versieht jedes Opt-in- und Opt-out-Ereignis mit Zeitstempel und exportiert Einwilligungs-Audit-Trails — damit der Nachweis existiert, wenn das Abmahnschreiben kommt.

Wichtigste Erkenntnisse

  • US-Marketing-SMS brauchen vorherige ausdrückliche schriftliche Einwilligung; Abmeldungen auf jedem zumutbaren Weg sind binnen 10 Werktagen umzusetzen.
  • One-to-One-Consent ist gekippt; Revoke-all kommt am 31. Januar 2027 — bauen Sie Ihre Sperrarchitektur jetzt.
  • DSGVO, UK PECR und CASL verlangen nachweisbares, freiwilliges Opt-in mit mühelosem Widerruf.
  • Gekaufte Listen sind in jedem großen Markt radioaktiv.
  • Einwilligung, die Sie nicht dokumentieren können, haben Sie nicht.

Häufig gestellte Fragen

F: Welche Einwilligung brauche ich für Marketing-SMS in den USA? A: Vorherige ausdrückliche schriftliche Einwilligung — eine klare schriftliche oder elektronische Zustimmung vor der ersten Werbenachricht, mit Offenlegung von Nachrichtentypen, Frequenz, Tarifen und dem Hinweis, dass die Einwilligung keine Kaufbedingung ist.

F: Was hat sich am TCPA 2025–2026 geändert? A: Abmeldungen auf jedem zumutbaren Weg binnen 10 Werktagen (seit April 2025); die One-to-One-Regel wurde gekippt (Januar 2025); Revoke-all wurde auf den 31. Januar 2027 verschoben.

F: Darf ich eine gekaufte Nummernliste anschreiben? A: Praktisch in keinem großen Markt. In den USA drohen 500–1.500 Dollar Schadensersatz pro Nachricht; unter DSGVO und CASL scheitert es von vornherein an gültiger Einwilligung.

F: Wie wird SMS-Einwilligung unter der DSGVO behandelt? A: Freiwilliges, spezifisches, informiertes, eindeutiges Opt-in — ohne vorangekreuzte Kästchen — mit beweisbaren Aufzeichnungen und Widerruf so einfach wie die Erteilung.

F: Welche Nachweise sollte ich aufbewahren? A: Opt-in-Zeitstempel, Quelle, exakter Einwilligungstext, IP/Gerät wo zutreffend und vollständige Präferenzhistorie — für die Abonnementdauer plus Verjährungsfrist.