E-Mail-Marketing & DSGVO: Newsletter rechtssicher versenden
Newsletter DSGVO-konform versenden: Double-Opt-In, Einwilligung, Bestandskundenausnahme, AVV-Pflicht und Tracking -- alles was du wissen musst.
E-Mail-Marketing ist einer der effektivsten Kanäle im Online-Marketing — und einer der am strengsten regulierten. In Deutschland greifen gleich zwei Rechtsrahmen: die DSGVO für den Datenschutz und das UWG (Gesetz gegen den unlauteren Wettbewerb) für die wettbewerbsrechtliche Zulässigkeit. Wer Newsletter versendet, ohne beide Regelwerke zu beachten, riskiert Abmahnungen, Bußgelder und den Verlust des Vertrauens seiner Empfänger.
Dieser Artikel erklärt die Rechtsgrundlagen, den korrekten Double-Opt-In-Prozess, die Bestandskundenausnahme und was du bei Newsletter-Tools und Tracking beachten musst.
Rechtsgrundlage: Einwilligung ist Pflicht
Für den Versand von Werbe-E-Mails brauchst du zwei Erlaubnisse:
1. DSGVO: Einwilligung nach Art. 6 Abs. 1 lit. a
Die Verarbeitung der E-Mail-Adresse für Newsletter-Zwecke erfordert eine ausdrückliche Einwilligung. Diese Einwilligung muss:
- Freiwillig sein — kein Koppelungsverbot (die Einwilligung darf nicht Bedingung für einen Kauf sein)
- Informiert sein — der Nutzer muss wissen, wofür er zustimmt (Inhalte, Frequenz, Absender)
- Unmissverständlich sein — eine vorangekreuzte Checkbox reicht nicht
- Dokumentiert sein — du musst nachweisen können, dass und wann die Einwilligung erteilt wurde
2. UWG SS 7 Abs. 2 Nr. 2: Wettbewerbsrechtliches Verbot
Unabhängig von der DSGVO verbietet SS 7 Abs. 2 Nr. 2 UWG die Zusendung von Werbung per E-Mail ohne vorherige ausdrückliche Einwilligung. Dieses Verbot ist absolut — es gibt keine Interessensabwägung wie beim berechtigten Interesse der DSGVO.
Wichtig: Auch B2B-Newsletter brauchen eine Einwilligung. Das Argument “Im B2B-Bereich reicht berechtigtes Interesse” ist ein verbreiteter Irrtum. SS 7 UWG unterscheidet nicht zwischen B2B und B2C.
Double-Opt-In: Der Standard in Deutschland
Das Double-Opt-In-Verfahren (DOI) ist in Deutschland der De-facto-Standard für die Einholung der Newsletter-Einwilligung. Es ist zwar nicht explizit gesetzlich vorgeschrieben, aber die Rechtsprechung (BGH, Urteil vom 10.02.2011, Az. I ZR 164/09) verlangt den Nachweis der Einwilligung — und das DOI ist der sicherste Weg, diesen Nachweis zu führen.
Ablauf des Double-Opt-In
1. Nutzer gibt E-Mail-Adresse im Formular ein
-> Checkbox: "Ja, ich möchte den Newsletter erhalten"
-> Checkbox NICHT vorangekreuzt
2. System sendet Bestätigungs-Mail
-> Betreff: "Bitte bestätigen Sie Ihre Newsletter-Anmeldung"
-> Inhalt: Erklärung + Bestätigungslink
-> KEINE Werbung in dieser Mail (nur Bestätigung)
3. Nutzer klickt Bestätigungslink
-> System protokolliert: Zeitpunkt, IP-Adresse, User-Agent
4. Anmeldung ist bestätigt
-> Ab jetzt darf der Newsletter versendet werden
Was du dokumentieren musst
Für jeden Empfänger musst du folgende Daten nachweisbar speichern:
| Datenpunkt | Beispiel | Zweck |
|---|---|---|
| E-Mail-Adresse | max@example.com | Identifikation |
| Zeitpunkt der Anmeldung (Opt-In) | 2026-04-09 14:23:17 UTC | Nachweis der Einwilligung |
| IP-Adresse bei Anmeldung | 203.0.113.42 | Nachweis der Einwilligung |
| Text der Einwilligungserklärung | ”Ja, ich möchte den Newsletter…” | Inhalt der Einwilligung |
| Zeitpunkt der Bestätigung (DOI) | 2026-04-09 14:25:03 UTC | Nachweis Double-Opt-In |
| IP-Adresse bei Bestätigung | 203.0.113.42 | Nachweis Double-Opt-In |
| Quelle der Anmeldung | Website-Footer-Formular | Zuordnung |
Häufige DOI-Fehler
- Werbung in der Bestätigungs-Mail: Die Bestätigungs-Mail darf nur den Bestätigungslink und eine Erklärung enthalten. Produktangebote oder Gutscheine in der DOI-Mail machen diese selbst zur unzulässigen Werbung.
- Kein Verfallsdatum: Wenn der Nutzer den Link nicht klickt, sollte die Anmeldung nach 48-72 Stunden verfallen. Die E-Mail-Adresse muss dann gelöscht werden.
- Mehrfach-Erinnerungen: Maximal eine Erinnerungsmail an Nicht-Bestätiger ist vertretbar. Mehrere Erinnerungen können als Belästigung gewertet werden.
- Vorausgefüllte Checkboxen: Verstoß gegen Art. 7 DSGVO und EUGH-Urteil (Planet49, C-673/17).
Bestandskundenausnahme (SS 7 Abs. 3 UWG)
Es gibt eine wichtige Ausnahme von der Einwilligungspflicht: die Bestandskundenausnahme nach SS 7 Abs. 3 UWG. Sie erlaubt den Newsletter-Versand ohne ausdrückliche Einwilligung, wenn alle folgenden Bedingungen gleichzeitig erfüllt sind:
- Der Kunde hat seine E-Mail-Adresse im Zusammenhang mit einem Kauf oder einer Dienstleistung mitgeteilt
- Die Werbung betrifft ähnliche Waren oder Dienstleistungen des eigenen Unternehmens
- Der Kunde hat der Nutzung nicht widersprochen
- Der Kunde wird bei jeder Nachricht klar und deutlich auf sein Widerspruchsrecht hingewiesen
- Der Hinweis auf das Widerspruchsrecht erfolgte bereits bei der Erhebung der E-Mail-Adresse (z.B. im Bestellprozess)
Achtung: Die Bestandskundenausnahme ist eng auszulegen. “Ähnliche Waren” bedeutet nicht “alles aus unserem Sortiment”. Wer einen Laptop gekauft hat, darf Zubehör-Newsletter erhalten, aber keinen Newsletter über Kochrezepte.
Bestandskundenausnahme in der Praxis
Korrekt:
Kunde kauft Laufschuhe
-> Newsletter über Laufschuhe, Laufbekleidung, Lauftechnik
Nicht korrekt:
Kunde kauft Laufschuhe
-> Newsletter über Winterjacken, Campingausrüstung, Reisen
Nicht korrekt:
Interessent gibt E-Mail im Kontaktformular ein (kein Kauf)
-> Newsletter-Versand ohne Einwilligung
Pflichtinhalte jedes Newsletters
Jeder versendete Newsletter muss folgende Elemente enthalten:
Impressumspflicht
Nach SS 5 DDG (Digitale-Dienste-Gesetz) und SS 6 DDG ist ein Newsletter ein Telemedium. Das bedeutet: Jede Newsletter-Ausgabe muss ein Impressum enthalten oder auf das Impressum der Website verlinken. Erforderliche Angaben:
- Name und Anschrift des Anbieters
- E-Mail-Adresse
- Vertretungsberechtigter (bei juristischen Personen)
- Handelsregister und Registernummer (falls vorhanden)
- USt-ID (falls vorhanden)
Abmeldelink
Jeder Newsletter muss einen funktionierenden Abmeldelink enthalten. Die Abmeldung muss:
- Mit einem Klick möglich sein (kein Login erforderlich)
- Sofort wirksam werden (maximal wenige Stunden Verzögerung)
- Ohne Angabe von Gründen funktionieren
List-Unsubscribe Header
Seit Juni 2024 verlangen Google und Yahoo den List-Unsubscribe Header für Massenversender (mehr als 5.000 Mails pro Tag an Gmail-Adressen). Dieser Header ermöglicht eine Abmeldung direkt aus dem E-Mail-Client heraus, ohne den Abmeldelink im Newsletter-Body zu klicken.
List-Unsubscribe: <mailto:unsubscribe@example.com>,
<https://example.com/unsubscribe?id=12345>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Die meisten modernen Newsletter-Tools setzen diesen Header automatisch. Prüfe trotzdem, ob er bei deinem Tool aktiviert ist.
Newsletter-Tools im DSGVO-Vergleich
| Kriterium | Brevo | Mailchimp | CleverReach | Rapidmail |
|---|---|---|---|---|
| Server-Standort | EU (Deutschland/Frankreich) | USA | EU (Deutschland) | EU (Deutschland) |
| AVV verfügbar | Ja | Ja (DPA) | Ja | Ja |
| Drittlandtransfer | Nein | Ja (USA, DPF) | Nein | Nein |
| Double-Opt-In integriert | Ja | Ja | Ja | Ja |
| List-Unsubscribe | Ja | Ja | Ja | Ja |
| DSGVO-Konformität | Hoch | Mittel | Hoch | Hoch |
| Kostenloser Plan | Ja (300 Mails/Tag) | Ja (500 Kontakte) | Ja (250 Kontakte) | Nein |
| Preismodell | Nach E-Mails | Nach Kontakten | Nach Kontakten | Nach E-Mails |
Empfehlung: Für maximale DSGVO-Konformität solltest du einen EU-basierten Anbieter wählen. Brevo, CleverReach und Rapidmail verarbeiten Daten ausschließlich in der EU. Bei Mailchimp (Intuit) besteht ein Drittlandtransfer in die USA, der über das EU-US Data Privacy Framework abgesichert ist — aber ein Restrisiko bleibt.
AVV-Pflicht mit dem Newsletter-Anbieter
Dein Newsletter-Tool verarbeitet personenbezogene Daten (E-Mail-Adressen, Namen, Öffnungsverhalten) in deinem Auftrag. Damit ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich. Ohne AVV ist der Einsatz des Newsletter-Tools ein eigenständiger DSGVO-Verstoß.
Die meisten Anbieter stellen den AVV im Account-Bereich bereit:
- Brevo: Einstellungen > DSGVO > AVV
- Mailchimp: Account > Compliance > Data Processing Addendum
- CleverReach: Account > Datenschutz > AVV
- Rapidmail: Konto > Datenschutz > AVV
Du musst den AVV aktiv abschließen — er gilt nicht automatisch bei der Registrierung.
Tracking in Newslettern: Braucht das Consent?
Die meisten Newsletter-Tools tracken standardmäßig zwei Metriken:
Open-Tracking (Öffnungsrate)
Funktioniert über ein unsichtbares 1x1-Pixel-Bild im Newsletter. Wenn der Empfänger den Newsletter öffnet (und Bilder lädt), wird das Pixel vom Server geladen und die Öffnung registriert.
Link-Tracking (Klickrate)
Links im Newsletter werden durch Redirect-URLs des Newsletter-Anbieters ersetzt. Wenn der Empfänger einen Link klickt, wird der Klick auf dem Server des Anbieters registriert, bevor er zur Zielseite weitergeleitet wird.
Ist Newsletter-Tracking einwilligungspflichtig?
Die Rechtslage ist nicht eindeutig geklärt, aber die herrschende Meinung ist:
- Ja, Newsletter-Tracking erfordert eine separate Information in der Einwilligungserklärung
- Der Empfänger muss bei der Anmeldung darauf hingewiesen werden, dass Öffnungs- und Klickverhalten erfasst wird
- Die Rechtsgrundlage ist die Einwilligung (Art. 6 Abs. 1 lit. a) — nicht das berechtigte Interesse
Formulierungsbeispiel für die Einwilligung:
"Ja, ich möchte den Newsletter der [Firma] erhalten.
Mir ist bekannt, dass der Newsletter statistische Auswertungen
ermöglicht (Öffnungsrate und Klickverhalten). Die Einwilligung
kann ich jederzeit über den Abmeldelink im Newsletter widerrufen."
Tracking deaktivieren?
Wenn du auf der sicheren Seite sein willst, kannst du das Tracking bei den meisten Anbietern deaktivieren. Der Nachteil: Du verlierst Einblicke in die Performance deiner Newsletter. Ein Mittelweg ist, das Tracking transparent zu kommunizieren und als Teil der Einwilligung abzudecken.
Datenschutzerklärung für Newsletter
Deine Datenschutzerklärung muss einen eigenen Abschnitt zum Newsletter-Versand enthalten:
- Name des Newsletter-Dienstleisters
- Welche Daten werden erhoben (E-Mail, Name, IP-Adresse, Öffnungs-/Klickverhalten)
- Zweck der Verarbeitung
- Rechtsgrundlage (Einwilligung)
- Hinweis auf Tracking im Newsletter
- Speicherdauer und Löschung bei Abmeldung
- Hinweis auf Double-Opt-In-Verfahren
- Drittlandtransfer (falls zutreffend)
- Verweis auf den AVV mit dem Dienstleister
- Widerrufsrecht und Abmeldemöglichkeit
Praxis-Checkliste: Newsletter DSGVO-konform versenden
- Double-Opt-In-Verfahren implementiert und getestet
- Einwilligungstext ist klar, informiert und unmissverständlich
- Checkbox ist NICHT vorangekreuzt
- Einwilligung wird vollständig dokumentiert (Zeitpunkt, IP, Text)
- DOI-Bestätigungsmail enthält keine Werbung
- AVV mit Newsletter-Anbieter abgeschlossen
- Jeder Newsletter enthält Impressum und Abmeldelink
- List-Unsubscribe Header ist aktiviert
- Abmeldung funktioniert mit einem Klick und ohne Login
- Datenschutzerklärung enthält Newsletter-Abschnitt
- Newsletter-Tracking ist in der Einwilligung erwähnt
- Nicht-Bestätiger werden nach 72 Stunden gelöscht
- Falls Bestandskundenausnahme genutzt: Alle 5 Bedingungen erfüllt
Newsletter-Einbindung prüfen mit Compliso
Der Compliso Scanner erkennt automatisch, ob auf deiner Website Newsletter-Anmeldeformulare vorhanden sind und prüft:
- Wird ein Double-Opt-In-Verfahren verwendet?
- Ist die Einwilligungserklärung vollständig?
- Werden Third-Party-Scripts des Newsletter-Anbieters vor Consent geladen?
- Ist der Newsletter-Anbieter in der Datenschutzerklärung erwähnt?
Jetzt deine Website scannen und prüfen, ob dein Newsletter-Setup DSGVO-konform ist. Mit dem Compliso Content-Generator erstellst du außerdem eine Datenschutzerklärung, die deinen Newsletter-Versand korrekt abdeckt.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.