Newsletter DSGVO-konform: rechtssicheres E-Mail-Marketing in der Praxis

Seit dem 25. Mai 2018 gelten mit der Datenschutz-Grundverordnung strenge Regeln für die Verarbeitung personenbezogener Daten, zu denen auch E-Mail-Adressen für den Versand von Newslettern gehören. Was viele Unternehmer unterschätzen: Schon kleine Formfehler beim Anmeldeprozess oder ein fehlendes Double-Opt-in können zu Abmahnungen und empfindlichen Bußgeldern führen. Die Obergrenze liegt bei 20 Millionen Euro oder 4 % des globalen Jahresumsatzes.

Trotz Social Media bleibt der E-Mail-Newsletter einer der umsatzstärksten Kanäle im Online-Marketing. Genau deshalb lohnt es sich, Newsletter-Marketing von Anfang an rechtssicher aufzusetzen. Dieser Artikel zeigt Ihnen Schritt für Schritt, wie Sie Ihren Newsletter nach DSGVO, UWG und DDG gestalten von der Einwilligung bis zur Abmeldung.

Die wichtigsten Vorteile eines DSGVO-konformen Newsletters:

• Schutz vor Abmahnungen und Bußgeldern
• Höheres Vertrauen bei Abonnenten durch transparente Kommunikation
• Bessere Zustellraten durch saubere Empfängerlisten
• Nachweisbare Einwilligungen für rechtssichere E-Mail-Werbung
• Langfristig stärkere Kundenbindung und niedrigere Abmelderaten

Das Wichtigste in Kürze

• Der Versand von Newslettern unterliegt strengen Datenschutzregelungen, insbesondere durch DSGVO, UWG und DDG, und erfordert eine ausdrückliche, nachweisbare Einwilligung der Empfänger, meist über das Double-Opt-in-Verfahren.
• Für Bestandskunden gibt es Ausnahmen, die einen Newsletterversand ohne erneutes Opt-in unter bestimmten Bedingungen erlauben.
• Das Anmeldeformular sollte nur die E-Mail-Adresse als Pflichtfeld enthalten und transparent über die Datenverarbeitung informieren, inklusive Verlinkung zur Datenschutzerklärung.
• Ein professionelles Newsletter-Tool mit Serverstandort in der EU und einem abgeschlossenen Auftragsverarbeitungsvertrag (AV-Vertrag) ist essenziell für DSGVO-konformes E-Mail-Marketing.
• Die Inhalte des Newsletters müssen zum Einwilligungszweck passen, personenbezogene Trackingfunktionen erfordern eine gesonderte Einwilligung der Empfänger.
• Jeder Newsletter muss einen klar sichtbaren und einfach nutzbaren Abmeldelink sowie ein vollständiges Impressum enthalten.

Was E-Mail- & Newsletter-Marketing im Jahr 2026 ausmacht

E-Mail-Marketing umfasst weit mehr als den klassischen Newsletter. Zur Einordnung: Der Begriff beschreibt die gesamte Kommunikation per E-Mail zu Marketingzwecken. Dazu gehören regelmäßige Newsletter mit Produktneuheiten oder Blog-Updates, aber auch automatisierte Kampagnen wie Willkommensserien, Transaktionsmails nach Bestellungen und personalisierte Rabattaktionen.

Konkrete Inhalte, die Unternehmen per E-Mail-Newsletter versenden:

• Produktneuheiten und Sortimentserweiterungen
• Event-Einladungen und Webinar-Ankündigungen
• Rabattaktionen und exklusive Angebote für Abonnenten
• Blog-Updates und redaktioneller Inhalt
• Onboarding-Strecken für neue Kunden oder Nutzer
• E-Book-Downloads und Whitepaper

In der DACH-Region erreicht E-Mail-Marketing nach wie vor oft beeindruckende Öffnungsraten im B2C-Bereich. Diese Zahlen übertreffen die organische Reichweite auf den meisten Social-Media-Plattformen deutlich.

Genau diese Stärke – die Möglichkeit zur Personalisierung und Segmentierung – macht den Umgang mit Daten besonders sensibel. Wer Empfänger nach Interessen, Kaufverhalten oder Standort segmentiert, verarbeitet personenbezogene Daten im Sinne der DSGVO. Und das erfordert eine solide rechtliche Grundlage.

Rechtsrahmen: DSGVO, UWG und DDG im Newsletter-Kontext

Der Newsletter-Versand unterliegt nicht nur der DSGVO. Für rechtssicheres Newsletter-Marketing müssen Sie drei Regelwerke im Blick behalten:

• Datenschutz-Grundverordnung (DSGVO) – regelt die Verarbeitung personenbezogener Daten, Einwilligungsanforderungen und Betroffenenrechte
• Gesetz gegen den unlauteren Wettbewerb (UWG) – definiert, wann E-Mail-Werbung als unzumutbare Belästigung gilt
• Digitale-Dienste-Gesetz (DDG) – seit 17.02.2024 Nachfolger des TMG, regelt unter anderem die Impressumspflicht

Was sind personenbezogene Daten im Newsletter-Kontext? Alles, was einen Empfänger identifizierbar macht:

• E-Mail-Adresse (selbst pseudonyme Adressen sind personenbezogen)
• IP-Adresse bei der Anmeldung
• Trackingdaten zu Öffnungen und Klicks
• Interessenprofile aus dem Nutzerverhalten
• Name und weitere Angaben im Anmeldeformular

Die wichtigsten DSGVO-Grundsätze für den Newsletter-Datenschutz:

• Rechtmäßigkeit: Verarbeitung nur mit gültiger Rechtsgrundlage
• Zweckbindung: Daten nur für den angegebenen Zweck nutzen
• Datenminimierung: Nur erforderliche Daten erheben
• Speicherbegrenzung: Daten löschen, wenn Zweck erfüllt
• Integrität und Vertraulichkeit: Angemessene Sicherheitsmaßnahmen

Für Werbe-E-Mails ist in der Regel eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 7 UWG erforderlich. Eine Ausnahme bilden bestimmte Fälle bei Bestandskunden, dazu später mehr.

DSGVO-konforme Einwilligung: Double-Opt-in & Bestandskunden-Regeln

Die dokumentierte Einwilligung ist der zentrale Baustein für rechtssicheres Newsletter-Marketing. Ohne nachweisbare Zustimmung kein Versand, so einfach ist die Grundregel.

Das Double-Opt-in-Verfahren Schritt für Schritt

Das Double-Opt-in ist der Standard für DSGVO-konforme Newsletter-Anmeldungen:

1. Formular auf der Website: Der Interessent trägt seine E-Mail-Adresse ein und stimmt der Datenverarbeitung zu
2. Bestätigungsmail: Das System versendet automatisch eine Bestätigungsmail an die eingetragene Adresse
3. Klick auf Bestätigungslink: Erst durch den Klick auf den individualisierten Link wird die Anmeldung wirksam
4. Protokollierung: Datum, Uhrzeit und IP-Adresse der Bestätigung werden automatisch gespeichert

Dieses Opt-in-Verfahren stellt sicher, dass nur der tatsächliche Inhaber der E-Mail-Adresse seine Einwilligung erteilt. Single-Opt-in, also die Anmeldung ohne Bestätigungsschritt, ist in Deutschland praktisch nicht mehr vertretbar. Der Grund: Ohne Bestätigung fehlt der Nachweis, dass die Person hinter der Adresse tatsächlich eingewilligt hat.

B2C vs. B2B: Unterschiede bei der Einwilligung

Bei Verbrauchern (B2C) ist eine ausdrückliche Einwilligung über das Double-Opt-in-Verfahren immer erforderlich. Ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO reicht für Werbe-E-Mails in der Regel nicht aus.

Für B2B-Kontakte gilt grundsätzlich dasselbe. Allerdings existiert nach § 7 Abs. 3 UWG eine eingeschränkte Ausnahme für Bestandskunden.

Newsletter an Bestandskunden ohne erneutes Opt-in

Die Ausnahme nach § 7 Abs. 3 UWG erlaubt den Newsletter-Empfang ohne erneute Einwilligung, wenn alle folgenden Bedingungen erfüllt sind:

• Die E-Mail-Adresse wurde im Rahmen eines bestehenden Vertragsverhältnisses erhalten
• Die Werbung bezieht sich auf ähnliche eigene Waren oder Dienstleistungen
• Der Kunde hat der Nutzung nicht widersprochen
• Bei Erhalt der Adresse und in jeder E-Mail wird auf das Widerspruchsrecht hingewiesen
• Die letzte Interaktion liegt nicht zu lange in der Vergangenheit (in der Rechtsprechung wird die Grenze häufig bei 2 Jahren gesetzt)
• Die Adresse stammt nicht aus fremden Quellen oder gekauften Listen

Muss-Kriterien für wirksame Einwilligungen:

• Freiwillig erteilt (kein Verbot der Kopplung an andere Leistungen)
• Informiert (über Zweck, Häufigkeit und Inhalte)
• Spezifisch (konkret auf den Newsletter bezogen)
• Nachweisbar dokumentiert (Double-Opt-in mit Protokoll)
• Jederzeit widerrufbar (mit einfachem Abmeldelink)

Newsletter-Anmeldeformular DSGVO-konform gestalten

Das Anmeldeformular ist die Schnittstelle, an der die Einwilligung rechtssicher eingeholt wird. Hier entscheidet sich, ob Ihre Newsletter-Anmeldungen DSGVO-konform sind.

Grundregel bei der Datenerhebung: Fragen Sie nur die E-Mail-Adresse als Pflichtfeld ab. Das Prinzip der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO verlangt, dass Sie nur Daten erheben, die für den Zweck wirklich erforderlich sind. Zusätzliche Felder wie Name, Firma oder Branche dürfen Sie als freiwillige Zusatzfelder anbieten, aber niemals als Pflichtangabe.

Klare Gestaltungsregeln für das Anmeldeformular:

• Keine vorab angekreuzten Checkboxen (Verstoß gegen Freiwilligkeit nach Art. 7 DSGVO)
• Keine versteckten Einwilligungen in AGB oder Nutzungsbedingungen
• Checkbox separat vom Absenden-Button platzieren
• Einwilligungstext direkt neben oder unter der Checkbox
• Gut sichtbarer Link zur Datenschutzerklärung direkt unterhalb der Checkbox
• Klarer Hinweis auf den Zweck der Datenverarbeitung

Beispielformulierung für den Einwilligungstext:

„Ich möchte den Newsletter mit Informationen zu [Produktneuheiten/Angeboten/Branchenthemen] erhalten. Der Versand erfolgt [wöchentlich/monatlich] per E-Mail. Zur Erfolgsmessung werden Öffnungs- und Klickraten ausgewertet. Ich kann meine Einwilligung jederzeit über den Abmeldelink in jeder E-Mail widerrufen. Weitere Informationen finde ich in der Datenschutzerklärung.”

Diese Transparenz schafft Vertrauen und erfüllt gleichzeitig die Informationspflichten nach Art. 13 DSGVO.

DSGVO-konformes Newsletter-Tool auswählen und AV-Vertrag abschließen

Die Nutzung eines professionellen Newsletter-Tools ist für rechtssicheres Email-Marketing unverzichtbar. Outlook oder ähnliche E-Mail-Programme erfüllen weder die technischen noch die dokumentatorischen Anforderungen.

Kriterien für die Tool-Auswahl

Bei der Auswahl eines geeigneten Newsletter-Tools sollten Sie folgende Punkte prüfen:

• Serverstandort: Idealerweise in Deutschland oder der EU
• Zertifizierungen: ISO 27001, TÜV-Zertifizierung oder vergleichbare Standards
• Verschlüsselung: HTTPS-Übertragung für alle Daten
• Zugriffsmanagement: Rollenbasierte Berechtigungen für Teammitglieder
• Löschfunktionen: Automatische und manuelle Löschmöglichkeiten
• Exportfunktionen: Datenportabilität für Betroffenenanfragen
• Double-Opt-in: Automatische Integration mit Protokollierung

Tools wie Brevo (TÜV-zertifiziert) oder Mailjet bieten diese Funktionen standardmäßig und integrieren das Double-Opt-in automatisch inklusive Speicherung von Bestätigungszeit und IP-Adresse.

Besonderheiten bei Tools mit Servern in Drittländern

Nutzen Sie ein Tool mit Servern außerhalb der EU (beispielsweise in den USA), greifen zusätzliche Anforderungen aus Art. 44 ff. DSGVO:

• Standardvertragsklauseln (SCCs) müssen abgeschlossen werden, sofern kein Angemessenheitsbeschluss für ein Abkommen zwischen der EU und dem Drittland besteht (bspw. EU-US Data Privacy Framework)
• Eine Risikoanalyse bezüglich des Datenschutzniveaus ist erforderlich
• Technische Schutzmaßnahmen wie Verschlüsselung sind besonders wichtig

Der Auftragsverarbeitungsvertrag (AV-Vertrag)

Der Abschluss eines AV-Vertrags nach Art. 28 DSGVO mit Ihrem Tool-Anbieter ist verpflichtend. Dieser regelt die Datenverarbeitung im Auftrag und kann in der Regel digital über das Dashboard des Anbieters abgeschlossen werden.

Mindestinhalte eines AV-Vertrags:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Maßnahmen (TOMs)
• Liste der Unterauftragsverarbeiter
• Regelungen zur Löschung oder Rückgabe der Daten nach Vertragsende
• Unterstützungspflichten bei Betroffenenanfragen

Datenschutz im laufenden Betrieb: Inhalte, Tracking, Abmeldung

DSGVO-Konformität endet nicht beim Anmeldeformular. Auch im laufenden Newsletter-Betrieb müssen Sie mehrere datenschutzrechtliche Anforderungen beachten.

Inhalte müssen zum Einwilligungszweck passen

Der Inhalt Ihrer Newsletter muss dem entsprechen, wozu der Empfänger eingewilligt hat. Haben Sie bei der Anmeldung „Produktneuheiten und Angebote” angekündigt, dürfen Sie nicht plötzlich über völlig branchenfremde Themen schreiben oder intensive Werbung für Drittanbieter machen.

Newsletter-Tracking und Datenschutzrecht

Die meisten Newsletter-Tools bieten Tracking-Funktionen:

• Öffnungs-Tracking: Messung über ein Zählpixel, wann und ob eine E-Mail geöffnet wurde
• Link-Tracking: Erfassung von Klicks über personalisierte URLs oder UTM-Parameter
• Verhaltensbasierte Auswertung: Erstellung von Interessenprofilen auf Basis des Klickverhaltens

Personalisiertes Tracking – also die Zuordnung von Öffnungen und Klicks zu einzelnen Kontakten – erfordert in vielen Fällen eine ausdrückliche, informierte Einwilligung. Diese muss bereits im Anmeldeformular eingeholt werden.

Alternative: Nutzen Sie nur anonymisierte Statistiken auf Kampagnenebene. So erfahren Sie, wie viel Prozent Ihrer Empfänger geöffnet oder geklickt haben, ohne einzelne Personen zu identifizieren.

Transparenz als Vorteil kommunizieren: „Wir werten aus, welche Themen Sie interessieren, um Ihnen künftig relevantere Inhalte zu senden. So erhalten Sie weniger Mails, die Sie nicht betreffen.”

Anforderungen an die Abmeldung

Der Widerruf der Einwilligung muss genauso einfach sein wie deren Erteilung. Das schreibt Art. 7 Abs. 3 DSGVO ausdrücklich vor.

Klare Anforderungen an den Abmeldelink:

• Sichtbar im Footer jeder E-Mail platziert
• Mit einem Klick funktionsfähig (ohne Login oder Registrierung)
• Sofort wirksam, spätestens innerhalb weniger Stunden
• Ohne Zwang zur Angabe von Gründen
• Ohne Versuche, den Empfänger zum Bleiben zu überreden

Zusätzlich muss jede E-Mail einen Link zur Datenschutzerklärung und zum Impressum enthalten.

Impressum, Informationspflichten und Dokumentation

Die Impressumspflicht nach DDG und Medienstaatsvertrag gilt auch für Newsletter. Eine vollständige Anbieterkennzeichnung muss in jeder E-Mail oder über einen gut sichtbaren Link erreichbar sein.

Pflichtangaben im Impressum

• Vollständiger Firmenname mit Rechtsform
• Anschrift (keine Postfachadresse)
• Name der Vertretungsberechtigten (bei juristischen Personen)
• Kontaktdaten: E-Mail und Telefonnummer
• Handelsregistereintrag mit Registernummer
• USt-IdNr. bei Unternehmern
• Ggf. zuständige Aufsichtsbehörde bei regulierten Berufen

Informationspflichten nach Art. 13 DSGVO

In Ihrer Datenschutzerklärung müssen Sie Informationen zur Newsletter-Datenverarbeitung bereitstellen:

• Name und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
• Zwecke und Rechtsgrundlagen der Verarbeitung
• Empfänger oder Kategorien von Empfängern (z. B. Newsletter-Tool-Anbieter)
• Informationen zu Drittlandübermittlungen
• Speicherdauer oder Kriterien für deren Festlegung
• Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch
• Hinweis auf Beschwerderecht bei der Aufsichtsbehörde

Dokumentation und interne Prozesse

To-do-Liste für Datenschutzbeauftragte und Marketing-Leitung:

• Verzeichnis von Verarbeitungstätigkeiten für Newsletter-Marketing anlegen
• Kategorien von Daten und Empfängern dokumentieren
• Löschfristen definieren und überwachen
• Prozess für Löschanfragen klar regeln: Wer bearbeitet? In welcher Frist?
• Prozess für Auskunftsersuchen etablieren
• Datenportabilität ermöglichen (Export der Abonnentendaten)
• Regelmäßige Überprüfung der Einwilligungsnachweise
• AV-Verträge zentral ablegen und auf Aktualität prüfen

Typische Fehler beim Newsletter-Datenschutz – und wie man sie vermeidet

Viele Datenschutzverstöße im Newsletter-Marketing entstehen durch vermeidbare Fehler. Hier die häufigsten Problemfälle und ihre Lösungen:

Fehler 1: Import alter Verteilerlisten ohne Einwilligungsnachweis → Lösung: Nur Kontakte importieren, für die eine dokumentierte Einwilligung vorliegt. Bei alten Listen ohne Nachweis: Erneute Opt-in-Kampagne durchführen.

Fehler 2: Versand an gekaufte Adresslisten → Lösung: Niemals kaufen. Gekaufte Listen enthalten keine wirksamen Einwilligungen für Ihren Newsletter. Abmahnrisiko ist extrem hoch.

Fehler 3: Fehlende oder fehlerhafte Double-Opt-in-Dokumentation → Lösung: Automatische Protokollierung im Tool aktivieren. Datum, Uhrzeit und IP-Adresse jeder Bestätigung müssen gespeichert werden.

Fehler 4: Versteckte Werbeeinwilligung bei Downloads → Lösung: Newsletter-Einwilligung separat von E-Book-Download oder Whitepaper-Anforderung abfragen. Kopplung vermeiden.

Fehler 5: Tracking ohne Information oder Einwilligung → Lösung: Personalisiertes Tracking im Anmeldeformular transparent erklären. Alternativ nur anonymisierte Statistiken nutzen.

Fehler 6: Kein oder veralteter AV-Vertrag → Lösung: AV-Vertrag prüfen oder im Tool-Dashboard abschließen. Bei Tool-Wechsel neuen Vertrag nicht vergessen.

Fehler 7: Fehlender oder schwer auffindbarer Abmeldelink → Lösung: Abmeldelink prominent im Footer jeder Mail platzieren. Regelmäßig testen, ob er funktioniert.

Bereits wenige dokumentierte Prozesse reduzieren die meisten Risiken erheblich.

Praxis-Checkliste: Newsletter DSGVO-konform umsetzen

Diese Kontrollliste hilft Ihnen, die wichtigsten Punkte für DSGVO-konforme Newsletter systematisch zu prüfen:

Anmeldeformular:

• [ ] E-Mail-Adresse ist einziges Pflichtfeld
• [ ] Keine vorausgefüllten Checkboxen
• [ ] Einwilligungstext informiert über Zweck, Häufigkeit und Inhalte
• [ ] Link zur Datenschutzerklärung ist sichtbar platziert
• [ ] Bei Tracking: Hinweis auf Erfolgsmessung im Einwilligungstext

Double-Opt-in:

• [ ] Bestätigungsmail wird automatisch versendet
• [ ] Anmeldung erst nach Klick auf Bestätigungslink wirksam
• [ ] Datum, Uhrzeit und IP-Adresse werden protokolliert
• [ ] Protokolle sind exportierbar und langfristig gespeichert

Newsletter-Tool:

• [ ] Serverstandort geprüft (EU bevorzugt)
• [ ] AV-Vertrag mit Anbieter abgeschlossen
• [ ] Bei Drittland-Server: Standardvertragsklauseln oder Angemessenheitsbeschluss vorhanden
• [ ] Lösch- und Exportfunktionen getestet

Laufender Betrieb:

• [ ] Jede Mail enthält Abmeldelink im Footer
• [ ] Abmeldung funktioniert mit einem Klick ohne Login
• [ ] Impressum vollständig und erreichbar
• [ ] Link zur Datenschutzerklärung in jeder Mail
• [ ] Inhalte entsprechen dem Einwilligungszweck

Dokumentation:

• [ ] Verarbeitungsverzeichnis für Newsletter angelegt
• [ ] Löschfristen definiert
• [ ] Verantwortlichkeiten intern geklärt: Wer pflegt Listen, wer löscht, wer beantwortet Anfragen?

Diese Checkliste sollte mindestens einmal jährlich gemeinsam mit dem Datenschutzbeauftragten, sofern vorhanden, oder der Rechtsabteilung durchgegangen werden.

Fazit: Mit Datenschutz zum besseren Newsletter-Marketing

DSGVO-Konformität ist kein bürokratischer Selbstzweck und nichts, das Ihr Newsletter-Marketing ausbremst. Im Gegenteil: Klare Einwilligungen, transparente Kommunikation und saubere technische Prozesse stärken langfristig Öffnungsraten und Kundenbindung.

Empfänger, die bewusst und informiert eingewilligt haben, sind wertvoller als jede gekaufte Liste. Sie öffnen häufiger, klicken mehr und beschweren sich seltener. Das Ergebnis ist ein gesunder Verteiler mit engagierten Kontakten statt einer aufgeblähten Liste mit hohen Abmelde- und Spam-Raten.

Warten Sie nicht auf die erste Beschwerde oder Abmahnung. Prüfen Sie vorhandene Prozesse zeitnah und passen Sie an, was nicht den aktuellen Anforderungen entspricht. Die Bedeutung eines rechtssicheren Auftritts im E-Mail-Marketing kann gar nicht hoch genug eingeschätzt werden.

Ihr nächster Schritt: Gehen Sie heute noch Ihr Anmeldeformular durch, prüfen Sie die Double-Opt-in-Einstellungen in Ihrem Tool und stellen Sie sicher, dass ein aktueller AV-Vertrag vorliegt. Diese drei Maßnahmen decken bereits die kritischsten Punkte ab und geben Ihnen die Sicherheit, die Ihr Newsletter-Versand verdient.

Sie benötigen professionelle Unterstützung? Als Experte für Datenschutz unterstütze ich Sie gerne dabei, Ihre Newsletter DSGVO-konform zu machen.