Newsletter & Datenschutz — DSGVO-konformer E-Mail-Versand

Newsletter und Datenschutz — Warum das Thema so wichtig ist

Der Newsletter gehört zu den effektivsten Marketinginstrumenten im digitalen Zeitalter. Doch der Versand von Werbe-E-Mails unterliegt strengen datenschutzrechtlichen Anforderungen. Wer diese missachtet, riskiert nicht nur Abmahnungen und Bußgelder, sondern auch einen erheblichen Reputationsverlust.

Die DSGVO, das Gesetz gegen den unlauteren Wettbewerb (UWG) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) bilden den rechtlichen Rahmen für den Newsletter-Datenschutz. Unternehmen müssen diese Vorgaben kennen und umsetzen, um rechtssicher E-Mail-Marketing betreiben zu können.

In diesem vollständigen Ratgeber erfahren Sie alles, was Sie für einen DSGVO-konformen Newsletter-Versand wissen müssen — von der korrekten Einwilligung über das Double-Opt-in-Verfahren bis hin zur Auftragsverarbeitung mit Newsletter-Dienstleistern.

Rechtsgrundlage für den Newsletter-Versand

Der Versand eines Newsletters erfordert grundsätzlich eine Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis kommen zwei Rechtsgrundlagen in Betracht.

Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO

Die Einwilligung ist die wichtigste und in der Praxis häufigste Rechtsgrundlage für den Newsletter-Versand. Die Anforderungen an eine wirksame Einwilligung ergeben sich aus Art. 4 Nr. 11 und Art. 7 DSGVO:

• Freiwilligkeit: Die Einwilligung muss ohne Zwang erteilt werden. Der Empfänger darf nicht unter Druck gesetzt werden, sich für den Newsletter anzumelden.
• Informiertheit: Der Empfänger muss wissen, wofür er seine Einwilligung erteilt — welche Inhalte der Newsletter hat, wie häufig er versendet wird und wer der Absender ist.
• Bestimmtheit: Die Einwilligung muss sich konkret auf den Newsletter-Versand beziehen. Eine pauschale Einwilligung in „Werbung jeder Art“ genügt nicht.
• Unmissverständlichkeit: Die Einwilligung muss durch eine eindeutige bestätigende Handlung erfolgen — etwa das Ankreuzen einer Checkbox. Vorangekreuzte Checkboxen sind unwirksam (EuGH, Planet49-Urteil, C-673/17).
• Widerruflichkeit: Die Einwilligung muss jederzeit widerrufbar sein. Der Widerruf muss so einfach sein wie die Erteilung der Einwilligung.

Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO

In bestimmten Konstellationen kann der Newsletter-Versand auf ein berechtigtes Interesse gestützt werden. Dies ist jedoch nur in engen Grenzen möglich und setzt eine sorgfältige Interessenabwägung voraus. In der Regel wird die Einwilligung die sicherere Rechtsgrundlage sein.

Double-Opt-in — Der Goldstandard

Das Double-Opt-in-Verfahren ist der datenschutzrechtliche Goldstandard für die Newsletter-Anmeldung und wird von Aufsichtsbehörden und Gerichten einhellig empfohlen bzw. gefordert.

So funktioniert Double-Opt-in

1. Opt-in (Schritt 1): Der Nutzer trägt seine E-Mail-Adresse in das Anmeldeformular ein und bestätigt die Anmeldung (z. B. durch Ankreuzen einer Checkbox).
2. Bestätigungs-E-Mail: Das System sendet eine automatische E-Mail an die angegebene Adresse mit einem Bestätigungslink.
3. Opt-in (Schritt 2): Der Nutzer klickt auf den Bestätigungslink und bestätigt damit, dass die E-Mail-Adresse tatsächlich ihm gehört und er den Newsletter erhalten möchte.
4. Bestätigung: Der Nutzer erhält eine Bestätigung der erfolgreichen Anmeldung.

Warum ist Double-Opt-in notwendig?

Das Double-Opt-in-Verfahren erfüllt mehrere wichtige Funktionen:

• Identitätsverifizierung: Es stellt sicher, dass die angegebene E-Mail-Adresse tatsächlich der Person gehört, die sich anmeldet.
• Missbrauchsschutz: Es verhindert, dass Dritte fremde E-Mail-Adressen für Newsletter anmelden.
• Nachweisführung: Es ermöglicht dem Versender, die Einwilligung nachzuweisen — wichtig bei einer Überprüfung durch die Aufsichtsbehörde oder im Falle einer Abmahnung.
• Qualitätssicherung: Die Bestätigung durch den Empfänger reduziert fehlerhafte E-Mail-Adressen und verbessert die Zustellrate.

Anforderungen an die Bestätigungs-E-Mail

Die Bestätigungs-E-Mail im Double-Opt-in-Verfahren muss besondere Anforderungen erfüllen:

• Sie darf keine Werbung enthalten — sie ist ein rein technisch-organisatorischer Vorgang
• Sie muss klar und verständlich formuliert sein
• Der Bestätigungslink muss eindeutig sein und darf nicht zu Verwechslungen führen
• Es sollte nur eine Bestätigungs-E-Mail versendet werden — Reminder sind problematisch, da sie selbst bereits unverlangte E-Mails darstellen können

Abmeldemöglichkeit (Opt-out)

Jeder Newsletter muss eine einfache und kostenlose Abmeldemöglichkeit enthalten. Diese Anforderung ergibt sich sowohl aus der DSGVO (Widerruflichkeit der Einwilligung, Art. 7 Abs. 3) als auch aus § 7 Abs. 2 Nr. 4 UWG.

Anforderungen an die Abmeldemöglichkeit

• In jedem Newsletter: Jede versendete E-Mail muss einen Abmeldelink enthalten — ausnahmslos
• Einfachheit: Die Abmeldung muss mit maximal zwei Klicks möglich sein. Komplizierte Abmeldeprozesse (z. B. Login erforderlich, Kontaktformular) sind unzulässig
• Sofortwirkung: Die Abmeldung muss unverzüglich wirksam werden — spätestens mit dem nächsten Versandzyklus
• Ohne Angabe von Gründen: Der Empfänger muss keine Begründung für seine Abmeldung angeben
• Sichtbarkeit: Der Abmeldelink muss gut sichtbar sein — nicht in unleserlicher Schriftgröße am Ende der E-Mail versteckt

List-Unsubscribe-Header

Zusätzlich zum Abmeldelink im Newsletter-Text empfiehlt es sich, den List-Unsubscribe-Header (RFC 2369) zu implementieren. Dieser ermöglicht es E-Mail-Clients wie Gmail, Outlook und Apple Mail, einen eigenen „Abmelden“-Button in der Kopfzeile der E-Mail anzuzeigen. Google und Yahoo verlangen den List-Unsubscribe-Header seit Februar 2024 für Massen-E-Mail-Versender.

Datenschutzerklärung und Newsletter

Der Newsletter-Versand muss in der Datenschutzerklärung der Website transparent beschrieben werden. Folgende Informationen müssen gemäß Art. 13 DSGVO enthalten sein:

• Zweck der Datenverarbeitung: Versand des Newsletters mit [Beschreibung der Inhalte]
• Rechtsgrundlage: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO
• Empfänger/Kategorien von Empfängern: Newsletter-Dienstleister (Name, Sitz)
• Drittlandtransfer: Falls der Newsletter-Dienstleister Daten außerhalb der EU verarbeitet
• Speicherdauer: Solange die Einwilligung besteht; Löschung nach Abmeldung
• Widerrufsrecht: Hinweis auf das jederzeitige Widerrufsrecht
• Tracking: Hinweis auf Open/Click-Tracking, falls eingesetzt

Datenschutzhinweis im Anmeldeformular

Bereits im Anmeldeformular muss ein Datenschutzhinweis enthalten sein, der den Nutzer informiert über:

• Wer für die Datenverarbeitung verantwortlich ist
• Welche Daten erhoben werden (mindestens: E-Mail-Adresse)
• Zu welchem Zweck die Daten verarbeitet werden
• Dass die Einwilligung jederzeit widerrufbar ist
• Einen Link zur vollständigen Datenschutzerklärung

Auftragsverarbeitung mit Newsletter-Dienstleistern

Die meisten Unternehmen nutzen spezialisierte Newsletter-Dienstleister für den E-Mail-Versand. Da diese Dienstleister personenbezogene Daten (E-Mail-Adressen, Namen, Öffnungs-/Klickverhalten) im Auftrag des Unternehmens verarbeiten, liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor.

Auftragsverarbeitungsvertrag (AVV)

Vor der Nutzung eines Newsletter-Dienstleisters muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Dieser muss gemäß Art. 28 Abs. 3 DSGVO folgende Regelungen enthalten:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Weisungsbindung des Auftragsverarbeiters
• Vertraulichkeitsverpflichtung der Beschäftigten
• Technisch-organisatorische Maßnahmen
• Regelung zu Unterauftragsverarbeitern
• Unterstützungspflichten bei Betroffenenanfragen
• Löschung/Rückgabe der Daten nach Vertragsende
• Kontrollrechte des Verantwortlichen

Beliebte Newsletter-Dienstleister im Datenschutz-Check

Die Wahl des Newsletter-Dienstleisters hat erhebliche datenschutzrechtliche Auswirkungen — insbesondere hinsichtlich des Serverstandorts und möglicher Drittlandtransfers.

Deutsche/EU-Anbieter

CleverReach (Sitz: Deutschland) — Datenverarbeitung in der EU, DSGVO-konform, AVV verfügbar. Sendinblue/Brevo (Sitz: Frankreich) — Datenverarbeitung in der EU, DSGVO-konform. Rapidmail (Sitz: Deutschland) — Server in Deutschland, besonders datenschutzfreundlich.

US-Anbieter

Mailchimp (Sitz: USA) — Weit verbreitet, aber datenschutzrechtlich problematisch wegen Drittlandtransfer in die USA. Seit dem Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Juli 2023) unter bestimmten Voraussetzungen nutzbar — der Anbieter muss jedoch unter dem DPF zertifiziert sein. HubSpot und ActiveCampaign — Ähnliche Problematik.

Empfehlung: Aus datenschutzrechtlicher Sicht sind EU-basierte Anbieter vorzuziehen, da kein Drittlandtransfer erforderlich ist und die DSGVO unmittelbar gilt.

Tracking im Newsletter (Open/Click-Rates)

Die meisten Newsletter-Tools bieten Tracking-Funktionen, die messen, ob und wann ein Empfänger den Newsletter öffnet (Open-Tracking) und welche Links er anklickt (Click-Tracking). Dieses Tracking ist datenschutzrechtlich relevant, da es personenbezogene Daten verarbeitet.

Wie funktioniert Newsletter-Tracking?

Open-Tracking: In den Newsletter wird ein unsichtbares Tracking-Pixel (1×1 Pixel großes Bild) eingebettet. Beim Öffnen der E-Mail wird das Bild vom Server geladen — der Server protokolliert den Zugriff mit IP-Adresse, Zeitstempel und User-Agent.

Click-Tracking: Links im Newsletter werden durch individuelle Tracking-URLs ersetzt. Klickt der Empfänger auf einen Link, wird er zunächst über den Server des Newsletter-Dienstleisters umgeleitet, der den Klick protokolliert, bevor er zum eigentlichen Ziel weitergeleitet wird.

Datenschutzrechtliche Bewertung

Newsletter-Tracking verarbeitet personenbezogene Daten und bedarf daher einer Rechtsgrundlage. Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist in der Regel erforderlich. Die Aufsichtsbehörden sehen Newsletter-Tracking zunehmend kritisch:

• Die Einwilligung in den Newsletter-Empfang umfasst nicht automatisch die Einwilligung in das Tracking
• Der Empfänger muss separat und transparent über das Tracking informiert werden
• Es muss eine Opt-out-Möglichkeit für das Tracking geben (unabhängig von der Newsletter-Abmeldung)
• Eine anonymisierte oder aggregierte Auswertung ist datenschutzrechtlich weniger problematisch

In der Praxis empfiehlt es sich, im Anmeldeformular transparent auf das Tracking hinzuweisen und die Einwilligung in den Newsletter-Versand und das Tracking gemeinsam — aber mit klarer Information über das Tracking — einzuholen.

Bestandskunden-Ausnahme nach § 7 Abs. 3 UWG

Eine wichtige Ausnahme vom Einwilligungserfordernis bietet § 7 Abs. 3 UWG — die sogenannte Bestandskunden-Ausnahme. Danach darf ein Unternehmen bestehenden Kunden unter bestimmten Voraussetzungen Werbung per E-Mail zusenden, ohne eine ausdrückliche Einwilligung einzuholen.

Voraussetzungen der Bestandskunden-Ausnahme

Alle folgenden Voraussetzungen müssen kumulativ vorliegen:

1. Bestehende Kundenbeziehung: Der Unternehmer hat die E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten.
2. Eigene ähnliche Waren/Dienstleistungen: Die Werbung bezieht sich auf eigene ähnliche Waren oder Dienstleistungen des Unternehmers.
3. Kein Widerspruch: Der Kunde hat der Verwendung seiner E-Mail-Adresse nicht widersprochen.
4. Hinweis bei Erhebung: Der Kunde wurde bei der Erhebung der E-Mail-Adresse und bei jeder weiteren Verwendung klar und deutlich darauf hingewiesen, dass er der Verwendung jederzeit widersprechen kann.

Praktische Bedeutung

Die Bestandskunden-Ausnahme ist eine wettbewerbsrechtliche Vorschrift (UWG), keine datenschutzrechtliche. Aus DSGVO-Sicht benötigt der Versand dennoch eine Rechtsgrundlage — hier kommt Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Betracht, ergänzt durch die Wertung des § 7 Abs. 3 UWG.

Die Bestandskunden-Ausnahme ist eng auszulegen. Im Zweifel sollte eine ausdrückliche Einwilligung eingeholt werden — der Aufwand für ein Double-Opt-in-Verfahren ist gering, die Rechtssicherheit jedoch deutlich höher.

Kopplungsverbot

Das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO besagt, dass eine Einwilligung nicht an eine Gegenleistung gekoppelt werden darf, die mit dem eigentlichen Zweck der Datenverarbeitung nichts zu tun hat.

In der Praxis relevant: Darf ein Unternehmen ein E-Book, einen Rabattcode oder eine Teilnahme an einem Gewinnspiel nur gegen Newsletter-Anmeldung anbieten? Die Antwort ist differenziert:

• Strenge Auslegung: Eine Kopplung „E-Book nur gegen Newsletter-Anmeldung“ kann die Freiwilligkeit der Einwilligung beeinträchtigen und damit zur Unwirksamkeit führen.
• Pragmatische Auslegung: Wenn der Nutzer transparent informiert wird und jederzeit vom Newsletter abmelden kann (ohne das E-Book zurückgeben zu müssen), wird die Kopplung als zulässig angesehen.

Die deutschen Aufsichtsbehörden tendieren zur strengeren Auslegung. Es empfiehlt sich, den Newsletter-Versand und die Bereitstellung des Lead-Magneten möglichst zu trennen — oder zumindest transparent darauf hinzuweisen, dass die Newsletter-Anmeldung freiwillig ist und die Einwilligung jederzeit widerrufen werden kann.

Dokumentation und Nachweispflicht

Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verpflichtet Unternehmen, die Einhaltung der DSGVO-Grundsätze nachweisen zu können. Für den Newsletter-Versand bedeutet das:

Was muss dokumentiert werden?

• Einwilligungen: Zeitpunkt, IP-Adresse, verwendetes Formular, Wortlaut der Einwilligungserklärung, Double-Opt-in-Bestätigung
• Abmeldungen: Zeitpunkt und Methode der Abmeldung
• Versandte Newsletter: Datum, Inhalt, Empfängerkreis
• Auftragsverarbeitungsvertrag: Vertrag mit dem Newsletter-Dienstleister
• Datenschutzerklärung: Versionierte Fassung der Datenschutzerklärung mit Newsletter-Abschnitt
• Technisch-organisatorische Maßnahmen: Dokumentation der Sicherheitsmaßnahmen

Aufbewahrungsfristen

Einwilligungsnachweise sollten für die gesamte Dauer des Newsletter-Versands und außerdem für mindestens drei Jahre aufbewahrt werden (Verjährungsfrist für wettbewerbsrechtliche Abmahnungen). Bei Abmeldungen sollte die E-Mail-Adresse auf eine Sperrliste (Blacklist) gesetzt werden, um versehentliche erneute Zusendungen zu verhindern.

Datenminimierung im Newsletter-Marketing

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) fordert, dass nur diejenigen Daten erhoben werden, die für den Zweck der Verarbeitung erforderlich sind.

Für die Newsletter-Anmeldung ist grundsätzlich nur die E-Mail-Adresse als Pflichtfeld zulässig. Weitere Angaben wie Name, Unternehmen oder Interessen dürfen nur als freiwillige Felder abgefragt werden und müssen als solche gekennzeichnet sein.

Zusätzlich erhobene Daten:

• IP-Adresse und Zeitstempel: Für den Nachweis der Einwilligung (Double-Opt-in) — zulässig und empfohlen
• Name: Für personalisierte Ansprache — als freiwilliges Feld zulässig
• Interessen/Präferenzen: Für segmentierte Newsletter — als freiwilliges Feld zulässig
• Geburtsdatum: Für Geburtstagsgrüße — nur als freiwilliges Feld, Verhältnismäßigkeit prüfen

DSGVO-konformer Newsletter — Checkliste

Nutzen Sie folgende Checkliste, um Ihren Newsletter DSGVO-konform zu gestalten:

1. Double-Opt-in-Verfahren implementiert
2. Einwilligungserklärung transparent und eindeutig formuliert
3. Keine vorangekreuzten Checkboxen
4. Datenschutzhinweis im Anmeldeformular mit Link zur Datenschutzerklärung
5. Nur E-Mail als Pflichtfeld (Datenminimierung)
6. Abmeldelink in jedem Newsletter
7. Impressum in jedem Newsletter
8. Auftragsverarbeitungsvertrag mit Newsletter-Dienstleister abgeschlossen
9. Datenschutzerklärung enthält Newsletter-Abschnitt
10. Verarbeitungsverzeichnis enthält Newsletter-Eintrag
11. Tracking transparent dokumentiert und Opt-out möglich
12. Einwilligungen werden revisionssicher gespeichert
13. Sperrliste für abgemeldete Empfänger geführt

Prüfen Sie Ihre Website und Ihren Newsletter-Versand mit unserem DSGVO-Website-Check, um potenzielle Schwachstellen zu identifizieren.

Bußgelder und Abmahnrisiken

Verstöße gegen die datenschutzrechtlichen Anforderungen beim Newsletter-Versand können erhebliche finanzielle Konsequenzen haben:

DSGVO-Bußgelder

Die Aufsichtsbehörden können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen (Art. 83 Abs. 5 DSGVO). In der Praxis fallen die Bußgelder für Newsletter-Verstöße zwar deutlich geringer aus, können aber dennoch empfindlich sein — insbesondere bei systematischen Verstößen.

Wettbewerbsrechtliche Abmahnungen

Unverlangte Werbe-E-Mails ohne wirksame Einwilligung verstoßen gegen § 7 UWG und können von Mitbewerbern und Verbraucherschutzverbänden abgemahnt werden. Die Abmahnkosten (Anwaltsgebühren, Vertragsstrafe bei Verstößen gegen eine Unterlassungserklärung) können sich schnell auf mehrere tausend Euro summieren.

Schadensersatzansprüche

Betroffene können nach Art. 82 DSGVO Schadensersatz für materielle und immaterielle Schäden geltend machen. Die Rechtsprechung zu immateriellen Schadensersatzansprüchen wegen unerwünschter Werbe-E-Mails ist noch nicht abschließend geklärt, entwickelt sich aber zugunsten der Betroffenen.

Einverständniserklärung für den Newsletter

Die korrekte Formulierung der Einverständniserklärung ist wichtig für die Wirksamkeit der Einwilligung. Ein Formulierungsbeispiel:

„Ich möchte den Newsletter der [Firmenname] erhalten und willige ein, dass meine E-Mail-Adresse für den regelmäßigen Versand des Newsletters verarbeitet wird. Der Newsletter enthält Informationen zu [Themenbereich]. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, z. B. über den Abmeldelink in jedem Newsletter. Weitere Informationen finden Sie in unserer Datenschutzerklärung [Link].“

Häufig gestellte Fragen (FAQ)

Brauche ich für jeden Newsletter eine Einwilligung?

Grundsätzlich ja. Die Einwilligung muss vor dem ersten Versand vorliegen und gilt für alle folgenden Newsletter, solange sie nicht widerrufen wird. Eine Ausnahme bildet die Bestandskunden-Ausnahme nach § 7 Abs. 3 UWG für Werbung für eigene ähnliche Produkte.

Ist Single-Opt-in ausreichend?

Rechtlich gesehen kann auch ein Single-Opt-in eine wirksame Einwilligung darstellen. In der Praxis empfiehlt sich jedoch dringend das Double-Opt-in-Verfahren, da es den Nachweis der Einwilligung erheblich erleichtert und von Aufsichtsbehörden als Best Practice angesehen wird.

Darf ich E-Mail-Adressen für den Newsletter kaufen?

Nein. Gekaufte E-Mail-Adressen verfügen in der Regel nicht über eine wirksame Einwilligung für Ihren Newsletter. Der Versand an solche Adressen verstößt gegen die DSGVO und das UWG und kann zu Bußgeldern und Abmahnungen führen.

Was muss ich bei einem Wechsel des Newsletter-Dienstleisters beachten?

Beim Wechsel des Dienstleisters müssen die Einwilligungsnachweise übertragen werden. Ein neuer Auftragsverarbeitungsvertrag muss mit dem neuen Dienstleister abgeschlossen werden. Die Datenschutzerklärung muss aktualisiert werden. Die Daten beim alten Dienstleister müssen gelöscht werden.

Muss ich Newsletter-Empfänger über Tracking informieren?

Ja. Wenn Sie Open- oder Click-Tracking einsetzen, müssen Sie die Empfänger transparent darüber informieren — idealerweise bereits im Anmeldeformular. Eine separate Einwilligung in das Tracking wird von strengen Aufsichtsbehörden empfohlen.

Wie lange darf ich Einwilligungsdaten speichern?

Die Einwilligungsnachweise sollten für die gesamte Dauer des Newsletter-Versands gespeichert werden. Nach Abmeldung sollten sie noch mindestens drei Jahre aufbewahrt werden (Verjährungsfrist für wettbewerbsrechtliche Ansprüche). Die E-Mail-Adresse selbst sollte nach Abmeldung auf eine Sperrliste gesetzt und aus dem aktiven Verteiler gelöscht werden.

Darf ich bestehende Newsletter-Verteiler nach Einführung der DSGVO weiter nutzen?

Ja, wenn die bestehenden Einwilligungen den Anforderungen der DSGVO entsprechen — insbesondere hinsichtlich Freiwilligkeit, Informiertheit und Widerrufbarkeit. Einwilligungen, die vor der DSGVO rechtmäßig erteilt wurden und die DSGVO-Anforderungen erfüllen, behalten ihre Gültigkeit.