DSGVO-konformes Newsletter-Marketing — Grundlagen

DSGVO-konformes Newsletter-Marketing ist keine Kür, sondern Pflicht. Wer sie ernst nimmt, vermeidet Abmahnungen, Bußgelder und Reputationsschäden — und baut gleichzeitig eine qualitativ bessere Liste auf. Dieser Einstiegs-Beitrag erklärt die Grundlagen, die alle Newsletter-Absender:innen im DACH-Raum kennen müssen. Eine ausführliche Schritt-für-Schritt-Anleitung findest du in unserer DSGVO-Checkliste.

Wer ist betroffen?

Praktisch jede:r, der/die E-Mails mit kommerzieller Absicht verschickt. Das umfasst:

• Online-Shops
• SaaS-Unternehmen
• Agenturen mit eigenen Newslettern
• Selbständige mit Kundenkommunikation
• Vereine und NGOs (ja, auch wenn sie nicht-kommerziell sind, weil die DSGVO unabhängig vom Gewinnzweck gilt)

Nicht erfasst: rein privater, nicht-gewerblicher Versand.

Die fünf Kernprinzipien

1. Rechtmäßigkeit: Einwilligung

Jeder Empfänger:in muss aktiv in den Empfang eingewilligt haben. In DE/AT zwingend über Double Opt-In (DOI):

• Stufe 1: Formular-Eintragung
• Stufe 2: Bestätigungsklick in einer separaten E-Mail

Erst nach Stufe 2 darfst du senden. Details: Double Opt-In einfach erklärt.

2. Dokumentation

Pro Abonnent:in speicherst du:

• E-Mail-Adresse
• Zeitstempel der Anmeldung
• IP-Adresse
• Genutztes Formular
• Einwilligungstext
• Zeitstempel der DOI-Bestätigung

Im Streitfall musst du diese Daten vorlegen können. Mailaura speichert sie automatisch pro Kontakt.

3. Widerrufsrecht

Abonnent:innen müssen jederzeit und einfach widerrufen können. Konkret:

• 1-Klick-Abmeldelink in jeder E-Mail.
• Kein Login erforderlich.
• Keine Formulare mit „Begründung erforderlich".
• List-Unsubscribe-Header gesetzt.

4. Datenminimierung

Erhebe nur Daten, die du wirklich nutzt. Geburtsdatum nur für Geburtstagsmails, Branche nur für Segmentierung.

5. Transparenz

Die Datenschutzerklärung listet auf, was du erhebst, wozu, wie lange und an wen weitergegeben. Aktualisiere sie bei jeder Änderung deiner Prozesse.

Auftragsverarbeitungsvertrag (AVV)

Wenn du ein externes Newsletter-Tool nutzt (das ist in 99 % der Fälle so), verarbeitet dieses Tool personenbezogene Daten in deinem Auftrag. Dafür brauchst du einen AVV nach Art. 28 DSGVO. Mailaura stellt einen automatisch im Account zur Verfügung — vereinzelte Punkte anpassbar, aber alle Pflichtinhalte vorhanden.

Ohne AVV ist die Datenverarbeitung rechtswidrig.

Drittlandtransfer (USA-Problematik)

Nach Schrems II (EuGH 2020) ist der Transfer personenbezogener Daten in die USA ohne zusätzliche Maßnahmen nicht mehr automatisch zulässig. Das betrifft:

• Mailchimp (US-Server)
• HubSpot (auch EU-Variante, aber US-Mutter)
• Klaviyo (US-Server)

Lösungen: EU-basierte Tools (Mailaura, MailerLite, CleverReach, Brevo) oder umfassende Zusatzvereinbarungen (SCC, TIA) bei US-Tools. Für viele kleine und mittlere Unternehmen ist die EU-Alternative rechtlich einfacher.

Impressum-Pflicht

Jeder kommerzielle Newsletter muss ein vollständiges Impressum enthalten (§5 TMG in DE, §5 ECG in AT). Pflichtangaben:

• Firmenname und Rechtsform
• Anschrift
• Vertretungsberechtigte(r)
• Kontakt (E-Mail + zweite Option)
• Handelsregister mit Nummer
• USt-ID (falls vorhanden)

Details: Newsletter-Impressum.

Was passiert bei Verstoß?

• Abmahnung durch Wettbewerbszentrale oder Einzelperson: 300–2.500 € Vertragsstrafe + Anwaltskosten.
• Bußgeld durch Aufsichtsbehörde: theoretisch bis 20 Mio. €. Praktisch in DACH bisher meistens < 50.000 € für Newsletter-Verstöße.
• Klage auf Unterlassung durch betroffene Einzelpersonen.
• Image-Schaden durch öffentliche Verstöße.

In der Praxis passieren Abmahnungen häufiger, als viele denken — Wettbewerbszentralen und spezialisierte Anwälte durchsuchen systematisch Newsletter nach Verstößen.

Setup-Schritte für Rechtssicherheit

1. Double-Opt-In im Tool aktivieren.
2. AVV unterzeichnen.
3. Datenschutzerklärung anpassen (Tool, Speicherdauer, Drittlandtransfer).
4. Impressum-Footer in jedem Template.
5. Abmeldelink getestet, funktional.
6. Widerruf-Prozess definiert (was passiert bei Löschung?).
7. Verzeichnis von Verarbeitungstätigkeiten um den Newsletter-Eintrag ergänzt.

Bei Listenmigration

Wenn du Kontakte aus einem alten Tool übernimmst: nicht einfach importieren. Ohne nachweisbares DOI wäre das ein rechtlicher Graubereich. Empfehlung:

• Quarantäne-Liste anlegen.
• Re-Confirmation-Kampagne senden: „Bitte bestätige erneut, damit wir dir schreiben dürfen."
• Bestätigte in Hauptliste übernehmen, Nicht-Bestätigte löschen.

Häufige Missverständnisse

„Kunden darf man ohne Opt-In anschreiben." — Falsch. §7 UWG erlaubt zwar Werbung an eigene Kunden für ähnliche Produkte — aber nur mit Widerrufsrecht und nur bei der Erhebung der Adresse klar kommuniziert.

„Wir haben ja einen AVV, damit sind wir DSGVO-sicher." — Falsch. AVV ist nur ein Baustein. Einwilligung, Dokumentation, Widerruf und Impressum kommen dazu.

„Die Aufsichtsbehörde prüft uns doch nie." — Vielleicht nicht. Aber jede:r Empfänger:in kann anzeigen, und Anwälte suchen gezielt.

Fazit

DSGVO-konformes Newsletter-Marketing ist strukturierte Disziplin, kein Hexenwerk. Double Opt-In, dokumentierte Einwilligung, einfacher Widerruf, transparente Datenschutzerklärung, vollständiges Impressum. Mit Mailaura läuft das Meiste out-of-the-box. Für detaillierte Punkte siehe die 17-Punkte-Checkliste.