StartBlogNewsletter & DSGVO: Die 2026-Checkliste
Zurück zum Blog
Compliance4 Min. Lesezeit10. März 2026

Newsletter & DSGVO: Die 2026-Checkliste

Von Double-Opt-In über Widerrufsrecht bis zum Auftragsverarbeitungsvertrag: die vollständige DSGVO-Checkliste für dein Newsletter-Setup in 2026 — Schritt für Schritt.

M

Mailaura Team

Mailaura.io

Newsletter & DSGVO: Die 2026-Checkliste

DSGVO-konformes Newsletter-Marketing ist kein rechtlicher Luxus — es ist die Voraussetzung, überhaupt senden zu dürfen. Und gleichzeitig das Thema, bei dem viele Unternehmen schlampig werden, bis die erste Abmahnung kommt. Diese Checkliste gibt dir den vollständigen Überblick — praxisnah, 2026 aktuell, mit klarer Handlungsanweisung pro Punkt.

Warum DSGVO 2026 wichtiger ist denn je

Zwei Entwicklungen haben die Situation verschärft:

  1. Schrems II und daraus folgende Probleme mit US-Tools: Datenübertragung in Drittländer ohne geeignete Garantien ist ein Hauptrisiko.
  2. KI-Features im E-Mail-Marketing werfen neue Fragen auf: Wer verarbeitet die Daten, wo liegen sie, welche Modelle werden trainiert?

Die DSGVO bleibt dabei im Kern gleich — ihre Auslegung aber wird strenger.

Die 17-Punkte-Checkliste

Rechtsgrundlage und Einwilligung (Punkte 1–5)

1. Double-Opt-In aktiv.
Nur die aktive Bestätigung per Klick auf einen Bestätigungslink in einer separaten E-Mail ist in DE/AT rechtssicher. Mailaura aktiviert DOI standardmäßig.

2. Einwilligung dokumentiert.
Pro Abonnent:in werden gespeichert: Zeitstempel, IP-Adresse, genutztes Formular, Einwilligungstext. Mailaura speichert diese Informationen automatisch über die Mindestaufbewahrungsfrist.

3. Checkbox nicht vorangekreuzt.
Pflicht seit 2018. Vorbelegte Häkchen sind unwirksam — der/die Nutzer:in muss aktiv zustimmen.

4. Kein Koppelungsverbot-Verstoß.
Zustimmung zum Newsletter darf keine Voraussetzung für andere Leistungen sein (z.B. „Whitepaper nur mit Newsletter-Anmeldung" ohne Alternative = problematisch).

5. Einwilligungstext klar und verständlich.
Formulierung muss erkennen lassen, was der/die Abonnent:in genau zustimmt. Vorschlag:

„Ja, ich möchte den Mailaura-Newsletter erhalten. Die Einwilligung kann ich jederzeit über den Abmeldelink in jeder E-Mail widerrufen. Datenschutzhinweise: [Link]."

Datenverarbeitung (Punkte 6–10)

6. Datenminimierung.
Erhebe nur Felder, die du auch wirklich nutzt. Geburtsdatum nur für Geburtstagsmail, Branche nur für Segmentierung.

7. Zweckbindung dokumentiert.
Die Datenschutzerklärung listet auf, welche Felder für welche Zwecke erhoben werden.

8. Auftragsverarbeitungsvertrag (AVV) unterzeichnet.
Mit deinem Newsletter-Tool (z.B. Mailaura). Mailaura stellt einen automatisch im Account zur Verfügung.

9. Technische Sicherheit: Verschlüsselung.
Übertragung ausschließlich über HTTPS/TLS, Speicherung verschlüsselt. Standard bei seriösen EU-Tools.

10. Sub-Auftragsverarbeitung transparent.
Wenn Mailaura z.B. AWS für Sending nutzt, ist das im AVV dokumentiert. Du als Verantwortliche:r musst diese Kette kennen.

Rechte der Betroffenen (Punkte 11–13)

11. Jederzeit abmeldbar (Art. 7 Abs. 3 DSGVO).
Ein-Klick-Abmeldelink, ohne Login-Zwang, ohne Formular. Link List-Unsubscribe zusätzlich im E-Mail-Header.

12. Auskunftsrecht gewährleisten (Art. 15).
Betroffene können jederzeit erfahren, welche Daten gespeichert sind. Mailaura bietet dafür Self-Service.

13. Löschungsrecht („Recht auf Vergessenwerden", Art. 17).
Nach Abmeldung werden Daten in einem angemessenen Zeitraum gelöscht — mit Ausnahme rechtlich verpflichtend aufbewahrter Einwilligungs-Nachweise.

Im Newsletter selbst (Punkte 14–17)

14. Impressum-Pflicht erfüllt.
Vollständiges Impressum im Footer. Details: Newsletter-Impressum.

15. Datenschutzerklärung verlinkt.
Am besten im Footer jeder Newsletter-E-Mail.

16. Keine irreführenden Angaben.
Absender, Betreffzeile und Inhalt müssen übereinstimmen. „Re: Dein Antrag" als Betreffzeile für ein Angebot = abmahnfähig.

17. Werbekennzeichnung bei Produktwerbung.
Wenn ein Newsletter vorrangig Werbung enthält, muss der Werbe-Charakter klar erkennbar sein.

Die drei DSGVO-Fallen, die auch Profis erwischen

Falle 1: Importierte Alt-Listen

Du übernimmst aus einem anderen Tool 50.000 Adressen. Problem: Für diese Adressen ist nicht dokumentiert, dass sie DOI-bestätigt wurden. Lösung: Re-Confirmation-Kampagne („Bestätige erneut, damit wir dir schreiben dürfen"). Ja, du verlierst 60–80 % der Liste. Nein, Alternativen sind rechtswidrig.

Falle 2: Incentivierte Anmeldungen

„Melde dich an und gewinne ein iPad." Der Kopplungszwang zwischen Newsletter-Anmeldung und Gewinnspiel macht die Einwilligung unwirksam, wenn das Hauptziel die Werbung ist.

Falle 3: Tracking-Pixel ohne Hinweis

Öffnungs- und Klick-Tracking ist Datenverarbeitung. Sie muss in der Datenschutzerklärung adressiert sein. Der Hinweis „Wir tracken Öffnungen zur Optimierung unserer Newsletter" gehört in die Datenschutzerklärung UND am besten ein separater Abschnitt in der Einwilligung.

US-Tools und DSGVO

Nach Schrems II ist die Nutzung US-basierter Newsletter-Tools (Mailchimp, HubSpot, Klaviyo) nicht automatisch verboten, aber deutlich risikoreicher. Anforderungen:

  • Standardvertragsklauseln (SCC) nach EU-Beschluss 2021/914.
  • Zusätzliche Maßnahmen: Verschlüsselung, Anonymisierung, Zugangskontrollen.
  • Risikoabwägung dokumentiert im eigenen Verzeichnis von Verarbeitungstätigkeiten.
  • Abwägung, ob EU-Alternative verfügbar wäre.

Praktisch: Für die meisten DACH-Unternehmen ist ein EU-natives Tool wie Mailaura oder CleverReach die risikoärmere Wahl.

Was ins Verzeichnis von Verarbeitungstätigkeiten (VVT) gehört

Ein Newsletter-Eintrag im VVT enthält:

  • Zweck: Newsletter-Versand
  • Betroffene: Abonnent:innen
  • Datenkategorien: E-Mail, Name (optional), Verhaltensdaten
  • Empfänger: Tool-Dienstleister (z.B. Mailaura), Sub-Processor
  • Drittlandtransfer: ja/nein, falls ja welche Garantien
  • Löschfristen: Inaktivität nach 24 Monaten + Widerruf-Verarbeitung
  • Technische und organisatorische Maßnahmen: Verweis auf AVV

Bußgelder und Abmahnungen

Bußgelder nach Art. 83 DSGVO können bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes betragen. In der Praxis für Newsletter-Verstöße bisher meistens: Abmahnungen von 300–2.500 €, bei gravierenden Verstößen Klage mit Kostenrisiko.

Schritt-für-Schritt-Setup in Mailaura

  1. Account anlegen, Firmendaten hinterlegen → automatische AVV-Generierung.
  2. Formular erstellen mit Checkbox und Datenschutzlink (Default).
  3. Double-Opt-In-Mail anpassen: Firmenname, kurze Bestätigungsaufforderung.
  4. Impressum-Footer aktivieren mit deinen Firmendaten.
  5. DSGVO-Reports aktivieren: Dashboard zeigt pro Kontakt die Einwilligungs-History.

Fazit

DSGVO-konformer Newsletter-Versand ist nicht Raketenwissenschaft, aber Disziplin. 17 Punkte, einmal sauber aufgesetzt, und du bist rechtssicher. Mit Mailaura bekommst du die meisten dieser Punkte automatisch. Und wenn du die Grundlagen noch nicht hast: lies vorher Newsletter erstellen.

Auch verfügbar auf:

English

Bereit für deinen nächsten Newsletter?

Mailaura macht Newsletter-Marketing einfach, DSGVO-konform und KI-unterstützt. Starte kostenlos.

Kostenlos starten

Weitere Artikel

Double Opt-In einfach erklärt
Compliance

Double Opt-In einfach erklärt

4 Min. Lesezeit

Newsletter-Impressum: Pflichtangaben im Überblick
Compliance

Newsletter-Impressum: Pflichtangaben im Überblick

4 Min. Lesezeit

DSGVO-konformes Newsletter-Marketing — Grundlagen
Compliance

DSGVO-konformes Newsletter-Marketing — Grundlagen

3 Min. Lesezeit