DSGVO-konformes E-Mail-Marketing — Einwilligung, Double-Opt-In, Logging
Keine Rechtsberatung
Dieser Artikel ist eine praktische Einordnung aus Marketing-Sicht — keine Rechtsberatung. Für konkrete Einzelfälle (insbesondere bei Bestandslisten, Gewinnspielen, Co-Sponsoring oder grenzüberschreitendem Versand) gehört eine spezialisierte Kanzlei für IT-/Datenschutzrecht ins Boot. Die hier genannten Schwellen, Bußgeldhöhen und Beispiele sind Stand 2026 — Aufsichtsbehörden und Gerichte legen Details laufend neu aus.
Worum es geht — und warum E-Mail-Marketing rechtlich anders tickt
E-Mail-Marketing sieht harmlos aus: Adresse rein, Newsletter raus. Rechtlich liegen über jedem Versand aber zwei Regelwerke gleichzeitig — die DSGVO (Verarbeitung personenbezogener Daten) und das UWG (§7 zur unzumutbaren Belästigung durch Werbung). Beide müssen erfüllt sein, sonst drohen Abmahnungen, Bußgelder und in extremen Fällen Schadensersatz an einzelne Empfänger.
Die meisten Unternehmen verstehen die DSGVO-Seite (Daten dürfen nur mit Rechtsgrundlage verarbeitet werden). Die UWG-Seite ist enger und wird häufiger übersehen: Werbe-Mails an Personen ohne wirksame Einwilligung sind nach §7 Abs. 2 UWG wettbewerbswidrig — und zwar auch dann, wenn die Adresse “irgendwie” rechtmäßig im System gelandet ist. Datenschutz und Werberecht überlappen, decken sich aber nicht. Eine Adresse darf datenschutzrechtlich gespeichert werden und trotzdem werberechtlich nicht beworben werden — und umgekehrt.
Wer das Thema ernst nimmt, spart sich später Abmahnungen ab 1.500 € pro Vorfall, Bußgelder der Aufsichtsbehörden im fünf- bis sechsstelligen Bereich und — der oft unterschätzte Schaden — die Sender-Reputation. Eine kompromittierte Liste produziert Beschwerden, Hard Bounces und Spam-Traps — und kippt dann auch die Zustellbarkeit der sauberen Mails.
Die zwei Regelwerke kurz erklärt
DSGVO — Rechtsgrundlage für die Verarbeitung
Sobald du eine E-Mail-Adresse speicherst, ist das eine Verarbeitung personenbezogener Daten und braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Für Marketing-Mails kommen praktisch nur zwei in Frage: die Einwilligung (Art. 6 Abs. 1 lit. a) oder das berechtigte Interesse (lit. f). Die Einwilligung muss informiert, freiwillig, spezifisch und durch eine eindeutige Handlung erteilt werden — vorausgekreuzte Checkboxen reichen seit dem Planet49-Urteil (BGH, 2020) nicht mehr. Berechtigtes Interesse trägt im Marketing fast nie alleine, weil das UWG die strengere Hürde aufstellt.
UWG §7 — Werbe-Einwilligung als zweite Hürde
§7 Abs. 2 Nr. 2 UWG verlangt für Werbung per E-Mail eine vorherige ausdrückliche Einwilligung — strenger als die DSGVO. Heißt: Selbst wenn die DSGVO grünes Licht gibt, kann die Werbe-Mail wettbewerbswidrig sein. Die Einwilligung muss sich konkret auf Werbung per E-Mail beziehen, nicht “auf alles Mögliche”. Eine Checkbox “Ich stimme den AGB zu” deckt keine Newsletter-Einwilligung ab — Kopplungsverbot.
Ausnahme: das Soft-Opt-In nach §7 Abs. 3 UWG (siehe weiter unten).
Double-Opt-In — der De-facto-Standard
Double-Opt-In (DOI) ist nicht ausdrücklich gesetzlich vorgeschrieben — aber der einzige Weg, der vor Gericht und Aufsichtsbehörden verlässlich als Nachweis trägt. Ablauf:
- Nutzer trägt seine Adresse in ein Formular ein (Single-Opt-In).
- System schickt eine Bestätigungs-Mail mit einem Aktivierungs-Link.
- Nutzer klickt den Link → Eintrag in die Versandliste.
Erst nach Schritt 3 darf der erste Newsletter raus. Die Bestätigungs-Mail selbst darf keine Werbung enthalten — nur den Bestätigungslink, kurze Erklärung und Impressum. Sonst ist sie selbst eine ungewollte Werbemail (BGH 2011, “Double-Opt-In”-Urteil).
Warum nicht Single-Opt-In?
Bei Single-Opt-In trägt jemand eine fremde Adresse ein und der Empfänger bekommt ungefragt Mails. Du kannst die Einwilligung nicht beweisen — das Beweisrisiko liegt beim Versender. Im Streitfall musst du nachweisen, dass genau diese Person die Einwilligung erteilt hat. Ohne DOI praktisch unmöglich.
Confirmed-Opt-In als Mittelweg?
Confirmed-Opt-In (Bestätigungsmail mit Widerspruchslink, aber automatischer Aufnahme in die Liste) wird in deutscher Rechtsprechung nicht als gleichwertig akzeptiert. Wer DOI umgehen will, geht ins Risiko.
Opt-In-Logging — was du protokollieren musst
Die Einwilligung ist nur so viel wert wie ihr Nachweis. Im Streitfall (Beschwerde, Abmahnung, Behördenanfrage) musst du belegen können: Wer hat wann mit welchem Wortlaut auf welcher Seite in was eingewilligt. Mindestens diese Felder gehören ins Log:
- E-Mail-Adresse
- Zeitstempel der Anmeldung (Single-Opt-In)
- Zeitstempel der Bestätigung (Double-Opt-In)
- IP-Adresse zum Zeitpunkt der Anmeldung und der Bestätigung
- Quelle (URL des Formulars)
- Wortlaut des Einwilligungstextes (Version + Hash)
- Vollständige Kopie der Bestätigungsmail
Speicherdauer: solange die Einwilligung gültig ist — plus angemessene Frist nach Abmeldung (Praxis: 3 Jahre nach Widerruf, da Verjährungsfrist für UWG-Ansprüche), damit du im Bestreitensfall noch nachweisen kannst, dass die Person damals zugestimmt hat. Diese Speicherung darfst du auf berechtigtes Interesse stützen (Art. 6 Abs. 1 lit. f).
Praktisch: Jeder ernstzunehmende ESP (Mailchimp, Brevo, Rapidmail, CleverReach, Klaviyo) loggt das automatisch. Wer eine Eigenlösung baut, muss diese Felder selbst sichern — und zwar auf einer Strecke, die später nicht überschrieben oder gelöscht wird, wenn der Kontakt sich abmeldet.
Soft-Opt-In nach §7 Abs. 3 UWG — die Bestandskunden-Ausnahme
Die einzige Möglichkeit, an eigene Bestandskunden ohne separate Newsletter-Einwilligung Werbe-Mails zu schicken. Vier Voraussetzungen müssen alle gleichzeitig erfüllt sein:
- Die Adresse wurde im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erlangt (nicht aus Anfragen, Newslettern, Gewinnspielen, Webinaren ohne Kauf).
- Die Werbung betrifft eigene, ähnliche Produkte oder Dienstleistungen (kein Cross-Promo für Partner, kein themenfremder Versand).
- Der Kunde hat der Nutzung nicht widersprochen.
- Der Kunde wurde bei der Erhebung und in jeder einzelnen Mail klar und deutlich auf das Widerspruchsrecht hingewiesen.
Soft-Opt-In ist eng. Wer einen Webshop für Laufschuhe betreibt, darf seinen Käufern Mails über neue Laufschuh-Modelle schicken — aber nicht über Yogamatten, auch wenn beides “Sport” ist. “Ähnlich” ist im Zweifel sehr eng auszulegen (LG-Urteile schwanken hier — im Zweifel separate Einwilligung einholen).
Typische Beispiele — was geht, was nicht
Geht klar in Ordnung
- Newsletter-Anmeldung mit DOI, sauberer Einwilligungstext, Anmeldung wird mit Zeitstempel + IP geloggt → Versand erlaubt.
- Bestandskunde kauft Laufschuhe, bekommt 4 Wochen später eine Mail über neue Laufschuh-Kollektion mit klarem “Abmelden”-Link → Soft-Opt-In greift.
- B2B-Geschäftskunde hat in einem Sales-Meeting ausdrücklich der Aufnahme in den Newsletter zugestimmt, der Vertrieb hat das per Mail dokumentiert + DOI nachgezogen → erlaubt.
Grauzone — geht oft schief
- Webinar-Teilnehmer kreuzen bei der Anmeldung “Ich möchte den Newsletter erhalten” an. Wirksam nur wenn das eine separate, nicht vorgekreuzte Checkbox war und der Text klar Werbe-Charakter benennt — kein Kopplung mit der Webinar-Anmeldung selbst.
- Gewinnspiel-Adressen für Newsletter nutzen: Geht nur, wenn die Newsletter-Einwilligung getrennt vom Gewinnspiel eingeholt wurde und der Nutzer das Gewinnspiel auch ohne diese Einwilligung gewinnen konnte. Andernfalls Kopplungsverbot.
- B2B-Adressen aus LinkedIn / öffentlichen Quellen: Auch geschäftliche E-Mail-Adressen sind nach DSGVO personenbezogene Daten. §7 Abs. 2 UWG gilt im B2B grundsätzlich auch — nur die Anforderungen an “mutmaßliche Einwilligung” sind in engen Grenzen etwas weicher. Cold Outreach ohne Einwilligung ist trotzdem riskant und wird häufig abgemahnt.
Geht definitiv schief
- Vorausgekreuzte Checkboxen beim Bestellprozess → seit BGH “Planet49” (2020) unwirksam.
- AGB-Zustimmung deckt Newsletter → Kopplungsverbot, unwirksam.
- Bestandskunden-Mails an Webinar-Teilnehmer ohne Kauf → Soft-Opt-In greift nicht.
- Werbung in der DOI-Bestätigungsmail → die Bestätigungsmail wird selbst zur ungewollten Werbung.
Das große Beispiel — die gekaufte Liste
Du hast eine Liste mit 50.000 B2B-Adressen gekauft (oder geschenkt bekommen, oder von einem “Partner” übernommen). Der Verkäufer versichert: “Alle DSGVO-konform eingeholt.” Du willst Cross-Promotion-Mails verschicken. In was für Fahrwasser begibst du dich?
Schritt 1: Die Einwilligung gehört dir nicht
Eine Einwilligung ist personen- und zweckgebunden. Selbst wenn die Adressen ursprünglich mit DOI eingeholt wurden, war die Einwilligung “für den Newsletter von Anbieter X” — nicht “für Werbung von beliebigen Dritten”. §7 UWG verlangt eine Einwilligung, die sich konkret auf den Versender und die beworbenen Produkte bezieht. Listen-Einwilligungen mit Klauseln wie “und unsere Partner” sind nach aktueller Rechtsprechung praktisch immer unwirksam, weil “die Partner” zum Zeitpunkt der Einwilligung nicht konkret benennbar waren.
Praktische Konsequenz: Du hast 50.000 Adressen ohne wirksame Einwilligung für dich. Jede einzelne Mail, die du verschickst, ist eine wettbewerbswidrige Belästigung nach §7 Abs. 2 UWG.
Schritt 2: Was passiert konkret?
- Abmahnungen. Mitbewerber, der IDO-Verband, die Wettbewerbszentrale und einzelne empfangene Verbraucher (über Anwälte) können abmahnen. Pro Vorfall typisch 1.500–4.000 € Streitwert + Anwaltskosten + strafbewehrte Unterlassungserklärung. Bei einem 50k-Versand reichen schon wenige empfindliche Empfänger, um in der ersten Woche 5-stellig in Abmahnungen zu stecken.
- Bußgeld der Datenschutzaufsicht. Wenn Beschwerden bei der zuständigen Landesdatenschutzbehörde landen: Bis zu 20 Mio. € oder 4 % des weltweiten Konzernumsatzes (Art. 83 DSGVO). In Deutschland praktisch zwischen wenigen Tausend und niedrigen sechsstelligen Beträgen für KMU; Aufsichtsbehörden eskalieren bei Listen-Käufen schnell, weil das als vorsätzlich gilt.
- Schadensersatz nach Art. 82 DSGVO. Einzelne Empfänger können immateriellen Schadensersatz fordern. EuGH hat 2023/2024 die Schwelle deutlich gesenkt — schon ein “Kontrollverlust über die Daten” reicht. Bei 50k Empfängern ist es eine Frage der Zeit, bis ein Anwalt ein Massenklageverfahren aufzieht.
- Reputation des Mailservers / der Domain. Fremdadressen produzieren überdurchschnittlich Beschwerden, Spam-Trap-Hits und Hard Bounces. Provider stufen die Sending-Domain herab — auch deine legitimen Mails an saubere Empfänger landen plötzlich im Spam. Ein einmal verbrannter Domain-Ruf braucht Monate, um sich zu erholen, oft inklusive Domain-Wechsel.
- Strafbewehrte Unterlassungserklärungen. Wer eine Abmahnung mit Unterlassungserklärung unterschreibt, schuldet bei jedem weiteren Verstoß eine Vertragsstrafe — typisch 5.000–10.000 € pro Mail. Eine einzige versehentliche Folgemail an dieselbe Person kann den Schaden vervielfachen.
Schritt 3: Gibt es einen sauberen Weg?
Nicht direkt. Theoretische Möglichkeit: Permission-Pass — du schickst eine einmalige, neutral formulierte Mail (keine Werbung, kein CTA außer “Wollen Sie unseren Newsletter?”) und holst eine echte Einwilligung ein. Aber: Genau diese Permission-Pass-Mail ist selbst schon eine Werbe-Mail im UWG-Sinne und damit ihrerseits einwilligungspflichtig. Die meisten Gerichte sehen das so. Praktisch heißt das: Die Liste ist verbrannt. Verkaufte oder geerbte Adressen sind ohne dokumentierte, auf dich konkret gerichtete Einwilligung nicht nutzbar für Marketing-Mails — Punkt.
Faustregel zu gekauften Listen
Wenn dir jemand “DSGVO-konforme Adressen” verkauft, ist das praktisch immer Marketing-Sprech. Die Einwilligung lässt sich nicht weiterverkaufen. Im besten Fall ist die Liste nutzlos, im schlechtesten Fall produziert sie Abmahnungen, Bußgelder und einen ruinierten Domain-Ruf. Finger weg.
Was du aktiv tun solltest
Eine Mini-Checkliste für ein sauberes Setup:
- Anmeldeformular mit aktiv anzukreuzender Checkbox (nicht vorgekreuzt), klarer Formulierung (“Ich möchte den Newsletter zu X von [Firma] per E-Mail erhalten und kann mich jederzeit über den Link in der Mail abmelden.”), Link zur Datenschutzerklärung.
- Double-Opt-In als Pflicht. Bestätigungsmail enthält nur den Bestätigungslink — keine Werbung, kein Tracking-Pixel, das später Aufschluss über Verhalten gibt.
- Logging mit IP, Timestamp, Formular-URL, Wortlaut-Version. Kontrolle: Kannst du für eine zufällig gewählte Adresse aus deiner Liste in unter 60 Sekunden den Einwilligungs-Beleg vorlegen?
- Abmelde-Link in jeder Mail, ein Klick reicht. Keine Login-Pflicht, kein Multi-Page-Flow. Abmelder werden innerhalb von 24h aus dem aktiven Versand genommen.
- Datenschutzerklärung beschreibt: welcher ESP, welche Daten, welche Speicherdauer, welche Rechte (Auskunft, Löschung, Widerruf), Auftragsverarbeitungsvertrag (AVV) mit dem ESP abgeschlossen.
- AVV mit dem ESP schriftlich dokumentiert. Bei US-ESPs (Mailchimp, Klaviyo, Sendgrid): Standardvertragsklauseln + Transfer Impact Assessment, Stand DPF (Data Privacy Framework) 2026 prüfen.
- Soft-Opt-In sauber dokumentieren, falls genutzt: Nachweis des Kaufs, Hinweis bei Erhebung, Hinweis in jeder Folgemail.
Verwandt zur Zustellbarkeit: E-Mail-Zustellbarkeit — SPF, DKIM, DMARC erklärt, warum eine sauber eingewilligte Liste auch technisch sauber versendet werden muss, damit sie ankommt.
FAQ
- Nein. Kopplungsverbot — die Newsletter-Einwilligung muss separat und freiwillig sein.
- Rechtlich riskant. §7 UWG gilt grundsätzlich auch im B2B; "mutmaßliche Einwilligung" ist eng und wird abgemahnt. Sauberer Weg: LinkedIn-Kontakt aufbauen, dort um Erlaubnis fragen, dann Mail.
- Keine starre Frist. Praxis: nach 12–24 Monaten ohne Öffnung/Klick ein Reaktivierungs-Mailing, danach Löschung oder Suppression. Das ist auch zustellbarkeitstechnisch sinnvoll, weil inaktive Adressen die Sender-Reputation drücken.
- Tracking (Öffnungs-, Klick-Pixel) ist nach aktueller Rechtsprechung einwilligungspflichtig zusätzlich zum Versand selbst. Heißt: Bei der Anmeldung zusätzlich abfragen oder im Einwilligungstext mit aufnehmen ("...sowie zur Auswertung des Nutzungsverhaltens (Öffnungen, Klicks)..."). Wer nur den Versand abfragt und trotzdem trackt, riskiert Abmahnungen.
- Meldepflicht an die Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnis (Art. 33 DSGVO). Bei hohem Risiko zusätzlich Benachrichtigung der Betroffenen. Nicht-Meldung wird härter geahndet als das Leck selbst.
Reicht eine Einwilligung in den AGB?
Darf ich Mitarbeiter eines Unternehmens kalt anschreiben (B2B Cold Mail)?
Wie lange darf ich Adressen ohne Aktivität behalten?
Was ist mit Tracking-Pixeln in der Mail?
Was passiert bei einem Datenleck der Adressliste?
Fazit
E-Mail-Marketing in Deutschland ist nicht kompliziert, sondern formal. Wer das Setup einmal sauber baut — DOI, Logging, getrennte Einwilligung, klarer Abmelde-Link, AVV mit dem ESP — hat dauerhaft Ruhe. Die teuren Fälle entstehen fast immer aus Abkürzungen: gekaufte Listen, vorausgekreuzte Checkboxen, “wir schicken nur einmal eine Permission-Pass-Mail”, Soft-Opt-In zu weit ausgelegt.
Praktische Empfehlung: Lass das Setup einmal von einer auf IT-/Datenschutzrecht spezialisierten Kanzlei abnehmen — kostet typisch 800–2.000 € einmalig, deckt ggf. Datenschutzerklärung, Einwilligungstexte und AVV ab und erspart fünfstellige Schäden im ersten Streitfall. Und wenn jemand mit einer “DSGVO-konformen Adressliste” um die Ecke kommt: nicht kaufen. Auch nicht wenn sie billig ist. Besonders nicht, wenn sie billig ist.
Entdecke mehr
Marketing
Unternehmerische Disziplin, die Nachfrage erzeugt, Kunden gewinnt und Beziehungen pflegt — von Markenaufbau und Content über bezahlte Kanäle und SEO bis zu CRM und Loyalty.
LexikonE-Mail-Marketing-KPIs richtig lesen — Open Rate ist tot, was zählt jetzt?
Open Rate, CTR, CTOR, Conversion Rate, Engagement-Score und Revenue per Email — was Apple MPP und iOS 18 verzerren und welche Kennzahlen 2026 wirklich tragen.
NewsApple Mail und Gmail überschreiben den Preheader mit KI-Zusammenfassungen
Wer den Pre-Header sorgfältig pflegt, sieht ihn in der Apple-Inbox nicht mehr. Was Sender wissen müssen und wie man Mails KI-leserlich strukturiert.