Newsletter DSGVO-konform gestalten: Rechtssicheres E-Mail-Marketing erklärt

Der Versand von Newslettern unterliegt in Deutschland und der EU strengen rechtlichen Vorgaben. Spätestens seit Inkrafttreten der DSGVO im Mai 2018 ist klar: E-Mail-Adressen sind personenbezogene Daten, deren Verarbeitung nur unter klar definierten Voraussetzungen zulässig ist.

Bereits kleine Fehler im Anmeldeprozess, etwa fehlende Einwilligungen oder eine mangelhafte Dokumentation, können Abmahnungen und Bußgelder nach sich ziehen, die im Extremfall bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können.

Gleichzeitig bleibt E-Mail-Marketing einer der effektivsten Kanäle im Online-Marketing. Newsletter erzielen in vielen Branchen höhere Reichweiten und bessere Conversion-Raten als Social Media. Genau deshalb lohnt es sich, den Newsletter nicht nur marketingstrategisch, sondern auch rechtlich sauber aufzusetzen.

Rechtlicher Rahmen: DSGVO, UWG und DDG

Rechtssicheres Newsletter-Marketing bewegt sich im Spannungsfeld mehrerer Gesetze. Die DSGVO regelt, wann und wie personenbezogene Daten verarbeitet werden dürfen. Das Gesetz gegen den unlauteren Wettbewerb (UWG) bestimmt, wann E-Mail-Werbung als unzumutbare Belästigung gilt. Ergänzend schreibt das Digitale-Dienste-Gesetz (DDG) unter anderem eine Impressumspflicht auch für Newsletter vor.

Als personenbezogene Daten gelten dabei nicht nur E-Mail-Adressen, sondern auch IP-Adressen bei der Anmeldung, Öffnungs- und Klickdaten, Interessenprofile oder zusätzliche Angaben im Anmeldeformular. Für den Umgang mit diesen Daten gelten die bekannten DSGVO-Grundsätze wie Zweckbindung, Datenminimierung, Speicherbegrenzung und Datensicherheit.

Einwilligung als zentrale Voraussetzung

Grundregel für den Newsletter-Versand: Ohne wirksame und nachweisbare Einwilligung keine E-Mail-Werbung. In der Praxis wird diese Einwilligung fast immer über das Double-Opt-in-Verfahren eingeholt. Dabei trägt sich der Interessent zunächst in ein Formular ein, erhält anschließend eine Bestätigungs-E-Mail und wird erst nach Klick auf den Bestätigungslink in den Verteiler aufgenommen. Zeitpunkt und IP-Adresse der Bestätigung müssen dokumentiert werden, um die Einwilligung später nachweisen zu können.

Ein einfaches Single-Opt-in ohne Bestätigung gilt in Deutschland als rechtlich nicht mehr vertretbar, da der Nachweis fehlt, dass tatsächlich der Inhaber der E-Mail-Adresse zugestimmt hat.

Sonderfall Bestandskunden

Unter engen Voraussetzungen erlaubt § 7 Abs. 3 UWG den Newsletter-Versand an Bestandskunden auch ohne erneutes Opt-in. Voraussetzung ist unter anderem, dass die E-Mail-Adresse im Rahmen eines bestehenden Vertragsverhältnisses erhoben wurde, die Werbung sich auf ähnliche eigene Produkte oder Dienstleistungen bezieht und der Kunde jederzeit einfach widersprechen kann.

Zudem darf die letzte Kundenbeziehung nicht zu lange zurückliegen, und die Adresse darf nicht aus fremden oder gekauften Quellen stammen.

DSGVO-konformes Anmeldeformular

Das Anmeldeformular ist der entscheidende Punkt für die Rechtssicherheit. Pflichtfeld darf ausschließlich die E-Mail-Adresse sein. Weitere Angaben wie Name oder Unternehmen sind nur als freiwillige Zusatzfelder zulässig. Vorab angekreuzte Checkboxen, versteckte Einwilligungen oder Kopplungen an andere Leistungen sind unzulässig.

Der Einwilligungstext muss klar und verständlich darüber informieren, welche Inhalte versendet werden, in welcher Häufigkeit der Newsletter erscheint und ob Tracking zur Erfolgsmessung eingesetzt wird. Ein gut sichtbarer Link zur Datenschutzerklärung ist ebenfalls Pflicht.

Newsletter-Tools und Auftragsverarbeitung

Für DSGVO-konformes E-Mail-Marketing ist der Einsatz eines professionellen Newsletter-Tools praktisch unverzichtbar. Solche Tools müssen unter anderem das Double-Opt-in technisch sauber abbilden, Einwilligungen protokollieren sowie Lösch- und Exportfunktionen für Betroffenenanfragen bereitstellen.

Der Anbieter des Tools ist in der Regel Auftragsverarbeiter. Deshalb muss ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen werden.

Befinden sich Server außerhalb der EU, kommen zusätzliche Anforderungen wie Standardvertragsklauseln (sofern kein Angemessenheitsbeschluss für ein Abkommen mit dem jeweiligen Drittland vorliegt) und Risikoanalysen hinzu.

In jedem Fall verbleibt bei Anbietern im Nicht-EU-Ausland ein Restrisiko. Für die höchstmögliche rechtliche Sicherheit nutzen Sie daher am besten Dienste mit Standorten in Deutschland oder der EU. Ein Beispiel dafür ist Brevo.

Datenschutz im laufenden Newsletter-Betrieb

Die DSGVO-Konformität endet nicht mit der Anmeldung. Auch im laufenden Versand müssen Inhalte und Zweck übereinstimmen. Wer Newsletter für Produktinformationen angekündigt hat, darf diese nicht plötzlich für themenfremde Werbung oder Drittangebote nutzen.

Tracking-Funktionen wie Öffnungs- und Klickmessungen sind datenschutzrechtlich sensibel. Werden diese personenbezogen ausgewertet, ist in vielen Fällen eine ausdrückliche Einwilligung erforderlich. Alternativ können anonymisierte Statistiken genutzt werden, die keine Rückschlüsse auf einzelne Empfänger zulassen.

Der Widerruf der Einwilligung muss jederzeit möglich und genauso einfach sein wie die Anmeldung. Ein Abmeldelink in jeder E-Mail ist zwingend erforderlich und muss mit einem Klick funktionieren ohne Login oder Begründungspflicht.

Impressum, Informationspflichten und Dokumentation

Newsletter unterliegen der Impressumspflicht. Die Anbieterkennzeichnung muss vollständig sein und entweder direkt in der E-Mail oder über einen klar erkennbaren Link erreichbar sein. Zusätzlich müssen die Informationspflichten nach Art. 13 DSGVO in der Datenschutzerklärung erfüllt werden, insbesondere zu Zwecken, Rechtsgrundlagen, Speicherdauer und Betroffenenrechten.

Intern sollten Unternehmen ihre Newsletter-Prozesse dokumentieren, etwa im Verzeichnis der Verarbeitungstätigkeiten. Dazu gehören definierte Löschfristen, klare Zuständigkeiten und regelmäßige Überprüfungen der Einwilligungsnachweise.

Fazit

Ein DSGVO-konformer Newsletter ist kein bürokratisches Hindernis, sondern die Basis für nachhaltiges und erfolgreiches E-Mail-Marketing. Saubere Einwilligungen, transparente Kommunikation und verlässliche technische Prozesse sorgen für rechtliche Sicherheit und für engagiertere Abonnenten, bessere Öffnungsraten und weniger Beschwerden.

Wer sein Anmeldeformular, das Double-Opt-in und den AV-Vertrag im Blick hat, deckt bereits die größten rechtlichen Risiken ab und schafft gleichzeitig Vertrauen bei seinen Empfängern.

Sie möchten sich beim Thema E-Mail-Marketing professionell beraten lassen? Als Experten für Datenschutz finden wir mit Ihnen gemeinsam die bestmögliche Lösung für Ihre individuelle Situation.