DSGVO im E-Mail-Marketing

Die DSGVO (Datenschutz-Grundverordnung) ist die europäische Datenschutzverordnung, die vorschreibt, wie personenbezogene Daten – darunter E-Mail-Adressen – erhoben, gespeichert und genutzt werden dürfen.

Rubrik: Online-Marketing & Content · Unterrubrik: E-Mail-Marketing · Niveau: Einsteiger Synonyme / Auch bekannt als: GDPR (General Data Protection Regulation), Datenschutz-Grundverordnung, EU-Datenschutzrecht

Was ist die DSGVO im E-Mail-Marketing?

Seit dem 25. Mai 2018 gilt die DSGVO in allen EU-Mitgliedstaaten. Sie schreibt vor, dass personenbezogene Daten – also alle Informationen, die einer natürlichen Person zugeordnet werden können, darunter E-Mail-Adressen – nur unter bestimmten Bedingungen verarbeitet werden dürfen. Im E-Mail-Marketing hat dies direkte, konkrete Auswirkungen: von der Art der Einwilligung über die Dokumentation bis zur Abmeldemöglichkeit.

Erklärung

Rechtliche Grundlagen

Die DSGVO nennt sechs Rechtsgrundlagen für die Datenverarbeitung. Im E-Mail-Marketing ist die häufigste:

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Der Empfänger hat ausdrücklich und freiwillig zugestimmt, Marketing-E-Mails zu erhalten. Diese Einwilligung muss:

• Aktiv erfolgen: Kein vorausgewähltes Kästchen (kein Pre-Check), aktives Ankreuzen notwendig
• Informiert sein: Der Empfänger muss wissen, wofür er sich anmeldet
• Freiwillig sein: Keine Kopplung an eine andere Dienstleistung
• Widerrufbar sein: Abmeldung muss jederzeit einfach möglich sein
• Nachweisbar sein: Der Zeitpunkt, die IP-Adresse und der Inhalt der Einwilligung müssen dokumentiert sein

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Für Bestandskunden dürfen unter bestimmten Bedingungen auch ohne explizite Einwilligung E-Mails zu ähnlichen Produkten gesendet werden (§ 7 Abs. 3 UWG). Dies ist eng begrenzt und sollte rechtlich geprüft werden.

Double Opt-in als Standard

Das Double Opt-in (DOI)-Verfahren ist in Deutschland de facto Pflicht und die sicherste Methode zur DSGVO-konformen Listenerweiterung:

1. Person trägt E-Mail-Adresse in ein Formular ein (Single Opt-in)
2. Person erhält eine Bestätigungs-E-Mail mit einem Bestätigungslink
3. Erst nach Klick auf den Bestätigungslink ist die Einwilligung rechtsgültig

Das Double Opt-in dokumentiert gleichzeitig Zeitstempel und IP-Adresse der Bestätigung. Viele E-Mail-Marketing-Tools speichern diese Informationen automatisch.

Pflichtinhalte in jeder E-Mail

Jede Marketing-E-Mail (auch automatisierte!) muss enthalten:

1. Klarer Absender: Name und vollständige Kontaktadresse des Absenders
2. Abmeldemöglichkeit: Ein funktionierender Abmeldelink (Unsubscribe-Link), der in weniger als 2 Klicks zur Abmeldung führt
3. Impressumsangaben: Firmierung, Anschrift, Geschäftsführer (bei Unternehmen)
4. Datenschutzhinweis: Link zur Datenschutzerklärung oder kurzer Hinweis

Der Abmeldelink muss einfach auffindbar sein – ihn in winziger Schrift zu verstecken ist nicht DSGVO-konform.

Datenschutzerklärung und Anmeldeformular

Das Anmeldeformular für den Newsletter muss einen Link zur Datenschutzerklärung enthalten. Die Datenschutzerklärung muss erklären:

• Welche Daten werden erhoben (E-Mail-Adresse, Name, IP)
• Wie werden sie verarbeitet
• Wer hat Zugriff (auch: welcher E-Mail-Anbieter, z. B. Mailchimp in den USA)
• Wie lange werden die Daten gespeichert
• Welche Rechte hat der Betroffene (Auskunft, Löschung, Widerruf)

Drittanbieter und Datentransfer in die USA

E-Mail-Marketing-Tools wie Mailchimp oder ActiveCampaign sind US-amerikanische Unternehmen. Der Transfer personenbezogener Daten in die USA muss datenschutzrechtlich abgesichert sein – seit dem EU-US Data Privacy Framework (2023) ist dies erleichtert, aber die Datenschutzerklärung muss diesen Transfer explizit erwähnen und auf die Grundlage verweisen. Brevo (Sendinblue) als europäischer Anbieter umgeht dieses Problem.

Aufbewahrung und Löschpflicht

Abmeldende Personen müssen von der aktiven Liste entfernt werden. Es empfiehlt sich aber, eine Kopie der Einwilligung zu behalten (für mögliche Rechtsstreitigkeiten), auch wenn keine weiteren E-Mails gesendet werden. Daten, die nicht mehr benötigt werden, müssen gelöscht werden (Datensparsamkeit, Art. 5 Abs. 1 lit. e DSGVO).

Bußgelder

Verstöße gegen die DSGVO können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) geahndet werden. Auch für kleine Unternehmen und Soloselbstständige sind bereits Bußgelder in Höhe von mehreren tausend Euro verhängt worden – etwa für fehlende Abmeldelinks oder unzulässige Listeneinkäufe.

Was verboten ist

• Listenkauf: Das Kaufen oder Mieten von E-Mail-Listen und das anschließende Versenden ohne explizite Einwilligung der Listenmitglieder ist illegal
• Pre-checked Boxes: Vorausgewählte Checkboxen im Anmeldeformular gelten nicht als wirksame Einwilligung
• Versteckte Abmeldelinks: Abmeldung muss einfach und direkt möglich sein
• E-Mail an gelöschte/abgemeldete Kontakte: Auch wenn eine Adresse technisch noch in der Datenbank ist

Beispiele

1. Rechtskonformes Anmeldeformular: Textfeld für E-Mail-Adresse, unausgewählte Checkbox mit Text „Ich möchte den Newsletter erhalten. Hinweise zum Datenschutz: [Link]", Absenden-Button – kein Pre-Check, kein Koppelungsverbot.
2. DOI-Bestätigungs-E-Mail: Betreff: „Bitte bestätige deine Anmeldung" – kurze E-Mail mit einem einzigen Link zur Bestätigung, ohne weitere Werbeinhalte.
3. Abmelde-Prozess: Klick auf Abmeldelink → Landingpage mit einem Klick zur Bestätigung der Abmeldung (kein Passwort, kein Login notwendig) → sofortige Bestätigungs-E-Mail.
4. Datenschutzerklärung: Explizite Nennung von Mailchimp als Auftragsverarbeiter, Verweis auf EU-US Data Privacy Framework, Speicherdauer und Löschrecht.
5. Automatisierte E-Mail mit Abmeldelink: Auch die Willkommens-E-Mail und jede Abandoned Cart E-Mail enthält im Footer einen sichtbaren Abmeldelink.

In der Praxis

• Mailchimp: Bietet automatischen Abmeldelink in allen E-Mails; DOI-Formular konfigurierbar; Einwilligungs-Dokumentation über API; Auftragsverarbeitungsvertrag (AVV) abschließbar
• Klaviyo: Automatischer Abmeldelink; Einwilligungs-Zeitstempel wird gespeichert; AVV verfügbar
• ActiveCampaign: Automatischer Unsubscribe-Link; Konformitäts-Center für DSGVO; AVV vorhanden
• Brevo: Europäischer Anbieter (Server in Deutschland/EU); vereinfacht DSGVO-Compliance; automatische DOI-Formulare

Empfehlung: Für deutschsprachige Märkte einen Auftragsverarbeitungsvertrag (AVV) mit dem E-Mail-Tool-Anbieter abschließen – alle großen Anbieter bieten dies an.

Vergleich & Abgrenzung

Die DSGVO betrifft E-Mail-Marketing breiter als nur die Einwilligung. Sie überschneidet sich mit dem UWG (Gesetz gegen unlauteren Wettbewerb), das ebenfalls Spam-Verbote enthält, und dem TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz). Bei Unsicherheiten empfiehlt sich anwaltliche Beratung.

Häufige Fragen (FAQ)

Wie setze ich DSGVO-konformes E-Mail-Marketing konkret um? Die fünf wichtigsten Schritte: (1) Double Opt-in für alle neuen Anmeldungen aktivieren, (2) Einwilligungs-Dokumentation im E-Mail-Tool prüfen, (3) Abmeldelink in jeder E-Mail überprüfen, (4) Datenschutzerklärung auf Website aktualisieren, (5) AVV mit dem E-Mail-Tool-Anbieter abschließen. Mit diesen Schritten sind die häufigsten DSGVO-Probleme im E-Mail-Marketing abgedeckt.

Was sind typische Fehler bei DSGVO im E-Mail-Marketing? Fehlender oder versteckter Abmeldelink (häufigster Verstoß), Pre-checked Checkboxen in Anmeldeformularen, kein Auftragsverarbeitungsvertrag mit dem Tool-Anbieter, und das Versenden an gekaufte oder aus anderen Quellen importierte Listen ohne explizite Einwilligung.

Weiterführend

• Datenschutz-Grundverordnung: Volltext – dsgvo-gesetz.de
• Bitkom: „DSGVO-Leitfaden für E-Mail-Marketing" (Bitkom, 2023) – bitkom.org
• Anwaltskanzlei Schwenke: „E-Mail-Marketing und DSGVO" (Thomas Schwenke, 2024) – datenschutz.eu