Was die DSGVO für Newsletter vorschreibt
Die EU-Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung personenbezogener Daten. Für Newsletter heißt das konkret: 1) Einwilligung, 2) Double-Opt-in (in DE Pflicht), 3) Auftragsverarbeitung mit dem Tool-Anbieter, 4) Transparenz in der Datenschutzerklärung, 5) Abmeldelink, 6) Recht auf Löschung, 7) Auskunftsrecht.
1. Einwilligung einholen (Art. 6 + 7 DSGVO)
Du brauchst eine aktive, freiwillige, informierte Einwilligung. Konkret: Checkbox darf nicht vorausgewählt sein. Der Text muss erklären: was bekommt der Nutzer? wie oft? wer ist verantwortlich? wie kann er sich abmelden?
Mustertext: „Ich möchte den Newsletter von [Firma] erhalten und stimme zu, dass meine E-Mail-Adresse für den Versand gespeichert wird. Ich kann mich jederzeit über den Abmeldelink in jeder E-Mail abmelden. Weitere Infos in der Datenschutzerklärung.“
2. Double-Opt-in einrichten
In Deutschland ist Double-Opt-in zwingend (BGH-Urteil 2008). Nach Anmeldung erhält der Nutzer eine Bestätigungsmail mit Link – erst nach Klick wird er aktiv. Alle DSGVO-konformen Tools (CleverReach, rapidmail, KlickTipp) haben DOI standardmäßig aktiviert.
3. Auftragsverarbeitungsvertrag (AVV) abschließen
Mit dem Newsletter-Tool-Anbieter musst du einen AVV nach Art. 28 DSGVO abschließen. Bei deutschen Tools (CleverReach, rapidmail, KlickTipp) ist der AVV direkt im Account verfügbar und kostenfrei. Bei US-Tools (Mailchimp, ActiveCampaign) brauchst du zusätzlich Standardvertragsklauseln (SCC) – Schrems-II-Risiko.
4. Datenschutzerklärung anpassen
Du musst in deiner Datenschutzerklärung erwähnen: welches Tool du nutzt, wo die Daten gespeichert werden, wie lange, wer Zugriff hat. Mehr dazu auf unserer Seite CleverReach DSGVO mit Mustertexten.
5. Abmeldelink in jeder E-Mail
Jeder Newsletter muss einen 1-Klick-Abmeldelink enthalten. Alle Tools setzen das automatisch um. Tipp: Nicht „Hier abmelden“ verstecken, sondern gut sichtbar im Footer platzieren.
6. Recht auf Löschung umsetzen
Empfänger können jederzeit verlangen, vollständig gelöscht zu werden. Das geht über zwei Wege: 1) Self-Service (Profile-Update-Form), 2) Manuelle Löschung auf E-Mail-Anfrage hin. Frist: maximal 30 Tage.
7. Tool-Wahl: DE/EU vs. US-Anbieter
| Tool | Server | Preis ab | DSGVO | Note |
|---|---|---|---|---|
| CleverReach | 🇩🇪 Deutschland (Frankfurt) | ab 15 €/Monat | 5.0/5 | 4.2/5 |
| rapidmail | 🇩🇪 Deutschland (Frankfurt + Freiburg) | ab 15 €/Monat | 5.0/5 | 4.2/5 |
| KlickTipp | 🇩🇪 Deutschland | ab 27 €/Monat | 4.8/5 | 4.4/5 |
| Brevo | 🇪🇺 EU (Frankreich + Berlin) | ab 9 €/Monat | 4.2/5 | 4.1/5 |
| Mailerlite | 🇪🇺 EU (Litauen) | ab 9 €/Monat | 4.0/5 | 4.3/5 |
| GetResponse | 🇪🇺 EU (Polen) | ab 13 €/Monat | 4.0/5 | 4.2/5 |
| ActiveCampaign | 🇺🇸 USA (primär) | ab 15 €/Monat | 2.5/5 | 4.2/5 |
Häufige Fragen
Mailchimp ist mit erheblichem Aufwand DSGVO-konform nutzbar (SCC-Vertrag, Cookie-Hinweise, etc.). Empfohlen ist es seit Schrems-II-Urteil aber nicht – deutsche Datenschutzbehörden warnen vor US-Tools. Mehr dazu in unserer Mailchimp Alternative-Übersicht.
Für Bestandskunden gilt §7 Abs. 3 UWG: E-Mail-Werbung darf für ähnliche Produkte versendet werden, wenn der Kunde bei Bestellung hingewiesen wurde und sich jederzeit abmelden kann. In der Praxis: am sichersten immer Double-Opt-in einholen.
Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (je höher). In der Praxis sind Bußgelder bei ersten Verstößen meist 1.000-50.000 €. Der größere Schaden: Imageverlust und Klagerisiko.