Newsletter rechtssicher versenden: Die 7-Punkte-Checkliste

1. Einwilligung einholen (Opt-In)

Ohne ausdrückliche Einwilligung darfst du keine Werbe-E-Mails versenden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO + § 7 Abs. 2 Nr. 3 UWG.

Anforderungen an die Einwilligung:

• Freiwillig (keine vorausgefüllten Checkboxen)
• Informiert (der Nutzer weiss wofür er sich anmeldet)
• Spezifisch (getrennte Einwilligung für Newsletter und andere Zwecke)
• Nachweisbar (du musst beweisen können, dass die Einwilligung erteilt wurde)

Koppelungsverbot: Die Newsletter-Einwilligung darf nicht an ein Freebie gekoppelt werden. Du darfst ein Lead Magnet anbieten — aber die Checkbox für den Newsletter muss separat sein. Beispiel: Eine Checkbox für "PDF herunterladen" und eine separate für "Newsletter erhalten".

2. Double-Opt-In einrichten

Double-Opt-In ist in Deutschland zwar nicht gesetzlich vorgeschrieben, aber de facto Pflicht. Ohne DOI kannst du die Einwilligung im Streitfall nicht beweisen. Das OLG München hat das bestätigt (Az. 29 U 1682/12).

Der Ablauf:

1. Nutzer füllt Formular aus
2. System sendet Bestätigungs-E-Mail mit Klick-Link
3. Nutzer klickt den Link → Anmeldung bestätigt
4. System protokolliert: IP-Adresse, Zeitstempel, Browser

Professionelle Newsletter-Tools haben DOI standardmässig eingebaut — du musst es nur aktivieren, nicht programmieren.

3. Datenschutzerklärung ergänzen

Deine Datenschutzerklärung muss einen Absatz zum Newsletter enthalten. Pflichtangaben nach Art. 13 DSGVO:

4. Auftragsverarbeitungsvertrag (AVV) abschliessen

Wer ein externes Newsletter-Tool nutzt, übergibt personenbezogene Daten (E-Mail-Adressen) an einen Dritten. Dafür ist ein AVV nach Art. 28 DSGVO Pflicht.

Ohne AVV: Die Nutzung des Newsletter-Tools ist selbst ein DSGVO-Verstoss — unabhängig davon wie sauber deine Listen sind.

5. Impressum in jeder E-Mail

Nach § 5 DDG (ehemals § 5 TMG) muss jede geschäftsmässige E-Mail ein Impressum enthalten. Wichtig zur Abgrenzung: Das DDG regelt die Anbieterkennzeichnung (Impressum), das TDDDG regelt die Einwilligung in Cookies/Tracking beim Endgerätezugriff. Beim Newsletter sind beide Gesetze relevant — DDG für den Footer, TDDDG für Tracking-Pixel und Klick-Tracking.

Mindestangaben:

• Name/Firma des Versenders
• Postanschrift (kein Postfach!)
• E-Mail-Adresse oder Kontaktformular
• Optional: Telefonnummer, Handelsregister, USt-IdNr.

In der Praxis: Ein Link "Impressum" im Footer jeder E-Mail reicht, wenn die Zielseite alle Pflichtangaben enthält.

6. Abmeldelink in jeder E-Mail

Jede Newsletter-E-Mail muss einen funktionierenden Abmeldelink enthalten. Der Abmeldevorgang darf nicht aufwändiger sein als die Anmeldung (Art. 7 Abs. 3 DSGVO).

Was das konkret bedeutet:

• Ein Klick auf "Abmelden" muss reichen — kein Login, keine Bestätigungsseite mit 5 Optionen
• Die Abmeldung muss sofort wirksam sein (nicht "innerhalb von 7 Tagen")
• Nach der Abmeldung dürfen keine weiteren Mails kommen

Seit Juni 2024 verlangt Gmail zusätzlich einen List-Unsubscribe-Header — einen maschinenlesbaren Abmeldelink im E-Mail-Header. Professionelle Newsletter-Tools setzen diesen Header automatisch. Bei Outlook ist er seit Februar 2025 ebenfalls empfohlen.

7. Tracking transparent machen

Die meisten Newsletter-Tools tracken Öffnungen (über Tracking-Pixel) und Klicks (über Redirect-Links). Das ist personenbezogene Datenverarbeitung und muss in der Datenschutzerklärung stehen.

Rechtsgrundlage für Tracking:

• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — für aggregierte Statistiken (Öffnungsrate, Klickrate)
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — für personenbezogenes Tracking (wer hat was geklickt)

Die Abgrenzung ist rechtlich umstritten. Die sicherste Variante: Im Einwilligungstext erwähnen dass Öffnungs- und Klickraten gemessen werden.

Die Risiko-Spalte oben ist Faustzahl. Konkret arbeiten Anwälte und Gerichte mit folgenden Streitwerten beim Newsletter-Versand ohne saubere Einwilligung. Das ist relevant, weil sich die Anwalts- und Gerichtskosten am Streitwert bemessen.

Was das praktisch heisst: Wer einen Newsletter mit 500 Empfängern ohne dokumentierte Einwilligung verschickt und nur ein einziger Empfänger mahnt ab, beginnt der Streitwert bei 3.000 €. Anwaltsgebühren nach RVG bewegen sich dann typisch im Bereich 300-500 € allein für die Abmahnung — plus die eigene Anwaltsantwort. Das ist mehr als zwei Jahre Tool-Kosten bei KlickTipp oder CleverReach.

Die Bestätigungs-Mail beim Double-Opt-In ist nach AG Kassel (Az. nicht öffentlich anwaltlich zitiert, it-recht-kanzlei.de Beschluss) kein Spam — sie ist die einzige Mail, die du an einen unbestätigten Kontakt schicken darfst. Wer fürchtet, dass die DOI-Bestätigung selbst eine Abmahnung auslöst, irrt. Die Gefahr ist umgekehrt: Wer die DOI-Mail weglässt und direkt zum Newsletter springt, hat keinen Einwilligungsnachweis.

Die rechtliche Theorie ist das eine — die operative Umsetzung das andere. Hier die konkreten Klick-Pfade pro DACH-relevantem Tool. Pflicht-Voraussetzung: Du hast einen aktiven Account.

KlickTipp — DOI und AVV aktivieren

DOI ist bei KlickTipp standardmässig aktiv — du musst nichts einschalten. Was du machen musst:

1. Im Backend unter Einstellungen → Anmeldeprozess prüfen, dass "Doppeltes Opt-In (Empfohlen)" gewählt ist.
2. Unter Einstellungen → Datenschutz den AVV einsehen — ist dort vorbereitet, du musst ihn als Auftraggeber akzeptieren (1 Klick).
3. Die Bestätigungs-Mail unter Anmeldeprozess → Bestätigungsnachricht auf eigene Sprache und Absender-Adresse anpassen — Standard-Text ist generisch.
4. Den Einwilligungstext am Anmeldeformular über Formulare → Formularname → Einwilligungstext auf den Mustertext oben anpassen.

Server in Deutschland (Frankfurt), AVV automatisch mit dem Hauptvertrag. Kein zusätzlicher Drittlandtransfer-Hinweis nötig. Dauer: ca. 5 Minuten.

CleverReach — DOI und AVV aktivieren

1. Im Backend Account → Stammdaten → Datenschutz öffnen.
2. AVV-PDF herunterladen, ausfüllen (Firmenname, Adresse, Verantwortlicher), zurück hochladen — wird automatisch gegengezeichnet.
3. Pro Liste unter Empfänger → Listenname → Einstellungen → Anmeldeverfahren "Double Opt-In" wählen (kann pro Liste unterschiedlich sein, also explizit prüfen).
4. Bestätigungs-Mail unter Empfänger → Listenname → Mailings → Bestätigungs-Mailing anpassen.

Server in Deutschland (Hamburg), CSA-zertifiziert. Mehr zu Tarifen und Limits: CleverReach Preise. Dauer: ca. 8 Minuten (wegen AVV-PDF).

Rapidmail — DOI und AVV aktivieren

1. Einstellungen → Datenschutz öffnen.
2. AVV ist als Online-Vertrag verfügbar, mit elektronischer Unterschrift in 2 Minuten gegengezeichnet.
3. DOI ist standardmässig aktiv. Prüfen unter Empfänger → Einstellungen → Anmeldeverfahren.
4. Einwilligungstext am Formular: Formulare → Formularname → Anmeldetext.

Server in Deutschland (Karlsruhe), AVV automatisiert. Dauer: ca. 5 Minuten.

Brevo (ehemals Sendinblue) — DOI und AVV aktivieren

1. Account → Datenverarbeitungsvereinbarung anzeigen — der DPA ist bei Brevo seit der Übernahme von Sendinblue im Standardvertrag integriert, muss also nicht separat unterzeichnet werden.
2. Pro Liste unter Kontakte → Listen → Listenname → Anmeldeformular "Double Opt-In" einschalten — bei Brevo NICHT immer Standard, also explizit prüfen.
3. Bestätigungs-Mail-Vorlage unter Vorlagen → Double-Opt-In-Vorlagen anpassen.

Server in Frankreich (Paris), DSGVO-konform. Achtung: Brevo hat in den letzten Jahren mehrfach Vertragstexte und Subprozessoren-Listen aktualisiert. Vor jedem grösseren Versand kurz den aktuellen DPA-Stand prüfen. Dauer: ca. 8 Minuten.

Mailchimp — DOI und AVV aktivieren

1. Audience → Settings → Audience name and defaults öffnen.
2. "Enable double opt-in" aktivieren — bei Mailchimp NICHT Standard, häufiger Fehler.
3. Den DPA findest du unter Account → Settings → Privacy & Terms → Data Processing Addendum. Akzeptieren per Klick (kein Upload nötig).
4. Wegen US-Server: Drittlandtransfer in Datenschutzerklärung dokumentieren, Standardvertragsklauseln (SCCs) sind im DPA enthalten.

Server in den USA, DPF-Status aktiv aber rechtlich instabil. Für DSGVO-sensible Branchen (Coaching, Recht, Medizin) deshalb nur mit zusätzlicher Risiko-Dokumentation. Wer wechseln will: Mailchimp Alternative. Dauer: ca. 10 Minuten (wegen DPA-Lektüre + DSE-Anpassung).

GetResponse — DOI und AVV aktivieren

1. Tools → Sign Up Methods → Double-Opt-In aktivieren — bei GetResponse pro Liste einzeln einstellbar.
2. Unter Account → Privacy & GDPR → Data Processing Addendum anzeigen und akzeptieren.
3. Confirmation Message unter Tools → Confirmation Messages an deinen Tonfall anpassen.

Server in Polen (Warschau), EU-Datenschutz. Dauer: ca. 7 Minuten.

Aufbauend auf den Mustertexten oben — hier die Vorlagen für die häufigsten Zusatzfälle.

Bestandskunden-Ausnahme (§ 7 Abs. 3 UWG) — die 4 Voraussetzungen

Es gibt genau eine Situation, in der du E-Mails ohne separate Newsletter-Einwilligung versenden darfst: An Bestandskunden — aber nur wenn alle vier Voraussetzungen erfüllt sind. Diese Mini-Checkliste ist der Schlüssel:

1. Echte Geschäftsbeziehung: Der Empfänger muss bei dir gekauft haben — nicht nur Anfrage gestellt, nicht nur Visitenkarte ausgetauscht, sondern bezahlt.
2. Die E-Mail-Adresse stammt aus dem Kauf: Du hast sie im Bestellprozess oder Vertragsabschluss erhalten, nicht aus einem anderen Kanal.
3. Werbung nur für ähnliche Produkte: Wer Yoga-Kurse gekauft hat, darf Yoga-Kurs-Empfehlungen bekommen — aber keine Versicherungsangebote. Die "Ähnlichkeit" ist eng auszulegen.
4. Klarer Widerspruchs-Hinweis bei Erhebung UND in jeder Mail: Schon im Bestellprozess muss der Kunde wissen, dass die Adresse für Werbung genutzt wird, und in jeder folgenden Mail ein einfacher Widerspruchs-Weg.

Wer eine dieser 4 Voraussetzungen reisst, ist juristisch wie bei einem regulären Newsletter ohne Einwilligung — gleicher Streitwert, gleiche Abmahn-Gefahr. Vertiefung: DSGVO-Guide, Abschnitt Bestandskunden-Ausnahme.

Newsletter für Vereine

Auch ehrenamtliche Vereine unterliegen der DSGVO. Vorstand und Kassenwart haften persönlich. Die häufigsten Fehler: CC statt BCC, fehlende Einwilligung, kein Abmeldelink.

Transaktionsmails vs. Werbemails

Transaktionsmails (Bestellbestätigungen, Versandbenachrichtigungen) brauchen keine Einwilligung — sie sind Teil der Vertragserfüllung. Aber: Sobald die Transaktionsmail Werbung enthält ("Kunden die X kauften, kauften auch Y"), wird sie zur Werbemail und braucht eine Einwilligung.