Jetzt starten
‹ Alle BeiträgeDSGVO & Recht

DSGVO-konformer Newsletter: Der komplette Leitfaden für 2026

4. Mai 2026 · Aktualisiert: 15. Juni 2026 · 8 Min. Lesezeit

Der Newsletter ist einer deiner stärksten Kanäle. Es ist deine Liste, dein direkter Draht, ohne dass irgendein Algorithmus mitredet. Nur: In Deutschland und der EU gibt es dafür klare Regeln. Wer sie ignoriert, riskiert eine Abmahnung oder ein Bußgeld. Wer sie kennt, versendet ohne Bauchgrummeln. Hier ist die Liste, ohne Juristendeutsch, zum Abhaken.

1. Einwilligung per Double-Opt-In

Die wichtigste Regel zuerst. Du darfst nur an Leute senden, die vorher aktiv zugestimmt haben. Der sichere Weg dorthin ist das Double-Opt-In: Nach der Anmeldung schickst du eine Bestätigungsmail mit Link und erst der Klick darauf schaltet das Abo scharf. Dieser Klick ist gleichzeitig dein Beleg, denn er hält fest, wer wann zugestimmt hat.

  • Keine vorausgefüllten Häkchen. Die Person muss das Häkchen selbst setzen. Ein schon gesetztes zählt nicht.
  • Notiere zweckgebunden und nachweisbar, wer wann und wofür zugestimmt hat.
  • Finger weg von gekauften Listen. Ohne eigene Einwilligung darfst du nicht senden, so verlockend die Adressen auch wirken.

Beim E-Mail-Recht tut sich gerade etwas. Ende 2025 hat der EuGH (Rechtssache C-654/23) entschieden, dass auch ein kostenloser Nutzer-Account eine Kundenbeziehung begründen kann. Am sicheren Standard ändert das nichts: Eine nachweisbare Einwilligung per Double-Opt-In.

2. Auftragsverarbeitungsvertrag (AVV)

Dein Tool speichert und verschickt E-Mail-Adressen in deinem Auftrag. Dafür verlangt Art. 28 DSGVO einen AVV, also einen Vertrag, der festlegt, dass der Anbieter deine Daten nur so nutzt, wie du es bestimmst. Worauf du achten solltest:

  • Ein guter Anbieter legt ihn dazu, statt ihn extra zu berechnen.
  • Du solltest ihn direkt im Konto finden und mit ein paar Klicks unterschreiben können.
  • Es sollte eine Subprozessoren-Liste geben, damit du siehst, welche weiteren Dienstleister mitverarbeiten.

3. Transparenz schon im Anmeldeformular

Schreib direkt ans Formular, wer die Daten wofür verarbeitet und verlinke die Datenschutzerklärung. Niemand sollte raten müssen, was nach dem Klick passiert. Und frag nur ab, was du wirklich brauchst:

  • So wenig Daten wie möglich. Für einen Newsletter genügt meistens die E-Mail-Adresse.
  • Der Hinweis gehört sichtbar ans Formular, nicht versteckt ins Kleingedruckte.

4. Abmeldelink in jeder Mail

Jede Mail braucht einen funktionierenden Abmeldelink. Faustregel: Abmelden muss so leicht gehen wie Anmelden. Technisch kommt der List-Unsubscribe-Header (RFC 8058) dazu, eine unsichtbare Angabe in der Mail, dank der Gmail und Co. oben einen eigenen Abbestellen-Knopf einblenden.

Das ist längst keine Kür mehr. Seit 2024 (Gmail und Yahoo) und 2025 (Microsoft) verlangen die großen Postfächer von größeren Absendern verbindlich SPF, DKIM, DMARC und genau diese Ein-Klick-Abmeldung. 2026 ist das durchgesetzt. Ein sauberer Abmeldeweg hilft dir übrigens nicht nur rechtlich. Er verbessert auch deine Zustellbarkeit, weil weniger genervte Leute zum Spam-Knopf greifen.

5. Datenstandort & EU-Hosting

Liegt dein Tool außerhalb der EU, brauchst du eine tragfähige Rechtsgrundlage für den Datentransfer ins Ausland. Diesen Aufwand kannst du dir sparen. Einfacher fährst du mit einem Anbieter, der in Deutschland bzw. der EU hostet. Weniger Papierkram und bei deinen Empfängern schafft das Vertrauen.

6. Korrektes Impressum im Footer

Ein Newsletter zählt als geschäftliche Kommunikation und braucht deshalb eine Anbieterkennzeichnung, also dein Impressum mit Firma und Kontakt. Fehlt es, ist das ein beliebter Anlass für Abmahnungen, obwohl es in zwei Minuten erledigt ist.

Die Kurz-Checkliste

  • Double-Opt-In aktiv und protokolliert
  • AVV mit dem Anbieter abgeschlossen
  • Datenschutz-Hinweis am Anmeldeformular
  • Abmeldelink + List-Unsubscribe-Header in jeder Mail
  • Hosting in der EU / Deutschland
  • Impressum im Footer

Was davon erledigt bemailed automatisch?

Den Großteil. Diese Punkte sind bei bemailed ab Werk gesetzt:

  • Double-Opt-In: standardmäßig aktiv und mit Datum und Uhrzeit protokolliert.
  • AVV: inklusive und direkt im Konto unterschreibbar, kein kostenpflichtiges Extra.
  • Abmeldelink + List-Unsubscribe-Header: automatisch in jeder Mail.
  • EU-Hosting: Versand und Daten in Frankfurt.
  • Impressum im Footer: wird aus deinen Firmendaten automatisch angehängt.

Auf den ersten Blick wirkt das nach einem Berg an Pflichten. Wenn die Software den rechtlich-technischen Rahmen übernimmt, bleibt für dich aber vor allem das, worauf es ankommt: Die Einwilligung sauber einholen und gute Inhalte schreiben. Den Rest stellt bemailed. Mehr dazu auf der Funktions-Übersicht oder im Anbieter-Vergleich. Wie du technisch sicher im Posteingang landest, zeigt der Leitfaden zu SPF, DKIM und DMARC.

Hinweis: Allgemeine Orientierung, keine Rechtsberatung. Im Zweifel hilft eine auf IT-Recht spezialisierte Kanzlei.

Häufige Fragen

Ist Double-Opt-In in Deutschland Pflicht?

In der Praxis kommst du nicht drum herum. Für einen Werbe-Newsletter musst du belegen können, dass die Person zugestimmt hat. Double-Opt-In bedeutet: Nach dem Eintragen klickt sie noch auf einen Link in einer Bestätigungsmail. Dieser eine Klick wird mit Datum und Uhrzeit gespeichert und falls es Streit gibt, hast du damit deinen Nachweis.

Brauche ich einen AVV für meinen Newsletter-Anbieter?

Ja. AVV steht für Auftragsverarbeitungsvertrag. Das ist die schriftliche Abmachung, dass dein Anbieter die E-Mail-Adressen ausschließlich in deinem Auftrag verarbeitet. Art. 28 DSGVO schreibt ihn vor, sobald ein Dienstleister deine Adressen in die Hand bekommt. Ordentliche Anbieter liefern ihn mit. Bei bemailed ist er ohne Aufpreis dabei und lässt sich direkt im Konto unterschreiben.

Muss mein Newsletter-Tool in der EU gehostet sein?

Vorgeschrieben ist es nicht, aber es macht dir das Leben leichter. Liegen die Daten in der EU, etwa in Deutschland, ersparst du dir die aufwendige Rechtsgrundlage für Übermittlungen in Länder außerhalb der EU. Weniger Risiko und bei den Empfängern kommt EU-Hosting ohnehin besser an.

Wie hoch sind die Bußgelder bei Verstößen?

Die DSGVO nennt als Obergrenze bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes. Diese Zahlen gelten für die ganz großen Fälle. Kleinere Versender erwischt es meistens anders: Über Abmahnungen, weil die Einwilligung oder der Abmeldelink fehlt. Die werden schnell vierstellig.

Darf ich gekaufte Adresslisten anschreiben?

Nein. Fehlt die nachweisbare Einwilligung der einzelnen Person, darfst du nicht senden, ganz gleich, woher die Adresse stammt. Gekauft, irgendwo zusammengesucht oder von Visitenkarten abgetippt: Alles tabu.

Selbst ausprobieren?

bemailed gibt es als kostenlose Testversion: 14 Tage voller Funktionsumfang, ohne Kreditkarte.

Kostenlos testen

Weiterlesen

Newsletter-Anmeldeformular auf der Website einbinden, Wix, WordPress & Co.DSGVO-Newsletter-Checkliste 2026: 10 Punkte zum Abhaken