Die Frage "Brauche ich für meinen Newsletter eine Einwilligung?" lässt sich mit einem klaren Ja beantworten – und zwar aus zwei Richtungen gleichzeitig. Die DSGVO behandelt die E-Mail-Adresse als personenbezogenes Datum, dessen Verarbeitung eine Rechtsgrundlage braucht. Das deutsche UWG §7 behandelt die unverlangte Werbe-E-Mail zusätzlich als unzumutbare Belästigung, wenn keine vorherige Einwilligung vorliegt. Beide Gesetze zusammen erklären, warum Double-Opt-in in Deutschland faktisch zum Standard geworden ist – nicht weil es explizit als einziger Weg vorgeschrieben ist, sondern weil es der praktikabelste Nachweis ist, den ein Unternehmen im Streitfall vorlegen kann.
Warum die E-Mail-Adresse ein Datenschutzthema ist
Aus Sicht der DSGVO ist eine E-Mail-Adresse ein personenbezogenes Datum, sobald sie sich einer Person zuordnen lässt – bei geschäftlichen Adressen wie vorname.nachname@firma.de ist das eindeutig der Fall. Jede Verarbeitung – Speichern, Versenden, Tracking von Öffnungen und Klicks – braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Für Marketing-Newsletter ist das in aller Regel die Einwilligung (Art. 6 Abs. 1 lit. a), seltener ein berechtigtes Interesse. Wichtig: Die Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich sein – ein vorausgefülltes Häkchen oder eine in die AGB versteckte Klausel genügt diesen Anforderungen nicht.
UWG §7 und Double-Opt-in als Praxisstandard
Während die DSGVO die Datenverarbeitung regelt, adressiert das UWG §7 die Werbung selbst: kommerzielle E-Mails ohne vorherige Einwilligung des Empfängers gelten als unzumutbare Belästigung. Im Streitfall liegt die Beweislast für eine wirksame Einwilligung beim versendenden Unternehmen. Genau hier kommt Double-Opt-in ins Spiel: Der Nutzer trägt seine Adresse ein, erhält eine Bestätigungs-E-Mail und muss den Link darin aktiv anklicken. Erst danach gilt die Einwilligung als erteilt – und das Unternehmen kann Zeitstempel, IP-Adresse und Bestätigungsklick als Nachweis vorhalten. Ohne diesen zweiten Schritt bleibt offen, ob wirklich der Adressinhaber selbst das Formular ausgefüllt hat oder jemand anderes.
Was in jede kommerzielle E-Mail gehört
Neben der Einwilligung selbst verlangt das deutsche Recht eine klare Absenderidentifikation (Impressum-Logik) sowie einen einfachen Weg zur Abmeldung. Für Empfänger bei Gmail und Yahoo ist eine funktionierende One-Click-Unsubscribe-Funktion nach RFC 8058 inzwischen ohnehin technische Voraussetzung für Massenversender – rechtliche und deliverability-technische Anforderungen laufen hier also parallel. Ergänzend regelt das TTDSG die Nutzung von Tracking-Technologien wie Öffnungs- und Klick-Pixeln in Telemedien und macht in vielen Fällen eine zusätzliche Einwilligung zum Tracking selbst nötig, unabhängig von der Newsletter-Einwilligung.
Der Zusammenhang zwischen sauberem Consent und Zustellbarkeit
Ein rechtlich sauberer Double-Opt-in-Prozess ist nicht nur Absicherung gegen Abmahnungen – er ist auch die beste Versicherung gegen schlechte Zustellbarkeit. Empfänger, die sich aktiv eingetragen haben, öffnen häufiger, klicken häufiger und markieren seltener als Spam. Adressen, die ohne saubere Einwilligung importiert oder gekauft wurden, führen dagegen fast zwangsläufig zu hohen Beschwerdequoten – und genau diese Quote ist bei Gmail, GMX, Web.de und T-Online eines der stärksten Signale für die Reputation Ihrer Domain. Wer also rechtlich sauber arbeitet, arbeitet gleichzeitig an einer besseren Inbox-Platzierung.
Das gilt besonders für die großen DACH-Postfächer: GMX und Web.de teilen sich zwar technische Infrastruktur bei United Internet, bewerten die Reputation ihrer Domain und IP aber getrennt. T-Online gilt zusätzlich als besonders streng bei Beschwerden. Wer neue Versandinfrastruktur aufbaut oder eine neue Domain für den Newsletter nutzt, sollte deshalb vorab prüfen, wie die eigene Authentifizierung bei den wichtigsten Anbietern ankommt – dafür eignet sich ein kostenloser Inbox-Placement-Test mit Seed-Adressen bei GMX, Web.de, T-Online, Gmail und Outlook.
Praxis: Consent-Formular und Plattform richtig konfigurieren
Die konkrete technische Umsetzung hängt von der eingesetzten Plattform ab, die Grundanforderungen bleiben aber gleich:
- Deutsche ESPs wie CleverReach, rapidmail oder Mailjet DE bieten in der Regel fertige Double-Opt-in-Workflows samt Protokollierung – aktivieren und nicht deaktivieren, auch wenn es die Anmeldequote kurzfristig senkt.
- Shopware und JTL-Shop verlangen bei Transaktionsmails eine externe SMTP-Anbindung, damit Bestellbestätigungen nicht über den Standard-Hosting-Versand laufen und im Spam landen.
- WooCommerce sendet über
wp_mail()standardmäßig vom Hosting-Server – ein SMTP-Plugin mit eigener, authentifizierter Domain ist Pflicht, sonst scheitert schon die Zustellung, bevor die Einwilligungsfrage überhaupt relevant wird. - Shopify DE und HubSpot DE verlangen eine explizite Domain-Verifizierung über SPF/DKIM, bevor E-Mails im eigenen Namen verschickt werden können.
Checkliste für rechtssicheres E-Mail-Marketing
- Einwilligung über Double-Opt-in einholen, nicht nur Single-Opt-in.
- Zeitstempel, IP-Adresse und Formulartext der Einwilligung dokumentieren.
- Impressum-Pflichtangaben und klare Abmeldemöglichkeit in jeder E-Mail.
- Tracking von Öffnungen/Klicks gesondert gegen TTDSG-Anforderungen prüfen.
- SPF, DKIM und DMARC für die Absenderdomain korrekt einrichten.
- Zustellbarkeit bei den wichtigsten DACH-Postfächern regelmäßig testen.