Newsletter-Marketing DSGVO-konform: Double-Opt-in einrichten
Newsletter-Marketing ist für Online-Händler einer der stärksten Kanäle, weil kein Algorithmus zwischen dir und deinen Kunden steht. Doch die DSGVO (Datenschutz-Grundverordnung) setzt klare Regeln: Wer ohne gültige Einwilligung E-Mails verschickt, riskiert Abmahnungen und Bußgelder bis 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Die gute Nachricht: Ein DSGVO-konformer Newsletter lässt sich mit dem richtigen Aufbau ohne großen Aufwand einrichten.
Der Datenschutz beim Newsletter betrifft nicht nur die Anmeldung, sondern den gesamten Versandprozess. Dieser Leitfaden zeigt dir, was du rechtlich brauchst, wie du Double-Opt-in in deinem Shopify-Shop einrichtest und was bei WhatsApp Business als Marketingkanal gilt.
Was einen Newsletter DSGVO-konform macht
Ein DSGVO-konformer Newsletter erfüllt sieben Kernanforderungen. Fehlt eine davon, ist das gesamte System angreifbar.

- Einwilligung vor dem ersten Versand (Art. 6 Abs. 1 lit. a DSGVO): Kein Newsletter ohne aktives Opt-in.
- Double-Opt-in-Verfahren: Einwilligung dokumentierbar durch zweistufige Bestätigung.
- Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO): Nur erheben, was du wirklich brauchst.
- Transparenz: Anmeldeformular mit klarer Zweckbeschreibung und Link zur Datenschutzerklärung.
- Auftragsverarbeitungsvertrag (AVV) mit deinem E-Mail-Tool-Anbieter.
- EU-konforme Datenspeicherung: Daten dürfen nicht ohne Weiteres in die USA übertragen werden.
- Einfache Abmeldung: Jede E-Mail muss einen funktionierenden Abmelde-Link enthalten.
Rechtsgrundlage: Warum Einwilligung Pflicht ist
Für Newsletter gilt fast immer Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage: die ausdrückliche Einwilligung des Empfängers. Das berechtigte Interesse (lit. f) greift bei Werbung zwar in Ausnahmefällen, zum Beispiel wenn du bestehenden Kunden ähnliche Produkte empfiehlst und ein Widerspruchsrecht anbietest (§ 7 Abs. 3 UWG). Für neue Kontakte ist dieser Weg jedoch rechtlich unsicher.
Die Einwilligung muss freiwillig, informiert, spezifisch und eindeutig sein. Ein vorausgefülltes Häkchen reicht nicht. Der Empfänger muss aktiv zustimmen. Für mehr Details zur Rechtsgrundlage nach Art. 6 DSGVO gibt es einen eigenen Leitfaden auf dieser Seite.
Double-Opt-in Schritt für Schritt einrichten
Double-Opt-in ist kein gesetzliches Muss. Es ist allerdings der einzig zuverlässige Weg, eine gültige und beweisbare Einwilligung zu dokumentieren. Die Aufsichtsbehörden empfehlen es ausdrücklich.

Schritt 1: Anmeldeformular aufsetzen
Das Formular braucht mindestens drei Dinge:
- Ein Pflichtfeld für die E-Mail-Adresse. Name oder weitere Felder sind optional und müssen als freiwillig gekennzeichnet sein.
- Eine aktive Checkbox (nicht vorausgefüllt): “Ich möchte den Newsletter erhalten und habe die Datenschutzerklärung gelesen.”
- Einen Link zur Datenschutzerklärung, der im selben oder einem neuen Tab öffnet.
Keine Kopplungsklausel: Die Anmeldung zum Newsletter darf nicht Bedingung für einen Kauf oder die Kontoerstellung sein. Das macht die Einwilligung unfreiwillig und damit ungültig.
In Shopify lässt sich das Anmeldeformular entweder über das Theme-Einstellungen-Panel oder über eine App wie Klaviyo, Omnisend oder Brevo einbinden, ohne Theme-Code anfassen zu müssen.
Schritt 2: Bestätigungs-E-Mail konfigurieren
Sobald jemand das Formular abschickt, muss dein E-Mail-System automatisch eine Bestätigungs-E-Mail schicken. Diese E-Mail:
- enthält einen personalisierten Bestätigungs-Link mit begrenzter Gültigkeit (üblicherweise 24 bis 48 Stunden)
- erklärt in einem Satz den Zweck: “Klicke hier, um dein Newsletter-Abonnement zu bestätigen”
- sendet selbst keine Werbeinhalte
Erst nach dem Klick auf den Bestätigungs-Link gilt die Einwilligung als erteilt. Wer nicht klickt, darf keine weiteren E-Mails erhalten, auch keine Erinnerungen.
Schritt 3: Einwilligung dokumentieren
Dein E-Mail-Tool muss für jeden Kontakt protokollieren:
- Datum und Uhrzeit der Anmeldung
- IP-Adresse oder technischer Herkunftsnachweis
- Datum und Uhrzeit der Bestätigung
- Wortlaut der Einwilligungserklärung zum Zeitpunkt der Anmeldung
Diese Daten musst du im Streitfall vorlegen können. Professionelle Tools wie Klaviyo, Brevo oder CleverReach speichern das automatisch im Kontaktprofil.
Was ins Anmeldeformular muss: Datensparsamkeit in der Praxis
Viele Händler fragen im Anmeldeformular zu viel ab. Das verstößt gegen den Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO).
Pflichtfeld: E-Mail-Adresse.
Optional und zulässig: Vorname (für personalisierte Anrede), bevorzugte Produktkategorie.
Nicht abfragen ohne konkreten Zweck: Telefonnummer, Geburtsdatum, Adresse. Wer diese Daten trotzdem benötigt, muss separat erklären, wozu sie genutzt werden.
Jedes optionale Feld muss erkennbar freiwillig sein, zum Beispiel durch den Hinweis “(optional)” im Label.
Datenschutzerklärung und Auftragsverarbeitungsvertrag
Datenschutzerklärung anpassen
Deine Datenschutzerklärung muss einen eigenen Abschnitt zum Newsletter enthalten. Dort gehören hinein:
- Welche Daten bei der Anmeldung erhoben werden
- Welchen Zweck die Verarbeitung hat (Versand des Newsletters)
- Auf welcher Rechtsgrundlage (Art. 6 Abs. 1 lit. a DSGVO)
- Wie lange die Daten gespeichert werden
- Name und Sitz des E-Mail-Dienstleisters
- Wie die Einwilligung widerrufen werden kann
Eine angepasste Datenschutzerklärung-Vorlage für Shopify findest du auf dieser Seite.
Auftragsverarbeitungsvertrag abschließen
Dein E-Mail-Tool-Anbieter verarbeitet Kundendaten in deinem Auftrag. Das ist nach Art. 28 DSGVO nur erlaubt, wenn ein Auftragsverarbeitungsvertrag (AVV) geschlossen wurde. Gute Tools stellen diesen AVV in ihren Kontoeinstellungen bereit. Bei Klaviyo, Brevo und Mailchimp gibt es die AVV-Option direkt im Dashboard.
Besondere Vorsicht bei US-amerikanischen Anbietern: Seit dem Schrems-II-Urteil braucht jede Datenübertragung in die USA eine separate Rechtfertigung. EU-Standardvertragsklauseln und ein gültiger Data-Privacy-Framework-Beitritt des Anbieters sind hier der übliche Weg. Prüfe das für deinen Anbieter konkret.
Abmeldung DSGVO-konform umsetzen
Jede Newsletter-E-Mail muss am Ende einen Abmelde-Link enthalten. Der Widerruf der Einwilligung muss genauso einfach sein wie die ursprüngliche Anmeldung (Art. 7 Abs. 3 DSGVO). Das bedeutet:
- Ein-Klick-Abmeldung ohne zusätzliches Login
- Sofortige Wirksamkeit: Der Kontakt darf ab dem Zeitpunkt der Abmeldung keine weiteren Newsletter-E-Mails erhalten
- Kein Grund muss angegeben werden
Nach der Abmeldung kannst du die Daten noch kurze Zeit zur Nachweissicherung aufbewahren. Danach greift die Löschpflicht nach Art. 17 DSGVO.
WhatsApp Business als Newsletter-Kanal: Was gilt?
Immer mehr Händler überlegen, WhatsApp Business für Marketing zu nutzen. Rechtlich gelten hier dieselben DSGVO-Grundsätze wie beim E-Mail-Newsletter, mit einem entscheidenden Unterschied: WhatsApp ist ein Dienst von Meta (USA), was die Frage der Datenübertragung verschärft.
Was du beachten musst:
Einwilligung: Auch für WhatsApp-Marketingnachrichten brauchst du eine ausdrückliche Einwilligung. Die allgemeinen WhatsApp-Nutzungsbedingungen ersetzen keine DSGVO-konforme Zustimmung.
WhatsApp Business API statt App: Die kostenlose WhatsApp Business App ist für Massenkommunikation nicht geeignet. Für regelkonformes Newsletter-Marketing brauchst du die WhatsApp Business Platform (API), die über zertifizierte Partneranbieter läuft.
AVV und Datentransfer: Meta stellt einen Datenverarbeitungsvertrag bereit, der für EU-Unternehmen relevant ist. Dennoch bleibt die Datenübertragung in die USA rechtlich diskutiert. Wer auf Nummer sicher gehen will, nutzt einen europäischen WhatsApp-BSP (Business Solution Provider).
Tracking: Öffnungsraten und Klicks in WhatsApp-Nachrichten zu messen, erfordert nach § 25 TDDDG eine gesonderte Einwilligung. Mehr dazu im Leitfaden zum TTDSG und Cookie-Recht.
Abmeldung: Auch WhatsApp-Marketingnachrichten müssen eine einfache Abmeldemöglichkeit enthalten, etwa per Keyword-Antwort wie “STOP”.
WhatsApp Business als Marketingkanal ist rechtlich machbar. Der Aufwand ist jedoch deutlich höher als beim E-Mail-Newsletter. Für die meisten Shopify-Händler ist E-Mail der einfachere und rechtssicherere Startpunkt.
Häufige Fehler und wie du sie vermeidest
Importierte E-Mail-Listen ohne Einwilligungsnachweis: Wer Kontakte aus Papierformularen, alten Listen oder Visitenkarten einpflegt, muss dokumentieren, wann und wie diese Einwilligung erteilt wurde. Fehlt der Nachweis, ist der Versand unzulässig.
Vorausgefüllte Checkboxen: Eine Checkbox, die standardmäßig gesetzt ist, gilt nicht als aktive Einwilligung.
Newsletter als Kaufbedingung: “Nur wenn du den Newsletter abonnierst, kannst du am Gewinnspiel teilnehmen” ist eine Kopplungsklausel und macht die Einwilligung unwirksam.
Kein AVV abgeschlossen: Viele Händler nutzen ihr Tool seit Jahren, ohne je einen AVV bestätigt zu haben. Das ist ein DSGVO-Verstoß, unabhängig davon, ob je ein Datenleck auftrat.
Tracking-Pixel ohne separate Zustimmung: Öffnungsraten zu messen erfordert das Laden eines unsichtbaren Pixels in der E-Mail. Das ist nach aktueller Rechtslage einwilligungspflichtig. Prüfe, ob dein Tool das transparent kommuniziert.
Newsletter-Software: DSGVO-konforme Tools im Überblick
Die Wahl der richtigen Newsletter-Software entscheidet darüber, wie einfach du den Datenschutz technisch umsetzen kannst. Diese Tools lassen sich ohne Theme-Code in Shopify einbinden und haben AVV-Optionen im Dashboard:

- Klaviyo: Marktführer bei Shopify-Integration, US-Anbieter mit EU-Standardvertragsklauseln, sehr leistungsfähig
- Brevo (ehemals Sendinblue): Europäischer Anbieter (Frankreich), DSGVO-freundlich, günstiger Einstieg
- CleverReach: Deutsches Unternehmen, Server in Deutschland, gut für DACH-Händler
- Omnisend: Nordeuropäischer Anbieter, starke E-Commerce-Automatisierungen
- rapidmail: Deutsches Unternehmen, ISO-27001-zertifiziert, deutschsprachiger Support
Welches Tool du nimmst, hängt von Budget und Automatisierungsanforderungen ab. Alle genannten erfüllen die technischen Datenschutz-Anforderungen der DSGVO, wenn du AVV und Serverstandort vor Vertragsabschluss prüfst.
Häufig gestellte Fragen
Ist Double-Opt-in gesetzlich vorgeschrieben?
Das Double-Opt-in-Verfahren ist gesetzlich nicht explizit vorgeschrieben, gilt aber als Standardmethode zum Nachweis einer gültigen Einwilligung. Wer einfaches Opt-in nutzt, trägt die volle Beweislast, dass die Einwilligung tatsächlich erteilt wurde. In der Praxis empfehlen alle deutschen Datenschutzbehörden das Double-Opt-in ausdrücklich.
Darf ich Kunden, die bei mir gekauft haben, automatisch in den Newsletter eintragen?
Nein, ein Kauf allein reicht nicht als Einwilligung für den Newsletter-Versand. Du darfst bestehenden Kunden Informationen zu ähnlichen Produkten schicken, wenn sie beim Kauf die Möglichkeit hatten, zu widersprechen (§ 7 Abs. 3 UWG). Für den allgemeinen Newsletter brauchst du immer eine ausdrückliche, separate Einwilligung.
Wie lange darf ich Newsletter-Abonnentendaten speichern?
Solange das Abonnement aktiv ist, ist die Speicherung gerechtfertigt. Nach der Abmeldung solltest du die Daten löschen, außer du benötigst sie zur Dokumentation der Einwilligung oder Abmeldung. Dafür reicht eine kurze Aufbewahrungsfrist von einigen Monaten bis zu drei Jahren, abhängig von möglichen Verjährungsfristen.
Muss die Bestätigungs-E-Mail beim Double-Opt-in werbefrei sein?
Die Bestätigungs-E-Mail darf keine Werbung enthalten. Sie ist rein transaktional und dient ausschließlich der Bestätigung der Anmeldung. Werbeinhalte sind erst in der ersten regulären Newsletter-E-Mail nach erfolgter Bestätigung zulässig.
Was passiert, wenn ich keinen AVV mit meinem E-Mail-Anbieter abschließe?
Ohne AVV ist die Datenübertragung an den Anbieter nach Art. 28 DSGVO unzulässig. Im Falle einer Datenschutzprüfung oder Beschwerde kann das zu Bußgeldern führen. Der AVV kostet nichts und ist bei seriösen Anbietern im Dashboard verfügbar. Er sollte sofort nachgeholt werden, falls er noch fehlt.
EU-Pflichten automatisch im Shop erfüllen
ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.
Module & Preise ansehenDieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.