SC ShopCompliance
Im App Store öffnen
← Alle Beiträge
DSGVONewsletterDouble-Opt-inE-Mail-MarketingShopify

Newsletter-Marketing DSGVO-konform: Double-Opt-in einrichten

23. Juni 2026 · Max Benz

Newsletter-Marketing ist für Online-Händler einer der stärksten Kanäle, weil kein Algorithmus zwischen dir und deinen Kunden steht. Doch die DSGVO (Datenschutz-Grundverordnung) setzt klare Regeln: Wer ohne gültige Einwilligung E-Mails verschickt, riskiert Abmahnungen und Bußgelder bis 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Die gute Nachricht: Ein DSGVO-konformer Newsletter lässt sich mit dem richtigen Aufbau ohne großen Aufwand einrichten.

Der Datenschutz beim Newsletter betrifft nicht nur die Anmeldung, sondern den gesamten Versandprozess. Dieser Leitfaden zeigt dir, was du rechtlich brauchst, wie du Double-Opt-in in deinem Shopify-Shop einrichtest und was bei WhatsApp Business als Marketingkanal gilt.

Was einen Newsletter DSGVO-konform macht

Ein DSGVO-konformer Newsletter erfüllt sieben Kernanforderungen. Fehlt eine davon, ist das gesamte System angreifbar.

Die sechs wichtigsten DSGVO-Anforderungen für Newsletter als Übersicht

  1. Einwilligung vor dem ersten Versand (Art. 6 Abs. 1 lit. a DSGVO): Kein Newsletter ohne aktives Opt-in.
  2. Double-Opt-in-Verfahren: Einwilligung dokumentierbar durch zweistufige Bestätigung.
  3. Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO): Nur erheben, was du wirklich brauchst.
  4. Transparenz: Anmeldeformular mit klarer Zweckbeschreibung und Link zur Datenschutzerklärung.
  5. Auftragsverarbeitungsvertrag (AVV) mit deinem E-Mail-Tool-Anbieter.
  6. EU-konforme Datenspeicherung: Daten dürfen nicht ohne Weiteres in die USA übertragen werden.
  7. Einfache Abmeldung: Jede E-Mail muss einen funktionierenden Abmelde-Link enthalten.

Rechtsgrundlage: Warum Einwilligung Pflicht ist

Für Newsletter gilt fast immer Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage: die ausdrückliche Einwilligung des Empfängers. Das berechtigte Interesse (lit. f) greift bei Werbung zwar in Ausnahmefällen, zum Beispiel wenn du bestehenden Kunden ähnliche Produkte empfiehlst und ein Widerspruchsrecht anbietest (§ 7 Abs. 3 UWG). Für neue Kontakte ist dieser Weg jedoch rechtlich unsicher.

Die Einwilligung muss freiwillig, informiert, spezifisch und eindeutig sein. Ein vorausgefülltes Häkchen reicht nicht. Der Empfänger muss aktiv zustimmen. Für mehr Details zur Rechtsgrundlage nach Art. 6 DSGVO gibt es einen eigenen Leitfaden auf dieser Seite.

Double-Opt-in Schritt für Schritt einrichten

Double-Opt-in ist kein gesetzliches Muss. Es ist allerdings der einzig zuverlässige Weg, eine gültige und beweisbare Einwilligung zu dokumentieren. Die Aufsichtsbehörden empfehlen es ausdrücklich.

Der Double-Opt-in Prozess in drei Schritten: Anmelden, Bestätigen, Einwilligung gilt

Schritt 1: Anmeldeformular aufsetzen

Das Formular braucht mindestens drei Dinge:

  • Ein Pflichtfeld für die E-Mail-Adresse. Name oder weitere Felder sind optional und müssen als freiwillig gekennzeichnet sein.
  • Eine aktive Checkbox (nicht vorausgefüllt): “Ich möchte den Newsletter erhalten und habe die Datenschutzerklärung gelesen.”
  • Einen Link zur Datenschutzerklärung, der im selben oder einem neuen Tab öffnet.

Keine Kopplungsklausel: Die Anmeldung zum Newsletter darf nicht Bedingung für einen Kauf oder die Kontoerstellung sein. Das macht die Einwilligung unfreiwillig und damit ungültig.

In Shopify lässt sich das Anmeldeformular entweder über das Theme-Einstellungen-Panel oder über eine App wie Klaviyo, Omnisend oder Brevo einbinden, ohne Theme-Code anfassen zu müssen.

Schritt 2: Bestätigungs-E-Mail konfigurieren

Sobald jemand das Formular abschickt, muss dein E-Mail-System automatisch eine Bestätigungs-E-Mail schicken. Diese E-Mail:

  • enthält einen personalisierten Bestätigungs-Link mit begrenzter Gültigkeit (üblicherweise 24 bis 48 Stunden)
  • erklärt in einem Satz den Zweck: “Klicke hier, um dein Newsletter-Abonnement zu bestätigen”
  • sendet selbst keine Werbeinhalte

Erst nach dem Klick auf den Bestätigungs-Link gilt die Einwilligung als erteilt. Wer nicht klickt, darf keine weiteren E-Mails erhalten, auch keine Erinnerungen.

Schritt 3: Einwilligung dokumentieren

Dein E-Mail-Tool muss für jeden Kontakt protokollieren:

  • Datum und Uhrzeit der Anmeldung
  • IP-Adresse oder technischer Herkunftsnachweis
  • Datum und Uhrzeit der Bestätigung
  • Wortlaut der Einwilligungserklärung zum Zeitpunkt der Anmeldung

Diese Daten musst du im Streitfall vorlegen können. Professionelle Tools wie Klaviyo, Brevo oder CleverReach speichern das automatisch im Kontaktprofil.

Was ins Anmeldeformular muss: Datensparsamkeit in der Praxis

Viele Händler fragen im Anmeldeformular zu viel ab. Das verstößt gegen den Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO).

Pflichtfeld: E-Mail-Adresse.

Optional und zulässig: Vorname (für personalisierte Anrede), bevorzugte Produktkategorie.

Nicht abfragen ohne konkreten Zweck: Telefonnummer, Geburtsdatum, Adresse. Wer diese Daten trotzdem benötigt, muss separat erklären, wozu sie genutzt werden.

Jedes optionale Feld muss erkennbar freiwillig sein, zum Beispiel durch den Hinweis “(optional)” im Label.

Datenschutzerklärung und Auftragsverarbeitungsvertrag

Datenschutzerklärung anpassen

Deine Datenschutzerklärung muss einen eigenen Abschnitt zum Newsletter enthalten. Dort gehören hinein:

  • Welche Daten bei der Anmeldung erhoben werden
  • Welchen Zweck die Verarbeitung hat (Versand des Newsletters)
  • Auf welcher Rechtsgrundlage (Art. 6 Abs. 1 lit. a DSGVO)
  • Wie lange die Daten gespeichert werden
  • Name und Sitz des E-Mail-Dienstleisters
  • Wie die Einwilligung widerrufen werden kann

Eine angepasste Datenschutzerklärung-Vorlage für Shopify findest du auf dieser Seite.

Auftragsverarbeitungsvertrag abschließen

Dein E-Mail-Tool-Anbieter verarbeitet Kundendaten in deinem Auftrag. Das ist nach Art. 28 DSGVO nur erlaubt, wenn ein Auftragsverarbeitungsvertrag (AVV) geschlossen wurde. Gute Tools stellen diesen AVV in ihren Kontoeinstellungen bereit. Bei Klaviyo, Brevo und Mailchimp gibt es die AVV-Option direkt im Dashboard.

Besondere Vorsicht bei US-amerikanischen Anbietern: Seit dem Schrems-II-Urteil braucht jede Datenübertragung in die USA eine separate Rechtfertigung. EU-Standardvertragsklauseln und ein gültiger Data-Privacy-Framework-Beitritt des Anbieters sind hier der übliche Weg. Prüfe das für deinen Anbieter konkret.

Abmeldung DSGVO-konform umsetzen

Jede Newsletter-E-Mail muss am Ende einen Abmelde-Link enthalten. Der Widerruf der Einwilligung muss genauso einfach sein wie die ursprüngliche Anmeldung (Art. 7 Abs. 3 DSGVO). Das bedeutet:

  • Ein-Klick-Abmeldung ohne zusätzliches Login
  • Sofortige Wirksamkeit: Der Kontakt darf ab dem Zeitpunkt der Abmeldung keine weiteren Newsletter-E-Mails erhalten
  • Kein Grund muss angegeben werden

Nach der Abmeldung kannst du die Daten noch kurze Zeit zur Nachweissicherung aufbewahren. Danach greift die Löschpflicht nach Art. 17 DSGVO.

WhatsApp Business als Newsletter-Kanal: Was gilt?

Immer mehr Händler überlegen, WhatsApp Business für Marketing zu nutzen. Rechtlich gelten hier dieselben DSGVO-Grundsätze wie beim E-Mail-Newsletter, mit einem entscheidenden Unterschied: WhatsApp ist ein Dienst von Meta (USA), was die Frage der Datenübertragung verschärft.

Was du beachten musst:

Einwilligung: Auch für WhatsApp-Marketingnachrichten brauchst du eine ausdrückliche Einwilligung. Die allgemeinen WhatsApp-Nutzungsbedingungen ersetzen keine DSGVO-konforme Zustimmung.

WhatsApp Business API statt App: Die kostenlose WhatsApp Business App ist für Massenkommunikation nicht geeignet. Für regelkonformes Newsletter-Marketing brauchst du die WhatsApp Business Platform (API), die über zertifizierte Partneranbieter läuft.

AVV und Datentransfer: Meta stellt einen Datenverarbeitungsvertrag bereit, der für EU-Unternehmen relevant ist. Dennoch bleibt die Datenübertragung in die USA rechtlich diskutiert. Wer auf Nummer sicher gehen will, nutzt einen europäischen WhatsApp-BSP (Business Solution Provider).

Tracking: Öffnungsraten und Klicks in WhatsApp-Nachrichten zu messen, erfordert nach § 25 TDDDG eine gesonderte Einwilligung. Mehr dazu im Leitfaden zum TTDSG und Cookie-Recht.

Abmeldung: Auch WhatsApp-Marketingnachrichten müssen eine einfache Abmeldemöglichkeit enthalten, etwa per Keyword-Antwort wie “STOP”.

WhatsApp Business als Marketingkanal ist rechtlich machbar. Der Aufwand ist jedoch deutlich höher als beim E-Mail-Newsletter. Für die meisten Shopify-Händler ist E-Mail der einfachere und rechtssicherere Startpunkt.

Häufige Fehler und wie du sie vermeidest

Importierte E-Mail-Listen ohne Einwilligungsnachweis: Wer Kontakte aus Papierformularen, alten Listen oder Visitenkarten einpflegt, muss dokumentieren, wann und wie diese Einwilligung erteilt wurde. Fehlt der Nachweis, ist der Versand unzulässig.

Vorausgefüllte Checkboxen: Eine Checkbox, die standardmäßig gesetzt ist, gilt nicht als aktive Einwilligung.

Newsletter als Kaufbedingung: “Nur wenn du den Newsletter abonnierst, kannst du am Gewinnspiel teilnehmen” ist eine Kopplungsklausel und macht die Einwilligung unwirksam.

Kein AVV abgeschlossen: Viele Händler nutzen ihr Tool seit Jahren, ohne je einen AVV bestätigt zu haben. Das ist ein DSGVO-Verstoß, unabhängig davon, ob je ein Datenleck auftrat.

Tracking-Pixel ohne separate Zustimmung: Öffnungsraten zu messen erfordert das Laden eines unsichtbaren Pixels in der E-Mail. Das ist nach aktueller Rechtslage einwilligungspflichtig. Prüfe, ob dein Tool das transparent kommuniziert.

Newsletter-Software: DSGVO-konforme Tools im Überblick

Die Wahl der richtigen Newsletter-Software entscheidet darüber, wie einfach du den Datenschutz technisch umsetzen kannst. Diese Tools lassen sich ohne Theme-Code in Shopify einbinden und haben AVV-Optionen im Dashboard:

Brevo Homepage: EU-ansässiger Newsletter-Anbieter mit DSGVO-konformer Infrastruktur

  • Klaviyo: Marktführer bei Shopify-Integration, US-Anbieter mit EU-Standardvertragsklauseln, sehr leistungsfähig
  • Brevo (ehemals Sendinblue): Europäischer Anbieter (Frankreich), DSGVO-freundlich, günstiger Einstieg
  • CleverReach: Deutsches Unternehmen, Server in Deutschland, gut für DACH-Händler
  • Omnisend: Nordeuropäischer Anbieter, starke E-Commerce-Automatisierungen
  • rapidmail: Deutsches Unternehmen, ISO-27001-zertifiziert, deutschsprachiger Support

Welches Tool du nimmst, hängt von Budget und Automatisierungsanforderungen ab. Alle genannten erfüllen die technischen Datenschutz-Anforderungen der DSGVO, wenn du AVV und Serverstandort vor Vertragsabschluss prüfst.

Häufig gestellte Fragen

Ist Double-Opt-in gesetzlich vorgeschrieben?

Das Double-Opt-in-Verfahren ist gesetzlich nicht explizit vorgeschrieben, gilt aber als Standardmethode zum Nachweis einer gültigen Einwilligung. Wer einfaches Opt-in nutzt, trägt die volle Beweislast, dass die Einwilligung tatsächlich erteilt wurde. In der Praxis empfehlen alle deutschen Datenschutzbehörden das Double-Opt-in ausdrücklich.

Darf ich Kunden, die bei mir gekauft haben, automatisch in den Newsletter eintragen?

Nein, ein Kauf allein reicht nicht als Einwilligung für den Newsletter-Versand. Du darfst bestehenden Kunden Informationen zu ähnlichen Produkten schicken, wenn sie beim Kauf die Möglichkeit hatten, zu widersprechen (§ 7 Abs. 3 UWG). Für den allgemeinen Newsletter brauchst du immer eine ausdrückliche, separate Einwilligung.

Wie lange darf ich Newsletter-Abonnentendaten speichern?

Solange das Abonnement aktiv ist, ist die Speicherung gerechtfertigt. Nach der Abmeldung solltest du die Daten löschen, außer du benötigst sie zur Dokumentation der Einwilligung oder Abmeldung. Dafür reicht eine kurze Aufbewahrungsfrist von einigen Monaten bis zu drei Jahren, abhängig von möglichen Verjährungsfristen.

Muss die Bestätigungs-E-Mail beim Double-Opt-in werbefrei sein?

Die Bestätigungs-E-Mail darf keine Werbung enthalten. Sie ist rein transaktional und dient ausschließlich der Bestätigung der Anmeldung. Werbeinhalte sind erst in der ersten regulären Newsletter-E-Mail nach erfolgter Bestätigung zulässig.

Was passiert, wenn ich keinen AVV mit meinem E-Mail-Anbieter abschließe?

Ohne AVV ist die Datenübertragung an den Anbieter nach Art. 28 DSGVO unzulässig. Im Falle einer Datenschutzprüfung oder Beschwerde kann das zu Bußgeldern führen. Der AVV kostet nichts und ist bei seriösen Anbietern im Dashboard verfügbar. Er sollte sofort nachgeholt werden, falls er noch fehlt.

EU-Pflichten automatisch im Shop erfüllen

ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.

Module & Preise ansehen

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.