Suche Icon
Suche Icon
Support Icon User image
Sprache

E-Mail-Datenschutz: Was Online-Händler wissen müssen

Min. Lesezeit

Die E-Mail ist ein Muss im Online-Handel: Bestellbestätigungen, Rechnungen, Versandbenachrichtigungen, Newsletter. Kaum ein Prozess im E-Commerce kommt ohne elektronische Post aus. Doch jede dieser E-Mails enthält personenbezogene Daten, und jede Datenverarbeitung unterliegt den strengen Regeln der Datenschutz-Grundverordnung (DSGVO) und anderer Gesetze.

Dieser Ratgeber gibt Online-Händlern einen Überblick über die Pflichten E-Mail-Datenschutz – von der rechtssicheren Einwilligung über den Einsatz von E-Mail-Dienstleistern bis hin zur sicheren Übertragung sensibler Kundendaten.

Datenschutzerklärung generieren

Hinweis: Der Player funktioniert nur, wenn du die Cookies akzeptierst.

Warum E-Mail-Datenschutz für Online-Händler so wichtig ist

Wer E-Mail-Adressen sammelt, Newsletter verschickt oder Kundendaten an externe Dienstleister weitergibt, muss sich mit einem komplexen Regelwerk aus DSGVO, UWG (Gesetz gegen den unlauteren Wettbewerb) und dem TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) auseinandersetzen.

hb-iconset-stoerer-achtung-2

Wichtig: Verstöße gegen den E-Mail-Datenschutz können teuer werden: Die DSGVO erlaubt Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Hinzu kommen Abmahnungen durch Wettbewerber, die häufig schneller und kostspieliger sind als behördliche Maßnahmen.

 

Was gilt als personenbezogenes Datum im E-Mail-Kontext?

Der Begriff des personenbezogenen Datums ist nach Art. 4 Nr. 1 DSGVO weit gefasst: Gemeint sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im E-Mail-Kontext sind das vor allem:

  1. Jede E-Mail-Adresse, die einen Namen enthält (z. B. max.mustermann@beispiel.de), ist ein personenbezogenes Datum im Sinne der DSGVO.
  2. Aber auch rein technische Adressen wie info@musterunternehmen.de können personenbezogen sein, wenn sie einer Person zugeordnet werden können.

Neben der E-Mail-Adresse selbst fallen im Rahmen des Newsletter-Marketings weitere Daten an, die ebenfalls unter die DSGVO fallen:

  1. IP-Adressen (beim Zeitpunkt der Anmeldung)
  2. Anmeldezeitpunkte und -orte
  3. Einwilligungsnachweise
  4. Klick- und Öffnungsverhalten
  5. Geräteinformationen
  6. Kaufhistorie bei personalisierten Empfehlungen
hb-iconset-idee
Praxis-Tipp: Selbst geschäftliche E-Mail-Adressen von Mitarbeitern (z. B. m.muster@xyz.com) gelten als personenbezogene Daten.

 

DSGVO-konforme Einwilligung: So sammelst du E-Mail-Adressen rechtssicher

Fangen wir mit den E-Mails an, für die gar keine Einwilligung nötig ist. Nicht jede E-Mail an Kunden erfordert eine ausdrückliche Einwilligung. Für sogenannte transaktionale E-Mails, also Nachrichten, die unmittelbar der Erfüllung eines Vertrags dienen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO: die Vertragserfüllung. Eine separate Einwilligung ist hier weder notwendig noch sinnvoll. Zu diesen erlaubten E-Mails zählen typischerweise:

  1. Bestellbestätigungen,
  2. Zahlungsbestätigungen,
  3. Versandbenachrichtigungen,
  4. Rechnungen,
  5. Nachrichten zu Retouren und Erstattungen sowie
  6. Passwort-Reset-E-Mails und Kontoverifizierungen.

Darüber hinaus können bestimmte E-Mails auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden, etwa Sicherheitshinweise bei verdächtigen Kontoaktivitäten oder wichtige Produktsicherheitsinformationen.

hb-iconset-achtung
Wichtig: Die Einwilligungsfreiheit gilt ausschließlich für den transaktionalen Inhalt. Sobald eine Bestellbestätigung auch einen Rabattgutschein, eine Produktempfehlung oder andere Werbebotschaften enthält, die über den eigentlichen Vertragsgegenstand hinausgehen, wird daraus eine gemischte E-Mail und der werbliche Teil benötigt eine eigene Rechtsgrundlage. In der Praxis empfiehlt es sich daher, transaktionale und werbliche Inhalte sauber zu trennen oder für kombinierte E-Mails eine entsprechende Einwilligung einzuholen.

 

Das Double-Opt-in-Verfahren (DOI)

Die Einwilligung (Consent) ist im E-Mail-Marketing die wichtigste Rechtsgrundlage für die Datenverarbeitung (Art. 6 Abs. 1 lit. a DSGVO). Sie muss freiwillig, spezifisch, informiert und unmissverständlich sein und durch eine aktive Handlung erteilt werden. Vorausgefüllte Checkboxen sind damit ausdrücklich unzulässig. Hierfür wird standardmäßig das Double-Opt-in-Verfahren eingesetzt.

Das Double-Opt-in ist ein zweistufiges Anmeldeverfahren, bei dem Nutzer nach der Eintragung ihrer E-Mail-Adresse zunächst eine Bestätigungs-E-Mail erhalten und den enthaltenen Link anklicken müssen, bevor sie in den Verteiler aufgenommen werden. Dieses Verfahren ist in Deutschland zwar rechtlich nicht ausdrücklich vorgeschrieben, wird jedoch von Gerichten und Aufsichtsbehörden als De-facto-Standard eingestuft.

Abmeldungen aus dem Newsletter – Fristen und Pflichten

Empfänger müssen ihre Einwilligung jederzeit und kostenlos widerrufen können können. Ein funktionierender Abmeldelink in jeder E-Mail ist daher rechtlich verpflichtend und muss direkt zur Abmeldung führen, ohne Bestätigungsseiten mit Upselling-Elementen oder unnötigen Zwischenschritten.

Meldet sich ein Abonnent vom Newsletter ab, darf er keine weiteren Werbe-E-Mails mehr erhalten, und zwar sofort, nicht erst nach dem nächsten Versand-Zyklus. In der Praxis empfiehlt sich eine technische Umsetzung, die Abmeldungen in Echtzeit verarbeitet. Der Einwilligungsnachweis (Zeitpunkt der Anmeldung, Bestätigungsklick, IP-Adresse) sollte auch nach der Abmeldung noch mindestens 3 Jahre aufbewahrt werden.

E-Mail-Marketing: Was Online-Händler beim Impressum beachten müssen

Fast jede E-Mail muss ein vollständiges Impressum enthalten, mit Name und Anschrift des Unternehmens, Handelsregistereintrag (falls vorhanden) und einer Kontaktmöglichkeit.

Profiling und Tracking in E-Mails – Grenzen des Erlaubten

Viele E-Mail-Marketing-Tools bieten umfangreiche Möglichkeiten zur Personalisierung: Empfänger können nach Kaufhistorie, Klickverhalten oder Interessen gruppiert und gezielt angesprochen werden. Aus Datenschutzsicht ist dabei entscheidend, ob das Profiling der ursprünglichen Einwilligung entspricht und inwieweit personenbezogene Daten verarbeitet werden. Wer beim Newsletter-Signup nur zugestimmt hat, monatliche Angebote zu erhalten, hat nicht automatisch der Erstellung eines umfassenden Nutzerprofils zugestimmt. Viele Newsletter-Tools arbeiten pseudonymisiert (also weiterhin personenbezogen nach DSGVO).

Das Tracking von Öffnungsraten (üblicherweise über sog. Tracking-Pixel) und das Klicktracking sind datenschutzrechtlich sensibel, da sie Rückschlüsse auf das Verhalten individueller Personen erlauben. Nach herrschender Meinung kann das Tracking auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden, wenn es ausschließlich der Verbesserung des Newsletter-Angebots dient und in der Datenschutzerklärung transparent kommuniziert wird. Besser ist es jedoch, eine separate Einwilligung für Tracking-Zwecke einzuholen und Empfängern eine Opt-out-Möglichkeit anzubieten.

Wiederverwendung bestehender Kundenadressen (Bestandskundenwerbung)

Unter bestimmten Voraussetzungen dürfen Online-Händler die E-Mail-Adressen bestehender Kunden auch ohne ausdrückliche Newsletter-Einwilligung für Werbezwecke nutzen (sog. Bestandskundenprivileg). Dafür müssen alle Bedingungen für die Direktwerbung gleichzeitig erfüllt sein:

hb-iconset-hammer
Urteil

EuGH-Urteil vom 13. November 2025 (C-654/23, Inteligo Media): Der Europäische Gerichtshof hat entschieden, dass auch eine kostenlose Registrierung mit kommerziellem Ziel (z. B. für einen kostenlosen Testzugang oder ein Webinar) im B2B-Bereich einem Kauf gleichgestellt werden kann. Damit kann jetzt auch eine kostenlose Registrierung als Grundlage für Bestandskunden-E-Mail-Marketing im B2B-Bereich dienen, sofern alle weiteren Voraussetzungen erfüllt sind. Für B2C-Händler ändert sich dadurch grundsätzlich nichts: Hier bleibt die ausdrückliche Einwilligung der sicherere Weg.

 

E-Mail-Dienstleister & Auftragsverarbeitung

Sobald ein externer Dienstleister im Auftrag des Online-Händlers auf personenbezogene Daten zugreift oder diese verarbeitet, liegt Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Für das E-Mail-Marketing gilt: Jeder E-Mail-Service-Provider (ESP), ob Mailchimp, CleverReach, Brevo, KlickTipp oder Inxmail, verarbeitet die E-Mail-Adressen der Abonnenten im Auftrag des Händlers. Damit ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) gesetzlich vorgeschrieben. Ohne AVV ist die Nutzung des Tools nicht DSGVO-konform.

 

Der AVV regelt unter anderem:

  1. Den genauen Umfang der Datenverarbeitung
  2. Die eingesetzten Sicherheitsmaßnahmen
  3. Ob und welche Subunternehmer eingesetzt werden
  4. Die Pflichten des Dienstleisters bei Datenpannen

Die meisten seriösen E-Mail-Anbieter stellen fertige AVVs bereit, die per Mausklick oder Unterschrift akzeptiert werden können.

Worauf du der Auswahl eines DSGVO-konformen E-Mail-Dienstleisters achten solltest


 

Sichere E-Mail-Kommunikation: Technische Datenschutzpflichten

Transportverschlüsselung (TLS) als Mindeststandard

Art. 32 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten zu ergreifen. Für E-Mails bedeutet das im Mindeststandard den Einsatz von TLS-Verschlüsselung (Transport Layer Security). TLS schützt E-Mails auf dem Transportweg zwischen Mailservern vor dem Mitlesen durch Dritte. Moderne E-Mail-Server setzen TLS in der Regel automatisch ein, Händler sollten jedoch sicherstellen, dass ihr Provider TLS 1.2 oder höher unterstützt.

Ende-zu-Ende-Verschlüsselung – wann sie sinnvoll ist

TLS schützt nur den Transportweg, auf den Mailservern selbst liegen E-Mails in der Regel unverschlüsselt vor. Für besonders sensible Kommunikation (z. B. medizinische Daten, Bankverbindungen) empfiehlt sich daher eine Ende-zu-Ende-Verschlüsselung mittels S/MIME oder PGP. Diese Verfahren sind jedoch technisch aufwendig. Sinnvoll sind sie vor allem für interne Kommunikation oder für besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO.

Umgang mit sensiblen Daten in E-Mails (Bestelldaten, Rechnungen)

Rechnungen, Bestellbestätigungen mit Zahlungsdaten oder Passwörter sollten niemals im Klartext per E-Mail übermittelt werden, wenn es Alternativen gibt (z. B. passwortgeschützte Kundenbereiche). Je sensibler die Daten, desto höher die Anforderungen an die Verschlüsselung.

Betroffenenrechte bei E-Mail-Daten: So reagierst du korrekt

Nach Art. 15 DSGVO haben Abonnenten das Recht, vollständige Auskunft über alle zu ihrer Person gespeicherten Daten zu erhalten, inklusive der Einwilligungsnachweise, Tracking-Daten und einer Kopie der gespeicherten Informationen. Online-Händler müssen auf solche Anfragen innerhalb eines Monats reagieren, bei komplexen Fällen innerhalb von drei Monaten (mit Begründung).

Das Recht auf Löschung (Art. 17 DSGVO) erlaubt es Abonnenten, die vollständige Löschung aller ihrer personenbezogenen Daten zu verlangen (inklusive der E-Mail-Adresse), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Eine bloße Abmeldung aus dem Newsletter reicht dafür nicht aus; auf Wunsch müssen alle Daten aus sämtlichen Systemen entfernt werden.

Finde alle Muster zu Auskunftsverlangen auf dem Händlerbund Marketplace

Datenschutzerklärung anpassen: E-Mail-Kommunikation transparent machen

Die Datenschutzerklärung ist der zentrale Ort, an dem Online-Händler alle E-Mail-bezogenen Datenverarbeitungen transparent machen müssen. Folgende Abschnitte sollte jede Datenschutzerklärung enthalten:

  1. Abschnitt zu jedem einzelnen Newsletter mit Angaben zu Zweck, Rechtsgrundlage, eingesetztem Dienstleister, Serverstandort und AVV
  2. Hinweise auf das Recht zum jederzeitigen Widerruf
  3. Angaben zur Speicherdauer und zum Löschkonzept
  4. Abschnitt zur transaktionalen E-Mail-Kommunikation (Bestellbestätigungen, Rechnungen)
  5. Informationspflichten nach Art. 13 und 14 DSGVO über die Betroffenenrechte

 

 

Fazit E-Mail-Datenschutz

E-Mail-Datenschutz ist keine bürokratische Pflichtübung, sondern ein entscheidender Vertrauensfaktor im Online-Handel. Wer die rechtlichen Anforderungen kennt und konsequent umsetzt, schützt nicht nur sich vor Abmahnungen und Bußgeldern, er baut auch ein belastbares, qualitativ hochwertiges E-Mail-Marketing auf, das auf echter Zustimmung seiner Empfänger beruht.

email

 

FAQ zum E-Mail-Datenschutz

Darf ich Kunden-E-Mail-Adressen ohne Einwilligung für Werbung nutzen?

Nur ausnahmsweise über das Bestandskundenprivileg (§ 7 Abs. 3 UWG). Dafür müssen alle gesetzlichen Voraussetzungen erfüllt sein. Für neue Kontakte gilt grundsätzlich: Werbung nur mit Einwilligung.

Welche Strafen drohen bei Verstößen gegen E-Mail-Datenschutz?

Neben DSGVO-Bußgeldern drohen vor allem Datenschutz (DSGVO) Abmahnungen und Schadenersatzforderungen. Für kleine Unternehmen sind Abmahnkosten oft das größte Risiko.

Ist Double-Opt-in gesetzlich vorgeschrieben?

Nicht ausdrücklich, aber es gilt als rechtlicher Standard in Deutschland. Nur damit lässt sich die Einwilligung im Streitfall sicher nachweisen.

Wie lange darf ich Newsletter-E-Mail-Adressen speichern?

Nur solange der Newsletter-Bezug besteht. Nach Abmeldung müssen die Daten gelöscht werden, Einwilligungsnachweise sollten aber noch 3 Jahre aufbewahrt werden.

Brauche ich für jede E-Mail-Art eine separate Einwilligung?

Jein. Vertragsbezogene E-Mails wie Rechnungen oder Versandinfos sind ohne Einwilligung erlaubt; nur Werbung und Newsletter benötigen jeweils eine eigene Zustimmung.

Was ist bei US-Anbietern wie Mailchimp zu beachten?

DPF-zertifizierte US-Dienstleister sind grundsätzlich nutzbar, wenn AVV, Datenschutzhinweise und Double-Opt-in korrekt umgesetzt sind. Ein Restrisiko beim Datentransfer in die USA bleibt jedoch bestehen.

Reicht eine einfache Newsletter-Checkbox im Shop aus?

Nein. In Deutschland gilt Single-Opt-in meist als nicht ausreichend. Empfohlen und praktisch erforderlich ist Double-Opt-in.

Wie gehe ich mit alten E-Mail-Listen ohne DSGVO-Nachweis um?

Listen ohne nachweisbare Einwilligung sollten nicht weiter für Werbung genutzt werden. Rechtssicher ist meist nur das Löschen und der Neuaufbau per Double-Opt-in.

Darf ich Öffnungsraten und Klicks im Newsletter tracken?

Grundsätzlich ja, wenn transparent darüber informiert wird und das Tracking berechtigten Interessen dient. Empfehlenswert sind Opt-out-Möglichkeiten oder eine zusätzliche Einwilligung.

Was tun bei einem Löschverlangen eines Kunden?

Die E-Mail-Adresse muss grundsätzlich aus allen Systemen gelöscht werden. Gesetzliche Aufbewahrungspflichten (z. B. Rechnungen) können einer vollständigen Löschung teilweise entgegenstehen.

 

Volljuristin Yvonne Bachmann

Geschrieben von
Volljuristin Yvonne Bachmann

×

 

War dieser Ratgeber hilfreich?

Vielen Dank für dein positives Feedback!

Das könnte dich auch interessieren: 

  1. E-Mail-Impressum: Darum brauchen es Online-Händler
  2. Abmahnung wegen E-Mail-Werbung erhalten? Wir helfen sofort!
  3. Unzulässige E-Mail-Werbung » Abmahnungen vermeiden
  4. Datenschutz & Newsletter nach DSGVO
  5. 7 rechtliche Fehler, die Online-Händler vermeiden sollten » kurz erklärt

 
Kommentare
Lass uns gern einen Kommentar da
hb-iconset-hb-logo
Alles für Online-Händler

Du willst im E-Commerce Erfolge feiern? Mit unseren Lösungen unterstützen wir dich als Online-Händler bei den täglichen Herausforderungen des E-Commerce.

E-Commerce-Lösungen entdecken
hb-iconset-rechtsberatung
Rechtsberatung vom Profi

Du hast rechtliche Fragen? Wir beantworten sie. Unsere auf E-Commerce-Recht spezialisierten Anwälte stehen dir bei rechtlichen Fragen gern zur Seite.

Zur Rechtsberatung
hb-iconset-video-audio-1
Mehr Tipps gibt es auf YouTube

Der Händlerbund YouTube-Kanal hält noch viele weitere Informationen und Tipps bereit, um das Thema Online-Handel erfolgreich und rechtssicher zu gestalten.

Praxistipps entdecken