Newsletter-Marketing klingt erstmal harmlos. E-Mail rein, Button klicken, fertig. Aber genau hier wird es teuer. Die Datenschutzbehörde Niedersachsen hat 2023 einer Firma 65.500 Euro Bußgeld aufgebrummt — wegen Newslettern ohne sauberes Opt-In. Das LG München verurteilte ein Unternehmen zu 5.000 Euro Schadensersatz pro betroffener Person. Pro Person.
Und das Schlimmste: Die meisten Verstöße passieren nicht aus böser Absicht. Sondern weil jemand bei der Einrichtung geschlampt hat. Häkchen vorausgewählt. Datenschutzerklärung nicht angepasst. AVV vergessen.
Wir richten seit 2018 Newsletter-Systeme für Kunden in Deutschland, Österreich und der Schweiz ein. Brevo (früher Sendinblue) ist dabei seit Jahren unsere erste Wahl — französischer Anbieter, Server in der EU, deutscher Support. Du sparst dir das ganze US-Cloud-Drama mit Schrems II und Standardvertragsklauseln.
In dieser Anleitung zeige ich dir Schritt für Schritt, wie du einen DSGVO Newsletter mit Brevo aufsetzt, der einer Prüfung standhält. Keine Theorie. Keine schwammigen Empfehlungen. Du klickst genau dort, wo ich klicke. Am Ende hast du ein System, das rechtlich sauber ist und gleichzeitig Anmeldungen einsammelt — ohne dass dir die Datenschutzbehörde die Tür einrennt.
Los geht’s.
Brevo vs Mailchimp vs ActiveCampaign — der ehrliche DSGVO-Vergleich
Mailchimp ist der bekannteste Anbieter. Auch der problematischste. Sitz in den USA, Server in den USA, Mutterkonzern Intuit. Nach dem Schrems-II-Urteil des EuGH ist die Übermittlung personenbezogener Daten in die USA grundsätzlich kritisch. Du brauchst Standardvertragsklauseln, ein Transfer Impact Assessment und solltest deine Kunden explizit darüber informieren. Die bayerische Datenschutzaufsicht hat 2021 bereits ein Bußgeld gegen ein Unternehmen verhängt, das Mailchimp ohne saubere Prüfung nutzte.
ActiveCampaign — gleiches Problem. US-Anbieter, gleiche rechtliche Hürden. Funktional stark, automatisierungstechnisch top. Aber für DACH-Kunden mehr Aufwand bei der Compliance.
Brevo dagegen sitzt in Paris. Die Server stehen in Frankreich und Deutschland. AVV gibt es als fertiges PDF zum Download — direkt aus dem Account. Kein Schrems-II-Theater, keine Transfer Impact Assessments, kein Risiko bei der nächsten Prüfung.
Preislich? Brevo kostet im Free-Plan 0 Euro für 300 E-Mails täglich. Der Starter-Tarif beginnt bei rund 7 Euro im Monat. Mailchimp wird ab der ersten zahlenden Stufe deutlich teurer — und du zahlst dort pro Kontakt, nicht pro versendeter Mail. Heißt: 5.000 Karteileichen kosten dich Geld.
Mein Fazit nach acht Jahren Praxis: Für deutsche, österreichische und Schweizer Unternehmen ist Brevo die pragmatische Wahl. Du sparst Zeit, Geld und juristische Kopfschmerzen.
Brevo-Account einrichten und Domain verifizieren — SPF, DKIM, DMARC
Erstmal das Konto. Geh auf brevo.com und klicke oben rechts auf „Kostenlos registrieren“. Du bekommst einen Bestätigungslink, klickst drauf, fertig. Bis hier dauert das fünf Minuten.
Jetzt der wichtige Teil — die Domain-Authentifizierung. Ohne saubere SPF-, DKIM- und DMARC-Einträge landet dein Newsletter im Spam. Punkt. Gmail und Outlook haben 2024 ihre Anforderungen verschärft. Wer ohne DMARC verschickt, landet bei vielen Empfängern direkt im Junk-Ordner.
Im Brevo-Dashboard gehst du auf „Senders, Domains & Dedicated IPs“ und klickst dann auf „Domains“. Trage deine Versanddomain ein — also zum Beispiel webseiteerstellen.eu. Brevo zeigt dir jetzt drei DNS-Einträge an:
Ein TXT-Record für SPF, der ungefähr so aussieht: v=spf1 include:spf.brevo.com mxa.brevo.com mxb.brevo.com ~all. Zwei CNAME-Einträge für DKIM mit kryptischen Strings wie mail._domainkey. Und einen DMARC-Eintrag auf _dmarc.deinedomain.de mit dem Wert v=DMARC1; p=none; rua=mailto:[email protected].
Diese Einträge musst du bei deinem DNS-Anbieter eintragen. Bei Hostinger findest du das unter „Hosting → Verwalten → Domain → DNS-Zone“. Bei IONOS unter „Domains & SSL → Domain → DNS“. Speichern, 30 Minuten warten, dann zurück zu Brevo und auf „Authentifizieren“ klicken. Wenn alles grün leuchtet — perfekt.
Tipp aus der Praxis: Setze DMARC erst auf p=none, damit du sehen kannst, was passiert. Nach zwei Wochen ohne Probleme stellst du auf p=quarantine um. Das schützt deine Marke vor Phishing.
Double Opt-In richtig konfigurieren — der Knackpunkt
Hier scheitern die meisten. Single Opt-In ist in Deutschland faktisch nicht zulässig — der BGH hat das in mehreren Urteilen klargestellt. Ohne Double Opt-In kannst du im Streitfall nicht beweisen, dass die Person wirklich zugestimmt hat. Und Beweispflicht liegt beim Versender, nicht beim Empfänger. Das ergibt sich direkt aus Art. 7 Abs. 1 DSGVO.
In Brevo aktivierst du das so. Geh auf „Kontakte“ → „Formulare“ → „Neues Formular erstellen“. Wähle den Formulartyp aus, dann scrollst du nach unten zu „Einstellungen“. Dort setzt du den Punkt „Double Opt-In aktivieren“ auf An.
Jetzt kommt der Teil, den die meisten falsch machen. Brevo bietet dir eine Standard-Bestätigungsmail an. Die ist auf Englisch und juristisch dünn. Klick auf „Bestätigungs-E-Mail bearbeiten“ und schreib selbst rein:
„Hallo, du hast dich für unseren Newsletter angemeldet. Bitte bestätige deine Anmeldung mit einem Klick auf den folgenden Link: [Bestätigungslink]. Wenn du dich nicht angemeldet hast, ignoriere diese E-Mail einfach. Es entstehen dir keine Kosten.“
Wichtig: Keine Werbung in der Bestätigungsmail. Kein „Hier sind schon mal 10% Rabatt“. Das hat das OLG München 2017 als unzulässige Werbung gewertet. Die Bestätigungsmail darf nur die Bestätigung enthalten — sonst ist sie selbst schon eine unverlangte Werbenachricht.
Speichere die IP-Adresse, den Zeitstempel und den Bestätigungs-Zeitstempel. Brevo macht das automatisch. Du findest die Daten unter dem jeweiligen Kontakt im Tab „Anmeldedaten“. Diese Logs sind deine Versicherung, falls jemand behauptet, er hätte sich nie angemeldet.
Anmeldeformular DSGVO-konform gestalten
Das Formular auf deiner Website ist die zweite Baustelle. Hier gilt die Regel der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO — du darfst nur abfragen, was du wirklich brauchst.
Für einen Newsletter brauchst du genau eine Pflichtangabe: die E-Mail-Adresse. Vorname kann optional sein, Nachname meistens überflüssig. Geburtsdatum, Adresse, Telefonnummer? Hände weg, außer du hast einen konkreten Grund.
Unter dem Eingabefeld brauchst du eine Checkbox. Nicht vorausgewählt — der EuGH hat im Planet49-Urteil vom Oktober 2019 unmissverständlich klargestellt, dass voreingestellte Häkchen keine wirksame Einwilligung darstellen. Der Text neben der Checkbox lautet ungefähr so:
„Ich möchte den Newsletter von [Firmenname] erhalten und stimme der Verarbeitung meiner E-Mail-Adresse für Marketingzwecke zu. Die Einwilligung kann ich jederzeit per Klick auf den Abmeldelink in jedem Newsletter widerrufen. Weitere Infos in der [Datenschutzerklärung].“
Beachte die drei Pflicht-Elemente: Wer verarbeitet, wofür, und der Hinweis auf den Widerruf. Das ergibt sich direkt aus Art. 13 DSGVO und der Beweislast aus Art. 7.
Den Submit-Button beschriftest du klar — „Newsletter abonnieren“ statt „Absenden“. So weiß die Person eindeutig, wozu sie gerade zustimmt. Auch das ist ein Punkt, den Datenschutzbehörden gerne prüfen.
Datenschutzerklärung anpassen — was wirklich rein muss
Deine Datenschutzerklärung braucht jetzt einen eigenen Abschnitt. Nicht abschreiben aus dem Generator und vergessen — Brevo verlangt explizite Erwähnung als Auftragsverarbeiter.
Folgende Punkte gehören rein:
Erstens den Anbieter. „Wir versenden unseren Newsletter über die Plattform Brevo der Sendinblue SAS, 106 Boulevard Haussmann, 75008 Paris, Frankreich.“
Zweitens die Rechtsgrundlage. „Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 7 Abs. 2 Nr. 3 UWG.“
Drittens den Hinweis auf das Tracking, falls aktiv. „Newsletter enthalten ein Tracking-Pixel, mit dem wir Öffnungs- und Klickraten messen. Diese Auswertung dient der Optimierung unserer Inhalte.“
Viertens die Speicherdauer. „Ihre Daten werden bis zum Widerruf der Einwilligung gespeichert.“
Fünftens das Widerrufsrecht. „Sie können Ihre Einwilligung jederzeit widerrufen, etwa über den Abmeldelink in jeder E-Mail.“
Sechstens der Hinweis auf den AVV. „Mit Brevo wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.“
Wenn deine Datenschutzerklärung das nicht abdeckt, hast du ein Problem. Wir prüfen das bei jedem WordPress-Paket standardmäßig mit.
Auftragsverarbeitungsvertrag mit Brevo abschließen
Der AVV nach Art. 28 DSGVO ist Pflicht. Ohne ihn verarbeitest du Daten illegal — auch wenn alles andere stimmt. Die gute Nachricht: Brevo macht es dir einfach.
Geh in dein Brevo-Konto auf „Senders, Domains & Dedicated IPs“ — oder direkt auf den Punkt „GDPR“ im Hauptmenü. Du findest dort einen Button „Auftragsverarbeitungsvertrag herunterladen“. Lade das PDF runter, lies es einmal durch, dann kommt der wichtige Schritt: Du unterzeichnest digital im Account, oder du sendest die unterschriebene Version per Mail an Brevo zurück.
Speicher das Dokument bei dir lokal ab — am besten in einem Ordner „Datenschutz/AVV“ mit Datum im Dateinamen. Bei einer Prüfung musst du den Vertrag innerhalb weniger Tage vorlegen können.
Ein Detail, das viele übersehen: Wenn sich die Subunternehmer von Brevo ändern, musst du theoretisch informiert werden. Brevo führt eine öffentliche Liste der Sub-Auftragsverarbeiter — die solltest du einmal pro Halbjahr checken.
Tracking und Klickmessung — was erlaubt ist
Heikles Thema. Öffnungsraten, Klickraten, Heatmaps — das alles ist Tracking. Und Tracking braucht eine Rechtsgrundlage.
Die deutsche Datenschutzkonferenz hat 2021 klargestellt: Wenn der Newsletter individuell zugeordnetes Tracking enthält — also wer hat welchen Link geklickt — ist das einwilligungspflichtig. Die Einwilligung muss separat eingeholt werden, oder zumindest klar im Anmeldetext erwähnt sein.
Praktisch heißt das: Erweitere den Text bei deiner Anmelde-Checkbox um einen Halbsatz. „Ich willige außerdem ein, dass meine Öffnungs- und Klickdaten zur Optimierung der Inhalte ausgewertet werden.“
Im Brevo-Dashboard kannst du das Tracking pro Kampagne ein- und ausschalten. Findest du beim Erstellen einer Kampagne unter „Erweiterte Einstellungen“. Wenn du auf Nummer sicher gehen willst, deaktivierst du es. Dann verzichtest du auf wertvolle Daten — aber bist hundertprozentig sauber.
Ehrliche Empfehlung: Hol dir die Einwilligung beim Anmeldeprozess sauber ein und tracke dann mit gutem Gewissen. Du brauchst die Daten, um besser zu werden.
Häufige Fragen zum DSGVO Newsletter mit Brevo
Reicht ein Single Opt-In wirklich nicht?
Nein. Praktisch nicht. Die Beweislast für die Einwilligung liegt beim Versender. Ohne Bestätigungsmail kannst du nicht nachweisen, dass die E-Mail-Adresse wirklich vom Inhaber eingetragen wurde. Bots, Tippfehler, böswillige Anmeldungen — alles möglich.
Wie lange darf ich inaktive Kontakte speichern?
Solange die Einwilligung aktiv ist. Praxis: Wer 24 Monate keinen Newsletter geöffnet hat, sollte einmal per E-Mail nach erneuter Bestätigung gefragt werden. Reagiert die Person nicht, löschst du.
Brauche ich einen Datenschutzbeauftragten für Newsletter?
Nicht zwingend. Die Pflicht greift erst ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten. Für einen Solo-Unternehmer mit Newsletter ist kein DSB nötig.
Was kostet ein Verstoß im schlimmsten Fall?
Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes — was höher ist. Realistische Bußgelder für KMU liegen zwischen 2.000 und 50.000 Euro. Plus Abmahnkosten von oft 500 bis 1.500 Euro pro Fall.
Darf ich bestehende Kundenadressen einfach in den Newsletter übernehmen?
Eingeschränkt ja — wenn die Voraussetzungen aus § 7 Abs. 3 UWG erfüllt sind. Bestandskunde, ähnliche Produkte, klarer Abmeldehinweis bei jeder Mail, kein Widerspruch. Im Zweifel hol dir trotzdem aktiv die Einwilligung ein.
Brauche ich für einen B2B-Newsletter auch Double Opt-In?
Ja. Auch geschäftliche E-Mail-Adressen sind personenbezogene Daten, sobald sie einer natürlichen Person zugeordnet werden können. [email protected] ist eine Grauzone, [email protected] ganz klar geschützt.
Was passiert, wenn jemand sich abmeldet?
Du musst die Abmeldung sofort umsetzen — Brevo macht das automatisch über den Abmeldelink. Die E-Mail-Adresse darf in einer Sperrliste verbleiben, damit du die Person nicht aus Versehen wieder anschreibst. Das ist sogar empfohlen.
Newsletter-Setup buchen — wir machen das für dich
Du willst keine Zeit mit Kleingedrucktem verbringen? Verstehe ich. Wir richten dir den kompletten DSGVO Newsletter mit Brevo ein — von der Domain-Authentifizierung über das Anmeldeformular bis zur Datenschutzerklärung. Inklusive AVV, technischer Integration in WordPress und Anbindung an deine SEO-Strategie.
Dauer: 3 Werktage. Festpreis: 449 Euro netto.
Du bekommst ein System, das rechtlich sauber ist und gleichzeitig konvertiert. Anmeldungen statt Bußgelder.
Schreib uns kurz worum es geht und wir melden uns am gleichen Tag. Mehr Infos auch unter Datenschutz und in unseren WordPress-Paketen.