DSGVO: Was Marketer wissen müssen - ohne juristisches Studium
TL;DR - die Kurzfassung
Du schickst einen Newsletter. Du trackst Websitebesucher. Du hast Kontakte im CRM. Du schaltest Retargeting-Ads. All das berührt die DSGVO. Nicht irgendwie - direkt. Wer die Regeln nicht kennt, riskiert nicht nur Bußgelder, sondern auch Abmahnungen von Wettbewerbern. Das lohnt sich zu verstehen.
Was die DSGVO ist
Die DSGVO (Verordnung EU 2016/679) ist eine EU-weite Datenschutzverordnung, die seit dem 25. Mai 2018 in allen EU-Mitgliedsstaaten direkt gilt. Sie regelt, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen.
Personenbezogene Daten sind alle Informationen, die sich einer natürlichen Person zuordnen lassen - Name, E-Mail-Adresse, IP-Adresse, Standortdaten, Cookie-IDs. Vollständig anonymisierte Daten fallen nicht unter die DSGVO. Pseudonymisierte Daten - z.B. gekürzte IP-Adressen - gelten weiterhin als personenbezogen solange eine Zuordnung theoretisch möglich ist.
Die Kernprinzipien (Art. 5 DSGVO)
- Datensparsamkeit: Nur Daten erheben, die für den definierten Zweck tatsächlich notwendig sind
- Zweckbindung: Daten dürfen nur für den Zweck genutzt werden, für den sie erhoben wurden
- Transparenz: Betroffene müssen klar und verständlich informiert werden, was mit ihren Daten passiert
- Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie der Zweck das erfordert
- Integrität und Vertraulichkeit: Daten müssen technisch und organisatorisch gegen Zugriff Dritter geschützt sein
- Rechenschaftspflicht: Unternehmen müssen nachweisen können, dass sie die DSGVO einhalten - nicht nur behaupten
DSGVO im E-Mail-Marketing
Für E-Mail-Marketing gilt: Ohne Einwilligung keine Marketing-Mail. Die Einwilligung muss freiwillig, informiert, granular und jederzeit widerrufbar sein. Vorausgefüllte Checkboxen sind unzulässig.
Double-Opt-in ist durch die DSGVO selbst nicht zwingend vorgeschrieben - aber aus Nachweisgründen und nach UWG-Rechtsprechung dringend empfohlen. Wer im Streitfall beweisen muss, dass eine gültige Einwilligung vorlag, hat mit Double-Opt-in die sauberste Dokumentation.
Pflichtbestandteile jeder Marketing-Mail: Abmeldelink, Impressum, klare Absenderkennung.
DSGVO und Cookies/Tracking
Nicht-technisch notwendige Cookies (z.B. Analyse-Cookies, Marketing-Pixel, Retargeting) erfordern eine aktive Einwilligung des Nutzers. Das ist in Deutschland durch das TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz) geregelt, das die DSGVO ergänzt.
Eine Consent Management Platform (CMP) ist der technische Standard für die Einholung und Dokumentation dieser Einwilligungen. Ohne CMP ist die Einwilligung nicht dokumentierbar - und damit angreifbar.
Google Analytics und Datentransfer
Die Nutzung von Google Analytics (insbesondere Universal Analytics, aber auch GA4 ohne Konfiguration) ist in Deutschland rechtlich problematisch: Daten werden in die USA transferiert, was nach DSGVO ohne ausreichende Schutzgarantien nicht zulässig ist. Datenschutzbehörden mehrerer EU-Länder haben Google Analytics als DSGVO-widrig eingestuft.
Lösungsansätze: Server-seitiges Tracking, IP-Anonymisierung, EU-Server-Konfiguration oder Wechsel auf datenschutzkonforme Alternativen (z.B. Matomo, Plausible).
Bußgelder und Abmahnrisiken
Bußgelder nach Art. 83 DSGVO: Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes - je nachdem was höher ist. In der Praxis sind Behörden-Bußgelder für KMUs seltener als Abmahnungen durch Wettbewerber.
Typische Abmahngründe im Marketing: fehlende Cookie-Einwilligung, E-Mail-Marketing ohne gültige Einwilligung, fehlende Datenschutzerklärung, keine Abmeldemöglichkeit in Newslettern.
DSGVO vs. BFSG: nicht verwechseln
Das BFSG (Barrierefreiheitsstärkungsgesetz) ist ein anderes Gesetz. Es regelt seit Juni 2025 die Barrierefreiheit digitaler Produkte und Websites - nicht Datenschutz. Die Barrierefreiheit hat eigene Anforderungen, die unabhängig von der DSGVO erfüllt werden müssen.
Häufig gestellte Fragen zu
DSGVO
Die DSGVO regelt den allgemeinen Umgang mit personenbezogenen Daten in der EU. Das TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz) ergänzt die DSGVO für den spezifischen Bereich Cookies und Tracking auf Websites. Für Marketer bedeutet das: DSGVO für E-Mail und CRM, TTDSG für Cookie-Consent auf der Website.
Nein - die DSGVO selbst schreibt kein Double-Opt-in vor. Sie verlangt nachweisbare Einwilligung. Double-Opt-in ist die sicherste Methode den Nachweis zu führen und gilt nach UWG-Rechtsprechung als Best Practice. Für E-Mail-Marketing in Deutschland wird es dringend empfohlen.
Google Analytics (insbesondere ohne Datenschutzkonfiguration) überträgt Daten in die USA. Mehrere europäische Datenschutzbehörden haben das als DSGVO-widrig eingestuft. Lösung: Server-seitiges Tracking, korrekte Konfiguration, IP-Anonymisierung, oder Wechsel auf eine EU-Datenschutzkonforme Alternative.
Alle Informationen, die eine natürliche Person direkt oder indirekt identifizierbar machen - Name, E-Mail, IP-Adresse, Cookie-IDs, Standortdaten, Kundennummern. Vollständig anonymisierte Daten fallen nicht unter die DSGVO. Pseudonymisierte Daten (z.B. gekürzte IPs) gelten noch als personenbezogen.
Bußgelder nach Art. 83 DSGVO können bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen. Für KMUs im Alltag häufiger: Abmahnungen durch Wettbewerber oder Verbraucherschutzverbände wegen fehlender Cookie-Einwilligung oder E-Mail-Marketing-Verstößen.
Nicht zwingend - aber es gibt Ausnahmen. Ein Datenschutzbeauftragter ist vorgeschrieben wenn mehr als 20 Personen regelmäßig mit personenbezogenen Daten arbeiten oder wenn systematisch besondere Datenkategorien verarbeitet werden. Für kleinere Unternehmen empfiehlt sich zumindest eine externe Datenschutzberatung.
.jpg)