Mailinglisten und Newsletter im Datenschutz

Eine Mailingliste ist ein technisches Verfahren, mit dem eine einzelne E-Mail automatisiert an eine definierte Gruppe von Empfängerinnen und Empfängern verteilt wird. Die Sammelbezeichnung umfasst sehr unterschiedliche Erscheinungsformen: vom periodisch versandten Newsletter mit redaktionellem Inhalt über die wissenschaftliche Diskussionsliste mit „Reply-to-all"-Funktionalität bis hin zu automatisch aus dem Identitätsmanagement gespeisten Beschäftigten- und Studierendenverteilern.

Datenschutzrechtlich gemeinsam ist allen Mailinglisten, dass die E-Mail-Adresse als personenbezogenes Datum nach Art. 4 Nr. 1 DSGVO verarbeitet wird – auch dann, wenn sie funktional aufgebaut ist (vorname.nachname@…); der Personenbezug folgt regelmäßig aus der Verknüpfung mit dem Empfangsverhalten. Hinzu treten häufig weitere Daten: Name, Funktionsbezeichnung, Sprachpräferenz, IP-Adresse beim Eintragungsvorgang, Klick- und Öffnungsstatistiken bei extern gehosteten Anbietern.

Welche Rechtsgrundlage trägt, hängt vom Typ der Liste ab. Diese Seite unterscheidet vier Typen (Abschnitt 02), zeigt das datenschutzrechtlich erwartete Eintragungsverfahren (Abschnitt 03 bis 05), erläutert die Anforderungen an den Abmelde-Link (Abschnitt 07) und beschreibt zwei Sonderfälle: den Beschäftigten-Newsletter mit automatischer Eintragung (Abschnitt 08) und den Kooperations-Newsletter mit gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO (Abschnitt 09).

Art. 4 Nr. 1, Art. 6, Art. 7, Art. 13 DSGVO; § 7 UWG

Die Wahl der Rechtsgrundlage ist der erste und folgenreichste Schritt. Sie bestimmt, ob eine Eintragung mit Einwilligung erforderlich ist, ob eine automatische Aufnahme aus dem Personalbestand zulässig ist, ob die Betroffenen widersprechen oder nur widerrufen können, und welche Informationspflichten gelten.

Diese Typeneinteilung ist kein abschließendes Schema – Mischformen kommen vor und werden in den Abschnitten 08 und 09 vertieft. Praktisch entscheidend ist die Klärung vorab: Welche Personengruppe wird angeschrieben, mit welchem Inhalt, in welchem Verhältnis zum Aufgabenkanon der Hochschule – und wer hat über Mittel und Zwecke der Verarbeitung entschieden?

Art. 4 Nr. 1, Art. 6 Abs. 1 lit. a, lit. e, Art. 7, Art. 21, Art. 88 DSGVO; § 3 HSG LSA; § 4 DSAG LSA; § 50 BeamtStG i. V. m. Personalaktenvorschriften LBG LSA; § 69 Nr. 1 PersVG LSA

Bei einwilligungsbasierten Newslettern ist das Double-Opt-In- Verfahren der praktische Standard. Es trennt die Eingabe der E-Mail-Adresse vom Wirksamwerden der Einwilligung und schützt damit vor zwei Risiken: einer fremden Eintragung ohne Wissen des Adressinhabers (Catch-Mail-Eintragungen) und einem Beweisproblem im Streitfall.

Die Beweislast für die Einwilligung trägt nach Art. 7 Abs. 1 DSGVO der Verantwortliche – er muss nachweisen können, dass die betroffene Person eingewilligt hat. Im wettbewerbsrechtlichen Kontext hat der BGH im Urteil vom 10. Februar 2011 (Az. I ZR 164/09 – „Double-opt-in-Verfahren") differenziert: Für die Einwilligung in E-Mail-Werbung ist das Double-Opt-In nach Anschluss an die ältere Entscheidung „E-Mail-Werbung I" (BGH, Urteil vom 11.03.2004, I ZR 81/01) ein geeigneter Nachweis, weil es sicherstellt, dass keine Falscheingaben den Versand auslösen. Für die Einwilligung in Telefonwerbung – über die im Urteil 2011 unmittelbar zu entscheiden war – sah der BGH das Verfahren dagegen als wenig beweiskräftig an, weil aus der Bestätigung einer E-Mail-Adresse nicht folgt, dass der Inhaber der angegebenen Telefonnummer in Werbeanrufe eingewilligt hat.

Übertragen auf die Newsletter-Praxis bedeutet das: Das Double-Opt-In-Verfahren ist bei E-Mail-Newslettern ein in der Rechtsprechung anerkannter Nachweisweg, ersetzt aber keine sorgfältige Dokumentation. Für andere Werbeformen (Telefon, SMS) ist es regelmäßig nicht ausreichend.

Die Bestätigungs-E-Mail selbst sollte sich auf den Bestätigungslink, einen kurzen Hinweis auf die Datenschutzerklärung sowie einen Ignorier-Hinweis beschränken. Bereits im Urteil I ZR 164/09 hat der BGH angedeutet, dass werbliche Zusätze in einer Bestätigungs-E-Mail diese selbst zur unzulässigen Werbung im Sinne von § 7 UWG machen können – eine Linie, die in der Folgerechtsprechung der Instanzgerichte fortgeführt wurde.

Art. 6 Abs. 1 lit. a, Art. 7 Abs. 1 DSGVO; ErwGr 32 DSGVO; BGH, Urteil vom 11.03.2004, I ZR 81/01 („E-Mail-Werbung I"); BGH, Urteil vom 10.02.2011, I ZR 164/09 („Double-opt-in-Verfahren"); § 7 UWG

Nach Art. 13 Abs. 1 und 2 DSGVO sind die Betroffenen zum Zeitpunkt der Datenerhebung über die wesentlichen Punkte der Verarbeitung zu informieren – also unmittelbar im Eintragungsformular oder in einer klar dort verlinkten Datenschutzhinweis-Seite. Das Eintragungsformular ist nicht der Ort für eine vollständige Datenschutzerklärung; es ist aber der Ort, an dem der Hinweis auf die Datenschutzerklärung wahrnehmbar und ohne Hindernis erreichbar sein muss.

Bei automatischer Aufnahme aus dem IDM oder beim Beschäftigten-Newsletter ist die Informationspflicht regelmäßig in den allgemeinen Datenschutzhinweisen der Hochschule verortet. Wer dort den Newsletter nicht ausweist, schafft eine Informationslücke. Die Information ist – ähnlich wie bei der Zweckänderung – aktiv zu erfüllen: Verlinkung im Intranet, Hinweis auf der Login-Seite oder Bekanntmachung im ersten Newsletter selbst. Welche Form gewählt wird, ist zweckgebunden zu wählen.

Art. 13 Abs. 1 und 2 DSGVO; ErwGr 60 DSGVO; § 4 DSAG LSA

Die Einwilligung ist nach Art. 4 Nr. 11 DSGVO „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung". Art. 7 DSGVO ergänzt formale Anforderungen, ErwGr 32, 42 und 43 DSGVO konkretisieren sie. Aus diesen Vorgaben ergeben sich vier Prüfschritte.

Die Widerruflichkeit ist Bestandteil der Einwilligung selbst (Art. 7 Abs. 3 DSGVO). Auf das Widerrufsrecht ist vor der Einwilligung hinzuweisen, der Widerruf muss „so einfach wie die Erteilung" sein. Praktisch bedeutet das: Wer den Newsletter über ein Online-Formular abonniert hat, muss ihn auch über ein Online-Formular oder einen Klick auf den Abmelde-Link wieder abbestellen können – nicht erst nach postalischer Anfrage oder telefonischer Identifikation.

Die Hochschule trägt die Beweislast dafür, dass die Einwilligung wirksam erteilt wurde (Art. 7 Abs. 1 DSGVO). Praktisch erfüllt das Double-Opt-In diese Beweislast, wenn der Anmeldevorgang, die Versendung der Bestätigungs-E-Mail und der anschließende Bestätigungsklick mit Zeitstempel dokumentiert sind. Welche weiteren Metadaten – etwa die IP-Adresse beim Eintragungsvorgang oder eine technische Verlinkung von Bestätigungslink und Datensatz – sinnvoll sind, ist eine Frage der Risiko- und Erforderlichkeitsabwägung im Einzelfall.

Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a, Art. 7 DSGVO; ErwGr 32, 42, 43 DSGVO; EuGH, Urteil vom 01.10.2019, C-673/17 (Planet49)

Eine Einwilligung ist nicht in jeder Konstellation der einzige Weg. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) kommt theoretisch auch für Mailinglisten in Betracht. Der EuGH hat in C-621/22 KNLTB (04.10.2024) den Maßstab präzisiert: Erforderlich ist ein dreistufiger Test – berechtigtes Interesse, Erforderlichkeit der Verarbeitung, Abwägung mit den Rechten und Erwartungen der Betroffenen. Bei reinen Werbe-Newslettern an Personen außerhalb eines Bestandsverhältnisses ist diese Abwägung regelmäßig schwer zu gewinnen.

Daneben steht das wettbewerbsrechtliche Filterrecht aus § 7 UWG. Die Norm gilt unmittelbar nur für Wettbewerbshandlungen unter Marktteilnehmenden. Sie kann aber im Einzelfall als wertungsrelevanter Orientierungspunkt für die Erwartungen der Betroffenen herangezogen werden – nicht als allgemeine Zusatznorm des Datenschutzrechts, sondern als Anhaltspunkt dafür, was bei E-Mail-Werbung als zulässig gilt. § 7 Abs. 2 Nr. 3 UWG verbietet E-Mail-Werbung grundsätzlich ohne ausdrückliche Einwilligung; § 7 Abs. 3 UWG kennt eine eng umrissene Bestandskunden-Ausnahme.

Für Hochschulen ist die Bestandskunden-Ausnahme regelmäßig nicht einschlägig: Hochschulleistungen werden überwiegend nicht „verkauft", und die meisten Newsletter zielen auf eine breitere als die unmittelbar leistungsbezogene Zielgruppe. Mögliche Anwendungsfälle gibt es in Randbereichen – kostenpflichtige wissenschaftliche Weiterbildung, der Universitätsverlag, ein hochschulnahes Auftragsforschungs- Spin-off mit gewerblichem Charakter. Auch hier ist die enge Auslegung zu beachten.

Mein praktischer Eindruck aus der Beratung: Wer Hochschulnewsletter an Externe verschickt, sollte sich nicht auf Art. 6 Abs. 1 lit. f DSGVO als alleinige Stütze verlassen. Die Einwilligungslösung ist nicht nur rechtssicherer, sondern auch politisch tragfähig – Aufsichtsbehörden und Beschwerden gehen regelmäßig in dieselbe Richtung.

Art. 6 Abs. 1 lit. f DSGVO; ErwGr 47 DSGVO; § 7 Abs. 2 Nr. 3, Abs. 3 UWG; EuGH, Urteil vom 04.10.2024, C-621/22 (KNLTB)

Bei einwilligungsbasierten Newslettern und allgemein abonnierbaren Listen ist der Abmelde-Link keine freiwillige Komfortfunktion, sondern folgt unmittelbar aus Art. 7 Abs. 3 DSGVO (Widerruf der Einwilligung muss „so einfach wie die Erteilung" sein) und wird bei werblichen Inhalten ergänzt durch § 7 Abs. 3 Nr. 4 UWG (Hinweis auf Widerspruchsrecht in jeder Werbe-E-Mail). Praktisch bedeutet das: ein klar sichtbarer Link in jeder Newsletter-E-Mail, der ohne erneutes Login die Abmeldung auslöst.

Bei internen Pflichtverteilern, dienstlichen Rundschreiben oder geschlossenen Diskussionslisten greifen keine klassischen Newsletter-Abmeldelinks, sondern organisations- oder rollenbasierte Lösungen: Widerspruch nach Art. 21 Abs. 1 DSGVO gegen nicht zwingend dienstliche Inhalte, Rollentrennung, ggf. Listen-Mitgliedschaft an Funktion oder Status koppeln. Die Auswahl folgt dem Listentyp aus Abschnitt 02.

Die häufigsten Fehler in der Praxis sind: Abmeldung erst nach Login, Pflicht zur Eingabe der vollständigen E-Mail-Adresse („wer hat sich nicht selbst eingetragen, kennt die Adresse vielleicht nicht genau"), Begründungspflicht, Verzögerung der Wirksamkeit um mehrere Tage, oder ein „Vorerst-Pause"-Modell, das nach 30 Tagen automatisch wieder aktiviert wird. Solche Konstruktionen sind datenschutz- und wettbewerbsrechtlich regelmäßig nicht tragfähig.

Art. 7 Abs. 3 Satz 1 (Widerruflichkeit), Satz 2 (Wirkung ex nunc) DSGVO; Art. 21 Abs. 1 DSGVO; § 7 Abs. 3 Nr. 4 UWG; RFC 8058 (One-Click List-Unsubscribe); Sender Guidelines Google/Yahoo (02/2024)

Personalnewsletter, Hochschul-Intranetbenachrichtigungen, Leitungsmemos und Veränderungsmitteilungen werden in der Regel ohne Einwilligung versandt – die Aufnahme in den Verteiler erfolgt automatisch durch das Identitätsmanagement (IDM) auf Basis der Beschäftigungs- verhältnisse. Das ist datenschutzrechtlich zulässig, hat aber klare Grenzen.

Aus meiner Praxis heraus zeigen sich drei wiederkehrende Punkte: Die inhaltliche Trennung zwischen dienstlich erforderlichen Mitteilungen und freiwillig bezogenen Inhalten sollte wahrnehmbar sein – etwa durch zwei separate Newsletter oder durch klar gekennzeichnete Rubriken. Für die nicht zwingend dienstlichen Inhalte ist ein Widerspruchsrecht (Art. 21 Abs. 1 DSGVO) bzw. eine Widerrufsmöglichkeit beim freiwilligen Bezug vorzusehen. Und die Mitbestimmung wird besser früh eingebunden als nach Konfiguration des Versandsystems – Nachjustieren kostet erfahrungsgemäß mehr Zeit als das saubere Vorabverfahren.

Tracking-Funktionen verdienen in dieser Konstellation eine eigene Prüfung: Öffnungsraten, Klick-Statistiken oder Verweildaueranalysen können beim Beschäftigten-Newsletter rasch zur Verhaltens- oder Leistungsüberwachung im Sinne von § 69 Nr. 2 PersVG LSA werden – mit entsprechender Mitbestimmungspflicht und einem strengen datenschutzrechtlichen Erforderlichkeitsmaßstab.

Art. 6 Abs. 1 lit. b, lit. e, Art. 21 Abs. 1, Art. 88 DSGVO; § 50 BeamtStG i. V. m. Personalaktenvorschriften LBG LSA; § 69 Nr. 1 und Nr. 2 PersVG LSA; § 87 Abs. 1 Nr. 1 und Nr. 6 BetrVG (bei privatrechtlichen Tochtergesellschaften)

Wo zwei oder mehr Stellen gemeinsam über Mittel und Zwecke einer Verarbeitung entscheiden, sind sie nach Art. 26 DSGVO „gemeinsam Verantwortliche". Das gilt auch für gemeinsame Newsletter aus Forschungsprojekten, aus Kooperationen mit kommunalen Partnern oder aus interuniversitären Verbünden. Die typische Konstellation: Ein Newsletter wird im Namen mehrerer Beteiligter versandt, redaktionelle Beiträge stammen von beiden Seiten, beide werben um Bezugspersonen, beide pflegen ihre Verteilerteile.

Praktisch wichtig ist die Abgrenzung zur reinen Auftragsverarbeitung: Wer einen externen Dienstleister mit dem Versand eines eigenen Newsletters beauftragt, bleibt allein verantwortlich – Art. 28 DSGVO mit AVV. Wer dagegen mit einem Kooperationspartner gemeinsam redaktionell entscheidet, wer welche Inhalte aufnimmt und an welche Zielgruppe der gemeinsame Versand geht, ist mit ihm gemeinsam verantwortlich – Art. 26 DSGVO mit Vereinbarung. Die Zwischenform „kombinierter Newsletter mit geteilter Verteilerpflege" ist nach meiner Erfahrung überwiegend der Art. 26-Konstellation zuzuordnen, weil beide Seiten an der Zweck- und Mittelentscheidung beteiligt sind.

Vertiefende Hinweise zu den Pflichten gemeinsam Verantwortlicher und zur Abgrenzung zur Auftragsverarbeitung finden sich auf der Themenseite zur gemeinsamen Verantwortlichkeit sowie zur AVV-Konstellation auf der Themenseite zur Auftragsverarbeitung.

Art. 26, Art. 28 DSGVO; ErwGr 79 DSGVO; EuGH, Urteil vom 05.06.2018, C-210/16 (Wirtschaftsakademie); EuGH, Urteil vom 29.07.2019, C-40/17 (Fashion ID)

Mailinglisten lassen sich auf zwei Wegen betreiben: im Eigenbetrieb mit hochschuleigener Software (Mailman, Sympa, Listmonk) oder über einen externen Anbieter (Mailchimp, Brevo, CleverReach, MailerLite, SendGrid). Der Unterschied ist datenschutzrechtlich erheblich.

Bei Tracking-Funktionen ist genauer hinzuschauen: Öffnungs-Tracking-Pixel und individualisierte Klick-Tracking-URLs sind technisch typisch nicht für die Bereitstellung des Newsletters „unbedingt erforderlich" im Sinne von § 25 Abs. 2 Nr. 2 TDDDG. Wer sie einsetzt, ist regelmäßig auf eine einwilligungsbasierte Lösung angewiesen – idealerweise im Eintragungsformular separat ausgewiesen. Bei der ausschließlich an dienstliche Beschäftigte versandten Personalmail ist die Erforderlichkeit nochmals enger zu prüfen.

Vertiefend zu Auftragsverarbeitung: Themenseite Auftragsverarbeitung; zum Drittlandtransfer: Themenseite Drittlandstransfer.

Art. 28, Art. 30, Art. 44 ff. DSGVO; § 25 Abs. 2 Nr. 2 TDDDG; EuGH, Urteil vom 16.07.2020, C-311/18 (Schrems II)

Art. 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei Mailinglisten zielen die Maßnahmen auf vier wiederkehrende Risiken: unbefugte Offenlegung der Empfängerliste, fremde Eintragungen, Reply-to-all-Pannen und Tracking-Exzess.

Vertiefend zur strukturierten TOM-Bewertung nach dem Standard-Datenschutzmodell: Themenseite Technisch-organisatorische Maßnahmen mit interaktivem TOM-Explorer für fünf Hochschul-Szenarien.

Art. 32 DSGVO; Standard-Datenschutzmodell (SDM) v3.1a der DSK; BSI IT-Grundschutz, insb. Bausteine APP.5.3 (Allgemeiner E-Mail-Client und -Server) und ORP.4 (Identitäts- und Berechtigungsmanagement)

Die folgenden anonymisierten Fallgruppen veranschaulichen typische Konstellationen in der hochschulnahen Beratung. Sie ersetzen keine Einzelfallprüfung; Sachverhaltsmerkmale, die in der Realität auftreten, können die Bewertung verschieben.

Aus Beratungserfahrung lassen sich zehn wiederkehrende Schwachstellen benennen, die in der Praxis am häufigsten zu Beschwerden, Aufsichtsverfahren oder internen Eskalationen führen.

1. Single-Opt-In statt Double-Opt-In: Adresse wird ohne Bestätigung in den Verteiler aufgenommen; die Beweislast nach Art. 7 Abs. 1 DSGVO ist im Streitfall regelmäßig nicht erfüllbar.
2. Vorausgewählte Checkbox bei der Eintragung: Nach EuGH C-673/17 Planet49 ohne aktiven Klick keine wirksame Einwilligung.
3. Sammel-Einwilligung ohne Granularität: Eine einzige Checkbox für mehrere thematisch unterschiedliche Newsletter erfüllt das Bestimmtheitsgebot nicht.
4. Bestätigungs-E-Mail wird zur Werbung umfunktioniert: Die E-Mail mit dem Bestätigungslink sollte sich auf den Bestätigungslink, einen kurzen Datenschutz-Hinweis und einen Ignorier-Hinweis beschränken. Werbliche Zusätze können die Bestätigungs-E-Mail selbst zur unzulässigen Werbung im Sinne von § 7 UWG machen (vgl. BGH I ZR 164/09).
5. Abmelde-Link fehlt, ist defekt oder zu hochschwellig: Login-Pflicht, Begründungspflicht oder mehrtägige Verzögerung sind nicht tragfähig (Art. 7 Abs. 3 DSGVO).
6. Kein Auftragsverarbeitungsvertrag mit dem externen Anbieter: Verstoß gegen Art. 28 Abs. 3 DSGVO; bei US-Anbietern kommt der fehlende Drittland-Schutz nach Kapitel V DSGVO hinzu.
7. Tracking-Pixel ohne Einwilligung: Öffnungs-Tracking ist regelmäßig nicht „unbedingt erforderlich" im Sinne von § 25 Abs. 2 Nr. 2 TDDDG; ohne Einwilligung nicht zulässig.
8. Beschäftigten-Newsletter ohne Mitbestimmung: Einführung oder wesentliche Erweiterung ohne Beteiligung des Personalrats nach § 69 Nr. 1 PersVG LSA ist rechtswidrig und kann Untersagungsverfügungen auslösen.
9. Kooperationsnewsletter ohne Art. 26-Vereinbarung: Beide Stellen bleiben gemeinsam verantwortlich, die Aufgabenverteilung ist aber nicht dokumentiert; Konflikte treten regelmäßig erst im Auskunftsersuchen oder bei Beendigung der Kooperation auf.
10. Listen-Archive im offenen Web: Mailman-Archive mit Klarnamen und Diskussionsverläufen sind suchmaschinenindexiert; das ist regelmäßig weder erforderlich noch von den Betroffenen erwartet (Art. 5 Abs. 1 lit. c DSGVO).

Eine abschließende Bewertung, ob konkrete Verstöße vorliegen, obliegt der zuständigen Aufsichtsbehörde.