DSGVO Marketing 2026: Newsletter, Werbung, Profilbildung

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026· Kategorie: DSGVO

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

6 Marketing-Bereiche: Newsletter, Cookies, Tracking, Profile, Re-Targeting, Personalisierung
Newsletter: § 7 UWG + Art. 6 lit. a DSGVO — Double Opt-In Pflicht
Cookies: § 25 TDDDG + EuGH Planet49 — granular, vor Setzen
Re-Targeting: Art. 22 DSGVO bei automatisierter Profilbildung beachten
Bußgeldrisiko: Newsletter-Verstöße bei Aufsichts-Stichproben hochfrequent

Hauptartikel: Hauptartikel: Cookie-Banner 2026 — der vollständige Pillar-Artikel zum Thema.

1. Newsletter-Einwilligung Double-Opt-In

Pflicht: aktive Einwilligung + Double-Opt-In + Widerruf so einfach wie Anmeldung. Logging der Einwilligung mit IP, Zeitpunkt, Form.

2. Cookies + Tracking-Pixel

§ 25 TDDDG: Einwilligung VOR Tag-Load. Equal-Choice. Bußgeld-Beispiele: Vodafone 1,3 Mio (2024), Cosmos Direkt 45k (2024).

3. Profilbildung (Art. 22)

Bei rein automatisierter Werbe-Personalisierung: Art. 22 + Einwilligung. EuGH C-446/21: sensible Daten dürfen nicht hergeleitet werden.

4. Re-Targeting (Pixel + Lookalike)

Meta Pixel, Google Ads-Tag = Drittland-Daten. Pflicht: SCC + TIA + Einwilligung.

5. E-Mail-Marketing-Daten teilen

Mailchimp Tracking-Daten, Brevo Click-Tracking — alles AVV-pflichtig + Einwilligung extra.

6. Custom Audiences von Bestandskunden

Hash-Upload nach Meta/Google: erfordert Einwilligung der Bestandskunden für Werbe-Kontext.

Zusammenfassung

Kernpunkte dieses Artikels:

DSGVO-konformes Marketing ruht auf sechs Säulen: Double-Opt-In-Newsletter, § 25 TDDDG für Cookies und Pixel, Art. 22 DSGVO bei Profiling, Drittlands-Safeguards für Retargeting, AVV nach Art. 28 für E-Mail-Tools, frische Einwilligung für Custom Audiences.
Newsletter-Einwilligung braucht Double-Opt-In mit Doku der IP-Adresse und des Zeitstempels — BGH-Standard seit Jahren.
Hash-Upload zu Meta oder Google erfordert frische Einwilligung der Bestandskunden für den Werbe-Kontext — die ursprüngliche Kaufzustimmung deckt das nicht.
Sicheres Baseline-Setup: Double-Opt-In + Engagement-only-Tracking ohne Personalisierung — alles darüber hinaus erfordert juristische Prüfung.

Dokumentieren Sie jede Einwilligung separat nach Zweck (Newsletter, Tracking, Custom Audience) — das ist die Versicherung gegen Behörden- und Verbraucherzentralen-Anfragen.

Häufig gestellte Fragen

Reicht 'berechtigtes Interesse' für Werbung?

Bei Bestandskunden minimal (Art. 6 lit. f + UWG § 7 Abs. 3). Bei Profilbildung: nein.

Was ist sicher rechtlich?

Newsletter mit Double-Opt-In + reines Engagement-Tracking (ohne Personalisierung).

Quellen

Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
EDPB Jahresbericht 2023 (Executive Summary, deutsch) (Stand: 08.2024)

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.