Inhaltsverzeichnis

    Ein Newsletter ist schnell eingerichtet. Eine Eingabemaske, ein Anmeldebutton, fertig.

    Was dahinter steckt, ist komplizierter — und wird unterschätzt. Nicht weil das Newsletter-Recht besonders exotisch wäre, sondern weil es in Österreich spezifische Pflichten gibt, die in deutschen Ratgeberartikeln schlicht nicht vorkommen. Die ECG-Sperrliste. Die mediengesetzliche Impressumspflicht direkt im E-Mail-Körper. Das Double-Opt-in als datenschutzrechtliche Pflicht — nicht nur als Beweismittel.

    Wer sich beim Thema Newsletter ausschließlich auf deutschsprachige Quellen aus Deutschland verlässt, baut in Österreich mit hoher Wahrscheinlichkeit etwas, das rechtlich nicht hält — ähnlich wie bei der Cookie-Banner-Pflicht, wo nationale Auslegungsunterschiede existieren.

    Dieser Artikel erklärt, was hierzulande wirklich gilt — und wie ein rechtskonformer Anmeldeprozess in der Praxis aussieht.

    Was das Gesetz eigentlich regelt

    Beim Newsletter-Versand greifen zwei Regelwerke gleichzeitig.

    Die DSGVO bestimmt, ob und wie personenbezogene Daten — also E-Mail-Adressen — verarbeitet werden dürfen. Da es sich beim Newsletter-Versand um Direktmarketing handelt, kommt als Rechtsgrundlage in der Praxis fast ausschließlich die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Betracht. Diese Einwilligung muss freiwillig, informiert, unmissverständlich und aktiv erfolgen. Und: Sie müssen sie im Streitfall nachweisen können.

    In Österreich kommt das Telekommunikationsgesetz 2021 (TKG 2021) dazu. § 174 Abs. 3 TKG 2021 verbietet den Versand von Werbe-E-Mails ohne vorherige Einwilligung. Das gilt für Neukontakte ohne Wenn und Aber — B2B wie B2C, unabhängig von der Unternehmensgröße. Das Empfängerland-Prinzip ist dabei ausschlaggebend: Sobald eine Werbe-Mail ein Gerät in Österreich erreicht, gilt österreichisches Recht.

    Was der EuGH 2025 klargestellt hat

    Im November 2025 hat der Europäische Gerichtshof in der Rechtssache Inteligo Media SA (Az. C-654/23) drei Punkte klargestellt, die für alle relevant sind, die Newsletter mit redaktionellem Inhalt versenden:

    Erstens: Auch Newsletter, die primär informierend oder inhaltlich erscheinen, gelten als Direktwerbung — sobald sie ein mittelbares kommerzielles Ziel verfolgen. Ein eingebetteter Link auf ein kostenpflichtiges Angebot reicht dafür aus.

    Zweitens: Die Bereitstellung einer E-Mail-Adresse im Tausch gegen einen digitalen Inhalt — etwa ein Whitepaper oder Portalszugang — ist wirtschaftlich einem Kauf gleichgestellt. Das „Bezahlen mit Daten” ist damit EU-rechtlich anerkannt.

    Drittens: Die ePrivacy-Richtlinie verdrängt als Lex specialis die allgemeinen DSGVO-Erlaubnistatbestände, wenn es um elektronische Direktwerbung geht. Sind die Voraussetzungen der Bestandskundenausnahme erfüllt, braucht es keine separate DSGVO-Rechtsgrundlage mehr.

    Was in Österreich besonders gilt — und in deutschen Ratgebern fehlt

    Hier fangen die Unterschiede an, die in der Praxis am meisten kosten.

    Die ECG-Sperrliste der RTR

    In Deutschland gibt es keine zentrale staatliche Sperrliste. In Österreich schon. Die Rundfunk und Telekom Regulierungs-GmbH (RTR) führt eine Sperrliste nach § 7 Abs. 2 ECG. Wer sich dort einträgt, signalisiert: Keine Werbe-E-Mails.

    Werbende Unternehmen sind gesetzlich verpflichtet, ihre Adressverteiler vor jedem Werbeversand mit dieser Liste abzugleichen — sofern kein ausdrückliches Opt-in vorliegt. Befindet sich ein Kontakt auf dieser Liste, ist der Versand rechtswidrig. Das gilt auch dann, wenn eine aufrechte Kundenbeziehung besteht.

    Das MedienG-Impressum direkt im Newsletter

    Das österreichische Mediengesetz kennt eine Pflicht, die für viele überraschend kommt: Wer mindestens viermal im Kalenderjahr einen Newsletter in vergleichbarer Gestaltung elektronisch verbreitet, gilt rechtlich als Medieninhaber. Das löst eine Impressumspflicht aus — aber nicht auf der Website. Direkt im Newsletter.

    Ein Link auf das Website-Impressum genügt nicht. Die Pflichtangaben müssen physisch im E-Mail-Körper stehen.

    Das Mediengesetz unterscheidet dabei zwei Kategorien:

    Der „kleine” Newsletter — reine Produkt- und Unternehmenswerbung — muss Namen oder Firma des Medieninhabers, Unternehmensgegenstand sowie Wohnort oder Sitz enthalten.

    Der „große” Newsletter — mit meinungsbildenden oder thematisch breiten Inhalten — verlangt zusätzlich: die grundlegende weltanschauliche oder wirtschaftliche Ausrichtung (die sogenannte Blattlinie), die vertretungsbefugten Organe namentlich sowie sämtliche Gesellschafterverhältnisse inklusive stiller Beteiligungen.

    Der Verstoß gegen diese Offenlegungspflicht ist eine Verwaltungsübertretung. Die Bezirksverwaltungsbehörde kann Geldstrafen von bis zu 20.000 Euro verhängen.

    Das Double-Opt-in als Datenschutzpflicht

    In Deutschland ist das Double-Opt-In-Verfahren (DOI) vor allem ein Beweismittel: Es dokumentiert, dass die eingetragene Person tatsächlich die Inhaberin der E-Mail-Adresse ist — was im Streitfall die Nachweispflicht nach Art. 7 DSGVO erfüllt.

    Die österreichische Datenschutzbehörde (DSB) geht einen Schritt weiter. Sie qualifiziert das Fehlen eines DOI-Verfahrens als direkten Verstoß gegen Art. 32 DSGVO — die Pflicht zu technischen und organisatorischen Schutzmaßnahmen. Ohne DOI besteht die konkrete Gefahr, dass Dritte fremde E-Mail-Adressen in Formulare eintragen und so Datenmissbrauch ermöglichen. In Österreich ist das Double-Opt-In damit keine Empfehlung, sondern eine rechtliche Pflicht.

    Der rechtssichere Anmeldeprozess — Schritt für Schritt

    Schritt 1: Das Anmeldeformular

    Das Formular entscheidet über die datenschutzrechtliche Gültigkeit der Einwilligung. Folgende Punkte sind nicht verhandelbar:

    Nur die E-Mail-Adresse als Pflichtfeld. Alles andere — Name, Geburtsdatum, Geschlecht — muss optional sein. Wer hier mehr verlangt, gefährdet die Freiwilligkeit der Einwilligung.

    Keine vorausgefüllten Checkboxen. Weder für den Newsletter-Empfang noch für das Tracking. Die Einwilligung muss durch eine aktive Handlung erfolgen.

    Zwei separate Checkboxen, wenn Sie Öffnungs- und Klickraten messen wollen. Die Einwilligung in den Newsletter und die Einwilligung in das individuelle Tracking sind rechtlich getrennte Akte — insbesondere in Deutschland, wo das TDDDG eine eigene Tracking-Einwilligung fordert. In Österreich erlaubt die WKO unter bestimmten Bedingungen eine kombinierte Einwilligung, aber die sauberere Lösung ist die Trennung.

    Datenschutzerklärung und Impressum müssen direkt im Formularumfeld verlinkt und lesbar sein.

    HTTPS ist Pflicht. Die Übertragung der Daten muss verschlüsselt erfolgen.

    Ein Sonderfall: E-Book gegen Newsletter-Anmeldung

    Wenn Sie ein Whitepaper oder E-Book als Anreiz für die Newsletter-Anmeldung einsetzen wollen, müssen Sie genau aufpassen. Eine Formulierung wie „kostenloses E-Book herunterladen” in Kombination mit einer Newsletter-Pflicht kollidiert mit dem Kopplungsverbot des Art. 7 Abs. 4 DSGVO. Die Einwilligung gilt als erzwungen, wenn es keine Alternative gibt.

    Die rechtssichere Formulierung lautet stattdessen: „Erhalten Sie unser E-Book im Tausch gegen Ihre E-Mail-Adresse und die Einwilligung zum Erhalt unseres Newsletters.” Das ist ein transparentes Datenschuldverhältnis — und seit dem EuGH-Urteil 2025 ausdrücklich als wirtschaftlicher Tausch anerkannt.

    Schritt 2: Die werbefreie Bestätigungs-E-Mail

    Nach dem Absenden des Formulars erhält der Nutzer die DOI-E-Mail. Hier ist die Rechtslage eindeutig: Diese E-Mail darf ausschließlich den Bestätigungslink enthalten — keine Rabattcodes, keine Produktempfehlungen, keine Social-Media-Links, keine Slogans.

    Der Grund: Die Einwilligung gilt erst mit dem Klick auf den Bestätigungslink als erteilt. Bis dahin liegt keine rechtsgültige Einwilligung vor. Jede werbliche Ansprache davor ist eine unzumutbare Belästigung — der BGH hat das in mehreren Urteilen unmissverständlich klargestellt.

    Der Gutscheincode, falls Sie einen als Anmelderanreiz verwenden, gehört in die Willkommens-E-Mail nach erfolgreicher Verifikation — nicht in die DOI-Mail.

    Bestätigt der Nutzer den Link nicht innerhalb von 48 Stunden, sind die temporär erfassten Daten im Sinne der Datenminimierung zu löschen.

    Schritt 3: Die Dokumentation

    Die DSGVO stellt eine Rechenschaftspflicht auf: Sie müssen jederzeit nachweisen können, dass eine wirksame Einwilligung vorlag. Dafür brauchen Sie eine lückenlose Protokollierung des gesamten Anmeldeprozesses.

    Was Ihre Newsletter-Datenbank protokollieren muss:

    EreignisWas erfasst wird
    ErstanmeldungZeitstempel, IP-Adresse, ID des Formulars
    EinwilligungstextExakter Wortlaut der Checkboxen zum Anmeldezeitpunkt
    DOI-BestätigungZeitstempel des Linkklicks, IP-Adresse
    WiderrufZeitstempel, Art des Opt-outs

    Der Wortlaut der Checkboxen ist dabei besonders wichtig: Wenn sich die Formulierung Ihrer Einwilligung ändert, gilt die alte Einwilligung nur noch für das, was damals stand — nicht für neue Verwendungszwecke.

    Was erlaubt ist — und kaum jemand nutzt

    Die Bestandskundenausnahme nach § 174 Abs. 4 TKG 2021 erlaubt es, bestehenden Kunden auch ohne aktives Opt-in Werbung zu senden — aber nur unter kumulativer Erfüllung von vier Bedingungen:

    • Die E-Mail-Adresse wurde im Rahmen eines Kaufs erhalten
    • Die Werbung betrifft eigene, ähnliche Produkte
    • Es gab bei Erhebung eine Widerspruchsmöglichkeit
    • Der Empfänger steht nicht auf der ECG-Sperrliste der RTR

    Die Ähnlichkeit wird von der Rechtsprechung sehr eng ausgelegt. Wer Schuhe verkauft hat, darf für Socken werben — nicht für Versicherungen. Und der RTR-Abgleich ist kein optionaler Schritt. Er ist gesetzlich vorgeschrieben.

    Sie fragen sich vielleicht

    „Wir haben schon eine Einwilligung — brauchen wir wirklich das DOI?”

    In Österreich: Ja. Die DSB sieht das Fehlen eines DOI-Verfahrens als Verstoß gegen Art. 32 DSGVO — nicht nur als Beweislückenproblem. Das ist ein fundamentaler Unterschied zur deutschen Rechtslage.

    „Reicht ein Link auf unser Website-Impressum im Footer?”

    In Deutschland: ja. In Österreich: nein — jedenfalls nicht für Newsletter, die unter das Mediengesetz fallen. Die Pflichtangaben müssen direkt im E-Mail-Körper stehen. Ab der vierten gleichartigen Newsletter-Ausgabe im Jahr greift das MedienG.

    „Wir versenden nur an B2B-Kontakte. Gelten die Regeln trotzdem?”

    Vollumfänglich. Weder das TKG 2021 noch die DSGVO unterscheiden beim Empfänger zwischen privaten und geschäftlichen Adressen. Auch eine [email protected] braucht eine gültige Einwilligung — oder eine Bestandskundenbeziehung mit den entsprechenden Voraussetzungen.

    „Unser Anbieter ist in den USA. Macht das einen Unterschied?”

    Ja. Wenn Ihre Newsletter-Plattform auf US-Servern betrieben wird, liegt ein Drittlandtransfer vor — ähnliche Überlegungen gelten bei KI-Tools für Mitarbeiterdaten. Das erfordert neben dem AVV nach Art. 28 DSGVO auch geeignete Garantien für den internationalen Datentransfer — und Transparenz gegenüber Ihren Abonnenten darüber, wohin ihre Daten fließen. EU-ansässige Anbieter mit Serverstandort im EWR reduzieren diese Komplexität erheblich.

    Was bei Verstößen droht

    Österreich setzt auf behördliche Sanktionen, nicht auf wettbewerbsrechtliche Abmahnungen wie in Deutschland. Das bedeutet: Nicht ein Mitbewerber mahnt ab, sondern eine Behörde verhängt Strafen.

    Verstöße gegen § 174 TKG 2021 können von den Fernmeldebehörden mit bis zu 37.000 Euro geahndet werden — für den Versand einer einzigen unerwünschten Werbe-Mail. Verstöße gegen das Mediengesetz: bis zu 20.000 Euro. E-Commerce-Gesetz, Gewerbeordnung und UGB kommen mit weiteren Verwaltungsstrafen dazu.

    Das klingt theoretisch. Es ist es nicht. Die Fernmeldebehörden sind aktiv, und die Straftatbestände im TKG sind verhältnismäßig leicht erfüllt.

    Nächste Schritte

    Prüfen Sie Ihren aktuellen Anmeldeprozess auf diese drei Punkte:

    Erstens: Protokollieren Sie alle fünf Ereignisse — Erstanmeldung, Einwilligungstext, DOI-Bestätigung, verwendetes System, Widerruf? Viele Newsletter-Systeme tun das standardmäßig nicht vollständig.

    Zweitens: Enthält Ihre DOI-E-Mail Werbung? Einen Rabattcode? Einen Social-Media-Link? Wenn ja, ist das nach aktueller Rechtsprechung problematisch.

    Drittens: Steht Ihr Impressum direkt im Newsletter-Body — nicht nur als Link? In Österreich reicht der Link nicht.

    Das sind drei Fragen, die in einer Stunde beantwortet sind — eine strukturierte KI-Audit-Methode für KMU kann dabei helfen, systematisch Schwachstellen zu identifizieren. Und die drei der häufigsten Fehlerquellen abdecken, die mir in der Beratung begegnen.