Wer in Deutschland, Österreich oder der Schweiz personenbezogene Daten verarbeitet, muss die DSGVO einhalten. E-Mail-Adressen sind personenbezogene Daten. Das bedeutet: Jedes Newsletter-Tool, das du einsetzt, muss bestimmte datenschutzrechtliche Anforderungen erfüllen. Aber „DSGVO-konform" ist kein Gütesiegel, das ein Anbieter einfach auf seine Website kleben kann. Es hängt davon ab, wo die Daten liegen, wie sie verarbeitet werden und welche Verträge du als Verantwortlicher abschließen kannst.
Dieser Vergleich prüft 10 Newsletter-Tools anhand von sechs konkreten Datenschutz-Kriterien und ordnet sie in drei Kategorien ein: Tools mit deutschen Servern, Tools mit EU-Servern und US-Tools, die sich per Auftragsverarbeitungsvertrag (AV-Vertrag) und EU-U.S. Data Privacy Framework nutzen lassen.
Rechtlicher Hinweis
Dieser Artikel bietet eine fachliche Orientierung, ersetzt aber keine Rechtsberatung. Die DSGVO-Konformität hängt nicht nur vom Tool ab, sondern auch von deiner individuellen Einrichtung (Double-Opt-in, Datenschutzerklärung, AV-Vertrag, Einwilligungstexte). Im Zweifelsfall solltest du einen spezialisierten Anwalt für Datenschutzrecht hinzuziehen.
Die 6 Kriterien für DSGVO-Konformität
Ein Newsletter-Tool ist nicht automatisch DSGVO-konform, nur weil der Anbieter das behauptet. Diese sechs Punkte müssen erfüllt sein:
1. Serverstandort
Wo werden die Daten gespeichert? Deutschland > EU > USA. Je näher am DACH-Raum, desto geringer das rechtliche Risiko. Bei US-Servern muss das EU-U.S. Data Privacy Framework greifen.
2. AV-Vertrag
Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist Pflicht. Er regelt, wie der Anbieter deine Daten verarbeiten darf. Im Idealfall ist er im Tool automatisch integriert.
3. Double-Opt-in
Das zweistufige Anmeldeverfahren ist in Deutschland faktisch Pflicht. Der Abonnent muss seine E-Mail-Adresse per Bestätigungslink verifizieren, bevor er E-Mails erhält.
4. Tracking-Optionen
Öffnungs- und Klick-Tracking erzeugt personenbezogene Daten. Gute Tools erlauben, das Tracking pro Kampagne oder komplett zu deaktivieren.
5. Datenlöschung
Abonnenten müssen sich jederzeit abmelden können (Art. 17 DSGVO). Das Tool muss eine einfache Löschfunktion bieten und darf abgemeldete Kontakte nicht weiter speichern.
6. Datenportabilität
Kontakte müssen sich exportieren lassen (Art. 20 DSGVO). Alle gängigen Tools bieten CSV-Export, aber die Qualität der exportierten Daten (Tags, Felder, Einwilligungsdaten) variiert.
DSGVO-Vergleich aller Newsletter-Tools
Lesehinweis: „Sehr gut" bedeutet, dass das Tool ohne zusätzliche rechtliche Absicherung für den DACH-Raum geeignet ist. „Gut" erfordert einen AV-Vertrag, der aber unkompliziert abschließbar ist. „Bedingt" bedeutet, dass ein DPA (Data Processing Addendum) plus die Rechtsgrundlage des EU-U.S. Data Privacy Framework nötig ist und je nach Branche ein Restrisiko bleibt.
Server in Deutschland: Die sicherste Wahl
Drei Newsletter-Tools speichern und verarbeiten alle Daten auf Servern in Deutschland. Für Unternehmen in regulierten Branchen (Gesundheit, Finanzen, öffentlicher Dienst) oder mit besonders sensiblen Kundendaten ist das die rechtlich sauberste Lösung, weil kein transatlantischer Datentransfer stattfindet.
- Alle Server in Deutschland
- Deutsches Datenschutzrecht
- AV-Vertrag automatisch integriert
- Tracking komplett deaktivierbar
- Deutscher Telefonsupport
- Barrierefreie Newsletter (2026)
- Bis 50 % Vereinsrabatt
- Server in Deutschland / EU
- CSA-zertifiziert (Whitelist)
- AV-Vertrag automatisch
- Tracking deaktivierbar
- Kostenloser Lite-Plan
- Flex-Prepaid ohne Vertragsbindung
- Eigene Mailserver in Deutschland
- AV-Vertrag im Onboarding
- Tracking deaktivierbar
- Tag-basierte Segmentierung
- Profi-Automationen & Funnels
- 30-Tage-Geld-zurück-Garantie
Server in der EU: Gute Wahl mit AV-Vertrag
Diese Tools speichern Daten auf Servern innerhalb der Europäischen Union, aber nicht zwingend in Deutschland. Für die meisten Unternehmen im DACH-Raum ist das völlig ausreichend, solange ein AV-Vertrag abgeschlossen wird. Die DSGVO gilt EU-weit, deshalb besteht kein zusätzliches Risiko durch den Serverstandort.
- Server in Frankreich & Deutschland
- AV-Vertrag automatisch integriert
- Tracking deaktivierbar
- CRM, SMS, WhatsApp inklusive
- Großzügiger Free-Plan
- Kein rein deutsches Unternehmen
- Server in der EU (Litauen)
- AV-Vertrag verfügbar
- Tracking deaktivierbar
- Bester Editor am Markt
- Website-Builder inklusive
- Strenge Account-Freischaltung
- Server in der EU (Polen)
- AV-Vertrag verfügbar
- Tracking deaktivierbar
- Webinar-Funktion integriert
- Kurs-Plattform inklusive
- Keine Automationen im Free-Plan
US-Tools: Nutzbar, aber mit Vorbereitung
ActiveCampaign, Kit und Mailchimp verarbeiten Daten auf Servern in den USA. Seit dem Adequacy Decision der EU-Kommission (Juli 2023) ist der Datentransfer in die USA über das EU-U.S. Data Privacy Framework grundsätzlich wieder möglich, sofern der jeweilige Anbieter zertifiziert ist. Alle drei genannten Tools sind zertifiziert und bieten ein DPA (Data Processing Addendum) an.
Trotzdem bleibt ein Restrisiko: Das Framework könnte (wie sein Vorgänger Privacy Shield) von Gerichten gekippt werden. Für Unternehmen in regulierten Branchen ist es deshalb ratsam, auf EU- oder DE-basierte Alternativen zu setzen. Für andere Branchen sind die US-Tools mit korrektem DPA und Double-Opt-in praxistauglich einsetzbar.
- Server in den USA
- DPA verfügbar
- EU-U.S. DPF zertifiziert
- Double-Opt-in einstellbar
- Mächtigste Workflow-Automation
- Integriertes CRM
- Server in den USA
- DPA verfügbar
- Double-Opt-in einstellbar
- 10.000 Kontakte gratis
- Tracking schwer deaktivierbar
- Kein deutscher Support
- Server in den USA
- DPA verfügbar
- Double-Opt-in einstellbar
- Abgemeldete Kontakte zählen weiter
- Tracking schwer komplett abschaltbar
- Stark eingeschränkter Free-Plan
Empfehlungen nach Branche
Je nach Branche sind die Datenschutz-Anforderungen unterschiedlich streng. Hier die Zuordnung für typische Anwendungsfälle im DACH-Raum:
Arztpraxen, Kliniken und Gesundheitswesen
Gesundheitsdaten gehören zu den besonders schützenswerten Kategorien nach Art. 9 DSGVO. Hier dürfen keine Kompromisse gemacht werden: Server in Deutschland, automatischer AV-Vertrag und die Möglichkeit, Tracking komplett zu deaktivieren, sind Pflicht.
Empfehlung: Rapidmail
Deutsche Server, automatischer AV-Vertrag, Tracking komplett deaktivierbar, deutscher Telefonsupport. Alternativ: CleverReach.
Anwaltskanzleien und Steuerberater
Mandantenkommunikation unterliegt der Verschwiegenheitspflicht. Newsletter dürfen keine Mandantengeheimnisse enthalten, aber schon die E-Mail-Adresse eines Mandanten auf einem US-Server wäre problematisch.
Empfehlung: Rapidmail oder CleverReach
Beide bieten deutsche Server und den höchsten Datenschutz-Standard. CleverReach hat zusätzlich das CSA-Zertifikat für maximale Zustellbarkeit.
Vereine, NGOs und öffentliche Einrichtungen
Vereine verwalten oft sensible Mitgliederdaten und unterliegen der DSGVO genauso wie Unternehmen. Gleichzeitig ist das Budget knapp, und der Versand findet oft nur alle paar Monate statt.
Empfehlung: CleverReach Flex oder Rapidmail
CleverReach Flex rechnet per Prepaid ab (nur zahlen, wenn versendet wird). Rapidmail gewährt Vereinen bis zu 50 % Rabatt. MailerLite bietet 30 % Non-Profit-Rabatt, hat aber keinen deutschen Serverstandort.
E-Commerce und Online-Shops
Online-Shops verarbeiten Kaufdaten und Zahlungsinformationen. Die DSGVO-Anforderungen sind hoch, gleichzeitig brauchen Shop-Betreiber Automationen (Warenkorbabbrecher, Produktempfehlungen) und E-Commerce-Integrationen.
Empfehlung: Brevo
EU-Server, starke Shopify/WooCommerce-Integration, Transaktionsmails und Marketing aus einer Hand. Wer maximalen Datenschutz braucht und auf tiefe Shop-Integration verzichten kann, greift zu CleverReach.
Coaches, Berater und Infoprodukt-Anbieter
Wer Funnels baut und Verkaufsautomationen benötigt, steht vor einem Dilemma: Die mächtigsten Automations-Tools (ActiveCampaign, KlickTipp) sind entweder US-basiert oder teurer. Dafür bieten sie Funktionen, die bei Rapidmail oder CleverReach fehlen.
Empfehlung: KlickTipp
Einziges Tool, das Profi-Automationen (tag-basiert, Digistore24-Integration) mit deutschen Servern und voller DSGVO-Konformität verbindet. Ab 30 € netto pro Monat.
DSGVO-Checkliste für dein Newsletter-Setup
Unabhängig davon, welches Tool du wählst, musst du als Verantwortlicher folgende Punkte sicherstellen. Diese Checkliste hilft dir bei der Einrichtung:
Eine ausführlichere Anleitung zur DSGVO-konformen Einrichtung findest du im Praxis-Artikel: DSGVO & Newsletter: So versendest du rechtssicher.
Häufige Fragen zu DSGVO und Newsletter-Tools
Darf ich Mailchimp in Deutschland nutzen?
Ja, unter bestimmten Voraussetzungen. Mailchimp (Intuit) ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Du musst das DPA (Data Processing Addendum) in deinem Account akzeptieren, Double-Opt-in einrichten und die Nutzung von Mailchimp in deiner Datenschutzerklärung aufführen. Für besonders sensible Branchen (Gesundheit, Recht) wird von Datenschutzexperten trotzdem empfohlen, auf EU- oder DE-basierte Tools auszuweichen.
Was passiert, wenn das EU-U.S. Data Privacy Framework kippt?
Dann wäre der Datentransfer in die USA erneut ohne gültige Rechtsgrundlage, wie es 2020 nach dem Schrems-II-Urteil der Fall war. In diesem Szenario müsstest du kurzfristig auf ein EU-basiertes Tool umsteigen oder Standardvertragsklauseln (SCC) als Rechtsgrundlage nutzen, was rechtlich aufwendiger ist. Wer auf Nummer sicher gehen will, setzt von Anfang an auf Tools mit EU- oder DE-Servern.
Was ist ein AV-Vertrag und brauche ich einen?
Ein Auftragsverarbeitungsvertrag (AV-Vertrag, Art. 28 DSGVO) regelt, wie ein Dienstleister (das Newsletter-Tool) personenbezogene Daten in deinem Auftrag verarbeiten darf. Du bist als Verantwortlicher gesetzlich verpflichtet, diesen Vertrag abzuschließen, bevor du das Tool nutzt. Bei Rapidmail, CleverReach und Brevo ist er automatisch im Account integriert. Bei anderen Anbietern musst du ihn manuell akzeptieren oder herunterladen.
Reicht Double-Opt-in für die DSGVO-Konformität?
Double-Opt-in allein reicht nicht aus, ist aber ein zentraler Baustein. Zusätzlich brauchst du einen AV-Vertrag, einen transparenten Einwilligungstext im Anmeldeformular, einen Abmeldelink in jeder E-Mail, ein Impressum in jeder E-Mail und einen entsprechenden Abschnitt in deiner Datenschutzerklärung. Die Checkliste oben zeigt alle Punkte im Überblick.
Welches ist das sicherste Newsletter-Tool für Deutschland?
Rapidmail aus Freiburg bietet den höchsten Datenschutz-Standard: alle Server in Deutschland, deutsches Datenschutzrecht, automatischer AV-Vertrag, Tracking komplett deaktivierbar und deutscher Telefonsupport. Für Unternehmen, die zusätzlich Profi-Automationen brauchen, ist KlickTipp die Empfehlung (ebenfalls deutsche Server, aber mit tag-basierter Marketing-Automation). CleverReach liegt dazwischen: deutsche Server, CSA-Zertifikat und ein kostenloser Einstiegsplan.
Muss ich Tracking in meinen Newslettern deaktivieren?
Nicht zwingend. Öffnungs- und Klick-Tracking ist datenschutzrechtlich zulässig, wenn du es in deiner Datenschutzerklärung transparent dokumentierst und eine Rechtsgrundlage hast (in der Regel berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO). Allerdings empfehlen viele Datenschützer, Tracking nur gezielt einzusetzen und den Abonnenten die Möglichkeit zu geben, es abzulehnen. Rapidmail und CleverReach erlauben es, Tracking komplett zu deaktivieren.
Über den Autor
E-Mail-Marketing-Experte
Ringo Dühmke ist Online-Unternehmer seit 2001 und beschäftigt sich seit 2003 mit E-Mail-Marketing. Auf Newsletter-Tipps.com teilt er seine Erfahrungen aus über zwei Jahrzehnten mit Newsletter-Tools, Automationen und Listenaufbau, damit Einsteiger und Profis das passende Werkzeug für ihr E-Mail-Marketing finden.
Mehr über Ringo →
