DSGVO und Cold Email: Was 2026 in Deutschland erlaubt ist und was nicht
B2B Cold Email und DSGVO ist ein Minenfeld. Wann ist Kaltakquise per Email erlaubt, was sagt das berechtigte Interesse, und welche Pflichten gelten konkret? Praxis-Leitfaden mit Checkliste.
DSGVO und Cold Email: Die rechtliche Realität in Deutschland 2026
B2B Cold Email in Deutschland ist juristisch komplex. Es gibt keine einfache “ja erlaubt” oder “nein verboten” Antwort. Stattdessen gibt es zwei Rechtsebenen die gleichzeitig erfüllt werden müssen, plus eine Praxis-Realität die vielen Akteuren nicht klar ist.
Dieser Artikel ist die nüchterne Version: was wirklich gilt, was Gerichte entschieden haben und welche Setups in der Praxis funktionieren.
Die zwei Rechtsebenen
Cold Email berührt zwei Gesetze gleichzeitig. Beide müssen passen, sonst ist die Email rechtswidrig.
| Ebene | Gesetz | Was es regelt |
|---|---|---|
| Datenverarbeitung | DSGVO (Art. 6) | Darfst du die Email-Adresse speichern und verarbeiten? |
| Werbeansprache | UWG (§ 7) | Darfst du dem Empfänger eine Werbeemail schicken? |
Häufiger Fehler: “Ich habe berechtigtes Interesse nach DSGVO, also darf ich senden.” Falsch — das berechtigte Interesse rechtfertigt nur die Datenverarbeitung. Die Email selbst ist nach UWG zu prüfen, und dort gilt der strengere Maßstab.
Was § 7 UWG sagt
Werbung mittels elektronischer Post ist grundsätzlich nur mit vorheriger ausdrücklicher Einwilligung des Empfängers zulässig. Ausnahmen:
- Bestehende Geschäftsbeziehung
- Ähnliche Produkte/Dienstleistungen wie früher gekauft
- Klare Opt-Out-Möglichkeit
Für reines B2B Cold Outreach gibt es keine ausdrückliche UWG-Ausnahme. Was die Praxis trägt, ist eine Auslegung der Gerichte: Wenn das berechtigte Interesse des Senders das Interesse des Empfängers an Ruhe überwiegt — und die Email einen klaren Bezug zur beruflichen Position hat — kann Cold Email zulässig sein.
Was Gerichte entschieden haben
Die deutsche Rechtsprechung zu B2B Cold Email ist uneinheitlich. Tendenzen 2024-2026:
| Fall-Pattern | Tendenz |
|---|---|
| Hochrelevant zur Position (z.B. CFO bekommt Email zu Treasury-Tool) | eher zulässig |
| Generisch breit (z.B. “Marketing-Lösung an HR”) | unzulässig |
| Mit Tracking-Pixel ohne Einwilligung | unzulässig |
| Mehrfach-Follow-Ups ohne Reply | kritisch |
| Keine eindeutige Absender-Identität | unzulässig |
| Personalisiert mit klarem Geschäftsbezug | eher zulässig |
Wichtiger Punkt: Auch eine “eher zulässige” Email kann abgemahnt werden — die Frage ist dann ob das Gericht der Auslegung folgt oder nicht. Wer Cold Email ernsthaft betreibt, lebt mit Restrisiko.
Praxis-Setup das funktioniert
Pflicht-Elemente in jeder Cold Email
- Klarer Absender — Name, Firma, Position. Keine Pseudonyme, keine “Sales Team” als Absender.
- Funktionierende Antwort-Adresse — keine
noreply@, keine generische Adresse ohne Mensch dahinter. - Bezug zur Empfänger-Position — die Email muss erkennbar relevant für die berufliche Rolle sein.
- Opt-Out — eine einfache Formulierung im Footer: “Wenn du keine weiteren Mails möchtest, antworte einfach mit STOP — ich respektiere das.”
- Datenschutz-Hinweis — kurzer Satz mit Link zur Datenschutzerklärung.
- Impressum — Pflicht in jeder geschäftlichen Email.
- Kein Tracking-Pixel — Open-Tracking, Click-Tracking ohne Einwilligung deaktivieren.
Tool-Konfiguration für Compliance
Wenn du Instantly, Lemlist, Smartlead oder ähnliche Tools nutzt:
| Setting | Was tun |
|---|---|
| Open Tracking | Deaktivieren für DACH-Empfänger |
| Click Tracking | Deaktivieren oder nur auf eindeutigen CTAs nach Opt-In |
| Unsubscribe-Link | Aktivieren, deutsche Formulierung |
| Reply-Detection | Aktiviert lassen — Mehrfach-Mails an Reply-Empfänger sind unzulässig |
| Sender-Domain | Eigene Domain, kein Free-Provider |
ICP-Definition als Compliance-Werkzeug
Je präziser dein Targeting, desto stärker das berechtigte-Interesse-Argument. Eine Email an “alle CMOs in DACH” ist schwächer als eine Email an “CMOs von SaaS-Unternehmen mit Series A bis C die Marketing-Automation einführen”.
Was passiert wenn etwas schief geht
Drei Eskalations-Stufen:
- Empfänger meldet Spam — Email-Provider blacklistet Domain, Sender-Score sinkt. Häufigster und teuerster Fall in der Praxis.
- Empfänger schreibt Beschwerde — landet ggf. beim Datenschutzbeauftragten oder Wettbewerbsverband.
- Abmahnung durch Wettbewerber oder Verbraucherzentrale — Abmahnkosten 500-2.500 €, Unterlassungserklärung, im Wiederholungsfall Vertragsstrafen.
Bußgelder durch Aufsichtsbehörden sind bei Erst-Verstößen seltener als die ersten beiden Fälle, aber theoretisch möglich.
Kurze Checkliste
- Hochrelevantes Targeting, klarer Bezug zur Empfänger-Position
- Klarer Absender mit Name und Position
- Antwort-Adresse funktioniert, wird gelesen
- Tracking-Pixel deaktiviert
- Opt-Out im Footer, deutsche Formulierung
- Datenschutz-Hinweis mit Link
- Impressum verlinkt
- Reply-Detection aktiviert (keine Mehrfach-Mails nach Reply)
- Maximal 3-4 Follow-Ups, dann Stopp
- Eigene Sender-Domain, kein Free-Provider
Fazit
DSGVO und Cold Email schließen sich nicht aus. Aber wer 2026 in Deutschland systematisch Cold Email betreibt, muss UWG und DSGVO gleichzeitig erfüllen, Tracking deaktivieren, präzise targeten und mit Restrisiko leben. Das ist machbar — aber nicht so trivial wie viele US-Tools suggerieren.
Häufige Fragen
Ist Cold Email an B2B-Kontakte in Deutschland erlaubt?
Grundsätzlich ist B2B Cold Email in Deutschland nur mit Einwilligung erlaubt — das sagt § 7 UWG. Es gibt aber Ausnahmen: Wenn ein konkreter geschäftlicher Bezug zur Position des Empfängers besteht und ein nachweisbares berechtigtes Interesse vorliegt, kann Cold Email zulässig sein. Die Rechtslage ist nicht eindeutig, deutsche Gerichte urteilen unterschiedlich. Pragmatische Praxis: hochrelevant, klar identifizierbar, mit Opt-Out, ohne Tracking-Pixel ohne Einwilligung.
Was sagt das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) konkret?
Das berechtigte Interesse ist die Rechtsgrundlage für die Datenverarbeitung — nicht für das Versenden der Email. Die DSGVO regelt das Speichern und Verarbeiten der Email-Adresse. Das eigentliche Versenden regelt das UWG (Wettbewerbsrecht). Heißt: Auch wenn die DSGVO-Verarbeitung über Art. 6 lit. f gerechtfertigt ist, kann die Email selbst nach UWG unzulässig sein. Beide Ebenen müssen passen.
Welche Pflichtangaben braucht eine B2B Cold Email?
Pflichtelemente: 1) Klare Absender-Identität (Name, Firma, Position) — keine Pseudonyme. 2) Funktionierende Antwort-Adresse (kein noreply@). 3) Impressum oder Link dazu. 4) Hinweis zur Datenverarbeitung mit Verlinkung der Datenschutzerklärung. 5) Einfache Opt-Out-Möglichkeit, klar formuliert. 6) Bezug zur Empfänger-Position, der das berechtigte Interesse begründet. 7) Keine Tracking-Pixel ohne Einwilligung.
Darf ich Tracking-Pixel in B2B Cold Emails verwenden?
Nein, ohne Einwilligung nicht. Das EuGH-Urteil zu Cookies (Planet49, 2019) und die deutsche Datenschutzkonferenz machen klar: Tracking-Pixel die Open- und Click-Verhalten an Drittanbieter (Instantly, Lemlist, HubSpot) übermitteln sind ohne aktive Einwilligung des Empfängers nicht zulässig. Praxis: Tracking in Cold Email-Tools deaktivieren, alternativ erst nach Reply oder im weiteren Verlauf des Sales-Prozesses einsetzen.
Was passiert wenn ich gegen UWG/DSGVO verstoße?
Drei Szenarien: 1) Empfänger beschwert sich beim Datenschutzbeauftragten — Bußgeld bis 20 Mio € oder 4% des Jahresumsatzes. In der Praxis bei Erstverstoß meist niedrigere Summen (5.000-50.000 €). 2) Wettbewerber mahnt ab — Abmahnkosten typisch 500-2.500 €, plus Unterlassungserklärung. 3) Häufiger Fall: Empfänger meldet Spam, Email-Anbieter blacklisten Domain. Reputationsschaden ist oft teurer als Bußgeld.