Datenschutz
DSGVO-konformer E-Mail-Versand: was Versicherungsmakler wirklich brauchen
Stand: 17. Juli 2026 · 9 Min. Lesezeit
DSGVO-konformer E-Mail-Versand hat für Makler drei Bausteine: eine Rechtsgrundlage für die Verarbeitung der Kundendaten, ein Auftragsverarbeitungsvertrag mit jedem Dienstleister, der diese Daten berührt, und ein sauberer Umgang mit Tracking. Der dritte Punkt wird am häufigsten falsch gemacht: Öffnungs-Pixel und Klick-Tracking sind nach § 25 TDDDG einwilligungspflichtig, unabhängig davon, ob der Versand selbst zulässig war. Dieser Beitrag sortiert die Anforderungen und zeigt den Weg, Kampagnen-Erfolg ohne Einwilligungs-Risiko zu messen. Stand Juli 2026, keine Rechtsberatung.
Auf welcher Rechtsgrundlage verarbeiten Makler Kundendaten für Mailings?
Für Bestandskunden kommen regelmäßig zwei Grundlagen in Betracht: die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO, soweit die Kommunikation zur Betreuung des Maklermandats gehört, und das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO, etwa für Bestandspflege und Direktwerbung an eigene Kunden, mit Abwägung und Widerspruchsmöglichkeit.
Wichtig ist die Trennung der Ebenen: Ob eine Werbe-Mail versendet werden darf, regelt das Wettbewerbsrecht (§ 7 UWG, siehe E-Mail-Werbung an Bestandskunden). Ob die Daten dafür verarbeitet werden dürfen, regelt die DSGVO. Beim EuGH ist derzeit die Frage anhängig, ob bei einer nach § 7 Abs. 3 UWG zulässigen Mail überhaupt eine parallele DSGVO-Prüfung nötig ist; der Generalanwalt verneint das in seinen Schlussanträgen (Rechtssache C-654/23, Stand Juli 2026 noch keine Endentscheidung). Bis dahin fährt gut, wer beide Ebenen sauber dokumentiert.
Wann brauchen Sie einen Auftragsverarbeitungsvertrag?
Immer dann, wenn ein Dienstleister personenbezogene Daten Ihrer Kunden in Ihrem Auftrag verarbeitet. Eine Software, in die Sie Ihren Kundenstamm hochladen, ist datenschutzrechtlich Auftragsverarbeiter nach Art. 28 DSGVO und muss mit Ihnen einen Auftragsverarbeitungsvertrag (AVV) schließen. Ein wirksamer AVV deckt die Vorgaben aus Art. 28 Abs. 3 lit. a bis h ab und enthält eine Anlage zu den technischen und organisatorischen Maßnahmen (TOMs).
Zwei Praxispunkte: Erstens gehört in die Subunternehmerliste des AVV nur, wer tatsächlich Daten Ihrer Endkunden verarbeitet. Ein Zahlungsdienstleister, der nur Ihre eigene Abrechnung abwickelt, zählt nicht dazu. Zweitens entlässt Sie kein AVV aus der Rolle des Verantwortlichen: Rechtsgrundlage, Verzeichnis der Verarbeitungstätigkeiten und Betroffenenrechte bleiben Ihre Aufgabe.
Konsequenz für die Anbieterwahl: Wer Ihnen keinen AVV mit TOMs anbietet, kommt für Kundendaten nicht in Frage. Fragen Sie außerdem nach der Subunternehmerliste, denn dort steht, wohin die Daten tatsächlich fließen.
Sind Öffnungsraten und Klick-Tracking erlaubt?
Nicht ohne Einwilligung. Öffnungs-Pixel und umgeschriebene Tracking-Links greifen auf die Endeinrichtung des Empfängers zu und fallen damit unter § 25 TDDDG. Das ist die Position der Datenschutzkonferenz, und der Bundesbeauftragte für den Datenschutz bestätigt sie ausdrücklich auch für einfache Zählpixel. Die Einwilligung muss separat vorliegen und ist unabhängig davon, ob der Versand über das Bestandskundenprivileg zulässig war.
Das gilt auch für nicht werbliche Mails: Wer Geburtstagsgrüße mit personenbezogenem Öffnungs-Tracking versieht, braucht dafür nach dieser Auffassung ebenfalls eine Einwilligung. In der Praxis holt kaum ein Makler solche Einwilligungen sauber ein. Die ehrliche Konsequenz lautet deshalb: auf personenbezogenes Tracking verzichten.
Wie messen Sie Kampagnen-Erfolg ohne Einwilligungs-Risiko?
Über zwei Wege. Erstens aggregierte Auswertung: Werden Öffnungen und Klicks ausschließlich pro Kampagne gezählt, ohne jede Zuordnung zu einzelnen Empfängern, entfällt der Personenbezug. Eine solche Reichweitenmessung lässt sich auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen und braucht keine Einwilligung nach § 25 TDDDG.
Zweitens, und wirtschaftlich aussagekräftiger: Ergebnisse statt Verhalten messen. Antworten auf eine Kampagne, vereinbarte Termine und daraus entstandene Verträge sind Geschäftsvorfälle, die ohnehin in Ihren Systemen liegen. Sie sagen mehr über den Erfolg als jede Öffnungsrate, denn eine geöffnete Mail zahlt keine Courtage. Wer so misst, hat zugleich ein Verkaufsargument gegenüber Kunden: keine Überwachung des Leseverhaltens.
Worauf sollten Sie bei Software und Versand-Dienstleistern achten?
Auf den Betreiber, nicht nur auf den Serverstandort. Behördliche Zugriffspflichten wie der US CLOUD Act knüpfen am Betreiber an: Ein EU-Rechenzentrum eines US-Konzerns bleibt dem US-Recht unterworfen. Echte Vermeidung von Drittlandtransfers gelingt nur mit Anbietern ohne Drittland-Mutterkonzern oder mit Self-Hosting. Prüfen Sie außerdem den konkreten Tarif: Bei manchen Tools gibt es EU-Datenresidenz nur in teureren Plänen, bei Notion beispielsweise nur im Enterprise-Plan (Stand Juni 2026).
Eine brauchbare Checkliste für jeden Anbieter, der Kundendaten sieht: AVV mit TOMs vorhanden, Subunternehmerliste transparent, Verarbeitung in der EU, kein standardmäßig aktiviertes Empfänger-Tracking, dokumentierte Löschkonzepte.
InsurAgent ist nach diesen Kriterien gebaut: Hosting in Deutschland (Hetzner), KI aus der EU (Mistral, Frankreich), Versand über einen EU-Dienstleister mit deaktiviertem Empfänger-Tracking, Auswertung nur aggregiert pro Kampagne, AVV mit TOMs im Produkt enthalten. Details stehen in der Doku zu Freigabe und Recht.
Hinweis: Dieser Beitrag ist keine Rechtsberatung. Er gibt den Stand Juli 2026 wieder; verbindliche Aussagen zum Einzelfall gehören zu einem Fachanwalt oder Datenschutzbeauftragten.
Häufige Fragen
Brauche ich die Einwilligung meiner Kunden, um eine Software mit Kundendaten zu nutzen?
In der Regel nein. Die Nutzung eines Auftragsverarbeiters stützt sich auf Art. 28 DSGVO und die bestehende Rechtsgrundlage der Verarbeitung, nicht auf eine gesonderte Einwilligung. Nötig sind ein AVV mit dem Anbieter und transparente Informationen in Ihrer Datenschutzerklärung.
Sind Öffnungsraten mit Einwilligung erlaubt?
Ja. Mit einer wirksamen, separaten Einwilligung nach § 25 TDDDG ist personenbezogenes Tracking zulässig. In der Praxis ist diese Einwilligung bei Bestandskunden-Mailings aber selten sauber einholbar, weshalb aggregierte Messung ohne Personenbezug der robustere Weg ist.
Reicht ein EU-Serverstandort für DSGVO-Konformität?
Nein. Zugriffspflichten wie der US CLOUD Act knüpfen am Betreiber an, nicht am Serverstandort. Ein EU-Rechenzentrum eines US-Anbieters schließt Drittlandzugriffe nicht aus. Entscheidend sind Betreiberstruktur, AVV, Subunternehmer und der konkrete Tarif.
Was gehört in die TOMs-Anlage eines AVV?
Die technischen und organisatorischen Maßnahmen des Anbieters: unter anderem Zugriffskontrolle, Verschlüsselung, Mandantentrennung, Backup- und Löschkonzepte sowie Verfahren bei Datenpannen. Die TOMs sind Pflichtbestandteil eines wirksamen AVV nach Art. 28 Abs. 3 DSGVO.
Weiterlesen
Mehr aus Ihrem Bestand holen?
InsurAgent übernimmt Kampagnen, Grüße und Bestandsanalyse für Versicherungsmakler. Jede Mail wartet auf Ihre Freigabe.
Persönliche Demo buchen