Recht8 Min. Lesezeit

Double-Opt-in in Deutschland: ist es wirklich Pflicht?

Ein Gesetzestext, der "Double-Opt-in" verlangt, existiert nicht. Trotzdem kommst du in Deutschland kaum daran vorbei – aus einem einfachen Grund: der Beweislast.

Wer "double opt in pflicht deutschland" sucht, will meistens eine klare Antwort auf eine unklare Rechtslage. Hier ist sie: Nein, kein deutsches Gesetz schreibt den Begriff "Double-Opt-in" wörtlich vor. Weder das UWG noch die DSGVO verlangen explizit einen Bestätigungsklick per E-Mail. Trotzdem ist Double-Opt-in (DOI) in der Praxis zum Standardverfahren geworden, weil es das einzige Mittel ist, mit dem du im Streitfall beweisen kannst, dass genau die Person, die die E-Mail-Adresse besitzt, wirklich eingewilligt hat. Und genau diese Beweislast liegt bei dir als Versender.

Was das Gesetz tatsächlich verlangt

Die rechtliche Basis für kommerzielle E-Mail-Werbung in Deutschland ist § 7 UWG (Gesetz gegen den unlauteren Wettbewerb): Werbung per E-Mail ohne vorherige Einwilligung des Empfängers gilt grundsätzlich als unzumutbare Belästigung. Die DSGVO liefert dazu die datenschutzrechtliche Ebene – eine E-Mail-Adresse ist ein personenbezogenes Datum, ihre Verarbeitung braucht eine Rechtsgrundlage, in der Regel die Einwilligung. Das TTDSG ergänzt das Ganze für telekommunikations- und telemedienbezogene Aspekte, etwa wenn E-Mail-Tracking (Öffnungen, Klicks) ins Spiel kommt. Keines dieser Gesetze schreibt vor, dass die Einwilligung zwingend über einen Bestätigungslink in einer zweiten E-Mail eingeholt werden muss. Das Verfahren "Double-Opt-in" ist also keine gesetzliche Formvorschrift, sondern eine Methode, um eine gesetzliche Anforderung (nachweisbare Einwilligung) zu erfüllen.

Warum Double-Opt-in trotzdem der faktische Standard ist

Der Unterschied zwischen "vorgeschrieben" und "faktischer Standard" liegt in der Beweislast. Bei einer Abmahnung wegen unerwünschter Werbe-E-Mail musst du zeigen, dass die Person aktiv eingewilligt hat – nicht, dass irgendjemand ein Formular mit dieser Adresse ausgefüllt hat. Bei Single-Opt-in (Formular abschicken, sofort eingetragen) kann das jede beliebige dritte Person gewesen sein, die die Adresse kannte oder erfunden hat. Bei Double-Opt-in bestätigt der Adressinhaber selbst per Klick aus seinem eigenen Postfach, dass er die Anmeldung ausgelöst hat. Genau dieser zweite Schritt ist in der deutschen Rechtspraxis zum akzeptierten Nachweisstandard geworden – nicht weil ein Paragraf ihn verlangt, sondern weil er in der Praxis der einzige Weg ist, der vor Gericht standhält.

Anmeldung mit Double-Opt-inBestätigte EinwilligungNachweisbare Zustimmung nach UWG §7Spamfilter & BeschwerdequoteWeniger Beschwerden, bessere ReputationPosteingangSpam-Ordner
Warum ein bestätigter Opt-in die Zustellbarkeit verbessert

So läuft der Double-Opt-in-Prozess technisch ab

Der Ablauf ist einfach, aber jedes Detail zählt, wenn es später um den Nachweis geht:

  1. Nutzer trägt die E-Mail-Adresse in ein Formular ein (Newsletter, Warenkorb-Popup, Checkout).
  2. Statt sofortiger Eintragung wird eine Bestätigungsmail verschickt – enthält einen eindeutigen, zeitlich begrenzten Bestätigungslink.
  3. Der Nutzer klickt aus seinem eigenen Postfach auf den Link.
  4. Erst jetzt wird der Kontakt aktiv geschaltet – und der Vorgang wird protokolliert: Zeitstempel, IP-Adresse der Anmeldung, IP-Adresse der Bestätigung, verwendetes Formular.

Genau dieses Protokoll ist im Streitfall dein Beweismittel. Der Bestätigungsklick allein reicht nicht – ohne Log-Daten kannst du im Nachhinein nicht mehr belegen, wann und wie die Einwilligung zustande kam.

Bestätigungsmail selbst testen
Die Double-Opt-in-Bestätigungsmail ist die wichtigste E-Mail im ganzen Funnel – landet sie im Spam, bestätigt niemand, und dein sauberer Prozess bringt nichts. Prüfe mit einem kostenlosen Inbox-Placement-Test vorab, ob genau diese Mail bei GMX, Web.de, T-Online und Gmail im Posteingang statt im Spam-Ordner landet.

Was passiert ohne Double-Opt-in?

Ohne DOI läufst du auf zwei Ebenen Risiko. Rechtlich: Bei einer Abmahnung nach UWG §7 trägst du die volle Beweislast für die Einwilligung – und ohne Bestätigungsklick fehlt dir in der Regel der belastbare Nachweis. Technisch: Unbestätigte Kontakte führen erfahrungsgemäß zu mehr Spam-Beschwerden, weil Adressen aus Tippfehlern, Karteileichen oder Missbrauch in der Liste landen. Gerade bei den großen deutschen Providern GMX, Web.de und T-Online reagieren die Spamfilter empfindlich auf Beschwerdequoten – ein einmal beschädigter Ruf lässt sich nur langsam reparieren. Auch die Anforderungen von Google und Yahoo an Massenversender (SPF, DKIM, DMARC mit mindestens p=none, funktionierende One-Click-Abmeldung, Beschwerdequote unter der geforderten Schwelle) lassen sich mit einer sauberen, bestätigten Liste deutlich leichter einhalten. Einen laufenden Überblick über Authentifizierungs-Adoption bei deutschen und internationalen Domains findest du auf /email-stats/.

Double-Opt-in in gängigen DACH-Tools umsetzen

Die meisten in Deutschland verbreiteten Versand-Plattformen bringen DOI bereits als Grundfunktion mit – die Aufgabe ist eher, es nicht versehentlich zu deaktivieren:

  • CleverReach und rapidmail (beides deutsche ESPs) bieten DOI-Formulare mit eigener Verifizierung von Absenderdomain und -adresse in der Oberfläche.
  • Brevo (früher Newsletter2Go, ebenfalls deutscher Ursprung) und Mailjet DE unterstützen DOI-Workflows inklusive Protokollierung der Bestätigung.
  • Shopware und JTL-Shop als deutsche Shop-Systeme benötigen für zuverlässige Newsletter- und Transaktionsmails meist einen externen SMTP-Anschluss – der Versand über den Standard-Hostingserver landet erfahrungsgemäß häufiger im Spam.
  • WooCommerce auf WordPress verschickt über wp_mail() standardmäßig vom Hosting-Server aus – ein SMTP-Plugin mit korrekt gesetztem SPF/DKIM ist Pflicht für verlässliche Zustellung.
  • Shopify DE verlangt eine Domain-Verifizierung (eigene SPF/DKIM-Einträge), bevor E-Mails glaubwürdig von der eigenen Domain aus versendet werden können.
  • HubSpot DE im B2B-Marketing braucht ebenfalls eine verifizierte Absenderdomain, damit Marketing- und Transaktionsmails nicht als generische HubSpot-Absender erscheinen.

Ist Single-Opt-in in Deutschland illegal?

Nein, Single-Opt-in ist nicht per se illegal. Es ist aber riskant, weil du im Streitfall nicht beweisen kannst, dass der Adressinhaber selbst eingewilligt hat. In der deutschen Abmahnpraxis nach UWG §7 ist genau das der entscheidende Punkt – deshalb gilt Double-Opt-in als der sichere Standard, nicht weil er gesetzlich erzwungen wird.

Was genau muss ich bei Double-Opt-in protokollieren?

Mindestens: Zeitstempel der Anmeldung, Zeitstempel der Bestätigung, IP-Adressen beider Schritte, die verwendete Formularquelle und den genauen Text, dem zugestimmt wurde. Dieses Log ist dein Beweismittel bei einer Abmahnung – der Bestätigungsklick allein reicht ohne Protokoll nicht aus.

Gilt Double-Opt-in auch für B2B-Newsletter?

Ja, UWG §7 unterscheidet nicht grundsätzlich zwischen B2B und B2C, wenn es um Werbung ohne Einwilligung geht. Auch bei Geschäftskontakten ist eine nachweisbare Einwilligung sinnvoll – gerade bei generischen Firmenadressen, hinter denen mehrere Personen stehen können, ist der Bestätigungsklick ein zusätzlicher Schutz.
Weiterführende Artikel
Found this useful? Share it
AB
Über den Autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Prüfen Sie Ihre Zustellbarkeit bei über 20 Providern

Gmail, Outlook, Yahoo, GMX, Web.de, ProtonMail und mehr. Echte Posteingang-Screenshots, SPF/DKIM/DMARC, Spamfilter-Urteile. Kostenlos, ohne Anmeldung.

Kostenlosen Test starten →

Unbegrenzte Tests · 20+ Seed-Postfächer · Live-Ergebnisse · Kein Konto nötig