Die Hochsaison bringt Umsatz und auch zusätzliche Anforderungen an den Datenschutz. Wer in dieser Zeit Newsletter intensiv nutzt, Versand- und Zahlungsdienstleister einbindet und mehr Kund:innendaten verarbeitet, sollte Prozesse und Verträge rechtzeitig prüfen. Die folgenden fünf Fehler treten in der Praxis häufig auf und so vermeiden Sie sie.

1        PROBLEM/NUTZEN

• Problem: Unternehmen, KMU-Händler:innen, Vereine und Verbände mit Shop-Funktionen erhöhen zur Saison den Datenverkehr (z. Bsp. Newsletter, Bestellungen und Tracking). Unter Zeitdruck schleichen sich schnell formale und technische Fehler ein, die Abmahnungen, Bußgelder und Vertrauensverluste nach sich ziehen können.

• Nutzen: Mit klaren Verträgen zur Auftragsverarbeitung nach Art. 28 DSGVO bzw. § 29 KDG (AV-Vertrag), sauberen Einwilligungen, transparenter Information und geordneten Lösch- und Notfallprozessen reduzieren Sie Risiken, beschleunigen Abläufe und stärken Kund:innentreue.

Kurzbeispiel: Ein regionaler Geschenkeshop skaliert vor Weihnachten den Newsletterversand und vergibt die Paketvermittlung komplett an einen Lettershop. Ohne geprüften AV-Vertrag für den Newsletterdienst und ohne Double-Opt-In fehlen Nachweise für die Rechtmäßigkeit und birgt somit ein vermeidbares Risiko.

Wichtig zur Logik: Nicht jeder Versanddienstleister ist automatisch auch Auftragsverarbeiter. Ein klassischer Paketdienst agiert regelmäßig eigenverantwortlich als eigener Verantwortlicher mit eigenen Zwecken und Entscheidungen. Ein Lettershop, der Kund:innendaten ausschließlich nach Ihren Weisungen verarbeitet ist typischerweise Auftragsverarbeiter.

2       DIE 5 HÄUFIGSTEN FEHLER – UND WIE SIE DIESE VERMEIDEN

2.1       FEHLENDE ODER UNZUREICHENDE AV-VERTRÄGE

• Prüffragen zur Einordnung:

  • Handelt der Dienstleister ausschließlich nach unseren Weisungen und ohne eigene Zwecke? Dann handelt es sich um eine Auftragsverarbeitung.

  • Trifft der Dienstleister eigenständige Entscheidungen zu Zwecken oder Mitteln (z.B. Paketdienst)? Dann ist dieser in der Regel eigener Verantwortlicher.

  • Treffen zwei Organisationen zusammen die Entscheidungen zu Zwecken oder Mitteln (z. B. gemeinsame Website, Veranstaltung)? Dann kann eine gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO/ § 28 KDG.

  • Weiterführende Informationen unter unserem Beitrag zur Abgrenzung der Verantwortlichkeit (hier klicken).

• Vorgehen:

  • Liste aller Dienstleister aus Datenschutzmanagement herausfiltern oder erstellen: Newsletter-Tool, Lettershop, Hosting/Cloud, Callcenter, IT-Support, Webtracking und alle Dienstleister mit Zugriff auf personenbezogener Daten.

  • Für Auftragsverarbeiter: AV-Verträge nach Art. 28 DSGVO/§ 28 KDG abschließen und Mindestinhalte vollständig beschreiben.

  • Für gemeinsame Verantwortliche: Informationspflichten und vertragliche Abstimmung zur Verantwortlichkeit.

  • Verarbeitung außerhalb der EU: prüfen, ob ein Angemessenheitsbeschluss mit dem Land vorliegt (vgl. BfDI: Internationale ­Datenübermittlungen, online verfügbar unter, BfDI (hier klicken), 12.11.2025) oder ob weitere Garantien wie Standardvertragsklauseln (SCCs) und eine Datenschutzfolgenabschätzung (DSFA) notwendig ist.  

Denken Sie daran Ihre:n Datenschutzbeauftragte:n frühzeitig einzubeziehen – idealerweise in der Planungsphase.

Gerne können Sie mit uns gemeinsam den nächsten Schritt in Richtung Datenschutzsicherheit gehen. Lassen Sie uns in einem unverbindlichen Gespräch prüfen, wie wir Ihr Unternehmen rechtssicher und praxistauglich aufstellen können.

📅 Beratungstermin buchen

🌐 Weitere Infos anfordern
📧 Oder einfach eine E-Mail an info@datafreshup.de

2.2      NEWSLETTER OHNE RECHTSSICHERE EINWILLIGUNG UND NACHWEIS

Risiken: Unzulässige E-Mail-Werbung, fehlende Beweisbarkeit und Kopplungsverstoß.

• Maßnahmen:

  • Einwilligungstext klar und verständlich: Zwecke benennen, ein Widerruf ist jederzeit möglich und es gibt keine Kopplung an den Kauf.

  • Double-Opt-In: verpflichtend verwenden und protokollieren (Zeitstempel, IP-Adresse, Inhalt der Einwilligung).

  • Datenminimierung: E-Mail als Pflichtfeld, Name optional.

  • Transportverschlüsselung (HTTPS) während der Anmeldung und Verwaltung.

  • Datenschutzhinweise aktuell halten: Hinweise auf Tracking im Newsletter (falls dies genutzt wird)

2.3     UNKLARE RECHTSGRUNDLAGE FÜR SAISONALE MAILINGS UND WEIHNACHTSPOST

Weihnachtspost per Postsendung oder Weihnachtsmailing an Bestandskund:innen:

·       Wir empfehlen die E-Mail-Werbung, soweit möglich, immer mit Double-Opt-In umzusetzen, da dies eine sichere Rechtsgrundlage darstellt.

·       Diese kann auf den § 7 UWG sowie berechtigtes Interessen gestützt werden: Hierzu müssen Sie die Informationspflichten erfüllen und Widersprüche (Art. 21 DSGVO/ § 23 KDG) konsequent beachten. Weiter muss eine Interessensabwägung erfolgen und diese muss dokumentiert werden.

·       Direktwerbung ist nur unter den genannten und einigen weiteren Voraussetzungen zulässig und daher fehleranfällig. Hierzu empfehlen wir die Orientierungshilfe der Datenschutzkonferenz zum Thema Direktwerbung (hier) umzusetzen und sich beraten zu lassen.

2.4     DATENWEITERGABEN IM VERSAND UND PAYMENT OHNE AUSREICHENDE TRANSPARENZ

• Maßnahmen:

  • Hierzu sollten Sie Ihre Datenschutzerklärung aktualisieren: Empfänger:innen und Dienstleister, Zwecke, Rechtsgrundlagen, Kategorien, ggf. Drittstaatenübermittlung und Garantien.

  • Cookie- und Tracking-Einsatz sauber trennen: technisch notwendige Cookies und zustimmungspflichtige Marketing- und Statistik-Cookies. Hierfür sollten Sie Ihr Einwilligungsmanagement korrekt konfigurieren.

Informationen zu unserem Consent Management WebCare finden Sie hier in unserem DataFreshup Blog. WebCare bietet Rundum-Sicherheit - ein einfach zu integrierendes Tool, das ein rechtskonformes Cookie/Consent-Banner, eine auf Ihre Website automatisiert zugeschnittene Datenschutzerklärung sowie Ihr persönliches Impressum zur Integration bereithält.

• Im Checkout nur notwendige Felder erheben, also am besten durchgehende TLS oder HTTPS Nutzung sicherstellen und sensible Hinweise klar formulieren.

2.5      FEHLENDE LÖSCHKONZEPTE UND FEHLENDES PEAK-HANDLING

• Lösch- und Aufbewahrungsfristen:

  • Das bedeutet Fristen definieren und technisch umsetzen: z. B. sofortige Deaktivierung nach Newsletter-Abmeldung, Löschung von Retourenetikettdaten nach Prozessende und gesetzliche Aufbewahrungsfristen für Rechnungsdaten gesondert behandeln.

• Berechtigungs- und Rollenkonzept:

  • Saisonale Zugriffe nur nach „Erforderlichkeit“ freigeben. Temporäre Berechtigungen nach Ihrem Verkaufspeak beenden und ein Vier-Augen-Prinzip bei Ex- und Importen durchführen.

• Incident-Management:

  • Meldewege und 72-Stunden-Checkliste für Datenpannen festlegen und unbedingt einhalten.

• Dokumentation:

  • Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO und § 31 KDG aktualisieren, wenn neue Tools oder Prozesse im Peak hinzukommen oder bereits  hinzugekommen sind.

• Ihre Unterstützung durch DataFreshup:

  • Wir sind Ihre externen Datenschutzbeauftragten: Wir prüfen Löschkonzepte, Berechtigungskonzepte und Peak-Notfallpläne vor Ihrem Saisonstart und begleiten Sie im Falle eines Verstoßes durch alle behördlichen Vorgaben. Vereinbaren Sie jetzt einen unverbindlichen Audit-Termin.

📅 Audittermin buchen

3       TYPISCHE FEHLER & GEGENMASSNAHME

·       Zu viele Pflichtfelder bei der Newsletter-Anmeldung:

o   Sie sollten eine Korrektur vornehmen, wenn mehr als nur die E-Mail-Adresse als Pflichtfeld eingepflegt sind. Optionale Felder sollten klar als freiwillig gekennzeichnet sein und Einwilligungstexte mit Link zur Datenschutzerklärung sollten vorliegen.

·       „Copy-Paste“-AV-Verträge ohne Spezifizierung:

o   Ebenso sollten Zweck, Datenkategorien, Betroffenengruppen, TOMs (Zugriffskontrolle, Verschlüsselung, Protokollierung), Subunternehmerliste, Weisungs- und Prüfrechte konkret benannt sein und Lösch- sowie Rückgabepflichten nach Auftragsende eingehalten werden.

·       Fehlendes Widerspruchsmanagement:

o   Ebenso sollten Anpassung vorgenommen werden, wenn Sie ein zentrales Opt-out-Register, automatische Synchronisierungen mit Newsletter-, CRM- und Shopsystemen nutzen. Vergessen Sie hierbei nicht die Schulung des Service-Teams zum Umgang mit Widersprüchen nach Art. 21 DSGVO/§ 23 KDG und legen Sie klare Prozesse für postalische und elektronische Widersprüche fest.

·       …

4      MASSNAHMEN UND BEISPIEL

4.1      SCHNELLE MASSNAHMEN (SOFORT UMSETZBAR

Den:die Datenschutzbeauftragte (zuvor) mit einbinden, da er:sie ggf. einige der folgenden Maßnahmen bereits dokumentiert hat oder Sie in der Umsetzung unterstützen kann:

• AVV-Statusliste: Alle Dienstleister erfassen, Spalten für den Verarbeitungstyp, „AVV nötig?“, „Status“, „Drittlandbezug“ erzeugen und ein großer Teil ist bereits getan.

• Double-Opt-In aktivieren und die Protokollierung überprüfen.

• Die Datenschutzerklärung aktualisieren: Empfänger, Zwecke, Rechtsgrundlagen, Widerspruchsrecht eingehalten und liegen vor? Dann nur noch schnell die Cookie/Consent-Einstellungen überprüfen.

• Versand- und Paymentflow durchgehen: Existieren nur erforderliche Daten, ist die Ende-zu-Ende-Verschlüsselung aktiv und habe ich klare Hinweise bei Fehlerfällen?

4.2     LANGFRISTIGE MASSNAHME

• Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO und § 31 KDG mit Ihrem AVV- und Prozesslisten verzahnen oder direkt im Datenschutzmanagement System Privacy by DataReporter eintragen.

• Regelmäßige Audits zu TOMs, Subprozessoren und Drittlandübermittlungen.

• Regelmäßige Schulungen für Marketing und Service zu Themen wie Einwilligungen, Widersprüchen und Datensparsamkeit.

5       FAZIT

Datenschutz im Weihnachtsgeschäft ist kein Bremsklotz, sondern sichert Vertrauen und reibungslose Abläufe. Wer AV-Verträge sauber einordnet, Einwilligungen nachweisbar gestaltet, die Transparenz stärkt und Lösch- sowie Notfallprozesse vorbereitet, bleibt handlungsfähig und gewappnet – auch im Peak.

6      QUELLEN UND RECHTLICHER RAHMEN (DSGVO/KDG)

• Art. 6 DSGVO/§ 6 KDG (Rechtsgrundlage): Jede Verarbeitung benötigt eine tragfähige Rechtsgrundlage, z. Bsp. Einwilligung oder berechtigtes Interesse. Für E-Mail-Werbung sind zusätzlich die Anforderungen des § 7 UWG zu beachten. Die Einwilligung wird in der Praxis durch Double-Opt-In rechtssicher und nachweisbar gemacht.

• Art. 7 DSGVO/ § 8 KDG (Einwilligung): Eine Einwilligung erfolgt stets freiwillig. Der Kunde wurde informiert und die Einwilligung ist nachweisbar. Es besteht ein Kopplungsverbot, das bedeutet: ein Kauf darf z.B. nicht von einer Werbeeinwilligung abhängen.

• Art. 28 DSGVO/§ 29 KDG (Auftragsverarbeitung): Es sind stets AV-Verträge notwendig, wenn Dienstleister personenbezogene Daten im Auftrag verarbeiten (z. Bsp. Durch Newsletter-Software, Lettershop und Hosting). Hierbei gelten die Mindestinhalte wie u. a. Gegenstand und Zweck der personenbezogenen Daten, Art der Daten, technische und organisatorische Maßnahmen (TOMs), Weisungsbindung, Löschung, Kontrollrechte und Subunternehmer.

• Art. 44 ff. DSGVO/§ 40 KDG (Drittlandübermittlungen): Bei Anbietern außerhalb der EU sind zusätzliche Garantien erforderlich (z. Bsp. Standardvertragsklauseln). Häufig sind diese relevant bei E-Mail-, Analyse-, oder Cloud-Diensten.

• Art. 6 und Art. 21 DSGVO/§ 6 und § 23 KDG (postalische Weihnachtspost an Bestandskund:innen): Möglich auf Grundlage berechtigter Interessen, wenn der Kunde informiert wurde und Widersprüche beachtet werden.