overwise.
EN DE
Anmelden Kostenlos testen
DSGVO

Ist Cold E-Mail DSGVO-konform?

Ja — im B2B-Kontext und unter drei Pflichtbedingungen. Diese Seite erklärt den Rechtsrahmen (DSGVO Art. 6(1)(f), UWG §7(2) Nr. 3, EU-KI-Verordnung Art. 50), zeigt, was eine konforme Cold-E-Mail enthalten muss, und macht die Linie zwischen erlaubtem mutmaßlichem Interesse und Abmahnrisiko sichtbar. Keine Rechtsberatung — eine Praxis-Übersicht für Gründer:innen, die in Deutschland und der EU akquirieren.

Geprüft von Tobias Duelli, Gründer · Juni 2026 · Keine Rechtsberatung
Die kurze Antwort

Cold E-Mail im B2B ist in Deutschland legal, wenn drei Bedingungen erfüllt sind: (1) die Kontaktdaten stammen aus rechtmäßiger, öffentlich zugänglicher Geschäftsquelle und werden auf Art. 6(1)(f)-Grundlage (berechtigtes Interesse) verarbeitet; (2) die erste Nachricht enthält den Transparenzhinweis nach Art. 13/14 DSGVO mit Link zur vollen Datenschutzerklärung und Quellenangabe; (3) jede Nachricht bietet eine 1-Klick-Abmeldemöglichkeit, die plattformweit sofort wirkt. Seit 2. August 2026 zusätzlich: EU-KI-Verordnung Art. 50 verlangt, dass KI-gestützte Nachrichten als solche offengelegt werden.

Die drei Rechtssäulen

DSGVO, UWG, EU-KI-VO — was jede vorgibt.

01

DSGVO Art. 6(1)(f) — berechtigtes Interesse.

Rechtsgrundlage für die Verarbeitung der Geschäftskontaktdaten. Drei-Stufen-Test: (a) berechtigtes Interesse vorhanden (Geschäftsanbahnung gilt), (b) Verarbeitung erforderlich (öffentliche Quellen, nur relevante Felder), (c) Interessen des Empfängers überwiegen nicht (B2B-Geschäftskontext, niedrige Eingriffstiefe, einfacher Widerspruch). Eine dokumentierte Interessenabwägung (LIA) sollte vorliegen.

02

UWG §7(2) Nr. 3 — mutmaßliches Interesse.

Wettbewerbsrechtliche Ausnahme vom Einwilligungserfordernis für gewerbliche Empfänger. Voraussetzung: die Werbung steht „im Zusammenhang mit einer bestehenden Geschäftsbeziehung oder einem mutmaßlichen Interesse\". In der Praxis: die Nachricht muss erkennbar für das Geschäft des Empfängers relevant sein. Gilt ausdrücklich nicht gegenüber Verbraucher:innen — dort gilt UWG §7(2) Nr. 2 mit Einwilligungspflicht.

03

EU-KI-Verordnung Art. 50 — Offenlegung ab 2/8/2026.

Seit 2. August 2026 verlangt Art. 50(4) der EU-KI-Verordnung: wenn eine Nachricht „mithilfe eines KI-Systems erstellt oder manipuliert\" wurde und an natürliche Personen geht, muss das spätestens zum Zeitpunkt der ersten Interaktion klar und erkennbar offengelegt werden. Praktisch: ein Footer-Hinweis („Diese Nachricht wurde mit KI-Unterstützung erstellt\") oder eine entsprechende Formulierung im Text. Verstöße: bis zu 15 Mio. € oder 3 % Umsatz (Art. 99).

Praxis-Checkliste

Was deine Cold-E-Mail haben muss.

Sieben Pflichtelemente. Wenn eines fehlt, bist du in Abmahnreichweite — auch wenn das Geschäft sonst sauber ist.

  • Rechtmäßige Datenquelle. Geschäftskontakte aus öffentlich zugänglichen Quellen (Unternehmenswebsites, LinkedIn-Profile mit Geschäftsbezug, Branchenverzeichnisse). Keine geleakten Datenbanken, keine gekauften Listen ohne dokumentierten Lawful-Source-Nachweis.
  • Klar geschäftliche Adresse. Nur [email protected], [email protected] oder [email protected] mit klar geschäftlicher Rolle. Bei freien Berufen und gemischten Adressen: konservativ wie B2C behandeln.
  • Erkennbar relevanter Inhalt. Die Nachricht muss in plausibel mutmaßlichem Interesse stehen. Beispiel: Buchungs-Software an ein Padel-Studio — ja. Dieselbe Software an ein Architekturbüro — nein.
  • Absender klar identifiziert. Name, Firma, Anschrift, Kontakt — analog zur Impressumspflicht (TMG §5). Versteckte Header oder anonyme Absender sind unzulässig.
  • Art. 13/14-Transparenzhinweis. Pflichtangaben im Footer oder direkt im Text, inklusive Datenquelle (Art. 14) und Link zur vollen Datenschutzerklärung.
  • 1-Klick-Abmeldemöglichkeit, plattformweit. Ein Klick, kein Login, sofort wirksam. Sperrung wirkt für alle aktuellen und zukünftigen Kampagnen, nicht nur die aktuelle. Art. 21 DSGVO ist absolut.
  • KI-Offenlegung (ab 2/8/2026). EU-KI-VO Art. 50 verlangt die Offenlegung KI-gestützter Inhalte. Footer-Hinweis genügt, wenn er klar und erkennbar ist.
Wie Overwise das standardmäßig erzwingt

Standardmäßig konform — nicht als Add-on.

Overwise wurde aus der Compliance-Perspektive heraus entworfen. Die sieben Punkte oben sind nicht abschaltbare Defaults:

  • Datenquellen-Provenance pro Lead. Jeder gespeicherte Kontakt hat einen dokumentierten Lawful-Source-Vermerk (welche öffentliche Quelle, wann gescrapt, welche Felder).
  • Auto-Footer. Art. 13/14-Transparenzhinweis, Datenquellenangabe, Link zur Datenschutzerklärung, KI-Offenlegung nach EU-KI-VO Art. 50 — alle in jede erste Nachricht automatisch injiziert. Nicht überschreibbar.
  • Plattformweite Sperrliste. Wer abmeldet oder „kein Interesse\" antwortet, wird in einer kunden-übergreifenden Sperrliste hinterlegt — gilt sofort und permanent für jede zukünftige Overwise-Kampagne, auch anderer Kunden.
  • EU-Datenhaltung. Primär-Speicher MongoDB Atlas Frankfurt, Vektor-Index Qdrant Deutschland. AVV im Founder-Team; auf Anfrage in Growth.
  • Cite-or-Discard. Jede Behauptung im Draft muss auf ein gescrapedes Signal zurückgehen. Verhindert erfundene Fakten, die im DSGVO-Auskunftsverfahren peinlich werden.

Häufige rechtliche Fragen, kurz beantwortet.

Ist Cold E-Mail in Deutschland erlaubt?

Ja, im B2B-Kontext und unter Bedingungen. Rechtsrahmen: DSGVO Art. 6(1)(f) berechtigtes Interesse für die Verarbeitung der Geschäftskontaktdaten plus UWG §7(2) Nr. 3, der „mutmaßliches Interesse" als Ausnahme vom Einwilligungserfordernis kennt — gilt nur bei gewerblichen Empfängern (juristische Personen, Einzelkaufleute), nicht gegenüber Verbraucher:innen. Drei Pflichtbausteine: (1) rechtmäßige Datenquelle (öffentliche Geschäftskontakte), (2) Transparenzinfo nach Art. 13/14 in der ersten Nachricht, (3) sofort wirksame Abmeldemöglichkeit.

Was ist „mutmaßliches Interesse" konkret?

UWG §7(2) Nr. 3 erlaubt E-Mail-Werbung gegenüber Gewerbetreibenden ohne vorherige Einwilligung, wenn die Werbung „im Zusammenhang mit einer bestehenden Geschäftsbeziehung oder einem mutmaßlichen Interesse des Empfängers steht". In der Praxis bedeutet das: die Nachricht muss erkennbar relevant für das Geschäft des Empfängers sein. Eine Cold-E-Mail an ein Padel-Studio über Booking-Software ist plausibel mutmaßliches Interesse; eine an dieselbe Person über Bürobedarf ist es nicht. Die Beweislast trägt der Versender.

Verbraucher:innen vs. Geschäftskontakt — wo ist die Grenze?

B2C ist klar: ohne ausdrückliche Einwilligung keine Cold E-Mail (UWG §7(2) Nr. 2). B2B ist offen, aber nur für rein geschäftliche Adressen ([email protected], [email protected] bei klar geschäftlicher Rolle). Personenbezogene Adressen bei freien Berufen (Anwält:innen, Ärzt:innen) gelten in der Rechtsprechung uneinheitlich — konservative Praxis behandelt sie wie B2C. Hybride Adressen ([email protected] mit Geschäftsbezug) sind im Zweifel B2C.

Was fordert Art. 13/14 DSGVO konkret?

Art. 13 (Daten direkt erhoben) bzw. Art. 14 (Daten aus dritter Quelle, z.B. öffentlicher Web-Scrape) verlangen Informationen über: Identität des Verantwortlichen, Zwecke und Rechtsgrundlage der Verarbeitung, Empfänger:innen oder Kategorien, Speicherdauer, Rechte (Auskunft, Berichtigung, Löschung, Widerspruch), Beschwerderecht bei der Aufsichtsbehörde. Bei Art. 14 zusätzlich: Datenquelle. In Cold-E-Mail: ein kurzer Footer-Hinweis mit Link zur vollen Datenschutzerklärung reicht, wenn er die Pflichtangaben transparent macht.

Was verlangt EU-KI-Verordnung Art. 50 für Cold E-Mail?

Seit 2. August 2026: Wenn die Nachricht „mit Hilfe eines KI-Systems erstellt oder manipuliert" wurde und an natürliche Personen geht, muss das offengelegt werden — „auf klare und erkennbare Weise spätestens zum Zeitpunkt der ersten Interaktion". Praktisch: ein kurzer Hinweis im Footer („Diese Nachricht wurde mit KI-Unterstützung erstellt") oder eine entsprechende Formulierung im Text. Bußgeld bei Nichtbeachtung: bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes (Art. 99 EU-KI-VO). Overwise injiziert den Hinweis standardmäßig.

Auto-Sperrung — Pflicht oder Kür?

Pflicht. DSGVO Art. 21 gibt ein absolutes Widerspruchsrecht gegen Direktwerbung, unverzüglich umzusetzen. Praktisch heißt das: ein:e Empfänger:in, der/die antwortet „kein Interesse" oder den Abmelde-Link klickt, muss aus allen aktuellen und zukünftigen Kampagnen entfernt werden, nicht nur aus der aktuellen. Tools, die nur auf Kampagnenebene sperren, verstoßen gegen Art. 21. Overwise führt eine plattformweite Sperrliste, die jeden Versand prüft.

Welche Bußgelder drohen?

DSGVO: bis zu 20 Mio. € oder 4 % des Jahresumsatzes (Art. 83(5)). UWG: Abmahnung mit Unterlassungsforderung und Anwaltskosten, plus Vertragsstrafe bei wiederholtem Verstoß. EU-KI-Verordnung Art. 50: bis zu 15 Mio. € oder 3 % Umsatz. In der Praxis liegen die DSGVO-Strafen im B2B-Cold-E-Mail-Bereich aktuell im niedrigen fünfstelligen Bereich pro Verfahren — aber jede Beschwerde bei der DSB löst Aufwand und Reputationsrisiko aus.

Wo werden meine Daten gespeichert?

Overwise speichert primär in MongoDB Atlas EU-Central (Frankfurt), Vektor-Index in Qdrant Deutschland. AES-256 verschlüsselt, TLS 1.3. Sub-Processor mit EU-Datenhaltung oder gültigem DPF/SCC-Framework — vollständige Liste unter /de/security. AVV (Auftragsverarbeitungsvertrag) im Founder-Team-Plan; auf Anfrage auch in Growth.

Was passiert bei einer Auskunftsanfrage nach Art. 15?

Innerhalb von 30 Tagen (verlängerbar um 2 Monate bei komplexen Anfragen) müssen wir herausgeben: alle gespeicherten personenbezogenen Daten, die Zwecke der Verarbeitung, die Datenquelle, die Empfänger:innen, die Speicherdauer und die genutzte Rechtsgrundlage. Overwise hat einen Auskunfts-Endpunkt unter /suppress und beantwortet jede Anfrage unter [email protected] innerhalb der DSGVO-Frist.

Kostenlos testen

In 5 Minuten startklar. Heute die ersten Leads.

★★★★★ 4.9 · 620+ reviews

"Set it up in five minutes, no demo gate. First verified list before my coffee was cold — and it sounds exactly like me."

P
Priya NadarHead of GTM, Foldable
Karte nötig · Keine Pflicht-Demo · Jederzeit kündbar
14 Tage kostenlos testen — in 5 Minuten startklar →