DSGVO und Cold E-Mail: Was im DACH-Raum 2026 wirklich erlaubt ist
Wann ist eine kalte B2B-Mail rechtlich sauber? Ein praktischer Leitfaden für Vertriebsteams in Deutschland, Österreich und der Schweiz - mit klarem Vergleich der drei Rechtsräume.
Warum Cold-Outreach im DACH-Raum kein Tabu ist
Viele Vertriebsteams denken, in Deutschland oder Österreich seien kalte B2B-Mails komplett verboten. Das stimmt so nicht. Der rechtliche Rahmen ist enger als in den USA, aber er erlaubt strukturiertes Outbound. Wer die Regeln kennt, kann seriös skalieren - ohne Abmahnrisiko.
Drei Themen sind relevant: das Datenschutzrecht (DSGVO), das Wettbewerbsrecht (UWG in Deutschland, UWG in Österreich, UWG in der Schweiz) und die nationalen Spezialregeln für elektronische Kommunikation. In diesem Artikel geht es nicht um Theorie, sondern um konkrete Antworten auf die zwei Fragen, die jeder Salesleiter wirklich hat: Darf ich die Adresse überhaupt verarbeiten? Und darf ich an diese Adresse eine kalte E-Mail schicken?
Teil 1 - Darf ich die Daten verarbeiten?
Hier greift die DSGVO. Eine geschäftliche E-Mail-Adresse mit Namen ist ein personenbezogenes Datum, auch wenn sie auf einer Firmenwebsite öffentlich steht. Für die Verarbeitung brauchst du eine Rechtsgrundlage. In B2B-Outreach kommt fast immer Art. 6 Abs. 1 lit. f DSGVO zum Einsatz: das berechtigte Interesse.
Berechtigtes Interesse heißt: Du musst eine Interessenabwägung dokumentieren. Drei Punkte sollten in deiner internen Notiz stehen.
Erstens: Was ist dein Interesse? Vertriebsanbahnung mit potenziellen Geschäftskunden ist anerkannt. Das EU-Erwägungsgrund 47 nennt Direktwerbung ausdrücklich als möglichen Anwendungsfall.
Zweitens: Wie greifst du ein? Bei einer einzelnen, sachlichen Mail an eine geschäftliche Adresse ist der Eingriff gering. Bei einer Massenmail an alle Geschäftsführer eines Bundeslandes wird es eng.
Drittens: Welche Erwartung hat der Empfänger? Ein Geschäftsführer, dessen Adresse auf der Firmenwebsite steht, rechnet im B2B-Kontext mit Anfragen. Eine Privatperson, deren Adresse aus einem geleakten Datensatz stammt, nicht.
Praktisch heißt das: Sammle nur geschäftliche Kontakte mit klarem Bezug zu deinem Angebot. Speichere nur die Felder, die du brauchst. Lösche, sobald keine Geschäftschance mehr besteht. Halte ein Verarbeitungsverzeichnis und eine Auskunftsroutine bereit.
Teil 2 - Darf ich an diese Adresse senden?
Hier wird es länderspezifisch. Das Datenschutzrecht regelt die Datenverarbeitung. Ob du die Adresse für Werbung kontaktieren darfst, regelt das Wettbewerbsrecht. Und das ist in jedem der drei Länder anders strukturiert.
Deutschland - § 7 UWG
Der § 7 UWG verbietet im Grundsatz E-Mail-Werbung ohne Einwilligung. B2B ist hier nicht automatisch ausgenommen. Allerdings gibt es eine wichtige Auslegung der Gerichte: Eine erste, sachliche Kontaktaufnahme zwischen Unternehmen, die einen klar erkennbaren geschäftlichen Bezug hat und nicht den Charakter einer Massenwerbung trägt, gilt nicht als unzumutbare Belästigung.
Die Praxis: Personalisierte Mails mit klarem Aufhänger (warum genau dieser Empfänger?), an einen sachlich passenden Ansprechpartner, mit eindeutigem Absender und Opt-out, sind in den allermeisten Fällen rechtlich verteidigbar. Massen-Newsletter ohne vorherige Einwilligung sind nicht. Der Übergang ist fließend, deshalb ist Personalisierung der Schlüssel.
Österreich - § 107 TKG
In Österreich regelt das Telekommunikationsgesetz (TKG) die elektronische Direktwerbung. § 107 TKG ist strenger als § 7 UWG: Auch im B2B braucht es nach dem Wortlaut grundsätzlich eine Einwilligung. Allerdings hat sich in der Praxis und in der Literatur durchgesetzt, dass eine sachlich-individuelle Erstkontaktanfrage zwischen Unternehmen nicht als Werbung im Sinne des § 107 zu werten ist, wenn sie nicht den Charakter einer Massenaussendung hat.
Praktisch ist Österreich also etwas restriktiver als Deutschland, aber auch hier sind individuelle Mails an passende Geschäftspartner möglich. Wichtig: Spätestens nach einer höflichen Erinnerung muss bei fehlender Reaktion Schluss sein. Drei Mails an eine Person, die nie geantwortet hat, sind im österreichischen Kontext schon kritisch.
Schweiz - Art. 3 lit. o UWG
Die Schweiz ist mit Abstand am liberalsten. Art. 3 lit. o UWG verbietet Massenwerbung per E-Mail ohne Einwilligung. Einzelne, individualisierte B2B-Anfragen fallen klar nicht unter das Verbot. Solange du nicht in den Massenwerbe-Bereich rutscht und einen Opt-out anbietest, ist Cold Outreach in der Schweiz weitgehend unproblematisch.
Was bedeutet das in der Praxis?
Wer in allen drei Ländern auf der sicheren Seite sein will, hält sich an fünf Regeln.
Erstens: Sende nur an Adressen mit klarem Bezug zu deinem Angebot. Wenn du ein Tool für Buchhalterinnen verkaufst, schreibe nicht den Marketingleiter an. Das ist nicht nur höflicher, sondern senkt das Abmahnrisiko massiv.
Zweitens: Personalisiere echt. Eine Zeile zu der Firma, der Branche oder einem konkreten Anlass. Das macht aus Spam eine Anfrage und ist im DACH-Raum der wichtigste Schutzfaktor.
Drittens: Halte das Volumen pro Sender und Domain im Rahmen. Mehr als ein paar Hundert Mails pro Tag aus einer Domain sind ein Red Flag - sowohl für Spam-Filter als auch für Gerichte, die "Massenwerbung" einstufen.
Viertens: Biete einen klaren Opt-out und respektiere ihn. Eine Antwort mit "kein Interesse" ist eine Sperre für alle Folgesequenzen, dauerhaft.
Fünftens: Dokumentiere. Speichere, woher du die Adresse hast (Quelle, Datum), warum sie zu deinem Angebot passt, und wann der letzte Kontakt war. Diese Notizen sind im Streitfall Gold wert.
Das Werkzeug muss DSGVO-fest sein
Egal wie sauber dein Outreach läuft - wenn dein Lead-Tool außerhalb der EU liegt, hast du ein zusätzliches Problem. Datenübermittlung in die USA ist nach Schrems II nur unter strengen Voraussetzungen möglich, und das Data Privacy Framework wird regelmäßig juristisch angegriffen.
Leadsucher hostet alle Daten in der EU (Irland) und ist auf den DACH-Raum spezialisiert. Du arbeitest mit einer einzigen Datenverarbeitungsvereinbarung nach Art. 28 DSGVO, ohne SCC-Hürden, und kannst deinen Datenschutzbeauftragten ohne ungute Diskussionen ins Boot holen.
Fazit
Cold-Outreach im DACH-Raum ist erlaubt, wenn du Personalisierung und Volumendisziplin ernst nimmst. Die Daten dürfen verarbeitet werden, wenn das berechtigte Interesse dokumentiert ist. Die E-Mail darf raus, wenn sie sachlich, personalisiert und mit Opt-out versehen ist. Der Unterschied zwischen einem produktiven Outbound-Programm und einer Abmahnung ist meist eine Frage der Disziplin, nicht des Rechts.
Hinweis: Dieser Artikel ist eine Einordnung, keine Rechtsberatung. Hol dir bei größeren Kampagnen einen Anwalt für IT- und Datenschutzrecht ins Haus.