E-Mail-Marketing ist einer der effektivsten Kanäle für Schweizer KMU — und zugleich einer der rechtlich am stärksten regulierten. Das neue Datenschutzgesetz (nDSG) und das Bundesgesetz gegen den unlauteren Wettbewerb (UWG) schaffen gemeinsam einen klaren Rahmen: Wer eine Newsletter-Liste ohne die richtigen Grundlagen betreibt, riskiert Strafanzeigen, Abmahnungen und empfindliche Reputationsschäden. Dieser Leitfaden erklärt, was das Gesetz verlangt, was empfohlen wird und wie Sie eine konforme Praxis von Anfang an aufbauen.
Der rechtliche Rahmen: nDSG und UWG
E-Mail-Marketing in der Schweiz wird durch zwei Gesetze gleichzeitig geregelt.
Das nDSG (in Kraft seit 1. September 2023, fedlex.admin.ch) regelt die Bearbeitung von Personendaten. Sobald Sie eine E-Mail-Adresse erheben, verarbeiten Sie eine Personendaten im Sinne von Art. 5 nDSG. Damit gelten alle Transparenz-, Zweckbindungs- und Einwilligungspflichten des Gesetzes.
Das UWG (Art. 3 Abs. 1 lit. o UWG) verbietet Spam ausdrücklich. Als unlauter gilt, wer Massenwerbung per E-Mail versendet, ohne dass der Empfänger zuvor eingewilligt hat oder ohne ihm eine einfache Möglichkeit zu bieten, künftige Sendungen abzulehnen. Diese Bestimmung gilt unabhängig vom nDSG und kann von Empfängern, Mitbewerbern oder Konsumentenschutzorganisationen direkt geltend gemacht werden.
Das Zusammenspiel dieser beiden Gesetze bedeutet: Opt-in ist in der Schweiz für E-Mail-Marketing Pflicht — es handelt sich nicht um eine blosse Empfehlung.
Einwilligung: Opt-in vorausgesetzt, mit einer B2B-Ausnahme
B2C: vorherige ausdrückliche Einwilligung erforderlich
Für jeden kommerziellen Versand an Privatpersonen müssen Sie vor dem ersten Versand eine ausdrückliche, vorherige Einwilligung einholen. Diese muss folgende Anforderungen erfüllen:
- Freiwillig: Die Newsletter-Anmeldung darf nicht an einen Kauf oder den Zugang zu einer Dienstleistung geknüpft sein
- Informiert: Die Person muss genau wissen, was sie abonniert (Inhaltsart, Frequenz, Absender)
- Spezifisch: Eine allgemeine AGB-Zustimmung gilt nicht als Einwilligung zum Empfang von Marketing-E-Mails
- Eindeutig: Ein vorausgefülltes Kästchen reicht nicht — die Person muss aktiv handeln
B2C: der "Soft Opt-in" für Bestandskunden
Das UWG sieht eine Ausnahme für bestehende Geschäftsbeziehungen vor. Wenn Ihnen jemand ein ähnliches Produkt oder eine ähnliche Dienstleistung abgekauft hat und Sie bei der Erhebung der E-Mail-Adresse die Möglichkeit zur Ablehnung angeboten haben, dürfen Sie dieser Person ohne erneute ausdrückliche Einwilligung entsprechende Angebote zusenden. Dies nennt man Soft Opt-in.
Kumulative Voraussetzungen des Soft Opt-in:
- Die Person ist Ihre Kundin oder Ihr Kunde (tatsächlicher Kauf, nicht nur Interessentin)
- Der beworbene Inhalt ist dem Gekauften ähnlich
- Sie haben bei der Datenerhebung eine Opt-out-Möglichkeit angeboten
- Jede E-Mail enthält einen Abmelde-Link
In der Praxis ist der Soft Opt-in riskanter als er scheint: Die Voraussetzungen werden eng ausgelegt, und die Beweislast liegt bei Ihnen.
B2B: flexibler, aber nicht regellos
Für E-Mails an Unternehmen (geschäftliche E-Mail-Adressen) ist der Rahmen etwas grosszügiger. Das UWG toleriert eine gewisse B2B-Akquise, solange sie relevant für die Tätigkeit des Empfängers ist und jede Nachricht die Möglichkeit zur Abmeldung bietet. Das nDSG gilt jedoch weiterhin: Geschäftliche E-Mail-Adressen, die eine Person direkt identifizieren (vorname.name@firma.ch), bleiben Personendaten.
Double Opt-in: gesetzlich nicht vorgeschrieben, aber unverzichtbar
Das nDSG und das UWG schreiben kein Double Opt-in (Bestätigungs-E-Mail, die der Empfänger vor der Anmeldung bestätigen muss) ausdrücklich vor. Trotzdem empfehlen nahezu alle Schweizer Compliance-Experten dieses Verfahren aus gutem Grund:
- Einwilligungsnachweis: Das Double Opt-in erzeugt einen zeitgestempelten, nachvollziehbaren Datensatz, den Sie bei Streitigkeiten oder Prüfungen vorlegen können
- Listenqualität: Es eliminiert Tippfehler, ungültige Adressen und missbräuchliche Anmeldungen
- Zustellbarkeit: Eine saubere Liste senkt Ihre Bounce-Rate und schützt Ihre Absenderreputation
- Schutz vor Missbrauch: Ohne Double Opt-in kann jemand die Adresse einer anderen Person ohne deren Wissen anmelden
Ohne Double Opt-in ist Ihre Einwilligung schwerer nachzuweisen. Bei einer Klage nach UWG oder einer Anfrage des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) müssen Sie belegen, dass die Anmeldung freiwillig und informiert war.
Pflichtangaben in jeder Marketing-E-Mail
Jede von Ihnen versendete Marketing-E-Mail muss folgende Elemente zwingend enthalten:
| Element | Details |
|---|---|
| Identität des Absenders | Firmenname, vollständige Postadresse — nicht nur ein Domainname |
| Abmelde-Link | Funktionsfähig, sichtbar, innerhalb angemessener Frist bearbeitet (in der Praxis max. 10 Werktage) |
| Link zur Datenschutzerklärung | Oder zumindest ein Hinweis auf die Datenbearbeitung |
| Nicht irreführender Betreff | Der Betreff darf über Inhalt oder Absender nicht täuschen (UWG Art. 3 lit. b) |
Das Fehlen eines Abmelde-Links oder einer eindeutigen Absenderkennzeichnung stellt einen direkten Verstoss gegen das UWG dar — unabhängig von jeder Einwilligungsfrage.
Datenschutzerklärung: Was hineingehört
Wenn Sie E-Mail-Marketing betreiben, muss Ihre Datenschutzerklärung diese Tätigkeit ausdrücklich erwähnen. Gemäss Art. 19 nDSG (Informationspflicht) müssen Sie darin angeben:
- Den Zweck: Versand von Newslettern und kommerziellen Mitteilungen
- Die Rechtsgrundlage: Einwilligung (oder berechtigtes Interesse bei B2B, zu dokumentieren)
- Die Datenkategorien: E-Mail-Adresse, Vorname, Verhalten (Öffnungen, Klicks) falls getrackt
- Die Drittempfänger: Name Ihres E-Mail-Tools (Mailchimp, Brevo usw.)
- Die Aufbewahrungsdauer: bis zur Abmeldung, danach wie lange Sie Logs aufbewahren
- Das Recht auf Widerruf der Einwilligung und wie es ausgeübt werden kann
Einwilligungsnachweise (wer hat wann, über welches Formular, mit welchem Text eingewilligt) müssen aufbewahrt werden. Im Streitfall müssen Sie die Einwilligung nachweisen — nicht der Empfänger deren Fehlen.
Anmeldeformulare: Transparenz von Anfang an
Das Newsletter-Anmeldeformular ist der erste rechtliche Berührungspunkt. Es muss mehrere Regeln einhalten:
Angaben zum Zeitpunkt der Anmeldung:
- Wer die Daten erhebt (Ihr Firmenname)
- Zu welchem Zweck (Newsletter, Promotionen, Neuigkeiten — seien Sie präzise)
- In welcher ungefähren Frequenz
- An welches Tool die Daten weitergeleitet werden (z.B. "Ihre Daten werden von Brevo SAS, Frankreich, verarbeitet")
- Wie man sich abmelden kann
Was Sie nicht tun dürfen:
- Das Newsletter-Kästchen vorausmarkieren
- Den Zugang zu herunterladbaren Inhalten an die Newsletter-Anmeldung knüpfen, ohne Alternative
- Mehr Daten erheben als nötig (Grundsatz der Datensparsamkeit, Art. 6 Abs. 2 nDSG)
Ein simpler Link "Datenschutzerklärung" in der Nähe des Formulars reicht nicht — die wesentlichen Informationen müssen sichtbar sein, ohne dass der Nutzer woanders klicken muss.
Drittanbieter-Tools: Mailchimp, Brevo und Datentransfers ins Ausland
Die grosse Mehrheit der Schweizer KMU nutzt ausländische E-Mail-Tools. Diese beinhalten eine Übermittlung von Personendaten ins Ausland, die spezifische Pflichten nach nDSG (Art. 16–17) auslöst.
US-Anbieter (Mailchimp, Klaviyo, HubSpot, Constant Contact)
Die Vereinigten Staaten stehen nicht auf der Liste der Länder mit angemessenem Datenschutzniveau, die der EDÖB anerkannt hat. Die Übermittlung Ihrer E-Mail-Liste auf US-Server erfordert geeignete Garantien, in der Regel:
- Schweizer oder europäische Standardvertragsklauseln (SVK/SCC), oder
- Verbindliche unternehmensinterne Datenschutzvorschriften (BCR)
In der Praxis bieten die meisten dieser Tools einen Data Processing Agreement (DPA) an, der SCCs enthält. Sie müssen ihn unterzeichnen und nachweisen können. Das geschieht nicht automatisch — Sie müssen den DPA in Ihren Kontoeinstellungen aktivieren oder separat unterzeichnen.
Ausserdem müssen Sie diese Übermittlung in Ihrer Datenschutzerklärung mit Anbietername, Bestimmungsland und Übermittlungsgrundlage erwähnen.
Europäische Anbieter (Brevo/Sendinblue, Mailjet)
EU/EWR-Länder verfügen über eine vom EDÖB anerkannte Angemessenheitsentscheidung. Die Übermittlung an einen in Frankreich oder Deutschland gehosteten Anbieter ist daher einfacher zu begründen — vorausgesetzt, ein DPA ist vorhanden.
In der Schweiz gehostete Alternativen
Für Unternehmen, die ihre Abonnentenlisten in der Schweiz behalten möchten, gibt es verschiedene Optionen:
- Infomaniak Newsletter (Genf) — Schweizer Hosting, native nDSG-Konformität, transparentes Pricing
- Mautic selbst gehostet auf Infomaniak- oder Exoscale-Infrastruktur — Open-Source-Lösung, volle Kontrolle
- Proca — Schweizer Tool, ursprünglich für Bürgerbeteiligung konzipiert
Schweizer Hosting vereinfacht die Compliance (kein internationaler Transfer zu rechtfertigen), befreit Sie aber nicht von den übrigen Pflichten: Einwilligung, Pflichtangaben in E-Mails, Datenschutzerklärung.
Gekaufte Adresslisten: fast immer illegal
Der Kauf von E-Mail-Adresslisten ist eine Praxis, die das Schweizer Recht in nahezu allen Fällen verbietet. Die Gründe:
- Die Personen auf diesen Listen haben nicht eingewilligt, Ihre spezifischen Kommunikationen zu empfangen — eine allenfalls erteilte Einwilligung wurde gegenüber einem Dritten für einen anderen Zweck gegeben
- Ein Listenverkäufer kann Ihnen keine gültige Einwilligung nach nDSG übertragen: Einwilligungen sind persönlich und nicht übertragbar
- Das Versenden an diese Adressen verstösst bereits mit der ersten Nachricht gegen Art. 3 lit. o UWG
- Sie riskieren ausserdem Massnahmen Ihres E-Mail-Dienstleisters (Kontosperrung) und eine drastische Verschlechterung Ihrer Zustellbarkeit
Das Argument "die Liste stammt aus einer seriösen Quelle" hält rechtlich nicht stand. Die einzig legale Liste ist jene, die Sie selbst aufgebaut haben — mit der ausdrücklichen Einwilligung jeder einzelnen eingetragenen Person.
Tracking-Pixel und Link-Tracking: auch hier gilt Einwilligung
Die meisten E-Mail-Tools aktivieren standardmässig das Öffnungs-Tracking (Tracking-Pixel) und das Klick-Tracking (Weiterleitungs-Links). Diese Funktionen stellen eine Verarbeitung von Verhaltensdaten handelt.
Nach dem nDSG erfordert die Erhebung von Verhaltensdaten über E-Mail-Marketing:
- Eine klare Information in der Datenschutzerklärung (welche Daten werden erhoben, zu welchem Zweck)
- Eine Einwilligung, wenn diese Daten für Profiling im Sinne von Art. 5 lit. f nDSG verwendet werden
In der Praxis gilt: Wenn Sie Tracking nur für aggregierte interne Statistiken nutzen (globale Öffnungsrate, globale Klickrate), können Sie sich auf berechtigtes Interesse stützen — vorausgesetzt, Sie haben es dokumentiert und in Ihrer Datenschutzerklärung erwähnt. Wenn Sie diese Daten für individuelles Profiling oder feingranulare Verhaltenssegmentierung nutzen, ist eine ausdrückliche Einwilligung erforderlich.
Ein Hinweis in den E-Mails, dass diese ein Tracking-Pixel enthalten, ist nach dem nDSG nicht ausdrücklich vorgeschrieben, gilt jedoch als Best Practice und kann Beschwerden vermeiden.
Zusammenfassung: B2C vs. B2B
| Aspekt | B2C (Privatpersonen) | B2B (Unternehmen) |
|---|---|---|
| Opt-in erforderlich | Ja, vorherige ausdrückliche Einwilligung | Toleranz für relevante Akquise, Opt-in empfohlen |
| Soft Opt-in | Möglich für Bestandskunden (strenge Voraussetzungen) | Flexibler, Inhalt muss zur Tätigkeit passen |
| Double Opt-in | Dringend empfohlen | Empfohlen |
| Abmelde-Link | Pflicht | Pflicht |
| nDSG anwendbar | Ja | Ja (namentliche Adressen) |
| UWG anwendbar | Ja | Ja |
Häufig gestellte Fragen
Darf ich meinen ehemaligen Kunden ohne neue Einwilligung einen Newsletter schicken? Das kommt darauf an. Der Soft Opt-in gilt, wenn das beworbene Produkt dem bereits gekauften ähnlich ist und Sie bei der Datenerhebung eine Opt-out-Möglichkeit angeboten haben. Im Zweifelsfall ist eine Bestätigung der sicherere Weg.
Was tun, wenn sich jemand abmeldet? Entfernen Sie die Adresse innerhalb angemessener Frist aus Ihrer aktiven Liste (max. 10 Werktage). Sie können die Adresse in einer Sperrliste aufbewahren, um versehentliche Wiederanmeldungen zu verhindern — aber Sie dürfen der Person keine kommerziellen Mitteilungen mehr senden.
Mein CRM importiert automatisch Kontakte aus LinkedIn oder anderen Quellen — ist das legal? Nein, in den meisten Fällen nicht. Die Tatsache, dass eine Adresse öffentlich zugänglich ist, gilt nicht als Einwilligung zum Empfang Ihrer Newsletter.
Gilt das nDSG, wenn ich aus dem Ausland an Personen in der Schweiz sende? Ja. Das nDSG hat eine ähnliche Extraterritorialität wie die DSGVO: Es gilt, sobald Sie Daten von in der Schweiz wohnhaften Personen verarbeiten — unabhängig von Ihrem Standort.
Bevor Sie Ihren nächsten Newsletter versenden, sollten Sie wissen, was Ihre Website tatsächlich erhebt. Analysieren Sie Ihre Website kostenlos mit PrivaScan: In wenigen Minuten erkennen Sie alle aktiven Tracker, Drittskripte und nDSG-Verstösse, die Ihre gesamte Marketing-Strategie gefährden könnten.