Ist Double-Opt-In in Österreich gesetzlich vorgeschrieben?

Double-Opt-In wird im § 174 TKG 2021 nicht ausdrücklich genannt. In der Praxis ist es trotzdem unvermeidbar. Ohne Bestätigungsklick durch den Adresseninhaber kann der Sender weder die Einwilligungs-Identität nach Art. 7 Abs. 1 DSGVO noch die Freiwilligkeit nachweisen. Die DSB und das Fernmeldebüro behandeln Single-Opt-In als unzureichende Beweisbasis.

Darf ich Bestandskunden in Österreich automatisch in den Newsletter eintragen?

Nur sehr eingeschränkt nach § 174 Abs. 4 TKG 2021. Erlaubt ist Werbung für ähnliche eigene Produkte an im Verkauf erhobene Adressen, sofern der Kunde bei der Erhebung auf das Widerspruchsrecht hingewiesen wurde, nicht widersprochen hat und jede einzelne E-Mail einen kostenlosen Widerspruchs-Link enthält. Eine pauschale Newsletter-Aufnahme aller Käufer scheitert daran.

Was muss ein Newsletter-Abmelde-Link in Österreich erfüllen?

Er muss in jeder Werbe-E-Mail enthalten, kostenlos, mit einem Klick erreichbar und ohne Login funktionieren. § 174 Abs. 4 Z 4 TKG 2021 verlangt die kostenlose Möglichkeit zum Widerspruch in jeder einzelnen Sendung. Ein Abmelde-Formular mit Passwort-Eingabe oder mehrtägigen Wartezeiten ist nicht ausreichend.

Wie lange muss ich Einwilligungs-Belege aufbewahren?

Solange Sie die Adresse aktiv für Werbung nutzen, plus eine angemessene Verteidigungszeit für etwaige Verfahren. Empfohlen sind drei Jahre nach letzter Verwendung. Im Verfahren beim Fernmeldebüro oder vor dem Bezirksgericht trägt der Sender die Beweislast für die wirksame Einwilligung. Ohne Audit-Trail ist die Verteidigung schwierig.

DSGVO & Datenschutz

Newsletter in Österreich: § 174 TKG, Double-Opt-In

Steven | TrustYourWebsite · 10. Mai 2026 · Zuletzt aktualisiert: Mai 2026

E-Mail-Marketing ist für viele kleine Unternehmen das effektivste Werbe-Instrument. In Österreich liegt die Compliance-Last allerdings doppelt. Das Telekommunikationsgesetz 2021 (TKG 2021) verlangt eine vorherige Einwilligung. Die DSGVO verlangt deren Nachweis und Widerrufbarkeit. Beide Schienen laufen parallel. Wer eine erfüllt, ist nicht automatisch auf der anderen sicher.

Zwei Rechtsgrundlagen, die beide gelten müssen

E-Mail-Marketing in Österreich unterliegt:

§ 174 TKG 2021 (Telekommunikationsgesetz 2021): Das Zusenden „elektronischer Post" zu Werbezwecken ohne vorherige Einwilligung des Empfängers ist verboten. Das gilt gegenüber Verbraucher:innen wie gegenüber Geschäftskund:innen. Aufsicht ist das Fernmeldebüro im Geschäftsbereich der RTR. Verwaltungsstrafen reichen bis EUR 50.000 pro Verstoß (§ 188 TKG 2021).

Art. 6 Abs. 1 lit. a und Art. 7 DSGVO: Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein. Sie muss nachweisbar sein. Sie muss jederzeit so leicht widerrufbar sein wie sie erteilt wurde.

Daneben kann jede Werbe-E-Mail ohne Einwilligung als „aggressive Geschäftspraktik" nach § 7 UWG durch Mitbewerber oder den VKI per Unterlassungsklage angegriffen werden. Das ist die wettbewerbsrechtliche Schiene neben der telekommunikationsrechtlichen.

In der Praxis trifft Sie bei einem fehlerhaften Versand häufig beides: ein Verfahren beim Fernmeldebüro und eine Mitbewerber-Klage. Die Beweislast für eine wirksame Einwilligung liegt in beiden Fällen beim Sender.

TKG 2021 und DSGVO im Vergleich

Anforderung	§ 174 TKG 2021	DSGVO (Art. 6, 7)
Rechtsgrundlage für den Versand	Vorherige Einwilligung nötig	Art. 6 Abs. 1 lit. a (Einwilligung)
Form der Einwilligung	Aktiv und vorab	Freiwillig, spezifisch, informiert
Beweispflicht	Sender muss Einwilligung belegen	Art. 7 Abs. 1: Nachweis durch Verantwortlichen
Widerruf	Kostenlos in jeder Sendung (Abs. 4 Z 4)	Art. 7 Abs. 3: jederzeit, so leicht wie Erteilung
Aufsicht	Fernmeldebüro (RTR)	Datenschutzbehörde
Sanktion	bis EUR 50.000 (§ 188 TKG 2021)	bis 4 % Jahresumsatz oder EUR 20 Mio.

Warum Double-Opt-In faktisch Pflicht ist

Double-Opt-In läuft in fünf Schritten:

Nutzer trägt die E-Mail-Adresse im Anmeldeformular ein und klickt „Anmelden".
Das System speichert die Adresse vorläufig und vergibt einen einmaligen Token.
Ein automatisches System sendet eine Bestätigungs-E-Mail mit einem Bestätigungs-Link.
Der Empfänger klickt den Link in der eigenen Inbox.
Erst nach dem Klick gilt die Einwilligung als erteilt. Die Adresse wird in den Versand-Verteiler aufgenommen.

Double-Opt-In ist im § 174 TKG 2021 nicht ausdrücklich genannt. Aus zwei Gründen ist es trotzdem unvermeidbar.

Nachweis nach Art. 7 Abs. 1 DSGVO. „Der Verantwortliche muss nachweisen können, dass die betroffene Person eingewilligt hat." Bei Single-Opt-In belegen Sie nur, dass jemand die E-Mail-Adresse eingetragen hat. Sie belegen nicht, dass der Inhaber der Adresse das war. Eine fremde Adresse einzutragen ist mit minimalem Aufwand möglich.

TKG-Beweislast. § 174 TKG verlangt die vorherige Einwilligung des Empfängers. Im Verfahren beim Fernmeldebüro fragt die Behörde regelmäßig: „Wann und wie hat der konkrete Empfänger dieser konkreten Adresse eingewilligt?" Ohne Bestätigungs-Klick mit Zeitstempel und IP-Hash ist diese Frage nicht zu beantworten.

Schon die Bestätigungs-E-Mail im Double-Opt-In ist technisch eine Nachricht zu Werbezwecken. Sie ist zulässig, weil sie auf eine vorherige Registrierungshandlung des Empfängers zurückgeht und ausschließlich der Bestätigung dient. Die Bestätigungs-Mail darf keine sonstige Werbung enthalten.

Was im Anmeldeformular stehen muss

Das Anmeldeformular muss informieren:

Wer den Newsletter versendet (Ihr Unternehmen, vollständiger Name, Anschrift)
Was der Newsletter enthält (Produkt-Neuigkeiten, Angebote, Brancheninfos, konkret benannt)
Wie oft er erscheint (wöchentlich, monatlich, ungefähre Frequenz)
Dass eine Abmeldung jederzeit kostenlos und mit einem Klick möglich ist
Rechtsgrundlage (Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 174 TKG 2021)
Verweis auf die Datenschutzerklärung

Ein Formular mit nur einem E-Mail-Feld und dem Button „Anmelden" ohne weitere Information genügt nicht. Die DSB stützt sich in Beschwerdeverfahren regelmäßig auf das Fehlen dieser Pflichtangaben.

Das Koppelungsverbot (Art. 7 Abs. 4 DSGVO). Die Newsletter-Einwilligung darf nicht an eine andere Leistung gekoppelt werden („Tragen Sie sich für den Newsletter ein und erhalten Sie 10 % Rabatt auf Ihre Bestellung"). Wenn die Einwilligung Bedingung für den Rabatt ist, ist sie nicht freiwillig. Zulässig ist „Melden Sie sich für unseren Newsletter an" und separat „Verwenden Sie diesen Rabattcode bei Ihrer ersten Bestellung". Das sind getrennte Handlungen ohne Kopplung.

Voreingestellte Häkchen sind unwirksam. Art. 4 Z 11 DSGVO und die laufende DSB-Spruchpraxis verlangen ein aktives Häkchen. Ein vorausgewähltes Bestätigungsfeld ist keine Einwilligung. Das gilt auch für „Mit der Anmeldung zum Webinar erkläre ich mich mit dem Newsletter einverstanden". Ohne separates, aktiv anzuhakendes Feld liegt keine wirksame Einwilligung vor.

Bestandskunden und § 174 Abs. 4 TKG 2021

§ 174 Abs. 4 TKG 2021 lässt eine eng umgrenzte Ausnahme für Bestandskunden zu. E-Mail-Werbung an eigene Kunden für ähnliche Produkte ist auch ohne neue Einwilligung zulässig, wenn alle vier Voraussetzungen erfüllt sind:

#	Voraussetzung	Was das in der Praxis bedeutet
1	Adresse im Verkauf erhoben	Die E-Mail wurde im Zusammenhang mit einem Verkauf oder einer Dienstleistungserbringung erfasst. Newsletter-Anmeldungen auf der Website fallen nicht darunter.
2	Hinweis bei der Erhebung	Der Kunde wurde bei der Erhebung klar auf die Werbenutzung und auf das Widerspruchsrecht hingewiesen.
3	Kein Widerspruch	Der Kunde hat der Verwendung weder bei der Erhebung noch später widersprochen.
4	Widerspruchs-Link je Mail	Jede einzelne Werbe-E-Mail enthält einen einfachen, kostenlosen Widerspruchs-Mechanismus.

Wichtig:

Die Ausnahme gilt nicht für Cold Outreach an Personen, die noch nie Kunde waren. Das gilt auch im B2B-Bereich. Anders als nach mancher älteren DACH-Praxisliteratur kennt § 174 TKG keine Sonderregelung für Geschäftskontakte.
„Ähnliche Produkte" ist eng zu verstehen. Wer Buchhaltungs-Software verkauft hat, darf nicht ohne Weiteres für Webentwicklung werben. Ein Fahrradshop kann seine Fahrradkund:innen nicht für Fitnesskleidung anschreiben.
Eine permanente Sperrliste für Widerspruchs-E-Mails ist Pflicht. Wer eine widerrufende Adresse später erneut bewirbt, hat einen separaten Verstoß.

Mehr zur Ausnahme und zu reinem Cold-B2B-Outreach: B2B-Cold-E-Mail in Österreich: Was § 174 TKG 2021 und § 7 UWG erlauben.

Einwilligungs-Belege: Was gespeichert werden muss

Für jeden Newsletter-Abonnenten sollten Sie Folgendes dokumentieren:

E-Mail-Adresse
Datum und Uhrzeit der Anmeldung
IP-Adresse oder IP-Hash bei der Anmeldung
Datum und Uhrzeit der Bestätigung (Double-Opt-In-Klick)
IP-Adresse oder IP-Hash bei der Bestätigung
URL des Anmeldeformulars
Textversion der Einwilligungserklärung zum Zeitpunkt der Anmeldung

Das wirkt nach viel Datenaufwand. Gute Newsletter-Plattformen wie Mailchimp, MailerLite, CleverReach oder Brevo speichern diese Felder automatisch. Prüfen Sie konkret: hält Ihre Plattform diese Daten vor, wie lange, können Sie im Bedarfsfall einen Auszug für eine einzelne Adresse exportieren? Im Verfahren vor dem Fernmeldebüro brauchen Sie genau das, nämlich pro angefragter Adresse den vollständigen Audit-Trail.

Abmelde-Link und Abmeldeprozess

Jede Newsletter-E-Mail braucht einen funktionierenden Abmelde-Link. Die Anforderungen aus § 174 Abs. 4 Z 4 TKG 2021 in Verbindung mit Art. 7 Abs. 3 DSGVO:

In jeder E-Mail. Nicht nur in der Willkommens-Mail oder einmal jährlich.
Kostenlos. Kein Premium-Abo, keine Premium-SMS, keine kostenpflichtige Hotline.
Ein Klick. Kein mehrstufiges Verfahren, kein Passwort-Login, keine Captcha-Burgen.
Sofort wirksam. Maximal ein bis zwei Werktage bis zur tatsächlichen Streichung aus dem Verteiler.

„Um sich abzumelden, antworten Sie auf diese E-Mail" ist nicht ausreichend. Ein direkter Link mit eindeutigem Token ist erforderlich. Eine Bestätigungs-Mail nach erfolgter Abmeldung ist zulässig. Auch der Bestätigungs-Mail darf keine Werbung beigefügt werden.

Was nach dem Widerruf passiert

Widerruft jemand seine Einwilligung, müssen Sie:

Keine weiteren Werbe-Mails senden. Auch keine „Wir vermissen Sie" oder Reaktivierungs-Mails.
Die Einwilligungs-Dokumentation noch eine Zeit lang aufbewahren, typischerweise drei Jahre, um etwaige Verfahren beim Fernmeldebüro oder Mitbewerber-Klagen verteidigen zu können.
Die Adresse auf eine permanente Sperrliste setzen, damit ein späterer Daten-Import sie nicht erneut aufnimmt.
Transaktions-E-Mails wie Bestellbestätigungen, Rechnungen und Service-Mitteilungen dürfen weiter gesendet werden. Sie sind keine Werbung im Sinne des § 174 TKG.

Empfehlung: Führen Sie eine getrennte „Abgemeldet"-Liste statt die E-Mail komplett zu löschen. So können Sie im Streitfall belegen, dass jemand wirksam abgemeldet wurde. Sie können auch belegen, dass eine spätere Mail nicht versehentlich an eine widersprochene Adresse gegangen ist.

Drittanbieter: Was bei Mailchimp und Co. zu beachten ist

Newsletter-Plattformen wie Mailchimp (USA), MailerLite, Brevo (vormals Sendinblue, Frankreich) oder CleverReach (Deutschland) verarbeiten Abonnentendaten im Auftrag. Das ist Auftragsverarbeitung nach Art. 28 DSGVO.

Pflicht:

Auftragsverarbeitungsvertrag (AVV) mit der Plattform abschließen. Die meisten Anbieter stellen das Standard-AVV im Account zur Verfügung. Speichern Sie die unterzeichnete Version griffbereit. Das Fernmeldebüro fragt im Verfahren auch nach dem Auftragsverarbeiter.
Datenschutzerklärung: Plattform und etwaigen US-Transfer (insb. bei Mailchimp) explizit benennen, einschließlich Standardvertragsklauseln und/oder EU-US Data Privacy Framework-Zertifizierung.
Bei US-Plattformen wie Mailchimp, ConvertKit oder ActiveCampaign: Die rechtliche Lage hat sich durch das EU-US Data Privacy Framework (Juli 2023, Angemessenheitsbeschluss der Kommission) gegenüber dem ehemaligen Schrems-II-Status verbessert. Die DSB hat in ihrer 2024er-Spruchpraxis das DPF als Transfer-Grundlage anerkannt, wenn der konkrete Empfänger DPF-zertifiziert ist und die Verarbeitung von der Zertifizierung erfasst ist. Prüfen Sie das auf dataprivacyframework.gov.
Hosting-Region prüfen. Brevo, MailerLite und CleverReach bieten EU-Hosting an. Mailchimp läuft bis auf Weiteres in den USA.

Ergänzende KMU-Hinweise zur österreichischen Newsletter-Praxis bietet die Wirtschaftskammer Österreich im Bereich „E-Commerce".

Adressquelle nachweisen können. Newsletter-Anmeldung mit Zeitstempel und Double-Opt-In, Telefon-Notiz mit dokumentierter Einladung, schriftliche Einwilligung.
Inhalt prüfen. Sind das Werbe-Inhalte oder Service-Mitteilungen? Mischt eine vorgebliche Service-Mail nebenbei ein Upgrade-Angebot ein, ist sie eine Werbe-Mail.
Bestandskunden-Ausnahme. Wenn Sie sich darauf stützen: alle vier Voraussetzungen des § 174 Abs. 4 TKG 2021 erfüllt?
Abmelde-Link in jeder E-Mail. Funktional, mit einem Klick erreichbar, ohne Login.
Sperrliste pflegen. Abmeldungen sofort und dauerhaft umsetzen. CSV-Imports gegen die Sperrliste filtern.
Audit-Log archivieren. Typischerweise drei Jahre, idealerweise im Versand-Tool integriert.
AVV und DSE aktuell halten. Plattform-Wechsel oder neue Empfängerregionen nachziehen.

Wenn doch eine Beschwerde kommt

Erste Maßnahmen:

Frist im Auge behalten. Behördenpost vom Fernmeldebüro mit Aufforderung zur Stellungnahme hat typischerweise vier Wochen. Eine Mitbewerber-Abmahnung in der UWG-Schiene setzt häufig kürzere Fristen.
Nachweise zusammenstellen. Welche E-Mail-Adresse, wann eingetragen, wie eingewilligt, welcher Versand. Alle relevanten Logs sichern, bevor das Versand-Tool sie rotiert.
Anwaltschaft konsultieren. Bei seriellen Fällen oder hohen Streitwerten unbedingt vor der ersten Antwort. Eine ungeprüfte Schutzschrift kann die Sachverhaltsdarstellung präjudizieren.
Versand pausieren. Bis der Fall geklärt ist, keine weitere Werbung an die betroffene Adresse oder Adressliste.
Modifizierte Unterlassungserklärung in der UWG-Schiene erwägen. Eine vom VKI oder Mitbewerber-Anwalt vorgelegte Vorlage muss nicht 1:1 unterzeichnet werden. Eine modifizierte Variante kann das Risiko reduzieren, ohne Wortlaut und Streitwert der Forderung zu übernehmen.

Wenn Sie unsicher sind, ob Ihre Newsletter-Praxis § 174 TKG 2021 entspricht, ist das eine Frage für eine österreichische Anwaltschaft mit Telekom- oder Wettbewerbsrechts-Schwerpunkt. Keine technische Prüfung kann die rechtliche Beurteilung der Einwilligungsqualität ersetzen. Was wir technisch prüfen können: ob ein Newsletter-Anmeldeformular auf Ihrer Website ein Double-Opt-In auslöst, ob die Datenschutzerklärung die Newsletter-Verarbeitung beschreibt, ob in jeder E-Mail-Vorlage ein Abmelde-Link enthalten ist. Starten Sie einen kostenlosen Scan.

Artikel teilen

Ihre Website jetzt prüfen

Scannen Sie Ihre Website auf DSGVO & Datenschutz-Probleme und 30+ weitere Prüfungen.

Website kostenlos scannen

Website-Leitfäden

DSB-Verfahren wegen KI-gebauter Website: Wer zahlt?

Ihre Agentur hat mit Cursor oder Lovable gearbeitet. Bei DSGVO- oder Cookie-Verstößen sanktioniert die DSB Sie, nicht OpenAI. Was sich am 9.12.2026 ändert.

DSGVO-konformer Cookie-Banner in Österreich: Anforderungen

DSGVO-konformer Cookie-Banner in Österreich: § 165 Abs. 3 TKG 2021 plus DSGVO. DSB-Leitlinien, Dark Patterns und technische Pflichten im Überblick.

Auftragsverarbeitungsvertrag (AVV): Wann ist er Pflicht?

AVV nach Art. 28 DSGVO: Wann Sie einen Auftragsverarbeitungsvertrag brauchen, welche Dienstleister betroffen sind und was hineingehört.

Google Maps DSGVO-konform einbetten: So geht es richtig

Google Maps DSGVO-konform einbetten: wann Sie eine Einwilligung brauchen, welche EU-Alternativen es gibt und wie Sie Karten rechtssicher einbinden.

WhatsApp Business und DSGVO in Österreich: § 174 TKG 2021

WhatsApp Business DSGVO Österreich: § 174 TKG 2021 und § 7 UWG parallel. Was die DSB prüft, welche Strafen drohen und welche Alternativen rechtssicher sind.