DSGVO-Checkliste für Marketing und CRM: So bleiben Sie rechtlich auf der sicheren Seite!

Internetauftritt
May 10, 2026

Du willst Leads gewinnen, Newsletter verschicken, vielleicht ein Webinar bewerben – aber immer dieses Ziehen im Bauch: „Sind wir wirklich DSGVO‑konform?“ Genau das klären wir heute. Du bekommst eine praxiserprobte, glasklare Checkliste für Marketing und CRM, mit konkreten Beispielen, Formulierungen und Hinweisen aus echten Fällen. Kurz die Motivation: 2023 kassierte Meta eine DSGVO‑Strafe von 1,2 Mrd. € – nicht, um dir Angst zu machen, sondern um zu zeigen: Sorgfalt lohnt sich. Und ja, du kannst morgen mit deinem Team loslegen.

Ein kleines Bild aus dem Alltag: Lea, Inhaberin eines Kosmetikstudios, stand vor einer Kampagne für Sommerpakete. Alles vorbereitet – Landingpage, E‑Mails, Social Ads. Dann die Frage im Team: „Haben wir für die alten Kontakte wirklich einen gültigen Opt‑in?“ Eine Stunde später war klar: Dank sauber dokumentiertem Double‑Opt‑in, Verarbeitungsverzeichnis und klaren Löschregeln war alles startklar. Diese Ruhe möchten wir dir geben.

Erstes thematisch passendes Bild

Die wichtigsten Punkte der DSGVO für Marketing und CRM

Hier findest du die komprimierte Checkliste – mit kurzen Hinweisen, worauf es im Alltag wirklich ankommt. Du kannst jeden Punkt sofort in Aufgaben fürs Team übersetzen.

1. Rechtsgrundlagen & Dokumentation

  • ✓ Verarbeitungsverzeichnis führen (alle Prozesse: Newsletter, Webinar, CRM, Support, Bewerbungen).
  • ✓ Auftragsverarbeitungsverträge (AVV/DPA) mit allen Tools (z. B. E‑Mail‑Tool, Webinar‑Software, Zahlungsanbieter).
  • ✓ Datenschutzbeauftragten benennen, falls erforderlich (u. a. ab bestimmter Mitarbeiterzahl/Art der Datenverarbeitung).
  • ✓ Aktuelle, leicht auffindbare Datenschutzerklärung mit Zweck, Rechtsgrundlagen, Empfängern, Speicherdauer, Rechten.

Mini‑Beispiel: Du hostest ein Webinar mit einer Meeting‑Software und versendest E‑Mails über dein CRM. Beide Anbieter brauchen einen AVV, und beide Prozesse müssen im Verarbeitungsverzeichnis auftauchen.

2. Einwilligungen & Consent Management

  • ✓ Double‑Opt‑in für E‑Mail‑Marketing: Erst nach Bestätigung darfst du zusenden.
  • ✓ Einwilligungen müssen freiwillig, informiert, spezifisch und nachweisbar sein (kein vorangekreuztes Kästchen).
  • ✓ Granular: getrennte Opt‑ins für Newsletter, Webinar‑Follow‑ups, Angebote, SMS/WhatsApp.
  • ✓ Lückenlose Dokumentation: Zeitstempel, Quelle, Inhalt der Einwilligung, Widerrufsweg.
  • ✓ Consent‑Banner sauber konfigurieren: Nur notwendige Cookies ohne Opt‑in; Marketing/Statistik erst nach Zustimmung.
Zweites thematisch passendes Bild

Praxis: Schreibe klar, was kommt – „1–2 Mails pro Woche, Tipps und Angebote, jederzeit abbestellbar“. Wenn du Zustimmungen aus Website, Social DMs und Events sammelst, hilft dir ein zentrales System, um alle Kanäle zentral zu steuern. So findest du jede Zustimmung in Sekunden – auch Monate später.

3. Datensparsamkeit & Daten-Mapping

  • ✓ Nur erheben, was du wirklich brauchst (für einen Newsletter reichen E‑Mail + optional Vorname).
  • ✓ Dateninventar erstellen: Welche Daten landen wo (Website‑Formular, CRM, E‑Mail‑Tool, Analytics)?
  • ✓ Lebenszyklus definieren: Erhebung → Nutzung → Archivierung → Löschung; inkl. Zuständigkeiten und Fristen.

So wird’s konkret: Zeichne einmalig deinen Marketing‑Datenfluss auf und stoppe unnötige Felder. Das spart Zeit, Risiken und vereinfacht datengestützte Workflows.

4. Löschkonzepte & Aufbewahrung

  • ✓ Klare Löschfristen (z. B. Inaktive Leads nach 18–24 Monaten ohne Interaktion löschen oder anonymisieren).
  • ✓ Prozesse in der CRM‑Datenbank: Dubletten prüfen, Bounces entfernen, Opt‑outs respektieren.
  • ✓ Aufbewahrungsrichtlinien dokumentieren (Marketing vs. gesetzliche Aufbewahrungspflichten trennen).

Einfacher Start: Richte im CRM eine Automatisierung ein, die „keine Öffnung/Klick in 18 Monaten“ markiert und zur Prüfung bzw. Löschung an das Team übergibt.

5. Betroffenenrechte

  • ✓ Anfragen auf Auskunft, Berichtigung, Einschränkung, Löschung binnen eines Monats beantworten.
  • ✓ Export in gängigen Formaten (z. B. CSV/PDF) ermöglichen; Datenportabilität beachten.
  • ✓ Sichere Identitätsprüfung, bevor du Daten herausgibst oder änderst.

Alltag: Ein Kunde fordert „alle Daten, die ihr über mich habt“. Du exportierst CRM‑Historie, Newsletter‑Status, Formular‑Einreichungen und Meeting‑Notizen – vollständig und nachvollziehbar. Wenn Bewertungen personenbezogene Daten in unzulässiger Form enthalten, kannst du rechtssicher eine falsche Bewertung entfernen.

6. Technische Schutzmaßnahmen

  • ✓ Zwei‑Faktor‑Authentifizierung (2FA) überall aktivieren; Microsoft zeigte, dass MFA 99,9% automatisierter Kontoangriffe blockt.
  • ✓ Verschlüsselung im Transit (TLS) und at rest; starke Passwortrichtlinien + Passwortmanager.
  • ✓ 3‑2‑1‑Backups (3 Kopien, 2 Medien, 1 Offsite) und regelmäßige Wiederherstellungstests.
  • ✓ Rollenbasierte Zugriffe, Need‑to‑know‑Prinzip, Offboarding‑Checkliste.

Unterschätzt: Gerätehygiene. Ein verlorenes Handy mit eingeloggtem E‑Mail‑Tool ist ein Risiko – sichere es mit 2FA, Gerätesperre und Basis‑Hygiene aus der Smartphone‑Sicherheit. Für die Cloud hilft eine strukturierte Datensicherheits‑Checkliste.

7. Drittanbieter & Vendor Compliance

  • ✓ Anbieter prüfen: Sitz, Unterauftragsverarbeiter, EU/EWR‑Hosting, Standardvertragsklauseln (SCCs), TOMs.
  • ✓ AVV abschließen, Verarbeitungszwecke dokumentieren; Data‑Transfer‑Impact‑Assessment (DTIA) bei Drittlandtransfer.
  • ✓ Regelmäßige Vendor‑Reviews (jährlich), vor allem bei Marketing‑Automation und Analytics.

Tipp: Führe ein kurzes Vendor‑Steckbrief‑Sheet pro Tool (Zweck, Datenkategorien, Rechtsgrundlage, AVV‑Status, nächste Prüfung).

8. Schulung & Awareness

  • ✓ Vierteljährliche Kurzschulungen für Marketing/Vertrieb (15 Minuten): Phishing, Consent, Datenpannen‑Erstmaßnahmen.
  • ✓ Interne Mini‑Guides: „Was darf in die CRM‑Notiz?“, „Wie gehe ich mit Opt‑out um?“

Aus Erfahrung: Ein 1‑seitiger Spickzettel in jedem Team‑Ordner verhindert die meisten Fehler – noch mehr als Langschulungen.

9. Audits & Monitoring

  • ✓ Quartalsweise Datenschutz‑Checks: Cookie‑Banner, Formulare, Einwilligungstexte, Datenflüsse.
  • ✓ Security‑Monitoring: Auffällige Logins, API‑Zugriffe, Berechtigungsänderungen.
  • ✓ Incident‑Response‑Plan: Register für Vorfälle; Meldung an Behörde innerhalb von 72 Stunden, wenn meldepflichtig.
  • ✓ Rechtsupdates verfolgen; Erkenntnisse dokumentieren und umsetzen.

Warum sich das lohnt: Saubere Prozesse zahlen auf Vertrauen ein – und Vertrauen konvertiert besser als jeder schnelle Trick.

Kleine Vorlagen, große Wirkung

Einwilligungstext (Beispiel): „Ich möchte den Newsletter mit Tipps und Angeboten erhalten (1–2 Mails/Woche). Ich kann meine Einwilligung jederzeit über den Abmeldelink widerrufen. Hinweise zum Datenschutz finde ich in der Datenschutzerklärung.“

Double‑Opt‑in‑Mail (Beispiel): „Bitte bestätige deine Anmeldung mit einem Klick. Ohne Bestätigung erhältst du keine weiteren E‑Mails. Wenn du dich nicht angemeldet hast, kannst du diese Nachricht ignorieren.“

Pro‑Tipp: Ein zentraler CRM‑Eintrag für alle Interaktionen spart dir Zeit bei Auskünften. Eine natürliche Stärke von Exzellsystem: Terminerinnerungen DSGVO‑freundlich planen und sauber dokumentieren – inklusive Widerruf.

Fazit: DSGVO macht dein Marketing besser

Die DSGVO ist nicht der Spaßverderber, sondern dein Qualitätsfilter: klare Daten, echte Einwilligungen, messbar höheres Vertrauen. Wenn du diese Checkliste umsetzt, bist du nicht nur rechtlich robust, sondern auch schneller in Kampagnen, weil niemand mehr „Wo ist der Opt‑in?“ fragen muss. Für vertiefte Praxis‑Schritte schau dir den Leitfaden zu DSGVO in Marketing und CRM an.

FAQ

Brauche ich wirklich Double‑Opt‑in für meinen Newsletter?

Ja, in der Praxis ist Double‑Opt‑in der sicherste Weg, um eine freiwillige, informierte Einwilligung nachweisen zu können. Es reduziert Spam‑Einträge und Beschwerden deutlich und liefert dir einen klaren Beleg (Zeitstempel, IP/Quelle). Ohne DOI riskierst du Abmahnungen und unklare Beweislagen.

Darf ich Kontakte von Visitenkarten einfach ins CRM übernehmen?

Nicht automatisch für Marketing. Eine persönliche E‑Mail zur Vernetzung oder Terminabstimmung kann vom berechtigten Interesse gedeckt sein, regelmäßiges Marketing aber nicht. Hole für Newsletter/Angebote eine Einwilligung ein und dokumentiere sie zentral im CRM.

Wie lange darf ich inaktive Leads speichern?

Nur so lange, wie es für den Zweck nötig ist. Viele Teams setzen 18–24 Monate ohne Interaktion als sinnvolle Grenze und löschen oder anonymisieren danach. Definiere diese Frist in deinem Löschkonzept und automatisiere die Kennzeichnung in deinem CRM.

Was, wenn ich für ein Webinar Follow‑up‑Mails senden will?

Hole eine spezifische Einwilligung für Webinar‑Follow‑ups ein (separates Kästchen oder klare Formulierung). Transparenz steigert auch die Akzeptanz. Ideal: Ein eigener Opt‑in für „Materialien/Angebote zum Webinar“, der unabhängig vom Newsletter ist.

Wie gehe ich mit WhatsApp/SMS‑Marketing um?

Nur mit expliziter, dokumentierter Einwilligung und klarer Abmeldemöglichkeit. Hinterlege die Zustimmung pro Kanal, damit du sie jederzeit belegen kannst und Opt‑outs kanalgenau respektierst. Nutze Systeme, die kanalübergreifend Zustimmungen verwalten, um Fehler zu vermeiden.

Wir hatten einen kleinen Datenvorfall – was muss ich tun?

Dokumentiere den Vorfall sofort, bewerte das Risiko, ziehe den DSB hinzu und prüfe die Meldepflicht. Bei meldepflichtigen Verletzungen gilt die 72‑Stunden‑Frist an die Aufsichtsbehörde; Betroffene sind je nach Risiko zusätzlich zu informieren. Ein etablierter Incident‑Plan spart hier Nerven und Zeit.

DSGVOMarketingCRMSicherheit
Hi, ich bin Christoph Bernhard. Ich kümmere mich aktiv um Studios, dass sie mehr Buchungen kriegen, und alles automatisch läuft.

Christoph Bernhard

Hi, ich bin Christoph Bernhard. Ich kümmere mich aktiv um Studios, dass sie mehr Buchungen kriegen, und alles automatisch läuft.

LinkedIn logo icon
Instagram logo icon
Youtube logo icon
Back to Blog