DSGVO-konformer Briefversand: Was Unternehmen 2026 beachten müssen

Illustration: Briefumschlag hinter einem blauen Schutzschild mit Vorhängeschloss – Symbol für Datenschutz beim Briefversand

Wer Briefe über einen Online-Dienst versendet, gibt zwangsläufig personenbezogene Daten weiter: Namen, Adressen – und mit dem Briefinhalt oft deutlich mehr, von Rechnungsbeträgen bis zu Vertragsdetails. Die gute Nachricht: Die DSGVO verbietet das nicht. Sie verlangt nur, dass es geordnet passiert.

Dieser Beitrag erklärt, welche Regeln beim ausgelagerten Briefversand gelten, was eine Auftragsverarbeitung ist und wie Sie Anbieter in fünf Minuten auf Datenschutz-Tauglichkeit prüfen. Hinweis: Der Artikel informiert allgemein und ersetzt keine Rechtsberatung.

Warum die DSGVO beim Briefversand mitredet

Sobald Sie Empfängerdaten in eine Versandplattform laden, „verarbeiten“ Sie personenbezogene Daten im Sinne der DSGVO – und der Dienstleister verarbeitet sie in Ihrem Auftrag. Damit greifen die üblichen Grundsätze aus Art. 5 DSGVO:

  • Rechtmäßigkeit: Es braucht eine Rechtsgrundlage für die Verarbeitung.
  • Zweckbindung: Die Daten dienen dem Versand – nicht mehr.
  • Datenminimierung: Nur die Felder, die der Brief wirklich braucht.
  • Speicherbegrenzung: Nach Erledigung werden Daten gelöscht, nicht gehortet.
  • Integrität und Vertraulichkeit: Verschlüsselung und Zugriffskontrolle.

Klingt abstrakt, ist aber in der Praxis gut lösbar – die Verantwortung verteilt sich auf zwei Schultern: Ihre (als Verantwortlicher) und die des Dienstleisters (als Auftragsverarbeiter).

Die Rechtsgrundlage: Warum Sie meist keine Einwilligung brauchen

Ein verbreitetes Missverständnis: „Ohne Einwilligung darf ich nichts verschicken.“ Tatsächlich kommen je nach Briefinhalt verschiedene Rechtsgrundlagen in Betracht:

BriefartTypische Rechtsgrundlage
Rechnung, Auftragsbestätigung, VertragsunterlagenVertragserfüllung (Art. 6 Abs. 1 lit. b)
Mahnung, KündigungsbestätigungVertragserfüllung / rechtliche Verpflichtung
Kundeninformation zu bestehendem VertragVertragserfüllung oder berechtigtes Interesse
Postalische Werbung / DirektmailingBerechtigtes Interesse (Art. 6 Abs. 1 lit. f, vgl. Erwägungsgrund 47)

Gerade Briefwerbung ist datenschutzrechtlich deutlich entspannter als E-Mail-Werbung – eine Einwilligung ist in der Regel nicht nötig. Aber: Widerspricht ein Empfänger, muss die Werbung stoppen, und der Widerspruch muss dauerhaft beachtet werden.

Auftragsverarbeitung: Das Herzstück des ausgelagerten Versands

Übernimmt ein Dienstleister Druck, Kuvertierung und Versand, handelt er als Auftragsverarbeiter nach Art. 28 DSGVO. Dafür braucht es eine Vereinbarung zur Auftragsverarbeitung (AVV) – einen Vertrag, der u. a. regelt:

  1. Gegenstand und Dauer der Verarbeitung (hier: Briefversand)
  2. Art der Daten (Adressdaten, Briefinhalte) und Kategorien betroffener Personen
  3. Weisungsbindung: Der Dienstleister verarbeitet nur nach Ihren Vorgaben
  4. Vertraulichkeit: Verpflichtung der Mitarbeitenden
  5. Technische und organisatorische Maßnahmen (TOMs)
  6. Unterauftragnehmer: z. B. Druckzentren und Zustelldienste, transparent gelistet
  7. Löschung/Rückgabe der Daten nach Auftragsende
  8. Unterstützungspflichten bei Betroffenenrechten und Datenpannen

Praktisch heißt das für Sie: AVV abschließen, ablegen, fertig. Seriöse Anbieter halten das Dokument standardisiert bereit; ohne AVV sollten Sie keinen Dienstleister mit personenbezogenen Daten beauftragen.

Technische Maßnahmen: Woran Sie einen sorgfältigen Anbieter erkennen

Ein Blick hinter die Kulissen lohnt sich. Diese Punkte lassen sich meist schon auf der Website und in der Datenschutzerklärung prüfen:

  • Transportverschlüsselung (TLS) für sämtliche Datenübertragungen
  • Zugriffskonzepte: Wer kann Briefinhalte einsehen? Je weniger, desto besser.
  • Klare Löschfristen für Dokumente und Adressdaten nach dem Versand
  • Transparente Unterauftragnehmer (Druck, Zahlungsabwicklung, Hosting)
  • Vollständiges Impressum & Datenschutzerklärung – klingt banal, sortiert aber schwarze Schafe zuverlässig aus

Bei versendio gehören verschlüsselte Übertragung und zweckgebundene Verarbeitung zum Standard – Details dazu in unserer Datenschutzerklärung und im Überblick der Sicherheitsfunktionen.

Checkliste: DSGVO-konformer Briefversand in 7 Punkten

Zum Abhaken vor der ersten Kampagne:

  1. Rechtsgrundlage geklärt (Vertrag, rechtliche Pflicht oder berechtigtes Interesse)
  2. AVV mit dem Versanddienstleister abgeschlossen und abgelegt
  3. Datenminimierung: Importliste enthält nur benötigte Felder
  4. Werbewidersprüche werden vor jedem Mailing abgeglichen
  5. Datenschutzerklärung erwähnt den Versanddienstleister als Empfängerkategorie
  6. Verzeichnis von Verarbeitungstätigkeiten um den Briefversand ergänzt
  7. Alte Listen löschen: Exporte nicht unkontrolliert in Mailpostfächern und Downloads liegen lassen

Sonderfall: Besonders sensible Inhalte

Gesundheitsdaten, Mandanteninformationen, Sozialdaten – bei besonderen Kategorien nach Art. 9 DSGVO oder Berufsgeheimnissen (z. B. § 203 StGB) gelten strengere Maßstäbe. Hier sollten Sie die Zulässigkeit der Auslagerung im Einzelfall prüfen (lassen) und mit dem Dienstleister explizit klären, welche Schutzmaßnahmen gelten. Für Standard-Geschäftspost – Rechnungen, Angebote, Kundeninfos – ist der ausgelagerte Versand dagegen etablierte, unkritische Praxis.

Fazit: Datenschutz ist beim Briefversand ein Prozess, kein Hindernis

DSGVO-konformer Briefversand ist keine Raketenwissenschaft: Rechtsgrundlage kennen, AVV abschließen, auf einen sorgfältigen Anbieter setzen und die eigenen Listen sauber halten. Wer diese vier Dinge beherzigt, versendet entspannter als mancher E-Mail-Marketer.

Sie möchten sehen, wie das in der Praxis aussieht? Registrieren Sie sich kostenlos bei versendio – und werfen Sie vorher gern einen Blick in unsere Datenschutzerklärung. Transparenz ist schließlich der beste Vertrauensbeweis.

Häufige Fragen

Darf ich den Briefversand überhaupt an einen Dienstleister auslagern?

Ja. Die Auslagerung von Druck und Versand ist eine klassische Auftragsverarbeitung nach Art. 28 DSGVO. Voraussetzung ist eine Vereinbarung zur Auftragsverarbeitung (AVV) mit dem Dienstleister und dessen geeignete technische und organisatorische Maßnahmen.

Brauche ich für jeden Brief eine Einwilligung des Empfängers?

Nein. Für Vertrags- und Geschäftspost (Rechnungen, Angebote, Vertragsunterlagen) ist die Verarbeitung zur Vertragserfüllung zulässig (Art. 6 Abs. 1 lit. b DSGVO). Postalische Werbung stützt sich in der Regel auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) – Widersprüche müssen Sie respektieren.

Was ist eine AVV und woher bekomme ich sie?

Die Vereinbarung zur Auftragsverarbeitung regelt, wie der Dienstleister mit Ihren Daten umgeht: Zweckbindung, Vertraulichkeit, Löschung, Unterauftragnehmer. Seriöse Anbieter stellen sie standardisiert bereit – bei versendio erhalten Geschäftskunden die AVV auf Anfrage bzw. im Kundenkonto.

Was passiert mit den Daten nach dem Versand?

Grundsatz der Speicherbegrenzung: Daten dürfen nur so lange vorgehalten werden, wie es für Versand, Nachweis und gesetzliche Pflichten erforderlich ist. Wie lange konkret, regelt die Datenschutzerklärung bzw. AVV des Anbieters.