DSGVO-konformer Briefversand: Was Unternehmen 2026 beachten müssen
Wer Briefe über einen Online-Dienst versendet, gibt zwangsläufig personenbezogene Daten weiter: Namen, Adressen – und mit dem Briefinhalt oft deutlich mehr, von Rechnungsbeträgen bis zu Vertragsdetails. Die gute Nachricht: Die DSGVO verbietet das nicht. Sie verlangt nur, dass es geordnet passiert.
Dieser Beitrag erklärt, welche Regeln beim ausgelagerten Briefversand gelten, was eine Auftragsverarbeitung ist und wie Sie Anbieter in fünf Minuten auf Datenschutz-Tauglichkeit prüfen. Hinweis: Der Artikel informiert allgemein und ersetzt keine Rechtsberatung.
Warum die DSGVO beim Briefversand mitredet
Sobald Sie Empfängerdaten in eine Versandplattform laden, „verarbeiten“ Sie personenbezogene Daten im Sinne der DSGVO – und der Dienstleister verarbeitet sie in Ihrem Auftrag. Damit greifen die üblichen Grundsätze aus Art. 5 DSGVO:
- Rechtmäßigkeit: Es braucht eine Rechtsgrundlage für die Verarbeitung.
- Zweckbindung: Die Daten dienen dem Versand – nicht mehr.
- Datenminimierung: Nur die Felder, die der Brief wirklich braucht.
- Speicherbegrenzung: Nach Erledigung werden Daten gelöscht, nicht gehortet.
- Integrität und Vertraulichkeit: Verschlüsselung und Zugriffskontrolle.
Klingt abstrakt, ist aber in der Praxis gut lösbar – die Verantwortung verteilt sich auf zwei Schultern: Ihre (als Verantwortlicher) und die des Dienstleisters (als Auftragsverarbeiter).
Die Rechtsgrundlage: Warum Sie meist keine Einwilligung brauchen
Ein verbreitetes Missverständnis: „Ohne Einwilligung darf ich nichts verschicken.“ Tatsächlich kommen je nach Briefinhalt verschiedene Rechtsgrundlagen in Betracht:
| Briefart | Typische Rechtsgrundlage |
|---|---|
| Rechnung, Auftragsbestätigung, Vertragsunterlagen | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Mahnung, Kündigungsbestätigung | Vertragserfüllung / rechtliche Verpflichtung |
| Kundeninformation zu bestehendem Vertrag | Vertragserfüllung oder berechtigtes Interesse |
| Postalische Werbung / Direktmailing | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f, vgl. Erwägungsgrund 47) |
Gerade Briefwerbung ist datenschutzrechtlich deutlich entspannter als E-Mail-Werbung – eine Einwilligung ist in der Regel nicht nötig. Aber: Widerspricht ein Empfänger, muss die Werbung stoppen, und der Widerspruch muss dauerhaft beachtet werden.
Auftragsverarbeitung: Das Herzstück des ausgelagerten Versands
Übernimmt ein Dienstleister Druck, Kuvertierung und Versand, handelt er als Auftragsverarbeiter nach Art. 28 DSGVO. Dafür braucht es eine Vereinbarung zur Auftragsverarbeitung (AVV) – einen Vertrag, der u. a. regelt:
- Gegenstand und Dauer der Verarbeitung (hier: Briefversand)
- Art der Daten (Adressdaten, Briefinhalte) und Kategorien betroffener Personen
- Weisungsbindung: Der Dienstleister verarbeitet nur nach Ihren Vorgaben
- Vertraulichkeit: Verpflichtung der Mitarbeitenden
- Technische und organisatorische Maßnahmen (TOMs)
- Unterauftragnehmer: z. B. Druckzentren und Zustelldienste, transparent gelistet
- Löschung/Rückgabe der Daten nach Auftragsende
- Unterstützungspflichten bei Betroffenenrechten und Datenpannen
Praktisch heißt das für Sie: AVV abschließen, ablegen, fertig. Seriöse Anbieter halten das Dokument standardisiert bereit; ohne AVV sollten Sie keinen Dienstleister mit personenbezogenen Daten beauftragen.
Technische Maßnahmen: Woran Sie einen sorgfältigen Anbieter erkennen
Ein Blick hinter die Kulissen lohnt sich. Diese Punkte lassen sich meist schon auf der Website und in der Datenschutzerklärung prüfen:
- Transportverschlüsselung (TLS) für sämtliche Datenübertragungen
- Zugriffskonzepte: Wer kann Briefinhalte einsehen? Je weniger, desto besser.
- Klare Löschfristen für Dokumente und Adressdaten nach dem Versand
- Transparente Unterauftragnehmer (Druck, Zahlungsabwicklung, Hosting)
- Vollständiges Impressum & Datenschutzerklärung – klingt banal, sortiert aber schwarze Schafe zuverlässig aus
Bei versendio gehören verschlüsselte Übertragung und zweckgebundene Verarbeitung zum Standard – Details dazu in unserer Datenschutzerklärung und im Überblick der Sicherheitsfunktionen.
Checkliste: DSGVO-konformer Briefversand in 7 Punkten
Zum Abhaken vor der ersten Kampagne:
- ☐ Rechtsgrundlage geklärt (Vertrag, rechtliche Pflicht oder berechtigtes Interesse)
- ☐ AVV mit dem Versanddienstleister abgeschlossen und abgelegt
- ☐ Datenminimierung: Importliste enthält nur benötigte Felder
- ☐ Werbewidersprüche werden vor jedem Mailing abgeglichen
- ☐ Datenschutzerklärung erwähnt den Versanddienstleister als Empfängerkategorie
- ☐ Verzeichnis von Verarbeitungstätigkeiten um den Briefversand ergänzt
- ☐ Alte Listen löschen: Exporte nicht unkontrolliert in Mailpostfächern und Downloads liegen lassen
Sonderfall: Besonders sensible Inhalte
Gesundheitsdaten, Mandanteninformationen, Sozialdaten – bei besonderen Kategorien nach Art. 9 DSGVO oder Berufsgeheimnissen (z. B. § 203 StGB) gelten strengere Maßstäbe. Hier sollten Sie die Zulässigkeit der Auslagerung im Einzelfall prüfen (lassen) und mit dem Dienstleister explizit klären, welche Schutzmaßnahmen gelten. Für Standard-Geschäftspost – Rechnungen, Angebote, Kundeninfos – ist der ausgelagerte Versand dagegen etablierte, unkritische Praxis.
Fazit: Datenschutz ist beim Briefversand ein Prozess, kein Hindernis
DSGVO-konformer Briefversand ist keine Raketenwissenschaft: Rechtsgrundlage kennen, AVV abschließen, auf einen sorgfältigen Anbieter setzen und die eigenen Listen sauber halten. Wer diese vier Dinge beherzigt, versendet entspannter als mancher E-Mail-Marketer.
Sie möchten sehen, wie das in der Praxis aussieht? Registrieren Sie sich kostenlos bei versendio – und werfen Sie vorher gern einen Blick in unsere Datenschutzerklärung. Transparenz ist schließlich der beste Vertrauensbeweis.
Häufige Fragen
Darf ich den Briefversand überhaupt an einen Dienstleister auslagern?
Ja. Die Auslagerung von Druck und Versand ist eine klassische Auftragsverarbeitung nach Art. 28 DSGVO. Voraussetzung ist eine Vereinbarung zur Auftragsverarbeitung (AVV) mit dem Dienstleister und dessen geeignete technische und organisatorische Maßnahmen.
Brauche ich für jeden Brief eine Einwilligung des Empfängers?
Nein. Für Vertrags- und Geschäftspost (Rechnungen, Angebote, Vertragsunterlagen) ist die Verarbeitung zur Vertragserfüllung zulässig (Art. 6 Abs. 1 lit. b DSGVO). Postalische Werbung stützt sich in der Regel auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) – Widersprüche müssen Sie respektieren.
Was ist eine AVV und woher bekomme ich sie?
Die Vereinbarung zur Auftragsverarbeitung regelt, wie der Dienstleister mit Ihren Daten umgeht: Zweckbindung, Vertraulichkeit, Löschung, Unterauftragnehmer. Seriöse Anbieter stellen sie standardisiert bereit – bei versendio erhalten Geschäftskunden die AVV auf Anfrage bzw. im Kundenkonto.
Was passiert mit den Daten nach dem Versand?
Grundsatz der Speicherbegrenzung: Daten dürfen nur so lange vorgehalten werden, wie es für Versand, Nachweis und gesetzliche Pflichten erforderlich ist. Wie lange konkret, regelt die Datenschutzerklärung bzw. AVV des Anbieters.