Datenschutz

DSGVO für Marketing-Agenturen: Pflichten und Praxis

DSGVO für Marketing-Agenturen 2026: Auftragsverarbeiter oder gemeinsam Verantwortliche, § 7 UWG beim E-Mail-Marketing, Tracking und AVV-Pflichten in der Praxis.

Auch verfügbar in:Français·Español·Italiano·Polski

Welche DSGVO-Pflichten treffen Marketing-Agenturen? Kurzantwort: Eine Agentur ist gegenüber ihren Kunden je nach Tätigkeit Auftragsverarbeiter (etwa beim Versand von Newslettern über ein Kundenkonto) oder gemeinsam Verantwortlicher (etwa beim gemeinsamen Betrieb einer Kampagne mit eigener Datennutzung) — und diese Einordnung entscheidet über den Vertrag, die Haftung und die Rechtsgrundlage. Zusätzlich gelten die Werberegeln des § 7 UWG (Double-Opt-in beim E-Mail-Marketing) und die Cookie- und Tracking-Vorgaben des TDDDG. Dieser Beitrag klärt die Rollenverteilung und die praktischen Pflichten für Agenturen.

Die häufigste Fehlerquelle ist die falsche Rolleneinordnung — sie zieht den falschen Vertrag und die falsche Haftung nach sich.

Wichtige Punkte

  • Agenturen sind je nach Tätigkeit Auftragsverarbeiter (Art. 28) oder gemeinsam Verantwortliche (Art. 26).
  • E-Mail-Werbung braucht in der Regel Double-Opt-in — § 7 Abs. 2 UWG, keine reine DSGVO-Frage.
  • Tracking und Custom Audiences setzen Einwilligung nach § 25 TDDDG voraus.
  • Ohne AVV ist die Verarbeitung von Kundendaten durch die Agentur rechtswidrig.
  • Bei gemeinsamer Verantwortlichkeit haften Agentur und Kunde gesamtschuldnerisch gegenüber Betroffenen.

Auftragsverarbeiter oder gemeinsam Verantwortlicher?

Die zentrale Weichenstellung entscheidet sich an einer Frage: Wer bestimmt über Zwecke und Mittel der Verarbeitung?

  • Auftragsverarbeitung (Art. 28 DSGVO): Die Agentur verarbeitet Kundendaten weisungsgebunden, ohne eigene Zwecke — sie versendet den Newsletter, betreut das CRM, pflegt Anzeigenkonten im Auftrag. Hier braucht es einen Auftragsverarbeitungsvertrag.
  • Gemeinsame Verantwortlichkeit (Art. 26 DSGVO): Agentur und Kunde legen gemeinsam Zwecke und Mittel fest — etwa bei einer Kampagne, in der beide Parteien Daten für eigene Zwecke nutzen, oder beim gemeinsamen Betrieb einer Fanpage oder eines Tracking-Pixels. Dann ist eine Vereinbarung über die Pflichtenverteilung zu schließen, kein AVV.

Die Abgrenzung hat der EuGH mehrfach konturiert: Beim gemeinsamen Betrieb einer Facebook-Fanpage (C-210/16 Wirtschaftsakademie) und bei eingebundenen Social-Plugins (C-40/17 Fashion ID) nahm er jeweils eine gemeinsame Verantwortlichkeit an. Für Agenturen heißt das: Sobald eigene Zwecke ins Spiel kommen — etwa die Nutzung von Kampagnendaten für eigene Analysen —, kippt die Rolle vom Auftragsverarbeiter zum gemeinsam Verantwortlichen.

Tätigkeit Rolle der Agentur Vertrag
Newsletter-Versand über Kundenkonto Auftragsverarbeiter AVV (Art. 28)
CRM-Pflege im Kundenauftrag Auftragsverarbeiter AVV (Art. 28)
Anzeigenkonto weisungsgebunden betreuen Auftragsverarbeiter AVV (Art. 28)
Custom Audiences mit gemeinsamer Datennutzung gemeinsam Verantwortlich Art.-26-Vereinbarung
eigene Analyse von Kampagnendaten (mit)Verantwortlicher eigene Rechtsgrundlage

E-Mail-Marketing: § 7 UWG neben der DSGVO

Ein verbreiteter Irrtum ist, E-Mail-Werbung sei allein eine DSGVO-Frage. Tatsächlich greift zuerst das Wettbewerbsrecht: § 7 Abs. 2 UWG verlangt für Werbung per E-Mail grundsätzlich die vorherige ausdrückliche Einwilligung des Empfängers. In der Praxis bedeutet das ein dokumentiertes Double-Opt-in — die Anmeldung wird per Bestätigungslink verifiziert, und dieser Nachweis wird gespeichert.

Die enge Ausnahme des § 7 Abs. 3 UWG (Bestandskundenwerbung für ähnliche eigene Produkte) ist an mehrere Bedingungen geknüpft und für Agenturen selten einschlägig, weil sie fremde Kundendaten bewerben. Fehlt der Einwilligungsnachweis, drohen wettbewerbsrechtliche Abmahnungen zusätzlich zum DSGVO-Risiko. Die Grundlagen der wirksamen Einwilligung behandeln unsere Einwilligungs-Beispiele.

Tracking, Cookies und Custom Audiences

Reichweitenmessung, Retargeting und der Aufbau von Custom Audiences setzen fast immer Cookies oder ähnliche Techniken ein — und damit greift § 25 TDDDG: Ohne Einwilligung kein Zugriff auf das Endgerät für nicht unbedingt erforderliche Zwecke. Für Agenturen, die Landingpages und Tracking-Setups für Kunden bauen, heißt das:

  • Analyse- und Marketing-Pixel dürfen erst nach Einwilligung laden.
  • Der „Ablehnen"-Button muss auf der ersten Banner-Ebene gleichwertig sein.
  • Custom Audiences (etwa der Upload von Kundenlisten an eine Werbeplattform) brauchen eine tragfähige Rechtsgrundlage und meist eine Einwilligung — der reine Kundenauftrag genügt nicht.

Die praktische Umsetzung des Banners behandelt unser Leitfaden zum Cookie-Banner nach TDDDG. Agenturen, die für E-Commerce-Kunden arbeiten, finden die branchenspezifischen Pflichten in unserem Beitrag zum Datenschutz im Onlineshop.

AVV-Pflichten in der Praxis

Sobald die Agentur weisungsgebunden Kundendaten verarbeitet, braucht sie mit jedem Kunden einen AVV — und ihrerseits mit jedem eingesetzten Unterauftragnehmer (E-Mail-Tool, Analytics-Anbieter, Cloud-Hoster). Das erzeugt eine Vertragskette, die lückenlos sein muss:

  1. Kunde → Agentur: AVV, in dem die Agentur als Auftragsverarbeiter die Kundendaten weisungsgebunden verarbeitet.
  2. Agentur → Sub-Dienstleister: AVV mit jedem Tool, das die Agentur einsetzt (Newsletter-Software, CRM, Werbeplattformen als Auftragsverarbeiter).
  3. Drittlandprüfung: Nutzt ein Tool US-Server, sind Standardvertragsklauseln und eine Transfer-Prüfung nötig.

Wer für viele Kunden viele Tools einsetzt, verliert schnell den Überblick über die AVV-Kette. Genau hier entstehen die typischen Lücken, die eine Aufsichtsbehörde in der Prüfung findet. Eine zentrale Verwaltung der AV-Verträge und ihrer Verknüpfung mit dem Verzeichnis von Verarbeitungstätigkeiten — etwa mit Legiscope — hält die Kette nachvollziehbar und verknüpft jeden Auftragsverarbeiter mit der jeweiligen Verarbeitung.

Ein unterschätztes Risiko liegt in den Landingpages und Tracking-Setups, die Agenturen für Kunden bauen. Wird dort ein Marketing-Pixel geladen, bevor der Nutzer eingewilligt hat, ist das ein Verstoß gegen § 25 TDDDG — und die Agentur, die das Setup technisch verantwortet, gerät mit in die Verantwortung. In der Praxis heißt das: Jede von der Agentur gebaute Seite braucht ein funktionierendes Consent-Management, das nicht unbedingt erforderliche Skripte erst nach der Einwilligung ausspielt. Die passende Cookie-Richtlinie für solche Seiten behandelt unser Muster für die Cookie-Richtlinie. Agenturen sollten das Consent-Setup zum festen Bestandteil jeder Website-Übergabe machen, nicht als optionales Extra — sonst liefern sie ihren Kunden einen Verstoß mit aus.

Datensparsamkeit als Wettbewerbsvorteil

Der Reflex vieler Agenturen ist, so viele Daten wie möglich zu sammeln — für spätere Kampagnen, für Lookalike-Modelle, für „den Fall der Fälle". Genau das kollidiert mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und mit der Zweckbindung. Daten, die für den konkreten Kampagnenzweck nicht erforderlich sind, dürfen nicht auf Vorrat erhoben werden. Für Agenturen ist das kein reines Compliance-Thema, sondern zunehmend ein Verkaufsargument: Kunden, die selbst unter Aufsicht stehen, bevorzugen Dienstleister, die datensparsam arbeiten und die Vertragskette sauber führen. Eine Agentur, die ihre DSGVO-Prozesse beherrscht, reduziert nicht nur ihr eigenes Haftungsrisiko, sondern wird für regulierte Kunden — Banken, Versicherer, Gesundheitsanbieter — überhaupt erst beauftragbar.

Haftung: warum die Rolle zählt

Die Rolleneinordnung entscheidet über die Haftung. Als reiner Auftragsverarbeiter haftet die Agentur nach Art. 82 Abs. 2 DSGVO nur für Schäden aus der Verletzung ihrer spezifischen Auftragsverarbeiter-Pflichten oder bei Weisungsverstoß. Als gemeinsam Verantwortliche haftet sie dagegen gesamtschuldnerisch neben dem Kunden — der Betroffene kann sich den zahlungskräftigeren Partner aussuchen. Deshalb ist die falsche Einordnung nicht nur ein Formfehler, sondern ein Haftungsrisiko: Eine Agentur, die sich für einen bloßen Auftragsverarbeiter hält, aber faktisch eigene Zwecke verfolgt, steht im Ernstfall ohne passende vertragliche Grundlage und mit voller Haftung da.

FAQ

Ist eine Marketing-Agentur Auftragsverarbeiter oder Verantwortlicher?

Das hängt von der konkreten Tätigkeit ab. Verarbeitet die Agentur Kundendaten rein weisungsgebunden — Newsletter-Versand, CRM-Pflege, Kontobetreuung —, ist sie Auftragsverarbeiter und braucht einen AVV. Verfolgt sie eigene Zwecke oder legt sie gemeinsam mit dem Kunden Zwecke und Mittel fest, wird sie gemeinsam Verantwortliche nach Art. 26 mit gesamtschuldnerischer Haftung.

Braucht E-Mail-Marketing immer eine Einwilligung?

In der Regel ja. § 7 Abs. 2 UWG verlangt für Werbe-E-Mails die vorherige ausdrückliche Einwilligung, praktisch nachgewiesen durch Double-Opt-in. Die enge Bestandskundenausnahme des § 7 Abs. 3 UWG ist für Agenturen, die fremde Kunden bewerben, selten einschlägig. Fehlt der Nachweis, drohen Abmahnungen zusätzlich zum DSGVO-Risiko.

Dürfen wir Custom Audiences ohne Einwilligung nutzen?

In der Regel nicht. Der Aufbau von Custom Audiences und der Upload von Kundenlisten an Werbeplattformen setzen Tracking oder Datenweitergabe voraus, die nach § 25 TDDDG und der DSGVO meist eine Einwilligung erfordern. Der bloße Auftrag des Kunden ersetzt die Rechtsgrundlage nicht — Agentur und Kunde müssen die Einwilligung sicherstellen.

Brauchen wir mit jedem Kunden einen eigenen AVV?

Ja, sofern Sie als Auftragsverarbeiter dessen Daten verarbeiten. Jeder Kunde braucht einen individuellen AVV, und die Agentur braucht ihrerseits AV-Verträge mit allen eingesetzten Tools. Diese Vertragskette muss lückenlos und dokumentiert sein — sie ist ein regelmäßiger Prüfungsgegenstand der Aufsichtsbehörden.

Fazit

Für Marketing-Agenturen entscheidet die Rolleneinordnung über alles: Auftragsverarbeiter oder gemeinsam Verantwortlicher, AVV oder Art.-26-Vereinbarung, beschränkte oder gesamtschuldnerische Haftung. Dazu kommen die wettbewerbsrechtliche Einwilligung nach § 7 UWG und die Tracking-Vorgaben des TDDDG. Wer die AVV-Kette sauber führt und die Rollen je Auftrag prüft, arbeitet rechtssicher. Den DSGVO-Volltext finden Sie bei EUR-Lex, die Leitlinien zu Verantwortlichem und Auftragsverarbeiter beim Europäischen Datenschutzausschuss.

Siehe auch: Welche Plattformen die Einwilligungen verwalten, zeigt unser Vergleich der Consent-Management-Plattformen im Vergleich.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →