DSGVO-konformes Cold Outbound. Was geht, was nicht.

Cold Outbound in DACH steht und fällt mit zwei Sätzen Recht. Einer steht in der DSGVO, der andere im UWG. Wer beide ernst nimmt, kann Erstkontakte fahren. Wer einen davon verdrängt, kassiert Abmahnungen oder eine schlechte Mail-Reputation.

Wir machen das selbst und für andere. Hier ist was wir gelernt haben — die juristische Lage und das, was technisch dahinter steht.

Die zwei Sätze, die zählen

Der erste ist Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse als Rechtsgrundlage für Datenverarbeitung. Ihr habt ein berechtigtes Interesse, B2B-Kontakte aus öffentlichen Quellen zu nutzen, wenn ihr eine plausible Geschäftsbeziehung anbahnen wollt und die Interessen der angeschriebenen Person nicht überwiegen.

Der zweite ist § 7 Abs. 2 Nr. 3 UWG. Werbung per E-Mail ist verboten — außer der Empfänger hat eingewilligt. Aber: § 7 Abs. 3 UWG kennt eine Ausnahme für bestehende Kundenbeziehungen, und § 7 Abs. 2 Nr. 2 UWG plus die Rechtsprechung dazu erlauben B2B-Direktwerbung an Geschäftsadressen, wenn ein mutmaßliches Interesse besteht.

Das klingt nach Schlupfloch. Ist aber keins. Beide Normen ziehen die Linie eng.

Der Drei-Stufen-Test

Berechtigtes Interesse ist nichts, was man einfach behauptet. Datenschutzbehörden prüfen es in drei Stufen:

1. Habt ihr ein berechtigtes Interesse? Geschäftsanbahnung zählt. „Wir wollen Dinge verkaufen" reicht nicht — es muss einen plausiblen Bezug zur angeschriebenen Firma geben.
2. Ist die Verarbeitung erforderlich? Gibt es einen milderen Weg? LinkedIn-Anfrage, persönlicher Anruf, Messe-Treffen. Wenn ja, kippt die Erforderlichkeit.
3. Überwiegen die Interessen der betroffenen Person? Hier schaut man auf Zumutbarkeit. Eine einzelne, klar adressierte Mail an eine Geschäftsadresse mit konkretem Bezug zur Firma ist meist okay. 50 Mails an dieselbe Person über 3 Monate sind es nicht.

Der dritte Punkt ist die Falle. Volumen ohne Personalisierung killt die Abwägung. Wenn ihr einer Person fünf identische Mails schickt, weil sie nicht antwortet, seid ihr aus dem berechtigten Interesse raus.

Was das praktisch bedeutet

Cold Outbound funktioniert in DACH. Aber nur unter Auflagen, die keiner US-Vorlage in der Tool-Welt automatisch erfüllt:

• Geschäftsadresse, nicht private Mail. vorname.nachname@firma.de — okay. vorname.nachname@gmail.com — nicht okay.
• Konkreter Bezug zur Firma. Branche, Standort, ein erkennbarer Anlass. „Hi {first_name}" ohne weiteren Kontext erfüllt das nicht.
• Frequenz-Cap. Zwei Follow-ups, dann Schluss. Nicht fünf, nicht sieben.
• Klarer Absender, klare Adresse. Keine Fake-Domains, kein Pseudo-Absender. Das Unternehmen muss erkennbar sein, das die Mail verschickt.
• Funktionierender Opt-Out. Ein Klick, kein Login, sofortige Wirkung. Auch wenn das technisch unbequem ist.

Wer einen dieser Punkte rausnimmt, hat kein berechtigtes Interesse mehr. Punkt.

Was wir im Q1-Pilot falsch gemacht haben

Wir haben den Pilot im ersten Quartal 2026 selbst gefahren. 24.000 Mails an deutsche Metallverarbeiter. Drei Dinge sind uns aufgefallen, die wir vorher unterschätzt haben:

Eine Domain reicht nicht. Wir sind mit einer Strato-SMTP-Adresse gestartet. Nach 4.000 Mails fingen die ersten Provider an, uns in Spam zu sortieren. Reputation kippt schnell, wenn alles über einen Endpunkt geht. Heute fahren wir 3 bis 5 Subdomains pro Kunde, mit DKIM/SPF/DMARC sauber konfiguriert und einer 2- bis 3-wöchigen Aufwärm-Phase, bevor Volumen kommt.

US-Region-Server sind ein DSGVO-Problem. Smartlead.ai ist ein gutes Tool, aber die Standard-Region ist US-Ost. Für DACH-Outbound zwingend EU-Region wählen — sonst landen Empfänger-Daten in den USA und ihr braucht eine Auftragsverarbeitung mit Standardvertragsklauseln, deren Rechtsbasis seit Schrems II auf Sand gebaut ist.

Apollo hat uns Kontakte aus den USA geliefert, obwohl wir DACH gefiltert hatten. Etwa 8 Prozent der Liste waren Müll. Bounce-Rate hochgeschossen. Heute filtern wir mit Dealfront und Cognism, beide haben deutsche Branchencodes (NACE, WZ 2008) und unterscheiden Standort-Konzern von Standort-Niederlassung. Apollo kann das nicht.

Subdomain-Pool als Reputations-Schutz

Der wichtigste technische Hebel ist der Subdomain-Pool. Eine Hauptdomain firma.de für die normale Geschäfts-Mail. Daneben 3 bis 5 Subdomains wie info.firma-mail.de, team.firma-mail.de, mail.firma-de.com — jeweils mit eigenem DKIM-Schlüssel, eigenem SPF-Eintrag, eigenem MX.

Wenn eine Subdomain Reputations-Schaden nimmt, ist die Hauptdomain unberührt. Wenn eine Subdomain ausfällt, fahren die anderen weiter. Aufgewärmt werden sie über Tools wie Mailwarm oder direkt über Smartlead — 2 bis 3 Wochen lang langsam steigend von 5 auf 50 Mails pro Tag, bevor echtes Volumen drauf geht.

Ohne Pool fahrt ihr russisches Roulette mit eurer Geschäfts-Mail-Adresse. Wir haben das im Pilot übersehen und mussten zwischenzeitlich auf eine Backup-Domain umsteigen, weil unser primärer Absender bei Microsoft 365 in Quarantäne lief.

Wie der Empfänger es erlebt

Eine DSGVO-konforme Cold Mail liest sich nicht wie ein Newsletter. Sie liest sich wie eine kurze, persönlich wirkende Nachricht — auch wenn sie automatisiert verschickt wurde:

• Klare Anrede mit korrektem Namen und Position.
• Ein Satz, warum ausgerechnet diese Firma angeschrieben wird (Branche, Anlass, Beobachtung).
• Eine konkrete Frage oder ein konkretes Angebot. Nichts Vages.
• Footer mit Firmierung, Adresse, Vertretungsberechtigten und einem klaren Opt-Out-Link.

Was nicht reingehört: Tracking-Pixel ohne Hinweis, Kalender-Links als einziger Inhalt, „PS"-Zeilen mit Urgency-Tricks, Fake-Personalisierung mit {first_name}-Platzhaltern, die nicht ersetzt wurden.

Wenn jemand nicht will

Eine Mail mit „Bitte nicht mehr schreiben" ist eine Datenschutz-Anfrage. Auch wenn sie einen Satz lang ist und kein Formular benutzt wurde. Reaktionszeit: maximal ein Monat (Art. 12 Abs. 3 DSGVO), in der Praxis 24 Stunden.

Wir haben das im Pilot mit einem internen Klassifikator gelöst, der eingehende Antworten in fünf Kategorien einsortiert: positives Interesse, neutrale Frage, „später", „nie wieder", Auto-Responder. Bei „nie wieder" geht die Adresse sofort auf eine Suppression-List, die alle Subdomains und Kampagnen abdeckt. Das ist nicht optional — das ist die einzige Versicherungspolice gegen Beschwerden bei der Aufsichtsbehörde.

Worauf zu achten ist

Ein paar Dinge, die in der Praxis selten erwähnt werden:

• Datenquelle dokumentieren. Wenn ein Empfänger fragt, woher seine Daten stammen, müsst ihr eine Antwort haben. „Aus einem öffentlichen B2B-Verzeichnis" — okay. „Aus einer gekauften Liste mit unklarer Herkunft" — nicht okay.
• Verarbeitungsverzeichnis pflegen. Art. 30 DSGVO. Klingt bürokratisch, ist aber Standard. Welche Daten ihr verarbeitet, wofür, wie lange, mit welchen Auftragsverarbeitern.
• DPA mit jedem Tool-Anbieter. Smartlead, Dealfront, Cognism, Make, OpenAI — alle brauchen einen Auftragsverarbeitungsvertrag. Bei US-Anbietern zusätzlich SCC-Module und idealerweise EU-Region.

Das Fazit

Cold Outbound in DACH ist machbar, kostet aber Disziplin. Die juristische Linie ist klar. Die technische Linie ist klar. Wer beide einhält, hat Outbound, das funktioniert und nicht abgemahnt wird.

Wer eine US-Vorlage 1:1 nach DACH überträgt — Apollo, Outreach.io, Salesloft mit US-Region und Volumen-Optimierung als oberster Metrik — wird beides riskieren: schlechte Reputation und rechtliche Probleme. Beides haben wir im Pilot kurz erlebt. Das reicht als Lehrstück.

Wenn ihr selbst Outbound aufsetzt: fangt mit dem Drei-Stufen-Test an. Wenn der nicht durchgeht, geht der Rest auch nicht. Und wenn ihr unsicher seid, ob euer aktueller Aufbau das durchhält — schreibt uns. Wir gucken gemeinsam drüber.