So senden Sie DSGVO-konforme E-Mails von WordPress

So senden Sie DSGVO-konforme E-Mails von WordPress (Vollständiger Leitfaden)

Aktualisiert: Offenlegung für Leser
LinkedIn
Zusammenfassen:ChatGPTPerplexity
Markdown anzeigen

Wenn Ihre WordPress-Website Besucher aus der EU hat, unterliegen Sie der DSGVO, ob Sie es wissen oder nicht, und ob Ihr Unternehmen in Europa ansässig ist oder nicht.

Die meisten Anleitungen zu DSGVO und WordPress konzentrieren sich auf Cookie-Banner und Datenschutzerklärungen. Diese Dinge sind wichtig, aber es gibt eine ganze Seite der Compliance, die weitaus weniger Aufmerksamkeit erhält: die E-Mails, die Ihre Website sendet.

Jedes Mal, wenn WordPress ein Passwort-Reset, eine WooCommerce-Bestellbestätigung oder einen Newsletter versendet, verarbeitet es personenbezogene Daten. Das bedeutet, die DSGVO gilt.

Die gute Nachricht ist, dass die meisten Dinge, die Sie tun müssen, unkompliziert sind, sobald Sie die Regeln verstehen. Diese Anleitung behandelt alles: Was die DSGVO für E-Mails vorschreibt, den Unterschied zwischen Transaktions- und Marketing-E-Mails, Einwilligung, Datenverarbeitung, Wahl des Mailers und die technische Einrichtung, die Sie konform hält, einschließlich der Konfiguration von WP Mail SMTP für jede Anforderung.

Hinweis: Dies ist keine Rechtsberatung. Die Einhaltung der DSGVO hängt von Ihrer spezifischen Situation ab. Wenn Sie Bedenken haben, sprechen Sie mit einem qualifizierten Anwalt.

Kurze Zusammenfassung: Was die DSGVO für WordPress-E-Mails vorschreibt

Marketing-E-Mails erfordern eine ausdrückliche, aktive Opt-in-Einwilligung

Transaktions-E-Mails (Bestellbestätigungen, Passwort-Resets) benötigen keine Einwilligung – aber halten Sie sie frei von werblichen Inhalten

E-Mail-Adressen sind personenbezogene Daten gemäß DSGVO

Sie benötigen eine Datenverarbeitungsvereinbarung mit jedem Drittanbieter-Mailer

E-Mails müssen über verschlüsselte Verbindungen (TLS) gesendet werden

Sie müssen in der Lage sein, Anfragen zur Datenlöschung innerhalb eines Monats zu beantworten

Datenpannen, die personenbezogene Daten betreffen, müssen innerhalb von 72 Stunden Ihrer Aufsichtsbehörde gemeldet werden

Bußgelder erreichen 20 Millionen Euro oder 4 % des weltweiten Umsatzes – die Durchsetzung ist aktiv und nimmt zu

Gilt die DSGVO für Ihre WordPress-E-Mails?

Ja, wenn einer Ihrer Website-Besucher ein Einwohner der EU oder des EWR ist, gilt die DSGVO für die Art und Weise, wie Sie deren Daten, einschließlich ihrer E-Mail-Adresse, verarbeiten.

Dies ist nicht auf EU-Unternehmen beschränkt. Ein WooCommerce-Shop in den USA, eine Mitgliederseite in Australien, ein Plugin-Unternehmen in Kanada: Wenn Sie EU-Kunden haben, deckt die DSGVO ab, wie Sie deren personenbezogene Daten verarbeiten.

Eine E-Mail-Adresse ist ein personenbezogenes Datum gemäß DSGVO. Ebenso ein Name. Ebenso eine IP-Adresse. Wenn Ihre Website eine E-Mail an einen Kunden oder Abonnenten sendet, verarbeitet sie diese Daten.

Das heißt, die DSGVO hindert Sie nicht daran, E-Mails zu versenden. Sie bedeutet, dass Sie eine rechtmäßige Grundlage dafür benötigen, und die Regeln unterscheiden sich je nachdem, welche Art von E-Mail Sie versenden.

Die Durchsetzung ist real und nimmt zu. Allein die spanische Datenschutzbehörde hat seit Inkrafttreten der DSGVO über 1.000 Bußgelder verhängt, und Verstöße im E-Mail-Marketing sind ein ständiges Ziel. Google wurde in Frankreich wegen mangelnder Einwilligung mit 50 Millionen Euro bestraft. Ein österreichischer Postdienstleister wurde wegen Nichteinhaltung von Anfragen zur Ausübung von Betroffenenrechten mit 9,5 Millionen Euro bestraft. Dies sind keine Ausnahmefälle, sondern vielmehr die Art von Verstößen, die auftreten, wenn die Datenverarbeitung nicht mit den Regeln Schritt gehalten hat.

Wenn Sie Website-Betreiber in den USA sind, sollten Sie auch wissen, dass die DSGVO wesentlich strenger ist als CAN-SPAM, das US-Bundesgesetz, das kommerzielle E-Mails regelt. CAN-SPAM erlaubt Opt-out-Marketing (Sie können Personen per E-Mail kontaktieren, bis sie sich abmelden). Die DSGVO erfordert eine Opt-in-Einwilligung, bevor Sie senden. Wenn Sie EU-Besucher haben, reicht die Einhaltung der US-Vorschriften allein nicht aus.

Die beiden Arten von E-Mails, die Ihre Website sendet

Ihre WordPress-Website sendet zwei grundlegend unterschiedliche Arten von E-Mails, und die DSGVO behandelt diese unterschiedlich.

Transaktions-E-Mails

Transaktions-E-Mails werden durch etwas ausgelöst, das der Benutzer tut. Bestellbestätigungen, Versandbenachrichtigungen, Passwort-Resets, Kontoalarme, Antworten auf Kontaktformulare. Diese E-Mails werden erwartet und Benutzer möchten sie.

Nach der DSGVO benötigen Sie im Allgemeinen keine separate Einwilligung zum Senden von Transaktions-E-Mails. Die Rechtsgrundlage ist entweder „Vertragserfüllung“ (der Benutzer hat etwas gekauft, also schließen Sie diese Transaktion ab) oder „berechtigtes Interesse“ (das Senden eines Passwort-Resets liegt eindeutig im Interesse des Benutzers).

Aber es gibt einen Haken. Sobald Sie Werbeinhalte wie Produktempfehlungen, Rabattcodes und „Das könnte Ihnen auch gefallen“-Abschnitte hinzufügen, haben Sie den Charakter der E-Mail geändert und benötigen möglicherweise eine Einwilligung für diesen Teil.

Der sicherste Ansatz ist, Transaktions-E-Mails streng transaktional zu halten. Wenn Sie Kunden nach einem Kauf vermarkten möchten, verwenden Sie eine separate E-Mail mit entsprechender Einwilligung.

Für einen tieferen Einblick in die Regeln für Transaktions-E-Mails lesen Sie unseren vollständigen Leitfaden zu DSGVO-Best Practices für Transaktions-E-Mails.

Tipp für WooCommerce-Benutzer

WooCommerce verfügt über integrierte DSGVO-Einstellungen, die es wert sind, überprüft zu werden. Gehen Sie zu WooCommerce > Einstellungen > Konten & Datenschutz, um Aufbewahrungsfristen für personenbezogene Daten und ausstehende Bestellungen zu konfigurieren, Anfragen zur Kontolöschung zu ermöglichen und Links zur Datenschutzerklärung auf den Checkout- und Registrierungsseiten hinzuzufügen. Behandeln Sie hier die WooCommerce-Seite der Compliance, bevor Sie Ihre SMTP-Einrichtung angehen.

Marketing-E-Mails

Marketing-E-Mails sind anders. Wenn Sie Newsletter, Werbekampagnen oder E-Mails versenden, deren Hauptzweck der Verkauf oder die Werbung ist, benötigen Sie die ausdrückliche Einwilligung des Empfängers, bevor Sie diese senden.

Vortrainierte Kontrollkästchen zählen nicht. Gebündelte Einwilligung (Verstecken der E-Mail-Marketing-Erlaubnis in den Allgemeinen Geschäftsbedingungen) zählt nicht. Die Einwilligung muss freiwillig, spezifisch und leicht widerrufbar sein.

Wenn Sie Marketing-E-Mails an EU-Abonnenten senden, ist die richtige Einwilligung von Anfang an die Grundlage für alles Weitere.

Der Abonnent muss sich aktiv durch Ankreuzen eines nicht angekreuzten Kästchens, nicht eines vorab angekreuzten, dafür entscheiden. Die Einwilligung muss sich speziell auf E-Mail-Marketing beziehen, nicht in einer allgemeinen Datenschutzerklärung versteckt sein. Und sie muss klar erklärt werden: von wem sie Anmeldungen erhalten und welche Art von E-Mails sie erhalten werden.

Sie müssen auch nachweisen können, dass die Zustimmung erteilt wurde. Das bedeutet, Sie müssen aufzeichnen, wann dies geschah, was in der Formularerklärung stand und wo sich der Abonnent angemeldet hat. Wenn Sie bei einer Prüfung keine Zustimmungsnachweise vorlegen können, ist es so, als ob die Zustimmung nie existiert hätte.

Double-Opt-in

Double-Opt-in ist nach der DSGVO nicht gesetzlich vorgeschrieben, aber es ist der am besten zu verteidigende Ansatz. Wenn sich jemand anmeldet, erhält er eine Bestätigungs-E-Mail und wird erst dann zu Ihrer Liste hinzugefügt, nachdem er auf den Bestätigungslink geklickt hat. Dies schafft eine klare Prüfspur und filtert gefälschte oder falsch eingegebene Adressen heraus.

Abmelden muss einfach sein

Der Widerruf der Zustimmung muss so einfach sein wie die Erteilung. Jede Marketing-E-Mail muss einen funktionierenden Abmeldelink enthalten. Wenn sich jemand abmeldet, verarbeiten Sie dies umgehend – Verzögerungen sind sowohl ein Compliance-Risiko als auch ein Vertrauensproblem.

Formulare auf Ihrer Website

Jedes Formular, das eine E-Mail-Adresse sammelt, muss klar angeben, wofür diese Adresse verwendet wird. Kontaktformulare und Newsletter-Anmeldeformulare haben unterschiedliche Zwecke, daher benötigen sie unterschiedliche Zustimmungsformulierungen.

DSGVO-Zustimmungsformular in WPForms

Wenn Sie WPForms verwenden, können Sie direkt zu jedem Formular ein DSGVO-Zustimmungsfeld hinzufügen, die IP-Verfolgung deaktivieren und die Cookie-Sammlung ausschalten, alles über die Formulareinstellungen, ohne Code.

Was ist mit Ihrer bestehenden E-Mail-Liste?

Wenn Sie Ihre Liste vor dem Inkrafttreten der DSGVO im Jahr 2018 aufgebaut haben (oder Adressen ohne klare Opt-in gesammelt haben), haben Sie möglicherweise ein Problem. Eine Zustimmung, die ohne DSGVO-konforme Formulierungen gesammelt wurde (nicht angekreuztes Feld, klare Erklärung, wofür sich die Abonnenten angemeldet haben), zählt nicht.

Der sicherste Weg ist eine Re-Permission-Kampagne: Senden Sie eine E-Mail an Ihre bestehende Liste und bitten Sie die Leute, sich aktiv wieder anzumelden, und entfernen Sie alle, die dies nicht tun. Es ist unangenehm, weil Ihre Liste schrumpfen wird. Aber es ist besser als eine Geldstrafe, und die Leute, die sich erneut bestätigen, sind weitaus engagierter als Altkontakte, die sich kaum noch daran erinnern, sich angemeldet zu haben.

Gekaufte E-Mail-Listen

Verwenden Sie sie nicht. Die DSGVO-Zustimmung muss spezifisch für Ihr Unternehmen sein, und Personen, die der Zustimmung zum Hören von einem Unternehmen zugestimmt haben, haben nicht zugestimmt, von Ihnen zu hören. Sie können sich unter der DSGVO keine gültige Mailingliste erkaufen.

Rechte der betroffenen Personen und Reaktionszeiten

Nach der DSGVO haben Ihre Abonnenten und Kunden das Recht, auf die Daten zuzugreifen, sie zu korrigieren oder zu löschen, die Sie über sie speichern. Wenn jemand eine Anfrage stellt, haben Sie einen Monat Zeit, um zu antworten. Dokumentieren Sie jede Anfrage und wie sie bearbeitet wurde, da dies die Art von Dingen ist, die bei Prüfungen auftauchen.

Was zählt als personenbezogene Daten in Ihren E-Mails

Nach der DSGVO sind personenbezogene Daten alle Informationen, die eine Person direkt oder indirekt identifizieren können. Für E-Mail-Zwecke umfasst dies:

  • Namen und E-Mail-Adressen
  • IP-Adressen
  • Kaufhistorie, die mit einem Konto verknüpft ist
  • Kontodetails im E-Mail-Text

Diese Daten existieren in Ihren E-Mail-Protokollen, Ihrer Datenbank und potenziell auf den Servern Ihres Drittanbieter-Mailers. All dies fällt unter die DSGVO.

Datenminimierung

Das Prinzip der Datenminimierung der DSGVO bedeutet, dass Sie nur die Daten sammeln und verarbeiten sollten, die Sie tatsächlich benötigen. Wenn Ihr Kontaktformular keine Telefonnummer benötigt, sammeln Sie keine. Senden Sie in E-Mails nicht mehr persönliche Informationen in Ihren Nachrichten als für die Transaktion erforderlich. Eine Bestellbestätigung muss nicht die vollständige Kundenhistorie wiederholen.

Aufbewahrungsfristen

Sie können personenbezogene Daten nicht unbegrenzt aufbewahren. Die DSGVO verlangt, dass Sie entscheiden, wie lange Sie Daten aufbewahren und diese löschen, wenn Sie sie nicht mehr benötigen.

Für E-Mail-Marketinglisten bedeutet dies, inaktive Abonnenten regelmäßig zu überprüfen und Personen zu entfernen, die sich lange nicht engagiert haben. Für E-Mail-Protokolle bedeutet dies, sie nicht länger als für Ihre Geschäftszwecke erforderlich aufzubewahren. (Mehr dazu im Abschnitt E-Mail-Protokolle unten.)

Auswahl eines DSGVO-konformen Mailers

Dies ist der Punkt, den die meisten WordPress-Website-Besitzer übersehen. Wenn Sie E-Mails über einen externen Dienst wie SendLayer, Amazon SES, Mailgun, Gmail oder einen anderen SMTP-Anbieter senden, teilen Sie personenbezogene Daten mit einem Dritten.

Gemäß der DSGVO benötigen Sie eine Datenverarbeitungsvereinbarung (DPA) mit einem Dritten, wenn Sie personenbezogene Daten zur Verarbeitung an diesen übertragen. Eine DPA ist ein Vertrag, der festlegt, wie der Dritte diese Daten handhabt, welche Sicherheitsmaßnahmen er getroffen hat und was im Falle einer Verletzung geschieht.

Die meisten seriösen E-Mail-Dienstanbieter bieten DPAs an, normalerweise in ihrer Datenschutz- oder Rechtsdokumentation. Wenn ein Anbieter keine anbietet, ist dies ein ernstzunehmendes Warnsignal.

Wo werden die Daten gespeichert?

Wenn Ihre E-Mail-Daten auf Servern außerhalb der EU oder des Vereinigten Königreichs gespeichert werden, muss die Übertragung rechtlich abgedeckt sein. Einige Anbieter verfügen über EU-Datencenter, in die Sie sich einklinken können. Andere verlassen sich auf Standardvertragsklauseln (SCCs), um Datentransfers zu legitimieren. Überprüfen Sie die Datenresidenzoptionen Ihres Anbieters, wenn dies für Ihre Nutzer ein Anliegen ist.

Welche Mailer führen Protokolle?

Viele externe Mailer führen Protokolle über E-Mails, die über ihren Dienst gesendet werden. Diese Protokolle enthalten personenbezogene Daten. Gemäß dem Recht auf Vergessenwerden der DSGVO müssen Sie, wenn ein Nutzer Sie auffordert, seine Daten zu löschen, in der Lage sein, dies in jedem System zu handhaben – einschließlich Ihres Mailers.

Wissen Sie, welche Ihrer Mailer Protokolle führen und wie Sie diese bei Bedarf löschen können. Unsere WP Mail SMTP DSGVO-Compliance-Dokumentation behandelt die wichtigsten Mailer und ihr Protokollierungsverhalten.

Technische Anforderungen: Verschlüsselung, Authentifizierung und Benachrichtigung über Datenpannen

Die DSGVO verlangt, dass personenbezogene Daten sicher aufbewahrt werden, auch während der Übertragung. Für E-Mails bedeutet dies zwei Dinge.

TLS-Verschlüsselung

Ihre E-Mails sollten über TLS-Verbindungen (Transport Layer Security) gesendet werden. Dies verschlüsselt die E-Mail während der Übertragung, sodass sie nicht abgefangen werden kann.

Die standardmäßige wp_mail()-Funktion von WordPress garantiert keine TLS-Verschlüsselung. Wenn Sie WP Mail SMTP mit einem seriösen Mailer verwenden, werden E-Mails standardmäßig über sichere, verschlüsselte Verbindungen gesendet.

E-Mail-Authentifizierung: SPF, DKIM und DMARC

E-Mail-Authentifizierung ist nicht nur ein Zustellbarkeitsmerkmal, sondern auch ein Sicherheits- und Compliance-Merkmal. Diese drei Protokolle überprüfen, ob E-Mails, die angeblich von Ihrer Domain stammen, tatsächlich von Ihnen gesendet wurden, und schützen Ihre Domain vor Spoofing.

  • SPF teilt empfangenden Mailservern mit, welche Server berechtigt sind, E-Mails im Namen Ihrer Domain zu senden.
  • DKIM fügt jeder E-Mail eine kryptografische Signatur hinzu, die beweist, dass sie während der Übertragung nicht verändert wurde.
  • DMARC legt eine Richtlinie fest, was passiert, wenn E-Mails die SPF- oder DKIM-Prüfungen nicht bestehen, und sendet Ihnen Berichte, damit Sie überwachen können, was in Ihrem Namen gesendet wird.

Ohne ordnungsgemäße Authentifizierung könnte jemand E-Mails senden, die scheinbar von Ihrer Domain stammen – und Ihre Kunden mit Ihrer Marke phishen. Das ist ein Sicherheitsfehler und ein möglicher Verstoß gegen die DSGVO, da die Daten Ihrer Benutzer gefährdet werden.

DMARC-Eintrag prüfen

Eine vollständige Schritt-für-Schritt-Anleitung finden Sie in unserem Leitfaden zu DMARC, SPF und DKIM.

Meldung einer Datenpanne

Wenn Ihr E-Mail-System kompromittiert wird und personenbezogene Daten offengelegt werden, verlangt die DSGVO, dass Sie Ihre nationale Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Panne benachrichtigen. Wenn die Panne voraussichtlich ein hohes Risiko für die betroffenen Personen verursacht, müssen Sie diese auch direkt benachrichtigen.

Deshalb ist technische Sicherheit keine Option. Schwache Authentifizierung, unverschlüsselte Verbindungen und veraltete Plugins schaffen Haftungsrisiken, nicht nur Zustellbarkeitsprobleme. Halten Sie WP Mail SMTP und Ihren gewählten Mailer auf dem neuesten Stand und verwenden Sie den integrierten E-Mail-Test, um zu überprüfen, ob Ihre Authentifizierung korrekt funktioniert.

Warum die Standard-E-Mail von WordPress bei beidem versagt

WordPress verwendet standardmäßig die mail()-Funktion von PHP. Diese sendet E-Mails direkt von Ihrem Webserver, ohne garantierte Authentifizierung und oft ohne TLS. E-Mails, die auf diese Weise gesendet werden, kommen häufiger nicht an, als Sie denken – das bedeutet, dass Ihre gesetzlich vorgeschriebenen Transaktions-E-Mails (Passwort-Resets, WooCommerce-Bestellungen) Ihre Benutzer möglicherweise nie erreichen.

WP Mail SMTP ersetzt dies durch eine ordnungsgemäße SMTP-Verbindung über Ihren gewählten Mailer, mit korrekt konfigurierter Verschlüsselung und Authentifizierung.

Beheben Sie jetzt Ihre WordPress-E-Mails

E-Mail-Protokolle und das Recht auf Vergessenwerden

Die DSGVO gibt Menschen das Recht, ihre personenbezogenen Daten löschen zu lassen: das „Recht auf Vergessenwerden“.

Wenn ein Benutzer die Löschung seiner Daten beantragt, müssen Sie dies in Ihrem gesamten E-Mail-Setup berücksichtigen:

  • Ihre WordPress-Datenbank (Kundenkonten, Formulareinträge, Bestellungen)
  • Ihre E-Mail-Marketingliste
  • E-Mail-Protokolle, die von WP Mail SMTP gespeichert werden
  • Protokolle, die von Ihrem Mailer-Dienst geführt werden

WP Mail SMTP Pro enthält ein E-Mail-Protokoll, das aufzeichnet, was wann und an wen gesendet wurde. Dies ist nützlich für die Compliance-Dokumentation, da es eine Audit-Trail erstellt, bedeutet aber auch, dass Sie eine Aufbewahrungsrichtlinie für die Protokolldaten selbst benötigen.

Sie können WP Mail SMTP so konfigurieren, dass Protokolle nach einem festgelegten Zeitraum automatisch gelöscht werden, oder Datensätze manuell löschen, wenn Sie einzelne Löschungsanfragen bearbeiten.

So richten Sie WP Mail SMTP für die DSGVO-Konformität ein

Hier ist eine Schritt-für-Schritt-Anleitung für die WP Mail SMTP-Einstellungen, die für die DSGVO-Compliance wichtig sind.

Schritte 1 und 2 unten zum Verbinden eines Mailers und zum Senden einer Test-E-Mail sind in der kostenlosen Version von WP Mail SMTP verfügbar. Schritte 3 bis 6 (E-Mail-Protokollierung, Datenlöschung, E-Mail-Steuerelemente und Smart Routing) erfordern WP Mail SMTP Pro.

WP Mail SMTP Pro erhalten

Schritt 1: Verbinden Sie einen DSGVO-konformen Mailer

Wenn Sie immer noch die Standard-PHP-Mail von WordPress verwenden, ist der erste Schritt die Verbindung eines geeigneten Mailers. WP Mail SMTP unterstützt alle wichtigen Anbieter: SendLayer, Amazon SES, Mailgun, Brevo, Gmail, Outlook und mehr.

Gehen Sie in Ihrem WordPress-Dashboard zu WP Mail SMTP > Einstellungen > Allgemein.

Auswahl eines DSGVO-konformen Mailers

Wählen Sie unter Primäre Verbindung Ihren Mailer aus und befolgen Sie die Einrichtungsschritte. Jeder Mailer wird über API- oder SMTP-Anmeldeinformationen verbunden, und WP Mail SMTP führt Sie durch den Prozess.

Nach der Verbindung werden Ihre E-Mails über eine ordnungsgemäße, authentifizierte SMTP-Verbindung und nicht über PHP-Mail gesendet.

Bevor Sie Ihren Mailer auswählen: Prüfen Sie, ob Ihr Anbieter eine Datenverarbeitungsvereinbarung anbietet. Die meisten großen Anbieter (SendLayer, Amazon SES, Mailgun, Brevo) tun dies. Wenn Sie Gmail oder Google Workspace verwenden, gelten die Datenverarbeitungsbedingungen von Google.

Schritt 2: Senden Sie eine Test-E-Mail und überprüfen Sie Ihre Einrichtung

Gehen Sie nach der Verbindung Ihres Mailers zu WP Mail SMTP > Werkzeuge > E-Mail-Test und senden Sie eine Test-E-Mail an Ihre eigene E-Mail-Adresse.

Test-E-Mail-Tab

Prüfen Sie, ob die E-Mail ankommt, öffnen Sie dann die E-Mail-Header (in Gmail: drei Punkte > Original anzeigen; in Outlook: Datei > Eigenschaften) und suchen Sie nach:

  • DKIM-Signature — bestätigt, dass DKIM erfolgreich ist
  • spf=pass — bestätigt, dass SPF erfolgreich ist
  • dmarc=pass — bestätigt, dass DMARC erfolgreich ist

Wenn eines davon fehlt oder fehlschlägt, wird die Seite mit den Ergebnissen des E-Mail-Tests von WP Mail SMTP das Problem kennzeichnen und Ihnen mitteilen, was behoben werden muss.

Schritt 3: Konfigurieren Sie die E-Mail-Protokollierung

WP Mail SMTP Pro-Funktion. Die E-Mail-Protokollierung ist in Pro-Plänen und höher verfügbar. Auf Pro upgraden →

Das E-Mail-Protokoll von WP Mail SMTP Pro gibt Ihnen eine vollständige Aufzeichnung jeder E-Mail, die Ihre Website sendet – unerlässlich für Compliance-Dokumentationen.

Gehen Sie zu WP Mail SMTP > E-Mail-Protokoll, um das Protokoll anzuzeigen. Unter WP Mail SMTP > Einstellungen > Protokolle können Sie Folgendes konfigurieren:

  • E-Mails protokollieren — aktivieren, um mit der Aufzeichnung zu beginnen
  • E-Mail-Inhalt protokollieren — zeichnet den vollständigen E-Mail-Text auf (nützlich für die Compliance, aber berücksichtigen Sie Ihre Pflichten zur Datenminimierung)
  • Aufbewahrungsfrist — legen Sie fest, wie viele Tage Protokolle aufbewahrt werden, bevor sie automatisch gelöscht werden
WP Mail SMTP E-Mail-Protokolle

Legen Sie eine Aufbewahrungsfrist fest, die Ihren tatsächlichen Geschäftsanforderungen entspricht. Die unbegrenzte Aufbewahrung von Protokollen ist nicht konform – wählen Sie eine Frist, dokumentieren Sie diese in Ihrer Datenschutzerklärung und halten Sie sich daran.

Schritt 4: Bearbeiten Sie Löschanfragen für Daten

Erfordert E-Mail-Protokollierung (Pro). Sie können E-Mail-Datensätze nur suchen und löschen, wenn die Protokollierung aktiviert ist.

Wenn ein Benutzer sein Recht auf Vergessenwerden ausübt, müssen Sie seine E-Mail-Datensätze aus dem Protokoll von WP Mail SMTP löschen.

Suchen Sie in WP Mail SMTP > E-Mail-Protokoll nach der E-Mail-Adresse des Benutzers, wählen Sie deren Einträge aus und verwenden Sie die Massenlöschungsoption, um sie zu entfernen.

E-Mail-Protokolle in großen Mengen löschen

Stellen Sie sicher, dass Sie die Löschung auch auf Ihrer E-Mail-Anbieter-Ebene durchführen. Überprüfen Sie die Dokumentation Ihres E-Mail-Anbieters, wie Sie gesendete E-Mail-Einträge löschen können.

Schritt 5: Überprüfen Sie Ihre E-Mail-Steuerelemente

WP Mail SMTP Pro-Funktion. E-Mail-Steuerelemente sind in Pro-Plänen und höher verfügbar. Auf Pro upgraden →

Die Funktion „E-Mail-Steuerelemente“ von WP Mail SMTP Pro ermöglicht es Ihnen zu verwalten, welche Arten von E-Mails WordPress von Ihrer Website sendet und über welche Verbindung.

Gehen Sie zu WP Mail SMTP > Einstellungen > E-Mail-Steuerelemente, um eine Liste der E-Mail-Typen nach Plugin und WordPress-Kern zu sehen – WooCommerce-Bestell-E-Mails, Kommentarbenachrichtigungen, Benutzerregistrierung und mehr.

E-Mail-Steuerelemente

Dies ist aus zwei Gründen für die Compliance nützlich:

  1. Sie können E-Mail-Typen deaktivieren, die Ihre Website nicht benötigt (Datenminimierung, d. h. wenn Sie eine Funktion nicht verwenden, senden Sie deren E-Mails nicht).
  2. Sie können verschiedene E-Mail-Typen über verschiedene E-Mail-Anbieter leiten, z. B. transaktionale WooCommerce-E-Mails über SendLayer und separate Konto-Benachrichtigungen über eine andere Verbindung.

Schritt 6: Richten Sie eine Backup-Verbindung ein

WP Mail SMTP Pro-Funktion. Smart Routing und Backup-Verbindungen sind in Pro-Plänen und höher verfügbar. Auf Pro upgraden →

Das Smart Routing von WP Mail SMTP Pro ermöglicht es Ihnen, eine Backup-Verbindung einzurichten, die automatisch greift, wenn Ihr primärer E-Mail-Anbieter ausfällt. Dies ist wichtig für die DSGVO, denn wenn Ihre E-Mail zum Zurücksetzen des Passworts nicht ankommt, können Benutzer nicht auf ihr Konto zugreifen – und das ist ein Serviceausfall mit Datenschutzimplikationen.

Gehen Sie zu WP Mail SMTP > Einstellungen > Verbindungen, um eine Backup-Verbindung hinzuzufügen und Smart Routing zu konfigurieren.

Einrichten einer WP Mail SMTP-Backup-Verbindung

Schritt 7: Überprüfen Sie die DSGVO-Dokumentation Ihres E-Mail-Anbieters

Sobald Ihr E-Mail-Anbieter verbunden ist, nehmen Sie sich 10 Minuten Zeit, um dessen DSGVO/DPA-Dokumentation zu finden und zu überprüfen. Sie müssen Folgendes bestätigen:

  • Eine Datenverarbeitungsvereinbarung ist verfügbar (und akzeptieren Sie sie, falls erforderlich)
  • Sie wissen, wo Daten gespeichert werden und ob sie die EU/UK verlassen
  • Sie verstehen die Protokollaufbewahrungseinstellungen und wie Protokolle bei Bedarf gelöscht werden

Die beliebtesten Anbieter und wo Sie deren DPA-Dokumentation finden:

AnbieterDPA-Dokumentation
SendLayerVerfügbar in deren Datenschutzdokumentation
Amazon SESAWS-Datenverarbeitungszusatz
MailgunVerfügbar in den rechtlichen Bestimmungen von Sinch/Mailgun
BrevoVerfügbar in deren DSGVO-Dokumentation
Google WorkspaceGoogle Workspace DPA (automatisch mit den Workspace-Bedingungen akzeptiert)

DSGVO-Checkliste für E-Mail-Konformität

Verwenden Sie dies, um Ihr aktuelles Setup zu überprüfen.

Einwilligung und Listen

  • ☐ Marketing-E-Mails gehen nur an Personen, die aktiv zugestimmt haben
  • ☐ Einwilligungsdatensätze werden gespeichert (wann, wo, wozu sie zugestimmt haben)
  • ☐ Jede Marketing-E-Mail enthält einen funktionierenden Abmeldelink
  • ☐ Abmeldungen werden umgehend bearbeitet
  • ☐ Inaktive Abonnenten werden regelmäßig überprüft

Datenverarbeitung

  • ☐ Datenschutzerklärung ist aktuell und in Ihren E-Mails verlinkt
  • ☐ Sie sammeln nur Datenfelder, die Sie tatsächlich benötigen
  • ☐ Sie haben eine definierte Datenaufbewahrungsrichtlinie und halten sich daran
  • ☐ Sie können Anfragen auf Datenzugriff und -löschung innerhalb eines Monats beantworten

Technische Einrichtung

  • ☐ WordPress-E-Mails werden über WP Mail SMTP gesendet (nicht PHP Mail)
  • ☐ E-Mails werden über TLS-Verschlüsselung gesendet
  • ☐ SPF-, DKIM- und DMARC-Einträge sind eingerichtet und erfolgreich
  • ☐ E-Mail-Protokollaufbewahrung ist in WP Mail SMTP konfiguriert
  • ☐ Sie wissen, welche Mailer Protokolle führen und wie Sie Einträge löschen

Drittanbieter-Mailer

  • ☐ Sie haben eine Auftragsverarbeitungsvereinbarung (AVV) mit Ihrem E-Mail-Dienstanbieter
  • ☐ Sie wissen, wo Ihr Mailer Daten speichert und ob diese die EU/UK verlassen
WP Mail SMTP erhalten

FAQs

Gilt die DSGVO, wenn ich nicht in der EU ansässig bin?

Ja. Wenn Sie Besucher oder Kunden haben, die in der EU oder im EWR ansässig sind, gilt die DSGVO für die Art und Weise, wie Sie deren Daten verarbeiten, unabhängig davon, wo sich Ihr Unternehmen befindet.

Nein, normalerweise nicht. Transaktions-E-Mails wie Bestellbestätigungen, Passwort-Resets und Versandbenachrichtigungen fallen unter „berechtigtes Interesse“ oder „Vertragserfüllung“. Sie benötigen keine separate Marketing-Einwilligung dafür. Aber halten Sie sie streng transaktional, denn das Hinzufügen von Werbeinhalten ändert die Situation.

Ist eine E-Mail-Adresse nach der DSGVO ein personenbezogenes Datum?

Ja. Eine E-Mail-Adresse, die eine Person identifizieren kann, ist ein personenbezogenes Datum. Ebenso ein Name, eine IP-Adresse und die Kaufhistorie, die mit einem Konto verknüpft ist.

Was ist eine Auftragsverarbeitungsvereinbarung?

Eine AVV ist ein Vertrag zwischen Ihnen und einem Dritten, der personenbezogene Daten in Ihrem Namen verarbeitet. Wenn Sie einen externen SMTP-Dienst oder eine E-Mail-Plattform zum Senden von E-Mails verwenden, benötigen Sie eine AVV mit diesem. Die meisten seriösen Anbieter bieten diese in ihren rechtlichen oder Datenschutzdokumenten an.

Speichert WP Mail SMTP personenbezogene Daten auf den Servern von Awesome Motive?

Nein. WP Mail SMTP speichert alle Plugin-Daten auf Ihrer eigenen Website. Awesome Motive speichert keine Ihrer E-Mail-Daten.

Was passiert, wenn ich die DSGVO nicht einhalte?

Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. In der Praxis beginnt die Durchsetzung typischerweise mit einer Warnung oder einem Verweis, bevor es zu finanziellen Strafen kommt. Das unmittelbarere Risiko für die meisten Kleinunternehmen ist die Beschädigung des Kundenvertrauens.

Nicht zwingend erforderlich für rein transaktionale E-Mails, da diese nicht auf Einwilligung basieren. Das Einfügen eines Links zu Ihrer Datenschutzerklärung in allen E-Mail-Fußzeilen ist eine empfohlene Vorgehensweise.

Kann ich Gmail als meinen WordPress-Mailer verwenden?

Ja, aber prüfen Sie die Datenverarbeitungsbedingungen von Google, wenn Sie EU-Nutzer haben. Gmail und Google Workspace verarbeiten Daten auf den Servern von Google. Für den Versand großer Mengen ist ein dedizierter Transaktions-E-Mail-Dienst wie SendLayer zuverlässiger und einfacher DSGVO-dokumentiert zu halten.

Gilt die DSGVO für B2B-E-Mails?

Ja. Arbeits-E-Mail-Adressen wie [email protected] identifizieren eine Person und gelten daher als personenbezogene Daten. Die Regeln sind für B2B etwas nuancierter. Das berechtigte Interesse ist bei der Kontaktaufnahme mit Geschäftskontakten zu relevanten Produkten oder Dienstleistungen besser zu rechtfertigen, aber die Einwilligung ist immer noch der sicherste Ansatz. Im Zweifelsfall holen Sie sich eine ausdrückliche Zustimmung ein.

Kann ich eine gekaufte E-Mail-Liste verwenden?

Nein. Die DSGVO-Einwilligung muss spezifisch für Ihre Organisation sein, und Personen, die dem Erhalt von E-Mails von einem anderen Unternehmen zustimmen, haben dem Erhalt von E-Mails von Ihnen nicht zugestimmt. Sie können unter der DSGVO keine gültige Mailingliste kaufen.

Was soll ich mit einer alten E-Mail-Liste tun, die vor der DSGVO gesammelt wurde?

Wenn Ihre Liste ohne DSGVO-konforme Einwilligung erstellt wurde (nicht angekreuztes Opt-in-Feld, klare Erklärung, wofür sich die Personen angemeldet haben), befinden Sie sich in einem unsicheren Bereich. Die sicherste Option ist eine Re-Permission-Kampagne: Senden Sie eine E-Mail an die Liste, erklären Sie, was Sie senden, und bitten Sie die Personen, sich aktiv wieder anzumelden. Entfernen Sie dann alle, die nicht antworten. Ihre Liste wird schrumpfen, aber die verbleibenden Kontakte sind konform und deutlich engagierter.

Was ist der Unterschied zwischen DSGVO und CAN-SPAM?

CAN-SPAM ist das US-Bundesgesetz, das kommerzielle E-Mails regelt. Es erlaubt Opt-out-Marketing: Sie können senden, bis jemand Sie auffordert, damit aufzuhören. Die DSGVO verlangt eine Opt-in-Einwilligung, bevor Sie Ihre erste Marketing-E-Mail senden. Wenn Sie EU-Besucher haben, reicht die US-Konformität allein nicht aus. Die DSGVO gilt zusätzlich.

Was passiert, wenn mein E-Mail-Anbieter gehackt wird?

Wenn eine Datenpanne personenbezogene Daten preisgibt, verlangt die DSGVO, dass Sie Ihre nationale Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen. Wenn ein hohes Risiko für die betroffenen Personen besteht, müssen Sie sie auch direkt benachrichtigen. Deshalb ist es wichtig, Ihr Plugin und Ihren Mailer auf dem neuesten Stand zu halten und eine Auftragsverarbeitungsvereinbarung (AVV) mit Ihrem Anbieter abzuschließen – die AVV sollte die Verpflichtungen jeder Partei im Falle einer Panne festlegen.

Dieser Leitfaden behandelt die E-Mail-Versandseite der DSGVO-Konformität. Für die vollständige DSGVO-Konformität von WordPress, einschließlich Cookies, Analysen und Datenschutzrichtlinien, lesen Sie den ultimativen Leitfaden von WPBeginner zur DSGVO-Konformität von WordPress.

Als Nächstes: Maximieren Sie Ihre E-Mail-Zustellbarkeit

Ihre E-Mails DSGVO-konform zu machen, ist die eine Hälfte der Medaille. Die andere Hälfte ist sicherzustellen, dass sie tatsächlich im Posteingang ankommen. Die gleiche technische Einrichtung, die Ihre Konformität schützt (korrekte Authentifizierung, ein seriöser Mailer, verschlüsselte Verbindungen), hat auch einen großen Einfluss darauf, ob Ihre E-Mails im Posteingang oder im Spam-Ordner landen. Wenn Sie weiter gehen möchten, behandelt unser Leitfaden zu Best Practices für die E-Mail-Zustellbarkeit in WordPress alles von der Absenderreputation und Listenhygiene bis hin zu Subdomains und Segmentierung.

Bereit, Ihre E-Mails zu reparieren? Fangen Sie noch heute an mit dem besten WordPress SMTP-Plugin. Wenn Sie keine Zeit haben, Ihre E-Mails zu reparieren, können Sie gegen Aufpreis eine vollständige White Glove Setup-Unterstützung erhalten, und für alle kostenpflichtigen Tarife gilt eine 14-tägige Geld-zurück-Garantie.

Wenn dieser Artikel Ihnen geholfen hat, folgen Sie uns bitte auf Facebook und Twitter für weitere WordPress-Tipps und Tutorials.

Offenlegung: Unsere Inhalte werden von den Lesern unterstützt. Das bedeutet, wenn Sie auf einige unserer Links klicken, können wir eine Provision verdienen. Sehen Sie, wie WPForms finanziert wird, warum es wichtig ist und wie Sie uns unterstützen können.

Rachel Adnyana

Rachel schreibt seit einem Jahrzehnt über WordPress und erstellt seit viel länger Websites. Neben der Webentwicklung fasziniert sie die Kunst und Wissenschaft von SEO und digitalem Marketing. Mehr erfahren

Probieren Sie unser kostenloses WP Mail SMTP Plugin

Nutze deinen bevorzugten SMTP-Anbieter, um deine WordPress-E-Mails zuverlässig zu versenden.