So versendest du DSGVO-konforme E-Mails über WordPress (Komplette Anleitung)

Wenn deine WordPress-Seite Besucher aus der EU hat, unterliegst du der DSGVO, egal ob du das weißt oder nicht und egal, ob dein Unternehmen seinen Sitz in Europa hat oder nicht.

Die meisten Anleitungen zu DSGVO und WordPress konzentrieren sich auf Cookie-Banner und Datenschutzerklärungen. Das ist zwar wichtig, aber es gibt einen ganzen Bereich der Compliance, der weit weniger Beachtung findet: die E-Mails, die deine Website versendet.

Jedes Mal, wenn WordPress eine Passwortzurücksetzung, eine WooCommerce-Bestellbestätigung oder einen Newsletter versendet, verarbeitet es personenbezogene Daten. Das bedeutet, dass die DSGVO gilt.

Die gute Nachricht ist: Sobald du die Regeln verstanden hast, ist das meiste, was du tun musst, ganz einfach. Dieser Leitfaden deckt alles ab: die Anforderungen der DSGVO an E-Mails, den Unterschied zwischen Transaktions- und Marketing-E-Mails, die Einwilligung, den Umgang mit Daten, die Wahl des E-Mail-Dienstes und die technischen Einstellungen, mit denen du die Vorschriften einhältst – einschließlich der Konfiguration von WP Mail SMTP für jede Anforderung.

Hinweis: Dies ist keine Rechtsberatung. Die Einhaltung der DSGVO hängt von deiner konkreten Situation ab. Wenn du Bedenken hast, wende dich an einen qualifizierten Anwalt.

Kurzzusammenfassung: Was die DSGVO für E-Mails in WordPress vorschreibt

Für Marketing-E-Mails ist eine ausdrückliche, aktive Einwilligung erforderlich

Für Transaktions-E-Mails (Bestellbestätigungen, Passwort-Zurücksetzungen) ist keine Einwilligung erforderlich – achte aber darauf, dass sie keine Werbeinhalte enthalten

E-Mail-Adressen gelten gemäß DSGVO als personenbezogene Daten

Du brauchst eine Datenverarbeitungsvereinbarung mit jedem externen Versanddienstleister

E-Mails müssen über verschlüsselte Verbindungen (TLS) gesendet werden

Du musst in der Lage sein, auf Anträge auf Löschung von Daten innerhalb eines Monats zu reagieren

Datenschutzverletzungen, die personenbezogene Daten betreffen, müssen deiner Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden

Die Bußgelder belaufen sich auf 20 Millionen Euro oder 4 % des weltweiten Umsatzes – die Durchsetzung ist intensiv und nimmt zu

Gilt die DSGVO für deine WordPress-E-Mails?

Ja, wenn Besucher deiner Website in der EU oder im EWR ansässig sind, gilt die DSGVO für den Umgang mit ihren Daten, einschließlich ihrer E-Mail-Adresse.

Das gilt nicht nur für Unternehmen in der EU. Ein WooCommerce-Shop in den USA, eine Mitgliederseite in Australien, ein Plugin-Anbieter in Kanada: Wenn du Kunden in der EU hast, regelt die DSGVO, wie du ihre personenbezogenen Daten verarbeitest.

Eine E-Mail-Adresse gilt gemäß DSGVO als personenbezogene Daten. Das Gleiche gilt für einen Namen. Und auch für eine IP-Adresse. Wenn deine Website eine E-Mail an einen Kunden oder Abonnenten sendet, verarbeitet sie diese Daten.

Das heißt aber nicht, dass die DSGVO dich daran hindert, E-Mails zu versenden. Es bedeutet lediglich, dass du dafür eine rechtmäßige Grundlage benötigst, und die Regeln unterscheiden sich je nachdem, um welche Art von E-Mail es sich handelt.

Die Durchsetzung ist real und nimmt zu. Allein die spanische Datenschutzbehörde hat seit Inkrafttreten der DSGVO über 1.000 Bußgelder verhängt, und Verstöße im E-Mail-Marketing stehen dabei regelmäßig im Fokus. Google wurde in Frankreich wegen fehlender Einwilligungen mit einer Geldstrafe von 50 Millionen Euro belegt. Ein österreichischer Postdienst wurde mit einer Geldstrafe von 9,5 Millionen Euro belegt, weil er Anfragen von betroffenen Personen nicht ordnungsgemäß bearbeitet hatte. Das sind keine Einzelfälle, sondern genau die Art von Verstößen, die passieren, wenn die Datenverarbeitung nicht mit den Vorschriften Schritt gehalten hat.

Wenn du eine Website mit Sitz in den USA betreibst, solltest du außerdem wissen, dass die DSGVO deutlich strenger ist als CAN-SPAM, das US-Bundesgesetz, das kommerzielle E-Mails regelt. CAN-SPAM erlaubt Opt-out-Marketing (du darfst Leuten E-Mails schicken, bis sie sich abmelden). Die DSGVO verlangt eine Opt-in-Einwilligung, bevor du E-Mails versendest. Wenn du Besucher aus der EU hast, reicht die Einhaltung der US-Vorschriften allein nicht aus.

Die zwei Arten von E-Mails, die deine Website versendet

Deine WordPress-Seite versendet zwei grundlegend unterschiedliche Arten von E-Mails, und die DSGVO behandelt sie unterschiedlich.

Transaktions-E-Mails

Transaktions-E-Mails werden durch eine Aktion des Nutzers ausgelöst. Bestellbestätigungen, Versandbenachrichtigungen, Passwort-Zurücksetzungen, Kontobenachrichtigungen, Antworten auf Kontaktformulare. Diese E-Mails werden erwartet und die Nutzer wünschen sie sich.

Gemäß der DSGVO brauchst du für den Versand von Transaktions-E-Mails in der Regel keine gesonderte Einwilligung. Die Rechtsgrundlage ist entweder die „Vertragsdurchführung“ (der Nutzer hat etwas gekauft, also wickelst du diese Transaktion ab) oder das „berechtigte Interesse“ (das Versenden einer Passwort-Zurücksetzung liegt eindeutig im Interesse des Nutzers).

Aber es gibt einen Haken. Sobald du Werbeinhalte wie Produktempfehlungen, Rabattcodes und „Das könnte dir auch gefallen“-Abschnitte hinzufügst, hast du den Charakter der E-Mail verändert und benötigst für diesen Teil möglicherweise eine Einwilligung.

Am sichersten ist es, Transaktions-E-Mails streng auf den eigentlichen Vorgang zu beschränken. Wenn du Kunden nach einem Kauf mit Marketinginhalten ansprechen möchtest, nutze eine separate E-Mail, für die du eine ordnungsgemäße Einwilligung eingeholt hast.

Wenn du mehr über die Vorschriften für Transaktions-E-Mails erfahren möchtest, lies unseren vollständigen Leitfaden zu den DSGVO-Best-Practices für Transaktions-E-Mails.

Tipp für WooCommerce-Nutzer

WooCommerce verfügt über integrierte DSGVO-Einstellungen, die du dir ansehen solltest. Gehe zu WooCommerce > Einstellungen > Konten & Datenschutz, um die Aufbewahrungsfristen für personenbezogene Daten und ausstehende Bestellungen zu konfigurieren, Anträge auf Löschung von Konten zu aktivieren und Links zur Datenschutzerklärung auf den Seiten für den Checkout und die Registrierung hinzuzufügen. Kümmere dich hier um die WooCommerce-Seite der Compliance, bevor du dich um deine SMTP-Einrichtung kümmerst.

Marketing-E-Mails

Bei Marketing-E-Mails ist das anders. Wenn du Newsletter, Werbekampagnen oder sonstige E-Mails versendest, deren Hauptzweck der Verkauf oder die Werbung ist, benötigst du vor dem Versand die ausdrückliche Einwilligung des Empfängers.

Voreingestellte Kontrollkästchen zählen nicht. Eine gebündelte Einwilligung (bei der die Einwilligung zum E-Mail-Marketing in den Allgemeinen Geschäftsbedingungen versteckt ist) zählt nicht. Die Einwilligung muss freiwillig, spezifisch und leicht widerrufbar sein.

So holst du die E-Mail-Einwilligung richtig ein

Wenn du Marketing-E-Mails an Abonnenten in der EU verschickst, ist die Einholung der Einwilligung von Anfang an die Grundlage für alles Weitere.

Wie eine gültige Einwilligung aussieht

Der Abonnent muss sich aktiv anmelden, indem er ein nicht angekreuztes Kästchen ankreuzt, nicht eines, das bereits angekreuzt ist. Die Einwilligung muss sich speziell auf E-Mail-Marketing beziehen und darf nicht in einer allgemeinen Datenschutzerklärung versteckt sein. Außerdem muss klar erklärt werden, von wem der Abonnent Nachrichten erhalten wird und welche Art von E-Mails er bekommen wird.

Du musst außerdem nachweisen können, dass eine Einwilligung erteilt wurde. Das bedeutet, dass du dokumentieren musst, wann dies geschah, was im Formular stand und wo der Abonnent sich angemeldet hat. Wenn du bei einer Prüfung keine Einwilligungsnachweise vorlegen kannst, gilt die Einwilligung als nie erteilt.

Double-Opt-in

Das Double-Opt-in ist nach der DSGVO zwar nicht gesetzlich vorgeschrieben, aber es ist der sicherste Ansatz. Wenn sich jemand anmeldet, erhält er eine Bestätigungs-E-Mail und wird erst dann in deine Liste aufgenommen, nachdem er zur Bestätigung darauf geklickt hat. Das schafft einen klaren Nachverfolgungsnachweis und filtert falsche oder falsch eingegebene Adressen heraus.

Das Abmelden muss einfach sein

Das Widerrufen der Einwilligung muss genauso einfach sein wie das Erteilen. Jede Marketing-E-Mail muss einen funktionierenden Abmeldelink enthalten. Wenn sich jemand abmeldet, bearbeite dies umgehend – Verzögerungen stellen sowohl ein Compliance-Risiko als auch ein Vertrauensproblem dar.

Formulare auf deiner Website

Jedes Formular, in dem eine E-Mail-Adresse abgefragt wird, muss klar darlegen, wofür diese Adresse verwendet wird. Kontaktformulare und Anmeldeformulare für Newsletter dienen unterschiedlichen Zwecken und erfordern daher unterschiedliche Formulierungen für die Einwilligungserklärung.

Wenn du WPForms nutzt, kannst du direkt in den Formulareinstellungen ein Feld für die DSGVO-Einwilligung hinzufügen, die IP-Erfassung deaktivieren und die Erfassung von Cookies ausschalten – ganz ohne Programmierkenntnisse.

Was ist mit deiner bestehenden E-Mail-Liste?

Wenn du deine Liste vor Inkrafttreten der DSGVO im Jahr 2018 erstellt hast (oder Adressen ohne eindeutiges Opt-in gesammelt hast), könntest du ein Problem haben. Eine Einwilligung, die nicht im Sinne der DSGVO eingeholt wurde (unmarkiertes Kästchen, keine klare Erklärung, wofür sich die Abonnenten anmeldeten), zählt nicht.

Der sicherste Weg ist eine Kampagne zur erneuten Einwilligung: Schick eine E-Mail an deine bestehende Liste, in der du die Empfänger bittest, sich aktiv erneut anzumelden, und entferne alle, die dies nicht tun. Das ist unangenehm, weil deine Liste dadurch schrumpft. Aber es ist besser als eine Geldstrafe, und die Leute, die sich erneut bestätigen, sind weitaus engagierter als alte Kontakte, die sich kaum noch daran erinnern, sich jemals angemeldet zu haben.

Gekaufte E-Mail-Listen

Verwende sie nicht. Die Einwilligung nach DSGVO muss speziell auf deine Organisation zugeschnitten sein, und Personen, die zugestimmt haben, Nachrichten von einem Unternehmen zu erhalten, haben damit nicht zugestimmt, Nachrichten von dir zu erhalten. Du kannst dir nach der DSGVO keine gültige Mailingliste erkaufen.

Rechte der betroffenen Person und Bearbeitungsfristen

Gemäß der DSGVO haben deine Abonnenten und Kunden das Recht, auf die Daten, die du über sie gespeichert hast, zuzugreifen, diese zu berichtigen oder zu löschen. Wenn jemand einen entsprechenden Antrag stellt, hast du einen Monat Zeit, darauf zu reagieren. Dokumentiere jeden Antrag und wie er bearbeitet wurde, da dies bei Audits häufig abgefragt wird.

Was gilt in deinen E-Mails als personenbezogene Daten?

Gemäß der DSGVO gelten als personenbezogene Daten alle Informationen, die eine Person direkt oder indirekt identifizieren können. Im Zusammenhang mit E-Mails umfasst dies:

• Namen und E-Mail-Adressen
• IP-Adressen
• Mit einem Konto verknüpfte Kaufhistorie
• Kontodaten im Text der E-Mail

Diese Daten befinden sich in deinen E-Mail-Protokollen, deiner Datenbank und möglicherweise auf den Servern deines externen E-Mail-Dienstleisters. All diese Daten fallen unter die DSGVO.

Datenminimierung

Der Grundsatz der Datenminimierung der DSGVO besagt, dass du nur die Daten erheben und verarbeiten solltest, die du tatsächlich benötigst. Wenn dein Kontaktformular keine Telefonnummer benötigt, erhebe keine. Was E-Mails angeht: Füge deinen Nachrichten nicht mehr persönliche Informationen bei, als für die Transaktion erforderlich sind. Eine Bestellbestätigung muss nicht die gesamte Kontohistorie des Kunden wiedergeben.

Aufbewahrungsfristen

Du darfst personenbezogene Daten nicht unbegrenzt aufbewahren. Die DSGVO schreibt vor, dass du festlegen musst, wie lange du Daten aufbewahrst, und sie löschen musst, sobald du sie nicht mehr benötigst.

Für E-Mail-Marketing-Listen bedeutet das, inaktive Abonnenten regelmäßig zu überprüfen und Personen zu entfernen, die schon lange keine Interaktion mehr gezeigt haben. Bei E-Mail-Protokollen bedeutet das, dass du sie nicht länger aufbewahren solltest, als es für deine geschäftlichen Zwecke erforderlich ist. (Mehr dazu im Abschnitt über E-Mail-Protokolle weiter unten.)

Die Wahl eines DSGVO-konformen E-Mail-Versanddienstes

Das ist der Punkt, den die meisten WordPress-Betreiber übersehen. Wenn du E-Mails über einen externen Dienst wie SendLayer, Amazon SES, Mailgun, Gmail oder einen anderen SMTP-Anbieter versendest, gibst du personenbezogene Daten an Dritte weiter.

Gemäß der DSGVO benötigst du eine Datenverarbeitungsvereinbarung (DPA) mit dem Dritten, wenn du personenbezogene Daten zur Verarbeitung an diesen übermittelst. Eine DPA ist ein Vertrag, in dem festgelegt ist, wie der Dritte mit diesen Daten umgeht, welche Sicherheitsmaßnahmen er getroffen hat und was im Falle einer Datenschutzverletzung geschieht.

Die meisten seriösen E-Mail-Anbieter bieten Datenschutzvereinbarungen an, meist in ihren Datenschutz- oder rechtlichen Hinweisen. Wenn ein Anbieter keine solche Vereinbarung anbietet, ist das ein Warnsignal, das man ernst nehmen sollte.

Wo werden die Daten gespeichert?

Wenn deine E-Mail-Daten auf Servern außerhalb der EU oder des Vereinigten Königreichs gespeichert werden, muss die Übermittlung rechtlich abgesichert sein. Einige Anbieter verfügen über Rechenzentren in der EU, für die du dich entscheiden kannst. Andere stützen sich auf Standardvertragsklauseln (SCCs), um Datenübermittlungen zu legitimieren. Prüfe die Optionen deines Anbieters zur Datenspeicherung, falls dies für deine Nutzer ein Anliegen ist.

Welche Mail-Programme führen Protokolle?

Viele externe E-Mail-Dienste führen Protokolle über die über ihren Dienst versendeten E-Mails. Diese Protokolle enthalten personenbezogene Daten. Gemäß dem Recht auf Löschung nach der DSGVO musst du, wenn ein Nutzer dich bittet, seine Daten zu löschen, in der Lage sein, dies in allen Systemen umzusetzen – einschließlich deines E-Mail-Dienstes.

Finde heraus, welche deiner E-Mail-Programme Protokolle speichern und wie du diese bei Bedarf löschen kannst. Unsere WP Mail SMTP-Dokumente zur DSGVO-Konformität behandeln die wichtigsten E-Mail-Programme und deren Protokollierungsverhalten.

Technische Anforderungen: Verschlüsselung, Authentifizierung und Benachrichtigung bei Datenschutzverletzungen

Die DSGVO schreibt vor, dass personenbezogene Daten sicher aufbewahrt werden müssen, auch während der Übertragung. Für E-Mails bedeutet das zweierlei.

TLS-Verschlüsselung

Deine E-Mails sollten über TLS-Verbindungen (Transport Layer Security) versendet werden. Dadurch wird die E-Mail während der Übertragung verschlüsselt, sodass sie nicht abgefangen werden kann.

Die Standardeinstellung von WordPress wp_mail() Die Funktion garantiert keine TLS-Verschlüsselung. Wenn du WP Mail SMTP mit einem seriösen E-Mail-Dienst nutzt, werden E-Mails standardmäßig über sichere, verschlüsselte Verbindungen versendet.

E-Mail-Authentifizierung: SPF, DKIM und DMARC

Die E-Mail-Authentifizierung ist nicht nur eine Funktion zur Gewährleistung der Zustellbarkeit, sondern dient auch der Sicherheit und der Einhaltung von Vorschriften. Diese drei Protokolle überprüfen, ob E-Mails, die angeblich von deiner Domain stammen, tatsächlich von dir gesendet wurden, und schützen deine Domain so vor Spoofing.

• SPF teilt den empfangenden Mail-Servern mit, welche Server berechtigt sind, E-Mails im Namen deiner Domain zu versenden.
• DKIM fügt jeder E-Mail eine kryptografische Signatur hinzu, die belegt, dass sie während der Übertragung nicht verändert wurde.
• DMARC legt fest, was passiert, wenn E-Mails die SPF- oder DKIM-Prüfung nicht bestehen, und sendet dir Berichte, damit du überwachen kannst, was in deinem Namen versendet wird.

Ohne ordnungsgemäße Authentifizierung könnte jemand E-Mails versenden, die so aussehen, als kämen sie von deiner Domain – und so deine Kunden unter Ausnutzung deiner Marke zum Opfer von Phishing machen. Das ist ein Sicherheitsversagen und ein potenzieller Verstoß gegen die DSGVO, da dadurch die Daten deiner Nutzer gefährdet werden.

Eine vollständige Anleitung zur Einrichtung findest du in unserem Leitfaden zu DMARC, SPF und DKIM.

Meldung einer Datenpanne

Sollte dein E-Mail-System kompromittiert und personenbezogene Daten offengelegt werden, bist du gemäß DSGVO verpflichtet, deine nationale Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls zu benachrichtigen. Wenn der Vorfall voraussichtlich ein hohes Risiko für die betroffenen Personen darstellt, musst du diese zudem direkt benachrichtigen.

Deshalb ist technische Sicherheit kein Luxus. Schwache Authentifizierung, unverschlüsselte Verbindungen und veraltete Plugins bergen Risiken – es geht nicht nur um Probleme bei der Zustellbarkeit. Halte WP Mail SMTP und deinen gewählten Mailer auf dem neuesten Stand und nutze den integrierten E-Mail-Test, um zu überprüfen, ob deine Authentifizierung korrekt funktioniert.

Warum die Standard-E-Mail-Funktion von WordPress in beiden Punkten versagt

WordPress nutzt PHPs mail() Standardmäßig wird diese Funktion verwendet. Dabei werden E-Mails direkt von deinem Webserver versendet, ohne garantierte Authentifizierung und oft ohne TLS. Auf diese Weise versendete E-Mails kommen häufiger nicht an, als du denkst – was bedeutet, dass deine gesetzlich vorgeschriebenen Transaktions-E-Mails (Passwort-Zurücksetzungen, WooCommerce-Bestellungen) deine Nutzer möglicherweise nie erreichen.

WP Mail SMTP ersetzt dies durch eine ordnungsgemäße SMTP-Verbindung über den von dir gewählten E-Mail-Client, wobei Verschlüsselung und Authentifizierung korrekt konfiguriert sind.

Repariere deine WordPress-E-Mails jetzt

E-Mail-Protokolle und das Recht auf Löschung

Die DSGVO gibt Menschen das Recht, ihre personenbezogenen Daten löschen zu lassen: das „Recht auf Vergessenwerden“.

Wenn ein Nutzer die Löschung seiner Daten beantragt, musst du dies in deinem gesamten E-Mail-System berücksichtigen:

• Deine WordPress-Datenbank (Kundenkonten, Formulareinträge, Bestelldaten)
• Deine E-Mail-Marketing-Liste
• Von WP Mail SMTP gespeicherte E-Mail-Protokolle
• Protokolle, die von deinem E-Mail-Dienst gespeichert werden

WP Mail SMTP Pro verfügt über ein E-Mail-Protokoll, das festhält, was wann an wen gesendet wurde. Das ist nützlich für die Compliance-Dokumentation, da es einen Prüfpfad erstellt, bedeutet aber auch, dass du eine Aufbewahrungsrichtlinie für die Protokolldaten selbst benötigst.

Du kannst WP Mail SMTP so konfigurieren, dass Protokolle nach einer festgelegten Zeitspanne automatisch gelöscht werden, oder Einträge manuell löschen, wenn du einzelne Löschanfragen bearbeitest.

So richtest du WP Mail SMTP für die DSGVO-Konformität ein

Hier findest du eine Schritt-für-Schritt-Anleitung zu den WP Mail SMTP-Einstellungen, die für die Einhaltung der DSGVO wichtig sind.

Die folgenden Schritte 1 und 2 zum Einrichten eines Mail-Dienstes und zum Versenden einer Test-E-Mail sind in der kostenlosen Version von WP Mail SMTP verfügbar. Die Schritte 3 bis 6 (E-Mail-Protokollierung, Datenlöschung, E-Mail-Einstellungen und intelligentes Routing) erfordern WP Mail SMTP Pro.

Schritt 1: Ein DSGVO-konformes E-Mail-Programm einrichten

Wenn du noch die Standard-PHP-Mail-Funktion von WordPress nutzt, ist der erste Schritt, einen geeigneten Mail-Dienst anzubinden. WP Mail SMTP unterstützt alle großen Anbieter: SendLayer, Amazon SES, Mailgun, Brevo, Gmail, Outlook und viele mehr.

Geh in deinem WordPress-Dashboard zu „WP Mail SMTP“ > „Einstellungen“ > „Allgemein“.

Wähle unter „Primäre Verbindung“ deinen E-Mail-Dienst aus und befolge die Einrichtungsschritte. Jeder E-Mail-Dienst wird über API- oder SMTP-Anmeldedaten verbunden, und WP Mail SMTP führt dich durch den Vorgang.

Sobald die Verbindung hergestellt ist, werden deine E-Mails über eine ordnungsgemäße, authentifizierte SMTP-Verbindung statt über PHP-Mail versendet.

Bevor du dich für einen E-Mail-Dienstleister entscheidest: Überprüfe, ob dein Anbieter eine Datenverarbeitungsvereinbarung anbietet. Die meisten großen Anbieter (SendLayer, Amazon SES, Mailgun, Brevo) tun dies. Wenn du Gmail oder Google Workspace nutzt, gelten die Datenverarbeitungsbedingungen von Google.

Schritt 2: Sende eine Test-E-Mail und überprüfe deine Einstellungen

Nachdem du deinen E-Mail-Client eingerichtet hast, geh zu WP Mail SMTP > Tools > E-Mail-Test und sende eine Testnachricht an deine eigene E-Mail-Adresse.

Überprüfe, ob die E-Mail angekommen ist, öffne dann die E-Mail-Header (in Gmail: drei Punkte > Original anzeigen; in Outlook: Datei > Eigenschaften) und suche nach:

• DKIM-Signatur – bestätigt, dass DKIM erfolgreich ist
• spf=pass — bestätigt, dass SPF den Test besteht
• dmarc=pass — bestätigt, dass DMARC erfolgreich ist

Sollte eines dieser Elemente fehlen oder nicht funktionieren, wird das Problem auf der Ergebnisseite des E-Mail-Tests von WP Mail SMTP angezeigt und dir mitgeteilt, was du beheben musst.

Schritt 3: E-Mail-Protokollierung konfigurieren

Funktion von WP Mail SMTP Pro. Die E-Mail-Protokollierung ist in den Pro-Tarifen und höher verfügbar. Auf Pro upgraden →

Das E-Mail-Protokoll von WP Mail SMTP Pro bietet dir eine vollständige Aufzeichnung aller E-Mails, die deine Website versendet – unverzichtbar für die Dokumentation zur Einhaltung von Vorschriften.

Geh zu WP Mail SMTP > E-Mail-Protokoll, um das Protokoll anzuzeigen. Unter WP Mail SMTP > Einstellungen > Protokolle kannst du Folgendes konfigurieren:

• E-Mails protokollieren – zum Aktivieren einfach einschalten
• E-Mail-Inhalt protokollieren – zeichnet den vollständigen E-Mail-Text auf (nützlich für Compliance-Zwecke, aber beachte dabei deine Verpflichtungen zur Datenminimierung)
• Aufbewahrungsdauer – Leg fest, wie viele Tage Protokolle aufbewahrt werden, bevor sie automatisch gelöscht werden

Lege eine Aufbewahrungsfrist fest, die deinen tatsächlichen geschäftlichen Anforderungen entspricht. Protokolle auf unbestimmte Zeit aufzubewahren, verstößt gegen die Vorschriften – wähle einen Zeitraum, halte ihn in deiner Datenschutzerklärung fest und halte dich daran.

Schritt 4: Bearbeitung von Anträgen auf Löschung von Daten

Erfordert E-Mail-Protokollierung (Pro). Du kannst E-Mail-Einträge nur suchen und löschen, wenn die Protokollierung aktiviert ist.

Wenn ein Nutzer sein Recht auf Löschung geltend macht, musst du seine E-Mail-Einträge aus dem Protokoll von WP Mail SMTP löschen.

Geh in WP Mail SMTP > E-Mail-Protokoll, suche nach der E-Mail-Adresse des Benutzers, wähle die entsprechenden Einträge aus und lösche sie mit der Option zum Massenlöschen.

Stell sicher, dass du das Löschen auch auf der Ebene deines E-Mail-Programms vornimmst. Lies in der Dokumentation deines E-Mail-Programms nach, wie du gesendete E-Mail-Einträge löschen kannst.

Schritt 5: Überprüfe deine E-Mail-Einstellungen

WP Mail SMTP Pro-Funktion. Die E-Mail-Einstellungen sind in den Pro-Tarifen und höher verfügbar. Auf Pro upgraden →

Mit der Funktion „E-Mail-Einstellungen“ von WP Mail SMTP Pro kannst du festlegen, welche Arten von E-Mails WordPress von deiner Website aus versendet und über welche Verbindung dies geschieht.

Geh zu WP Mail SMTP > Einstellungen > E-Mail-Steuerung, um eine Liste der E-Mail-Typen nach Plugin und WordPress-Kern zu sehen – WooCommerce-Bestell-E-Mails, Benachrichtigungen zu Kommentaren, Benutzerregistrierung und mehr.

Das ist in zweierlei Hinsicht hilfreich für die Einhaltung von Vorschriften:

1. Du kannst E-Mail-Typen deaktivieren, die deine Website nicht benötigt (Datenminimierung, d. h. wenn du eine Funktion nicht nutzt, versende keine E-Mails dafür).
2. Du kannst verschiedene E-Mail-Typen über unterschiedliche Mailer versenden, zum Beispiel WooCommerce-Transaktions-E-Mails über SendLayer separate Kontobenachrichtigungen über eine andere Verbindung.

Schritt 6: Richte eine Backup-Verbindung ein

WP Mail SMTP Pro-Funktion. Smart Routing und Backup-Verbindungen sind in den Pro-Tarifen und höher verfügbar. Auf Pro upgraden →

Mit dem Smart Routing von WP Mail SMTP Pro kannst du eine Ersatzverbindung einrichten, die automatisch aktiviert wird, falls dein primärer Mailer ausfällt. Das ist im Hinblick auf die DSGVO wichtig, denn wenn die E-Mail zum Zurücksetzen des Passworts nicht ankommt, können Nutzer nicht auf ihr Konto zugreifen – und das ist ein Dienstausfall mit Auswirkungen auf den Datenschutz.

Geh zu WP Mail SMTP > Einstellungen > Verbindungen, um eine Ersatzverbindung hinzuzufügen und Smart Routing zu konfigurieren.

Schritt 7: Überprüfe die DSGVO-Unterlagen deines E-Mail-Anbieters

Sobald dein E-Mail-Dienstleister verbunden ist, nimm dir 10 Minuten Zeit, um dessen DSGVO-/Datenschutzdokumentation zu finden und durchzusehen. Du musst Folgendes überprüfen:

• Es liegt eine Datenverarbeitungsvereinbarung vor (und akzeptiere sie, falls erforderlich)
• Du weißt, wo die Daten gespeichert sind und ob sie die EU/das Vereinigte Königreich verlassen
• Du kennst die Einstellungen zur Protokollspeicherung und weißt, wie man Protokolle bei Bedarf löscht

Die beliebtesten Anbieter und wo du ihre DPA-Unterlagen findest:

Anbieter	DPA-Dokumentation
SendLayer	Zu finden in ihren Datenschutzhinweisen
Amazon SES	AWS-Zusatzvereinbarung zur Datenverarbeitung
Mailgun	Zu finden in den rechtlichen Hinweisen von Sinch/Mailgun
Brevo	Zu finden in ihrer DSGVO-Dokumentation
Google Arbeitsbereich	Google Workspace-Datenschutzvereinbarung (wird automatisch mit den Workspace-Nutzungsbedingungen akzeptiert)

Checkliste zur Einhaltung der DSGVO bei E-Mails

Nutze dies, um deine aktuelle Konfiguration zu überprüfen.

Einwilligung und Listen

• ☐ Marketing-E-Mails gehen nur an Personen, die sich aktiv dafür angemeldet haben
• ☐ Einwilligungsnachweise werden gespeichert (wann, wo, womit sie einverstanden waren)
• ☐ Jede Marketing-E-Mail enthält einen funktionierenden Link zum Abmelden
• ☐ Abmeldungen werden umgehend bearbeitet
• ☐ Inaktive Abonnenten werden regelmäßig überprüft

Datenverarbeitung

• ☐ Die Datenschutzerklärung ist auf dem neuesten Stand und in deinen E-Mails verlinkt
• ☐ Du erfassst nur die Datenfelder, die du tatsächlich brauchst
• ☐ Du hast eine Richtlinie zur Datenaufbewahrung festgelegt und hältst dich daran
• ☐ Du kannst Anfragen bezüglich Datenzugriff und -löschung innerhalb eines Monats beantworten

Technische Voraussetzungen

• ☐ WordPress-E-Mails werden über WP Mail SMTP versendet (nicht über PHP-Mail)
• ☐ E-Mails werden über TLS-Verschlüsselung versendet
• ☐ SPF-, DKIM- und DMARC-Einträge sind eingerichtet und werden erfolgreich überprüft
• ☐ Die Speicherung der E-Mail-Protokolle ist in WP Mail SMTP konfiguriert
• ☐ Du weißt, welche E-Mail-Programme Protokolle speichern und wie man Einträge löscht

E-Mail-Dienste von Drittanbietern

• ☐ Du hast eine Datenverarbeitungsvereinbarung (DPA) mit deinem E-Mail-Anbieter
• ☐ Du weißt, wo dein E-Mail-Dienstleister Daten speichert und ob diese die EU/das Vereinigte Königreich verlassen

FAQs

Gilt die DSGVO auch, wenn ich nicht in der EU ansässig bin?

Ja. Wenn du Besucher oder Kunden hast, die in der EU oder im EWR ansässig sind, gilt die DSGVO für den Umgang mit ihren Daten, unabhängig davon, wo dein Unternehmen seinen Sitz hat.

Brauche ich eine Einwilligung, um Transaktions-E-Mails zu versenden?

Nein, normalerweise nicht. Transaktions-E-Mails wie Bestellbestätigungen, Passwort-Zurücksetzungen und Versandbenachrichtigungen fallen unter „berechtigtes Interesse“ oder „Vertragserfüllung“. Dafür brauchst du keine separate Marketing-Einwilligung. Aber halte sie streng transaktionsbezogen, denn das Hinzufügen von Werbeinhalten verändert die Situation.

Gilt eine E-Mail-Adresse als personenbezogene Daten im Sinne der DSGVO?

Ja. Eine E-Mail-Adresse, anhand derer eine Person identifiziert werden kann, ist eine personenbezogene Angabe. Das Gleiche gilt für einen Namen, eine IP-Adresse und alle mit einem Konto verknüpften Kaufdaten.

Was ist eine Datenverarbeitungsvereinbarung?

Eine DPA ist ein Vertrag zwischen dir und jedem Dritten, der personenbezogene Daten in deinem Auftrag verarbeitet. Wenn du einen externen SMTP-Dienst oder eine E-Mail-Plattform zum Versenden von E-Mails nutzt, benötigst du eine DPA mit diesem Anbieter. Die meisten seriösen Anbieter stellen diese in ihren rechtlichen Hinweisen oder Datenschutzbestimmungen zur Verfügung.

Speichert WP Mail SMTP personenbezogene Daten auf den Servern von Awesome Motive?

Nein. WP Mail SMTP speichert alle Plugin-Daten auf deiner eigenen Website. Awesome Motive speichert deine E-Mail-Daten nicht.

Was passiert, wenn ich mich nicht an die DSGVO halte?

Die Geldbußen können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. In der Praxis beginnt die Durchsetzung in der Regel mit einer Verwarnung oder einem Verweis, bevor es zu Geldstrafen kommt. Das unmittelbarere Risiko für die meisten kleinen Unternehmen ist der Verlust des Kundenvertrauens.

Brauche ich einen Abmeldelink in Transaktions-E-Mails?

Für reine Transaktions-E-Mails ist dies nicht zwingend erforderlich, da sie nicht auf der Grundlage einer Einwilligung versendet werden. Es wird jedoch empfohlen, in allen E-Mail-Fußzeilen einen Link zu deiner Datenschutzerklärung anzugeben.

Kann ich Gmail als E-Mail-Dienst für WordPress nutzen?

Ja, aber schau dir Googles Datenverarbeitungsbedingungen an, wenn du Nutzer aus der EU hast. Gmail und Google Workspace verarbeiten Daten auf Googles Servern. Für den Versand großer Datenmengen SendLayer ein spezieller Transaktions-E-Mail-Dienst wie SendLayer zuverlässiger und lässt sich leichter im Sinne der DSGVO dokumentieren.

Gilt die DSGVO auch für B2B-E-Mails?

Ja. E-Mail-Adressen von der Arbeit wie [email protected] lassen Rückschlüsse auf eine bestimmte Person zu und gelten daher als personenbezogene Daten. Im B2B-Bereich sind die Regeln etwas differenzierter. Ein berechtigtes Interesse lässt sich eher rechtfertigen, wenn du Geschäftskontakten E-Mails zu relevanten Produkten oder Dienstleistungen schickst, aber die Einwilligung ist immer noch der sicherste Weg. Im Zweifelsfall solltest du eine ausdrückliche Einwilligung einholen.

Darf ich eine gekaufte E-Mail-Liste verwenden?

Nein. Die Einwilligung nach DSGVO muss sich speziell auf deine Organisation beziehen, und Personen, die dem Erhalt von E-Mails von einem anderen Unternehmen zugestimmt haben, haben damit nicht dem Erhalt von E-Mails von dir zugestimmt. Du kannst keine gültige Mailingliste im Sinne der DSGVO kaufen.

Was soll ich mit einer alten E-Mail-Liste machen, die vor Inkrafttreten der DSGVO gesammelt wurde?

Wenn deine Liste ohne eine Einwilligung nach DSGVO-Standard erstellt wurde (unmarkiertes Opt-in-Kästchen, klare Erklärung, wofür sich die Leute angemeldet haben), befindest du dich auf unsicherem Terrain. Die sicherste Option ist eine Kampagne zur erneuten Einwilligung: Schicke eine E-Mail an die Liste, in der du erklärst, was du verschickst, und bitte die Leute, sich aktiv erneut anzumelden; entferne dann alle, die nicht reagieren. Deine Liste wird kleiner, aber die verbleibenden Kontakte sind konform und deutlich engagierter.

Was ist der Unterschied zwischen der DSGVO und dem CAN-SPAM-Gesetz?

CAN-SPAM ist das US-Bundesgesetz, das kommerzielle E-Mails regelt. Es erlaubt Opt-out-Marketing: Du darfst E-Mails versenden, bis jemand dich bittet, damit aufzuhören. Die DSGVO verlangt eine Opt-in-Einwilligung, bevor du deine erste Marketing-E-Mail versendest. Wenn du Besucher aus der EU hast, reicht die Einhaltung der US-Vorschriften allein nicht aus. Die DSGVO gilt zusätzlich.

Was passiert, wenn mein E-Mail-Anbieter gehackt wird?

Wenn bei einer Datenschutzverletzung personenbezogene Daten offengelegt werden, musst du gemäß DSGVO deine nationale Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen. Besteht für die betroffenen Personen ein hohes Risiko, musst du sie zudem direkt benachrichtigen. Deshalb ist es wichtig, dein Plugin und deinen Mailer auf dem neuesten Stand zu halten und eine Datenschutzvereinbarung (DPA) mit deinem Anbieter abzuschließen – die DPA sollte die Pflichten jeder Partei im Falle einer Datenschutzverletzung festlegen.

Dieser Leitfaden befasst sich mit den Aspekten des E-Mail-Versands im Rahmen der DSGVO-Konformität. Umfassende Informationen zur DSGVO-Konformität von WordPress, einschließlich Cookies, Analysetools und Datenschutzerklärungen, findest du im ultimativen Leitfaden von WPBeginner zu WordPress und der DSGVO-Konformität.

Als Nächstes: Optimier deine E-Mail-Zustellbarkeit

Deine E-Mails DSGVO-konform zu gestalten, ist nur die halbe Miete. Die andere Hälfte besteht darin, sicherzustellen, dass sie auch tatsächlich im Posteingang landen. Die gleiche technische Konfiguration, die deine Compliance gewährleistet (korrekte Authentifizierung, ein seriöser E-Mail-Dienst, verschlüsselte Verbindungen), hat auch großen Einfluss darauf, ob deine E-Mails im Posteingang oder im Spam-Ordner landen. Wenn du noch einen Schritt weiter gehen möchtest, deckt unser Leitfaden zu Best Practices für die E-Mail-Zustellbarkeit in WordPress alles ab – von der Absenderreputation und der Listenpflege bis hin zu Subdomains und Segmentierung.

Bist du bereit, deine E-Mails zu verbessern? Starten Sie noch heute mit dem besten WordPress SMTP-Plugin. Wenn du keine Zeit hast, deine E-Mails zu reparieren, kannst du gegen Aufpreis eine umfassende White Glove Setup-Unterstützung erhalten und es gibt eine 14-tägige Geld-zurück-Garantie für alle kostenpflichtigen Angebote.

Wenn dir dieser Artikel geholfen hat, dann folge uns bitte auf Facebook und Twitter für weitere WordPress-Tipps und -Anleitungen.