Drücke „Enter”, um zum Inhalt zu springen.

DSGVO-konforme Newsletter mit WordPress

0

Einen Newsletter anzubieten ist einfach, ihn DSGVO-konform zu betreiben eine große Herausforderung. Für WordPress gibt es eine kostenfreie Lösung, die allerdings etwas Anpassungsarbeit erfordert.

Einleitung

Ein Newsletter wird genutzt, um eine Leserschaft zu gewinnen und diese mit neuen Informationen zu beglücken. Klingt einfach, ist es aber nicht. Wer sich mit Datenschutz beschäftigt, kennt die Tücken von Newslettern.

Das MailPoet Plugin

Von Hause aus ist das Plugin MailPoet für WordPress in vielerlei Hinsicht DSGVO-konform. Manches kann zusätzlich passend konfiguriert werden. Einige wenige offene Punkte bleiben. Hierfür ist ein etwas tieferer Eingriff in das Plugin erforderlich.

Das Plugin leistet das, was man von einem guten Newsletter-Tool erwartet:

  • Registrierungsprozess
  • Abmeldeprozess
  • Verwalten von Kontaktlisten
  • Double Opt-In Prozess
  • Speicherung von IP-Adresse der registrierten Nutzer in der WordPres-Tabelle mailpoet_subscribers. Dies ist wichtig, um später beweisen zu können, dass sich jemand registriert hat
  • Vorlagen für Emails
  • Versand von Mails bei neuen Beiträgen
  • Versand von individuellen Mails
  • Benachrichtigungen, etwa bei neuen Abonnenten

Der Mail-Versand findet über den eigenen Mail-Server statt. Optional kann der Versand über einen MailPoet Server erfolgen. Dies empfehle ich an dieser Stelel nicht, da daraus Datenschutzprobleme entstehen könnten. Ich habe diese Möglichkeit noch nicht näher untersucht. Mit einem AVV o.ä. und einem Betreiber des Mail-Servers in der EU könnte der Datenschutz in den Griff zu kriegen sein.

Damit der Newsletter DSGVO-konform ist, müssen eine Reihe weiterer Dinge beachtet werden.

Double Opt-In

Double Opt-In bedeutet: Erst nach Bestätigen der Mailadresse wird ein Abonnent freigeschaltet. Die Einstellung findet man im MailPoet-Menü unter Einstellungen -> Registrierungsbestätigung:

Double Opt-In in MailPoet aktivieren

Außerdem sollte der Inhalt der Bestätigungsmail angepasst werden. Die Einstellung dafür befindet sich auf derselben Seite, direkt unter der gezeigten Option für die Registrierungsbestätigung.

Keine Google Schriften

Leider bindet MailPoet in Emails Google Schriften so ein, dass diese von einem Google-Server geladen werden. Um dies zu unterbinden, muss man anscheinend direkt in den Code des Plugins eingreifen.

In der Datei wp-content/plugins/mailpoet/lib/Newsletter/Renderer/StylesHelper.php folgende fett gerdruckte Zeile neu einfügen:

public static function getCustomFontsLinks($styles) {
     $links = [];
     foreach (self::getCustomFontsNames($styles) as $name) {
       $links[] = urlencode($name) . ':400,400i,700,700i';
     }
     if (!count($links)) {
       return '';
     }
 // see https://stackoverflow.com/a/48214207
if(true) return '';//diese Zeile neu einfügen
...

In den MailPoet-Einstellungen unter Fortgeschritten muss folgendes eingestellt werden:

Tracking für MailPoet deaktivieren

Sicherheitshalber sollte auch folgendes deaktiviert werden, so wie gezeigt:

Deaktivieren des Teilens anonymer Daten

Im Standard sollte das MailPoet-Captcha eingestellt oder ganz deaktiviert sein. Auf gar keinen Fall darf Google reCAPTCHA aktiviert sein:

Für en Formularschutz das eingebaute Captcha nutzen

Außerdem empfehle ich, nur Fehler protokollieren zu lassen. Man weiß nie, welche sensible Daten ansonsten gespeichert werden.

Nur das nötigste sollte protokolliert werden

Rechtliche Angaben in den Mails

In jeder Mail, die an registrierte Emofänger gesendet wird, sollte die Anbieterkennzeichnung (Impressum) vorhanden sein. Ebenso sollte ein Link auf die Datenschutzerklärung vorgesehen werden.

Diese Angaben bzw. Links sind ebenso auf der Registrierungsseite und der Abmelde-Seite für den Newsletter vorzusehen und natürlich auch auf weiteren Seiten, wie etwa der Seite, die die Registrierung oder Abmeldung bestätigt.

Datenschutzerklärung

In der Datenschutzerklärung sollte der Newsletter-Prozess erklärt werden. Weiterhin sollte darauf hingewiesen werden, dass IP-Adressen protokolliert werden und zu welchem Zweck.

Fazit

Weil MailPoet von Hause aus nicht DSGVO-konform ist, muss das Plugin leider auch manuell angepasst werden. Dadurch können Updates für das Plugin nicht vorgenommen werden, wenn man nicht nach dem Update wieder die Änderungen vornehmen möchte. Ein Update ist allerdings auch nicht unbedingt notwendig, wenn man das Plugin einmal eingerichtet hat. Höchstens bei Sicherheits-Updates oder ganz tollen neuen Funktionen sehe ich ein Update als lohnenswert oder notwendig an.

Nur technisch Versierte sollten sich mit MailPoet beschäftigen. Alle anderen sollten entweder jemanden mi entsprechenden Kenntnissen hinzuziehen oder sich nach einer anderen Lösung umsehen. Für Hinweise zu anderen Lösungen bin ich dankbar.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie als Quelle für diesen Artikel oder die Verwendung von Ergebnissen aus diesem Artikel folgende Angabe (leichte Variationen sind erlaubt):
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/dsgvo-konforme-newsletter-mit-wordpress
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage.