Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

DSGVO-konforme Newsletter mit WordPress: Anleitung und Empfehlungen

0

Einen Newsletter anzubieten ist einfach, ihn DSGVO-konform zu betreiben eine große Herausforderung. Für WordPress gibt es eine kostenfreie Lösung, die allerdings etwas Anpassungsarbeit erfordert. Der Aufwand lohnt sich, wie das Verbot von Mailchimp durch die BayLDA zeigt.

Einleitung

Ein Newsletter wird genutzt, um eine Leserschaft zu gewinnen und diese mit neuen Informationen zu beglücken. Klingt einfach, ist es aber nicht. Wer sich mit Datenschutz beschäftigt, kennt die Tücken von Newslettern.

Am 15.03.2021 hat die bayerische Datenschutzaufsicht (BayLDA) ein Verbot des Newsletter-Dienstes Mailchimp ausgesprochen. Hierüber berichtete die Datenschutzorganisation noyb. Die Entscheidung der Aufsichtsbehörde kam aufgrund einer Beschwerde eines Newsletter-Abonnenten zustande. Ich vermute, dass noyb diese Beschwerde aufgab (weil keine Quellen zu finden sind, außer die von noyb), weiß es aber nicht. Der Einsatz von Mailchimp wurde als unerlaubt angesehen, weil das einsetzende Unternehmen nich geprüft hat, ob weitere Garantien von Mailchimp in den USA vorhanden sind, die das Privacy Shield Problem heilen können. Derartige Garantien gibt rein objektiv nicht. Daher ist der Einsatz von Mailchimp durch das BayLDA quasi untersagt worden, was ich gut und richtig finde.

Das MailPoet Plugin

Von Hause aus ist das Plugin MailPoet für WordPress in vielerlei Hinsicht DSGVO-konform. Manches kann zusätzlich passend konfiguriert werden. Einige wenige offene Punkte bleiben. Hierfür ist ein etwas tieferer Eingriff in das Plugin erforderlich.

Das Plugin leistet das, was man von einem guten Newsletter-Tool erwartet:

  • Registrierungsprozess
  • Abmeldeprozess
  • Verwalten von Kontaktlisten
  • Double Opt-In Prozess
  • Speicherung von IP-Adresse der registrierten Nutzer in der WordPres-Tabelle mailpoet_subscribers. Dies ist wichtig, um später beweisen zu können, dass sich jemand registriert hat
  • Vorlagen für Emails
  • Versand von Mails bei neuen Beiträgen
  • Versand von individuellen Mails
  • Benachrichtigungen, etwa bei neuen Abonnenten

Der Mail-Versand findet über den eigenen Mail-Server statt. Optional kann der Versand über einen MailPoet Server erfolgen. Dies empfehle ich an dieser Stelle nicht, da daraus Datenschutzprobleme entstehen könnten. Ich habe diese Möglichkeit noch nicht näher untersucht. Mit einem AVV o.ä. und einem Betreiber des Mail-Servers in der EU könnte der Datenschutz in den Griff zu kriegen sein.

Damit der Newsletter DSGVO-konform ist, müssen eine Reihe weiterer Dinge beachtet werden.

Double Opt-In

Double Opt-In bedeutet: Erst nach Bestätigen der Mailadresse wird ein Abonnent freigeschaltet. Die Einstellung findet man im MailPoet-Menü unter Einstellungen -> Registrierungsbestätigung:

Double Opt-In in MailPoet aktivieren

Außerdem sollte der Inhalt der Bestätigungsmail angepasst werden. Die Einstellung dafür befindet sich auf derselben Seite, direkt unter der gezeigten Option für die Registrierungsbestätigung.

Keine Google Schriften

Leider bindet MailPoet in Emails Google Schriften so ein, dass diese von einem Google-Server geladen werden. Um dies zu unterbinden, muss man anscheinend direkt in den Code des Plugins eingreifen.

In der Datei wp-content/plugins/mailpoet/lib/Newsletter/Renderer/StylesHelper.php folgende fett gerdruckte Zeile neu einfügen:

public static function getCustomFontsLinks($styles) {
     $links = [];
     foreach (self::getCustomFontsNames($styles) as $name) {
       $links[] = urlencode($name) . ':400,400i,700,700i';
     }
     if (!count($links)) {
       return '';
     }
 // see https://stackoverflow.com/a/48214207
if(true) return '';//diese Zeile neu einfügen
...

In den MailPoet-Einstellungen unter Fortgeschritten muss folgendes eingestellt werden:

Tracking für MailPoet deaktivieren

Sicherheitshalber sollte auch folgendes deaktiviert werden, so wie gezeigt:

Deaktivieren des Teilens anonymer Daten

Im Standard sollte das MailPoet-Captcha eingestellt oder ganz deaktiviert sein. Auf gar keinen Fall darf Google reCAPTCHA aktiviert sein:

Für en Formularschutz das eingebaute Captcha nutzen

Außerdem empfehle ich, nur Fehler protokollieren zu lassen. Man weiß nie, welche sensible Daten ansonsten gespeichert werden.

Nur das nötigste sollte protokolliert werden

Rechtliche Angaben in den Mails

In jeder Mail, die an registrierte Empfänger gesendet wird, sollte die Anbieterkennzeichnung (Impressum) vorhanden sein. Ebenso sollte ein Link auf die Datenschutzerklärung vorgesehen werden.

Diese Angaben bzw. Links sind ebenso auf der Registrierungsseite und der Abmelde-Seite für den Newsletter vorzusehen und natürlich auch auf weiteren Seiten, wie etwa der Seite, die die Registrierung oder Abmeldung bestätigt.

Datenschutzerklärung

In der Datenschutzerklärung sollte der Newsletter-Prozess erklärt werden. Weiterhin sollte darauf hingewiesen werden, dass IP-Adressen protokolliert werden und zu welchem Zweck.

Plugin-Updates verhindern

Damit die manuellen Änderungen bei Updates nicht verloren gehen, empfehle ich, die Updates auszuschalten. Das halte ich bei MailPoet für unkritisch, weil das Plugin seit langem entwickelt wird und keine Sicherheitslücken bekannt sind. Die Updates für das MailPoet-Plugin kann man durch folgenden Code deaktivieren, der in die Datei functions.php des aktuellen Design Themes einzufügen ist:

function drdsgvo_filter_plugin_updates( $value ) {
     $hidearr = array(
         'mailpoet/mailpoet.php'
     );
     if(isset($value) && isset($value->response)) {
       foreach( $hidearr as $hide_me ) {
         if( in_array( $hide_me, array_keys( $value->response ) ) ) {
           unset( $value->response[$hide_me] );
         }
       }
     }
     return $value;
 }
 add_filter( 'site_transient_update_plugins', 'drdsgvo_filter_plugin_updates' );

Vor Einfügen dieses Code sieht die Ansicht in der WordPress Plugin-Verwaltung wie folgt aus:

Standardansicht für MailPoet-Updates

Nachdem der Code eingebaut wurde, sieht es wie gewünscht aus:

Ausgeschaltete Plugin-Updates

Fazit

Weil MailPoet von Hause aus nicht DSGVO-konform ist, muss das Plugin leider auch manuell angepasst werden. Dadurch können Updates für das Plugin nicht vorgenommen werden, wenn man nicht nach dem Update wieder die Änderungen vornehmen möchte. Ein Update ist allerdings auch nicht unbedingt notwendig, wenn man das Plugin einmal eingerichtet hat. Höchstens bei Sicherheits-Updates oder ganz tollen neuen Funktionen sehe ich ein Update als lohnenswert oder notwendig an.

Nur technisch Versierte sollten sich mit MailPoet beschäftigen. Alle anderen sollten entweder jemanden mit entsprechenden Kenntnissen hinzuziehen oder sich nach einer anderen Lösung umsehen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnissen die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/dsgvo-konforme-newsletter-mit-wordpress
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Nächster Beitrag

Impressumspflicht in Emails und Newslettern