MailPoet und Datenschutz: Tracking-Cookies und US-Datentransfer durch den Versanddienst

MailPoet ist aus Datenschutzsicht ein Plugin mit klaren Aufgaben – aber der Umfang dieser Aufgaben hängt stark davon ab, wie du es einsetzt. Im einfachsten Fall nimmst du nur die Anmeldeformulare und verschickst Newsletter über deinen eigenen Hosting-Server: dann bleibt der Datenschutzaufwand überschaubar.

Sobald du den MailPoet-Versanddienst aktivierst, fließen Abonnenten-Daten in die USA – und es kommen ein Vertrag und ein Eintrag in der Datenschutzerklärung dazu. Dazu kommen eigene Tracking-Cookies, die du gezielt abschalten kannst.

Überblick

Was ist MailPoet?

MailPoet ist ein WordPress-Plugin, mit dem du Newsletter erstellen, versenden und verwalten kannst – ohne dein WordPress-Dashboard zu verlassen. Du kannst Anmeldeformulare auf deiner Website einbinden, Abonnenten verwalten und automatische E-Mails einrichten, etwa Willkommensnachrichten oder Benachrichtigungen über neue Beiträge. MailPoet gehört zu Automattic, dem Unternehmen hinter WordPress.com und WooCommerce.

MailPoet – DSGVO-Risiko

KriteriumRisikoEinschätzung
Cookies🟡MailPoet setzt Tracking-Cookies für Engagement- und WooCommerce-Auswertungen – abschaltbar über eine Einstellung.
Externe Verbindungen🟡Standardmäßig keine externen Verbindungen; Google Fonts werden nur geladen, wenn du Drittanbieter-Bibliotheken aktivierst.
Datenschutzerklärung🔴MailPoet muss in die Datenschutzerklärung, weil das Plugin Formulardaten verarbeitet und Tracking-Cookies setzt.
Drittlandtransfer🟡Daten fließen in die USA, wenn du den MailPoet-Versanddienst oder die Google Analytics-Integration aktivierst.
Auftragsverarbeitung🟡Ein Vertrag mit Automattic ist nötig, wenn du E-Mails über den MailPoet-Versanddienst verschickst.
Benutzereingaben🔴MailPoet stellt Anmeldeformulare bereit, über die Besucher ihre E-Mail-Adresse und weitere Daten eingeben.

Datenverarbeitung

Welche Daten verarbeitet MailPoet auf deiner Website?

MailPoet verarbeitet auf zwei Ebenen Daten. Die erste Ebene ist dein WordPress selbst: Sobald sich jemand über ein MailPoet-Formular für deinen Newsletter anmeldet, speichert MailPoet Name und E-Mail-Adresse in deiner WordPress-Datenbank – auf deinem eigenen Server, nichts verlässt dein Hosting. Das Gleiche gilt für Abonnenten-Listen und Statistiken zu geöffneten E-Mails und geklickten Links.

Die zweite Ebene entsteht durch den MailPoet-Versanddienst. Wenn du ihn aktivierst, schickst du deine Newsletter nicht mehr über deinen eigenen Hosting-Server, sondern über Automattics Infrastruktur in den USA. Dabei überträgt MailPoet die E-Mail-Adressen deiner Abonnenten an Automattic.

Außerdem setzt MailPoet Tracking-Cookies im sichtbaren Bereich deiner Website, um zu messen, welche Seiten Abonnenten besuchen und ob E-Mail-Klicks zu WooCommerce-Käufen führen – das lässt sich über eine Einstellung abschalten.

MailPoet und DSGVO: Datenübertragung zu Automattic-Servern in den USA
Wenn du den MailPoet-Versanddienst nutzt, fließen Abonnenten-Daten nach dem Absenden des Formulars an Automattic in die USA – ein Cookie-Banner kann das nicht blockieren, weil die Übertragung erst durch die aktive Eingabe ausgelöst wird.

Cookies

Welche Cookies setzt MailPoet – und brauchen sie eine Zustimmung?

MailPoet setzt vier eigene Cookies im sichtbaren Bereich deiner Website. Der Cookie popup_form_dismissed merkt sich, ob ein Besucher ein Popup-Formular geschlossen hat – er ist technisch notwendig für die Bedienung des Formulars und braucht keine Zustimmung im Cookie-Banner.

Die drei anderen Cookies sind zustimmungspflichtig: mailpoet_subscriber identifiziert bekannte Abonnenten, mailpoet_page_view trackt Seitenaufrufe für Engagement-Auswertungen, und mailpoet_revenue_tracking misst, ob E-Mail-Klicks zu WooCommerce-Käufen geführt haben. Diese Cookies sind personenbezogen und dienen der Auswertung – dein Cookie-Banner muss sie blockieren, bis der Besucher zugestimmt hat.

Du kannst die drei Tracking-Cookies abschalten, ohne dass die Kernfunktionen von MailPoet aufhören zu funktionieren. Geh dazu in deinem WordPress-Dashboard zu MailPoet > Einstellungen > Erweitert und setze die Engagement-Auswertung nicht auf „Vollständig“ (Full). Wenn du diese Funktion nicht brauchst, ist das die einfachste Lösung.

Externe Verbindungen

Baut MailPoet Verbindungen zu externen Servern auf?

Standardmäßig baut MailPoet keine externen Verbindungen im sichtbaren Bereich deiner Website auf. Die Option „Drittanbieter-Bibliotheken laden“ ist in den MailPoet-Einstellungen deaktiviert.

Wenn du diese Option aktivierst – zu finden unter MailPoet > Einstellungen > Erweitert > Drittanbieter-Bibliotheken laden –, lädt MailPoet Google Fonts von den Servern von Google. Diese Verbindung entsteht beim Seitenaufruf und ist nicht zwingend für den Betrieb nötig: dein Cookie-Banner muss sie blockieren, bis der Besucher zustimmt. Lass die Option deaktiviert, wenn du Google Fonts nicht gezielt für deine MailPoet-Formulare oder E-Mail-Vorlagen brauchst.

MailPoet auf deiner Website? DSGVO-Check in 60 Sekunden.

Gib deine Domain ein und sieh sofort, was los ist.

→ Datenschutz-Check starten

Benutzereingaben

Welche Daten geben Besucher über MailPoet ein?

MailPoet stellt Anmeldeformulare für den sichtbaren Bereich deiner Website bereit – als eingebetteten Block, als Popup, als Slide-in oder als feste Leiste. Über diese Formulare geben Besucher mindestens ihre E-Mail-Adresse ein; du kannst das Formular aber auch um weitere Felder wie Namen oder andere Angaben erweitern.

Diese Daten landen in deiner WordPress-Datenbank. Wenn du den MailPoet-Versanddienst nutzt, werden die E-Mail-Adressen zusätzlich an Automattic übertragen – direkt beim Absenden des Formulars. Ein Cookie-Banner hilft hier nicht, weil die Übertragung erst durch das aktive Absenden des Formulars ausgelöst wird. Stattdessen muss direkt beim Formular ein Hinweis auf deine Datenschutzerklärung stehen – und du brauchst einen Vertrag mit Automattic.

Drittlandtransfer

Werden durch MailPoet Daten in die USA übertragen?

Daten fließen in die USA, wenn du den MailPoet-Versanddienst aktivierst. In diesem Fall überträgt MailPoet die E-Mail-Adressen deiner Abonnenten an Automattic Inc. mit Sitz in San Francisco. Automattic hat mit der EU vereinbart, dass solche Datenübertragungen unter bestimmten vertraglich geregelten Bedingungen erlaubt sind. Das ändert aber nichts daran, dass der Transfer stattfindet und in deine Datenschutzerklärung gehört.

Wenn du zusätzlich die Google-Analytics-Integration in MailPoet aktivierst (kostenpflichtiger Tarif, über MailPoet > Einstellungen), fließen weitere Daten an Google LLC in den USA. Nutzt du MailPoet ohne Versanddienst und ohne Google-Analytics-Integration – also mit deinem eigenen Hosting-Server zum Versenden –, bleibt kein Drittlandtransfer durch MailPoet selbst.

Auftragsverarbeitung

Brauche ich einen Vertrag mit MailPoet?

Einen Vertrag mit Automattic brauchst du, wenn du E-Mails über den MailPoet-Versanddienst verschickst. In diesem Fall überträgt Automattic die E-Mail-Adressen deiner Abonnenten auf eigene Server und verarbeitet sie in deinem Auftrag. Dafür ist ein schriftlicher Auftragsverarbeitungsvertrag erforderlich.

MailPoet stellt diesen Vertrag auf Anfrage zur Verfügung. Du bekommst ihn über den Support unter mailpoet.com/support – einfach dort anfragen und nach dem Auftragsverarbeitungsvertrag fragen.

Wenn du MailPoet ohne den MailPoet-Versanddienst nutzt – also E-Mails über deinen eigenen Hosting-Server oder einen anderen SMTP-Anbieter verschickst –, verarbeitet Automattic keine Abonnenten-Daten für dich. In diesem Fall brauchst du keinen Vertrag mit Automattic.

Datenschutzerklärung

Muss MailPoet in meiner Datenschutzerklärung stehen?

MailPoet muss in deine Datenschutzerklärung, weil das Plugin Formulardaten von Website-Besuchern verarbeitet und Tracking-Cookies setzt. Was genau du beschreiben musst, hängt davon ab, welche Funktionen du nutzt.

  • Zweck: Newsletter-Anmeldung und Versand von E-Mails; bei aktiviertem Engagement-Tracking zusätzlich Auswertung von Seitenaufrufen und E-Mail-Klicks.
  • Rechtsgrundlage: Einwilligung der Abonnenten.
  • Empfänger: Automattic Inc. / WooCommerce Inc., wenn du den MailPoet-Versanddienst nutzt.
  • Drittlandtransfer: Übermittlung in die USA, wenn der MailPoet-Versanddienst aktiv ist.
  • Speicherdauer: Solange die Person als Abonnentin eingetragen ist; danach Löschung auf Anfrage oder nach Abmeldung.

Google Fonts (bei aktivierter Drittanbieter-Option) und der MailPoet-Versanddienst benötigen eigene Einträge in deiner Datenschutzerklärung.

Textvorschlag für deine Datenschutzerklärung

Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.

MailPoet – Newsletter und E-Mail-Marketing

Auf dieser Website nutzen wir das Plugin MailPoet (Automattic Inc. / WooCommerce Inc., San Francisco, USA) für den Betrieb unseres Newsletters. Wenn du dich über ein Anmeldeformular für unseren Newsletter einträgst, speichern wir deine E-Mail-Adresse und – falls angegeben – deinen Namen in unserer WordPress-Datenbank.

Rechtsgrundlage ist deine Einwilligung. Wenn wir E-Mails über den MailPoet-Versanddienst verschicken, überträgt MailPoet deine E-Mail-Adresse an Server von Automattic Inc. in den USA. Automattic hat mit der EU entsprechende Vereinbarungen getroffen, die diese Datenübertragung regeln. Zusätzlich setzt MailPoet Cookies, um auszuwerten, welche Seiten du nach einem Newsletter-Klick besuchst und ob daraus Käufe entstehen. Du kannst dich jederzeit vom Newsletter abmelden; deine Daten werden dann gelöscht. Für weitere Informationen zur Datenverarbeitung durch Automattic siehe die Datenschutzerklärung von MailPoet unter mailpoet.com/privacy-notice.

Drittanbieter

Mit welchen Diensten lässt sich MailPoet verbinden?

MailPoet lässt sich mit WooCommerce verbinden und ermöglicht dann automatische E-Mails zu Bestellungen, abgebrochenen Warenkörben und Kundensegmenten. Diese Verbindung wird automatisch hergestellt, sobald beide Plugins aktiv sind.

Im Bereich Versand kannst du zwischen verschiedenen Methoden wählen: neben dem MailPoet-Versanddienst sind SendGrid, Amazon SES und andere SMTP-Anbieter einstellbar. Jeder dieser Dienste hat eigene Datenschutzanforderungen.

Für Automatisierungen und erweiterte Workflows lässt sich MailPoet mit AutomateWoo verbinden. Für Mitgliedschaften und Abonnements gibt es Verbindungen zu WooCommerce Memberships, WooCommerce Subscriptions und WooCommerce Bookings. Im kostenpflichtigen Tarif ist zusätzlich eine Google Analytics-Integration verfügbar, die über MailPoet > Einstellungen aktiviert werden kann.

Alternative

Gibt es eine datenschutzfreundlichere Alternative zu MailPoet?

Eine datenschutzfreundlichere Alternative zu MailPoet gibt es nicht, weil MailPoet selbst bereits die beste Option in seiner Kategorie ist – zumindest, wenn du es ohne den MailPoet-Versanddienst betreibst. In dieser Konfiguration bleiben alle Abonnenten-Daten auf deinem eigenen Server, es gibt keinen Drittlandtransfer durch MailPoet, und die Tracking-Cookies lassen sich abschalten. Kein anderes Newsletter-Plugin für WordPress bietet bei gleichem Funktionsumfang ein besseres Datenschutzprofil.

Fehler

Diese Fehler passieren mit MailPoet häufig

Der häufigste Fehler: Der MailPoet-Versanddienst ist aktiviert, aber weder ein Vertrag mit Automattic abgeschlossen noch ein Eintrag in der Datenschutzerklärung vorhanden. Viele Website-Betreiber aktivieren den Versanddienst beim Einrichten, weil MailPoet ihn empfiehlt – und vergessen dann die notwendigen Datenschutzschritte.

Ein weiterer Fehler: Die Tracking-Cookies (mailpoet_subscriber, mailpoet_page_view, mailpoet_revenue_tracking) sind aktiv, aber der Cookie-Banner blockiert sie nicht. Das passiert, wenn die Engagement-Auswertung auf „Vollständig“ steht und der Cookie-Banner nichts von diesen Cookies weiß. Prüfe, ob dein Cookie-Banner diese Cookies kennt und korrekt blockiert.

Ebenfalls verbreitet: Die Option „Drittanbieter-Bibliotheken laden“ wurde irgendwann zum Testen aktiviert und nie wieder deaktiviert. Damit lädt MailPoet Google Fonts, ohne dass das im Cookie-Banner oder in der Datenschutzerklärung berücksichtigt ist.

DSGVO-Check

So prüfst du MailPoet auf deiner Website selbst

Du kannst direkt im Browser prüfen, ob MailPoet Tracking-Cookies auf deiner Website setzt. Öffne deine Website in einem normalen Browser-Fenster (nicht eingeloggt als Admin), ruf die Entwicklertools auf (Taste F12) und wechsle zum Tab „Anwendung“ oder „Storage“ . Unter Cookies schau, ob die Einträge mailpoet_subscriber, mailpoet_page_view oder mailpoet_revenue_tracking auftauchen. Wenn ja, muss dein Cookie-Banner diese Cookies blockieren, bis deine Besucher zugestimmt haben.

Für eine vollständige Prüfung deiner Website – inklusive aller aktiven Plugins, Cookies und externen Verbindungen – kannst du einen automatischen Datenschutz-Check mit datenrein.de durchführen. Der Scan erkennt MailPoet und zeigt dir direkt, was auf deiner Website zu tun ist.

Quellen und weiterführende Links

Dein DSGVO-Ergebnis in 60 Sekunden?

Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.

→ Datenschutz-Check starten

Sofia

Dipl.-Informatikerin, Webentwicklerin seit 2006 und Autorin bei Packt Publishing. Mit datenrein.de helfe ich WordPress-Betreibern, Datenschutz-Probleme zu erkennen und zu lösen – ohne Juristendeutsch und ohne Technik-Kauderwelsch.