MailPoet gehört zu den WordPress-Plugins, bei denen Datenschutz vom ersten Einsatz an eine Rolle spielt – nicht weil das Plugin grundsätzlich problematisch ist, sondern weil es Abonnentendaten sammelt, Tracking-Cookies setzt und je nach Konfiguration Daten an externe Server überträgt. Am Ende dieses Artikels weißt du, welche Einstellungen du vornehmen musst, was in deine Datenschutzerklärung gehört und ob du einen Auftragsverarbeitungsvertrag (AVV) brauchst.
Was ist MailPoet?
MailPoet ist ein WordPress-Plugin, mit dem du Newsletter erstellen, Abonnementformulare einbinden und E-Mail-Kampagnen direkt aus dem WordPress-Backend heraus verwalten kannst. Das Plugin richtet sich an Websitebetreiber, die ihre Leser per E-Mail auf dem Laufenden halten wollen – vom kleinen Blog bis zum WooCommerce-Shop mit automatisierten Abandoned-Cart-E-Mails.
Datenschutz und MailPoet auf einen Blick
| Thema | Einschätzung |
|---|---|
| Rechtsgrundlage | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Newsletter-Abonnenten |
| Einwilligung für Cookies erforderlich | Ja – für Tracking-Cookies (Engagement, WooCommerce-Revenue, Abandoned-Cart) |
| AVV erforderlich | Ja – wenn MailPoet Sending Service genutzt wird |
| Drittlandtransfer | Ja – Daten fließen u.a. zu Amazon S3 und weiteren US-Diensten |
| Risiko | Mittel – konfigurationsabhängig |
Datenverarbeitung
Welche Daten sammelt MailPoet von deinen Besuchern?
Wenn jemand dein Abonnementformular ausfüllt, speichert MailPoet dessen Daten in deiner eigenen WordPress-Datenbank – nicht auf MailPoet-Servern. Zu den gespeicherten Daten gehören:
- E-Mail-Adresse
- Weitere Subscriber-Informationen (Name und weitere Pflichtfelder des Formulars)
- IP-Adresse zum Zeitpunkt der Anmeldung
- Datum und Quelle der Anmeldung
- Optionale Custom Fields wie Geburtsdatum oder andere selbst definierte Felder
- Zugehörige Abonnementlisten
Der Zweck ist die Verwaltung von Newsletter-Abonnenten und der E-Mail-Versand. Wie lange Versandstatusdaten pro Abonnent gespeichert werden, steuerst du selbst: Die Einstellung „Sending status data retention“ bietet Optionen von nie löschen bis hin zu 1, 2, 3 oder 6 Monaten. Gerenderte E-Mail-Inhalte älterer Sends löscht MailPoet standardmäßig nach 30 Tagen.
Wenn du den MailPoet Sending Service für den E-Mail-Versand nutzt, überträgt MailPoet Daten an eigene Server in Deutschland und Finnland. Gleichzeitig nennt MailPoet in seiner Dokumentation weitere Drittanbieter in den USA – darunter Amazon S3 für verschlüsselte Backups sowie Dienste wie Helpscout, Stripe und MixPanel. Damit findet ein Datentransfer in ein Drittland (= ein Land außerhalb der EU) statt. Wenn du E-Mails stattdessen über deinen eigenen Webserver oder einen SMTP-Anbieter deiner Wahl versendest, liegt es an dir, welche Daten wohin fließen.
Cookie-Banner
Brauche ich für MailPoet einen Cookie-Banner-Eintrag?
Ja – MailPoet setzt eigene Tracking-Cookies, die eine Einwilligung erfordern. Konkret handelt es sich um vier Cookies: mailpoet_revenue_tracking verfolgt Umsätze aus E-Mail-Klicks für WooCommerce, mailpoet_subscriber ermöglicht Abandoned-Cart-E-Mails, mailpoet_page_view trackt das Engagement von Abonnenten zur Erkennung inaktiver Subscriber, und popup_form_dismissed speichert, ob ein Besucher ein Popup-Formular weggeklickt hat.
Die Engagement- und WooCommerce-Cookies werden nur gesetzt, wenn du unter MailPoet > Settings > Advanced die Einstellung „Engagement analytics tracking“ auf „Full“ aktiviert hast. Wenn du diese Funktion deaktivierst, entfallen die entsprechenden Cookies. Das popup_form_dismissed-Cookie ist dagegen rein funktional und dient nur dazu, das wiederholte Anzeigen eines bereits weggeklickten Formulars zu verhindern – ob es dennoch eine Einwilligung erfordert, hängt von deiner Gesamtkonfiguration ab.
Wenn du zusätzlich Google reCAPTCHA für deine MailPoet-Formulare aktivierst, kommen weitere Cookies und Datenschutzpflichten durch Google hinzu.
Datenschutzerklärung
Muss MailPoet in die Datenschutzerklärung?
Ja. Wenn du MailPoet auf deiner Website einsetzt und Abonnementformulare verwendest, musst du das in deiner Datenschutzerklärung dokumentieren. Folgende Punkte gehören rein:
- Dass du E-Mail-Adressen und weitere Formularfelder zur Newsletter-Verwaltung erhebst
- Dass IP-Adressen, Anmeldedatum und Anmeldequelle gespeichert werden
- Die Rechtsgrundlage für die Verarbeitung (in der Regel Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO)
- Welcher Versanddienst genutzt wird (MailPoet Sending Service, eigener Webserver oder SMTP-Drittanbieter)
- Wenn MailPoet Sending Service genutzt wird: Hinweis auf Datentransfer in die USA und die zugehörigen Garantien
- Welche Tracking-Cookies gesetzt werden und zu welchem Zweck
- Wie lange Daten gespeichert werden
- Wie Abonnenten ihr Abonnement kündigen und ihre Daten löschen lassen können
Wenn du Double-Opt-in aktiviert hast (MailPoet > Settings > Sign-up Confirmation), solltest du auch das erwähnen – es stärkt deine rechtliche Grundlage und zeigt, dass die Einwilligung dokumentiert ist.
Auftragsverarbeitung
Brauchst du mit MailPoet einen AVV?
Ja – wenn du den MailPoet Sending Service nutzt. In diesem Fall verarbeitet MailPoet personenbezogene Daten deiner Abonnenten in deinem Auftrag, und ein AVV (Auftragsverarbeitungsvertrag) ist nach Art. 28 DSGVO Pflicht. MailPoet stellt eine Data Processing Agreement (DPA) bereit: Du schreibst eine E-Mail an gdpr@mailpoet.com, erhältst eine signierte DPA und sendest eine gegengezeichnete Kopie zurück. Erst dann ist der AVV rechtsgültig geschlossen.
Wenn du E-Mails ausschließlich über deinen eigenen Webserver versendest, fällt kein AVV mit MailPoet an – du trägst dann die alleinige Verantwortung für den Versandprozess.
Häufige Fehler bei MailPoet
Der häufigste Fehler ist, MailPoet einfach zu installieren und Abonnementformulare einzubinden, ohne sich über den Versandweg Gedanken zu machen. Wer den MailPoet Sending Service nutzt, ohne den AVV abzuschließen, verstößt gegen Art. 28 DSGVO – unabhängig davon, ob die E-Mails technisch einwandfrei ankommen.
Ein zweiter verbreiteter Fehler ist das Aktivieren von „Engagement analytics tracking“, ohne den Cookie-Banner entsprechend anzupassen. Die Tracking-Cookies, die MailPoet dabei setzt, erfordern eine Einwilligung – wenn der Cookie-Banner diese Kategorie nicht abdeckt, ist die Einwilligung nicht rechtssicher.
Dritter Fehler: Double-Opt-in ausgeschaltet lassen. MailPoet bietet diese Funktion unter Settings > Sign-up Confirmation an. Ohne Double-Opt-in hast du keinen dokumentierten Nachweis, dass der Abonnent wirklich eingewilligt hat.
Nächste Schritte
Was musst du jetzt konkret tun?
- AVV mit MailPoet abschließen: E-Mail an gdpr@mailpoet.com schicken, DPA anfordern, gegenzeichnen und zurücksenden – nur wenn du den MailPoet Sending Service nutzt.
- Double-Opt-in aktivieren: MailPoet > Settings > Sign-up Confirmation einschalten, damit jede Einwilligung dokumentiert ist.
- Entscheiden, ob du Engagement-Tracking brauchst: Wenn nicht, „Engagement analytics tracking“ unter MailPoet > Settings > Advanced auf „Minimal“ oder deaktiviert setzen – das reduziert die Cookie-Pflicht.
- Cookie-Banner um MailPoet-Tracking-Cookies ergänzen: mailpoet_revenue_tracking, mailpoet_subscriber und mailpoet_page_view in die Kategorie „Marketing“ oder „Statistiken“ aufnehmen, sofern Engagement-Tracking aktiv ist.
- Datenschutzerklärung aktualisieren: Abschnitt zu MailPoet mit Versandweg, Datenkategorien, Speicherdauer, Drittlandtransfer (wenn MailPoet Sending Service) und Widerrufsmöglichkeit ergänzen.
- Drittanbieter-Bibliotheken prüfen: Unter MailPoet > Settings > Advanced „Load 3rd-party libraries“ überprüfen – dort lässt sich steuern, ob Google Fonts, Mixpanel und ähnliche Dienste geladen werden.
- „Share anonymous data“ deaktivieren: Ebenfalls unter Advanced – diese Einstellung steuert, ob freiwillige Nutzungsdaten an MailPoet übermittelt werden.
Kostenloser Website-Scan
Prüfe deine eigene Website
Du möchtest wissen, welche Cookies, Tools und externen Verbindungen auf deiner Website auffallen? Datenrein scannt deine Website kostenlos und zeigt dir, welche Punkte du prüfen solltest.
