Brevo ist auf den ersten Blick ein unkompliziertes Newsletter-Tool, aber sobald du die Marketing-Automation aktivierst, wird auf jeder Seite deiner Website ein Tracking-Cookie gesetzt und Besucherverhalten an Brevo übertragen. Das macht das Plugin datenschutzrelevant – auch wenn der Anbieter selbst EU-Server nutzt und einen Vertrag zur Auftragsverarbeitung mitliefert. Was du konkret tun musst, erfährst du hier.
Überblick
Was ist Brevo?
Brevo (ehemals Sendinblue) ist ein E-Mail-Marketing-Dienst, mit dem du Newsletter-Formulare auf deine WordPress-Website einbindest, E-Mails automatisch verschickst und das Verhalten deiner Besucher verfolgst. Das WordPress-Plugin verbindet deine Website mit deinem Brevo-Konto und übernimmt dabei Formulare, E-Mail-Versand und optionale Tracking-Funktionen.
Brevo – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟡 | Tracking-Cookie nur bei aktivierter Automation – abschaltbar über Plugin-Einstellungen. |
| Externe Verbindungen | 🟡 | Tracking-Skript von sibautomation.com nur bei aktivierter Automation – abschaltbar. |
| Datenschutzerklärung | 🔴 | Eintrag für Brevo erforderlich wegen Formulardaten und optionalem Tracking. |
| Drittlandtransfer | 🟢 | Alle Daten auf EU-Servern (Deutschland, Frankreich, Belgien) – kein Drittlandtransfer. |
| Auftragsverarbeitung | 🔴 | Vertrag mit Brevo erforderlich – ist automatisch in den AGB enthalten. |
| Benutzereingaben | 🔴 | Formular-Daten (E-Mail, Name) werden direkt an Brevo übertragen. |
Datenverarbeitung
Welche Daten verarbeitet Brevo auf deiner Website?
Brevo verarbeitet auf zwei Wegen Daten deiner Besucher.
Der erste Weg läuft über Formulare: Sobald jemand ein Anmeldeformular auf deiner Website ausfüllt und absendet, wandern die eingetragenen Daten – Vorname, Nachname, E-Mail-Adresse und alle weiteren Felder, die du im Formular eingebaut hast – direkt in dein Brevo-Konto.
Der zweite Weg ist das Tracking: Wenn du in den Plugin-Einstellungen die Marketing-Automation aktiviert hast, wird auf jeder Seite deiner Website unsichtbar ein Skript geladen, das das Verhalten deiner Besucher aufzeichnet – welche Seiten besucht wurden, wann jemand ein Formular abgesendet hat oder sich eingeloggt hat.
Dabei wird auch ein Cookie gesetzt, der den Besucher beim nächsten Besuch wiedererkennt. Beide Wege nutzen die Server von Brevo in der EU.
Cookies
Setzt Brevo Cookies auf meiner Website?
Brevo setzt das Cookie visitor_id, sobald du die Marketing-Automation im Plugin aktiviert hast. Dieses Cookie speichert eine eindeutige Kennung für den Besucher und wird genutzt, um sein Verhalten über mehrere Seitenaufrufe hinweg zu verfolgen und ihn bei einer späteren Wiederkehr wiederzuerkennen.
Das ist ein Tracking-Cookie, der einer Zustimmung im Cookie-Banner bedarf. Dein Cookie-Banner muss diesen Cookie blockieren, bis der Besucher zustimmt. Wenn du die Marketing-Automation nicht aktivierst, setzt das Plugin diesen Cookie nicht.
Externe Verbindungen
Baut Brevo externe Verbindungen auf meiner Website auf?
Wenn du die Marketing-Automation im Plugin aktiviert hast, lädt jede Seite deiner Website automatisch ein Tracking-Skript von sibautomation.com. Diese Verbindung entsteht beim Seitenaufruf, bevor der Besucher irgendetwas angeklickt hat, und überträgt Besucherdaten an Brevo. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt. Wenn du die Marketing-Automation deaktivierst, entfällt diese externe Verbindung.
Das Plugin-eigene Skript für Formulare wird lokal von deiner Website geladen – dafür entsteht keine externe Verbindung. Zusätzlich gibt es Berichte von Nutzern, dass das Plugin in Version 3.3.2 das Skript für Web-Push-Benachrichtigungen (WonderPush) im sichtbaren Bereich der Website lädt, auch wenn Web-Push gar nicht aktiviert ist.
Ob das in der aktuellen Version noch so ist, hat Brevo nicht offiziell bestätigt. Falls du Web-Push nicht nutzt, prüfe beim Scan deiner Website, ob eine Verbindung zu WonderPush-Servern auftaucht.
Brevo auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Was passiert mit Daten, die jemand in ein Brevo-Formular eingibt?
Brevo-Formulare sammeln die Daten, die du beim Einrichten des Formulars festlegst – mindestens eine E-Mail-Adresse, dazu häufig Vorname und Nachname. Sobald jemand das Formular absendet, werden diese Angaben direkt an dein Brevo-Konto übertragen und dort gespeichert.
Die Übertragung passiert im Moment des Absende-Klicks – ein Cookie-Banner hilft hier nicht, weil die Daten erst durch die aktive Eingabe des Besuchers entstehen. Direkt beim Formular muss ein Hinweis auf deine Datenschutzerklärung stehen, damit der Besucher weiß, dass seine Daten an Brevo gehen.
Da Brevo die Daten in deinem Auftrag verarbeitet, brauchst du außerdem einen Vertrag mit Brevo.
Drittlandtransfer
Werden meine Besucherdaten in Länder außerhalb der EU übertragen?
Brevo speichert und verarbeitet alle Daten ausschließlich auf Servern innerhalb der EU. Als primäre Anbieter nennt Brevo OVH in Frankreich und Deutschland sowie Google Cloud in Belgien. Die Brevo GmbH hat ihren Sitz in Berlin. Es gibt keinen Transfer in Länder außerhalb der EU, den du datenschutzrechtlich absichern müsstest.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Brevo?
Du brauchst einen Vertrag mit Brevo – weil du Kontaktdaten deiner Website-Besucher an Brevo übergibst und Brevo diese Daten in deinem Auftrag verarbeitet. Diesen Vertrag musst du nicht gesondert abschließen: Er ist automatisch Bestandteil der Allgemeinen Nutzungsbedingungen von Brevo, die du beim Anlegen deines Brevo-Kontos akzeptiert hast. Den Vertragstext findest du unter brevo.com → Rechtliches → Allgemeine Nutzungsbedingungen → Anhang 3.
Datenschutzerklärung
Muss Brevo in meine Datenschutzerklärung?
Brevo muss in deine Datenschutzerklärung, weil du darüber Daten deiner Website-Besucher verarbeitest – sowohl über die Anmeldeformulare als auch, wenn du die Marketing-Automation aktiviert hast, über das Tracking-Cookie. Folgende Angaben gehören in den Eintrag:
- Zweck: Newsletter-Versand und Kontaktverwaltung; bei aktivierter Automation zusätzlich Analyse des Besucherverhaltens auf der Website
- Rechtsgrundlage: Einwilligung des Besuchers (Formular-Anmeldung und Tracking-Cookie)
- Empfänger: Brevo GmbH, Köpenicker Str. 126, 10179 Berlin
- Drittlandtransfer: Keiner – alle Daten werden auf EU-Servern verarbeitet
- Speicherdauer: Solange das Konto aktiv ist bzw. bis der Besucher sich abmeldet oder die Löschung beantragt
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Brevo – Newsletter und E-Mail-Marketing
Auf dieser Website nutzen wir den Dienst Brevo der Brevo GmbH, Köpenicker Str. 126, 10179 Berlin, für den Versand von Newslettern und die Verwaltung von Kontakten. Wenn du dich über ein Formular auf unserer Website anmeldest, werden deine Angaben – mindestens deine E-Mail-Adresse – an Brevo übertragen und dort gespeichert. Die Anmeldung erfolgt auf Grundlage deiner Einwilligung. Du kannst dich jederzeit vom Newsletter abmelden, woraufhin deine Daten aus der Verteilerliste gelöscht werden.
Brevo verarbeitet alle Daten auf Servern innerhalb der EU. Mit Brevo haben wir einen Vertrag zur Auftragsverarbeitung abgeschlossen, der Bestandteil der allgemeinen Nutzungsbedingungen von Brevo ist. Außerdem setzt Brevo ein Cookie (
visitor_id) in deinem Browser, um dein Verhalten auf unserer Website zu analysieren. Rechtsgrundlage hierfür ist deine Einwilligung, die du über unseren Cookie-Banner erteilen kannst.
Falls du über Brevo auch Web-Push-Benachrichtigungen (WonderPush) oder Cloudflare Turnstile als Captcha in Formularen nutzt, benötigen diese Dienste eigene Einträge in deiner Datenschutzerklärung.
Drittanbieter
Mit welchen Diensten lässt sich Brevo verbinden?
Das Brevo-Plugin bietet optionale Funktionen, die du gezielt aktivieren kannst und die dann weitere Dienste einbinden.
Web-Push-Benachrichtigungen laufen über WonderPush, einen eigenen Push-Dienst von Brevo, der über eine separate Aktivierung eingeschaltet wird.
Für die Formulare kannst du ein Captcha zum Schutz vor Spam einschalten – das Plugin unterstützt dabei Cloudflare Turnstile sowie Google reCAPTCHA. Alle drei Dienste sind standardmäßig deaktiviert und entstehen nur, wenn du sie in den Plugin-Einstellungen einschaltest.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Brevo?
Wenn dir Tracking und externe Verbindungen zu viel Aufwand sind, ist MailPoet eine passende Alternative.
MailPoet läuft direkt in deinem WordPress, setzt kein Tracking-Cookie und baut keine externen Verbindungen auf, solange du den eigenen WordPress-Versand nutzt. Formulare, Newsletter-Kampagnen und automatisierte E-Mails sind damit genauso möglich wie mit Brevo – ohne die Tracking-Komponente.
Fehler
Typische Datenschutz-Fehler mit Brevo
Der häufigste Fehler: Die Marketing-Automation wurde beim Einrichten des Plugins aktiviert und seitdem nicht weiter beachtet. Das bedeutet, dass auf jeder Seite das Tracking-Skript läuft und das Tracking-Cookie gesetzt wird – ohne dass der Cookie-Banner das blockiert. Prüfe in deinen Plugin-Einstellungen unter Brevo → Startseite, ob die Automation eingeschaltet ist. Wenn du sie nicht aktiv nutzt, schalte sie ab.
Ein weiterer Fehler passiert beim Cookie-Banner: Viele Website-Betreiber tragen Brevo zwar in der Datenschutzerklärung ein, vergessen aber, dem Cookie-Banner beizubringen, das Tracking-Skript und den visitor_id-Cookie zu blockieren, bis der Besucher zustimmt. Das Ergebnis: Der Cookie wird gesetzt, bevor jemand auf „Akzeptieren“ geklickt hat.
Dritter häufiger Fehler: Kein Hinweis auf die Datenschutzerklärung direkt beim Anmeldeformular. Wer ein Formular ausfüllt, gibt aktiv Daten ein – an dieser Stelle muss sichtbar stehen, dass die Daten an Brevo gehen und wie sie verarbeitet werden.
DSGVO-Check
Wie erkenne ich, ob Brevo auf meiner Website aktiv ist?
Brevo verrät sich durch das externe Tracking-Skript, das bei aktivierter Automation geladen wird. Öffne deine Website im Browser und schau in den Netzwerk-Tab der Entwicklerwerkzeuge (F12 → Netzwerk): Wenn dort eine Anfrage an sibautomation.com auftaucht, ist der Brevo-Tracker aktiv. Für eine einfachere Prüfung ohne technisches Wissen: Ein Datenschutz-Scan auf datenrein.de erkennt automatisch, ob Brevo auf deiner Website aktiv ist und ob das Tracking-Skript geladen wird.
Quellen und weiterführende Links
- Brevo – WordPress.org Plugin-Seite
- Brevo – offizielle Wissensdatenbank
- Brevo – WordPress Plugin: Installation und Nutzung
- Brevo – Was ist der Brevo-Tracker?
- Brevo – Wo finde ich den Vertrag zur Auftragsverarbeitung?
- Brevo – Speicherort der Daten
- Brevo – Datenschutz-Übersicht
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.