DSGVO-konform mit Kunden kommunizieren: E-Mail, Formular & Newsletter richtig aufsetzen
Jede E-Mail, jedes Kontaktformular und jeder Newsletter verarbeitet personenbezogene Daten – und fällt damit unter die DSGVO. Dieser Leitfaden zeigt, welche Rechtsgrundlage Sie pro Kanal brauchen, wie Sie E-Mails korrekt verschlüsseln, Formulare und Newsletter rechtssicher aufsetzen und Auskunfts- sowie Löschanfragen fristgerecht beantworten. Am Ende wissen Sie, welche Stellschrauben Sie in WordPress konkret setzen müssen.
Zuerst die Rechtsgrundlage – ohne sie geht nichts
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Für die Kundenkommunikation sind drei relevant:
- Vertrag / vorvertragliche Maßnahme (lit. b): Sie beantworten eine Produktanfrage, versenden eine Auftragsbestätigung oder eine Rechnung. Dafür brauchen Sie keine separate Einwilligung – die Verarbeitung ist zur Vertragserfüllung erforderlich.
- Berechtigtes Interesse (lit. f): rechtfertigt zum Beispiel Bestandskundenwerbung unter engen Voraussetzungen (siehe UWG-Abschnitt) oder die Spam-Abwehr.
- Einwilligung (lit. a): notwendig für Newsletter, Werbung an Nicht-Kunden sowie für nicht zwingend nötige Cookies und Tracking.
Der häufigste Fehler: eine Einwilligung abzufragen, obwohl bereits eine andere Grundlage greift. Wer bei einer schlichten Kontaktanfrage eine „Ich willige ein”-Pflicht-Checkbox setzt, koppelt unnötig und schwächt die eigene Rechtsposition. Faustregel: Einwilligung nur dort, wo keine andere Grundlage passt.
E-Mail-Kommunikation absichern
Transportverschlüsselung ist Pflichtstandard. Die Datenschutzkonferenz (DSK) sieht TLS als Mindestmaß für den E-Mail-Versand; besonders sensible Daten verlangen zusätzlich eine Inhaltsverschlüsselung. Stellen Sie sicher, dass Ihr Mailserver TLS 1.2 oder 1.3 nutzt (STARTTLS auf SMTP/IMAP). Prüfen lässt sich das mit einem TLS-Test wie checktls.com oder – für den genauen technischen Blick – dem Kommandozeilen-Tool testssl.sh.
Für besonders schützenswerte Daten (Gesundheit, Bonität, Vertragsdetails) reicht Transportverschlüsselung nicht – hier gehört der Inhalt Ende-zu-Ende verschlüsselt (S/MIME oder PGP) oder in ein passwortgeschütztes, separat übermitteltes Dokument.
Zwei praktische Fehlerquellen im Alltag:
- Offener Verteiler statt BCC. Wer 50 Kunden ins „An”- oder „CC”-Feld setzt, offenbart deren Adressen gegenseitig – das ist eine meldepflichtige Datenpanne. Für Rundmails immer BCC verwenden oder ein Newsletter-Tool.
mail()statt authentifiziertem SMTP. WordPress verschickt Transaktions-E-Mails (WooCommerce-Bestellungen, Formular-Benachrichtigungen) standardmäßig über die PHP-Funktionmail()– oft unverschlüsselt und schlecht zustellbar. Richten Sie stattdessen einen SMTP-Versand mit TLS ein, etwa über ein SMTP-Plugin: Verschlüsselung auf TLS, Port 587, Authentifizierung mit einem eigenen Postfach.
Mehr dazu unter /transaktions-mails-per-smtp-versenden/.
Kontaktformulare rechtssicher aufsetzen
Ein Kontaktformular ist der häufigste Einstiegspunkt für personenbezogene Daten – und der am häufigsten falsch konfigurierte.
- HTTPS ist Pflicht. Ohne gültiges SSL-Zertifikat werden Formulardaten im Klartext übertragen. Let’s Encrypt liefert das Zertifikat kostenlos; in Plesk aktivieren Sie es unter SSL/TLS-Zertifikate mit einem Klick.
- Datensparsamkeit. Nur wirklich benötigte Felder als Pflicht kennzeichnen. Telefonnummer, Firma oder Adresse gehören nur dann als Pflichtfeld ins Formular, wenn Sie sie für die Antwort zwingend brauchen.
- Datenschutzhinweis statt Zwangs-Einwilligung. Platzieren Sie direkt am Absende-Button einen kurzen Hinweis mit Link zur Datenschutzerklärung („Ihre Angaben verwenden wir ausschließlich zur Bearbeitung Ihrer Anfrage.”). Eine Checkbox darf nicht vorausgewählt sein. In Contact Form 7 nutzen Sie dafür das
[acceptance]-Formular-Tag; in WPForms aktivieren Sie unter Einstellungen → Allgemein die Option GDPR Enhancements und fügen anschließend das dann verfügbare Feld GDPR Agreement ein – dieses ist stets als Pflichtfeld gesetzt und lässt sich nicht vorauswählen (Stand: Juli 2026). - Externe Dienste erst nach Einwilligung laden. Google reCAPTCHA, eingebettete Karten und über Google-Server geladene Fonts übertragen die IP-Adresse in Drittländer, bevor der Nutzer zustimmt. Binden Sie solche Dienste über ein Consent-Tool wie Borlabs Cookie ein oder ersetzen Sie sie: Fonts lokal hosten, statt reCAPTCHA ein Honeypot-Feld gegen Spam einsetzen. Details unter /borlabs-cookie-einrichten/.
- Aufbewahrung begrenzen. Löschen Sie erledigte Anfragen, wenn sie nicht mehr benötigt werden. Ein Formular-Plugin, das jede Nachricht dauerhaft in der Datenbank speichert, sammelt sonst über Jahre einen unnötigen Datenberg an.
Newsletter und Werbe-E-Mails: Double-Opt-In ist Pflicht
Werbliche E-Mails setzen eine vorherige Einwilligung voraus – rechtlich doppelt abgesichert durch § 7 Abs. 2 UWG (Wettbewerbsrecht) und Art. 6 Abs. 1 lit. a DSGVO. Der belastbare Weg dorthin ist das Double-Opt-In:
- Nutzer trägt sich ins Formular ein.
- Er erhält eine Bestätigungsmail mit einem Aktivierungslink (noch keine Werbung).
- Erst nach Klick auf den Link wird die Adresse aktiv aufgenommen.
Protokollieren Sie Zeitpunkt, Bestätigungslink und – soweit vorhanden – die Anmeldedaten. Das ist Ihr Nachweis nach Art. 7 Abs. 1 DSGVO, falls jemand die Einwilligung bestreitet. Ein reines Single-Opt-In ist angreifbar, weil sich jeder mit fremder Adresse eintragen könnte.
Ausnahme Bestandskundenwerbung (§ 7 Abs. 3 UWG): An bestehende Kunden dürfen Sie auch ohne ausdrückliche Einwilligung Werbung für eigene, ähnliche Produkte schicken, wenn Sie die Adresse beim Verkauf erhalten haben, der Kunde bei Erhebung und in jeder Mail widersprechen kann und noch nicht widersprochen hat. Alle vier Bedingungen müssen erfüllt sein.
Tool-Wahl und US-Datentransfer: Dienste wie Mailchimp verarbeiten Daten in den USA. Seit 2023 stützt sich das auf das EU-US Data Privacy Framework – zulässig, sofern der Anbieter dort zertifiziert ist. Wer den Aufwand vermeiden will, wählt einen EU-Anbieter (z. B. rapidmail, CleverReach, Brevo) und schließt in jedem Fall einen Auftragsverarbeitungsvertrag ab. Jeder Newsletter braucht außerdem einen funktionierenden Abmeldelink und ein Impressum.
Auftragsverarbeitung: Verträge mit Ihren Tools
Sobald ein externer Dienst personenbezogene Daten in Ihrem Auftrag verarbeitet – Mailhoster, Newsletter-Tool, CRM, Formular-zu-CRM-Anbindung, Webhosting – ist er Auftragsverarbeiter. Nach Art. 28 DSGVO brauchen Sie mit ihm einen Auftragsverarbeitungsvertrag (AVV), und zwar bevor die Daten fließen. Führen Sie eine Liste aller eingesetzten Dienste samt AVV-Status. Wie das konkret aussieht, lesen Sie unter /auftragsverarbeitungsvertrag-avv/.
Betroffenenrechte fristgerecht bedienen
Kunden können jederzeit ihre Rechte geltend machen: Auskunft (Art. 15), Löschung (Art. 17), Berichtigung (Art. 16) und Widerspruch (Art. 21). Sie müssen darauf ohne unangemessene Verzögerung, spätestens binnen eines Monats reagieren (Art. 12 Abs. 3); bei besonderer Komplexität ist eine Verlängerung um zwei weitere Monate möglich, über die Sie den Betroffenen informieren.
Damit das gelingt, müssen Sie wissen, wo Kundendaten liegen: im Postfach, im CRM, im Newsletter-Tool, in WooCommerce, in Formular-Einträgen. Die Identität des Anfragenden dürfen Sie prüfen, aber nicht mehr Daten dafür verlangen als nötig. Rückgrat dieser Übersicht ist das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO – halten Sie es aktuell, dann ist jede Anfrage in Minuten statt Tagen beantwortet.
FAQ
Muss ich wirklich jede E-Mail verschlüsseln? Die Transportverschlüsselung per TLS ist der geforderte Mindeststandard und läuft serverseitig ohnehin automatisch, sobald beide Mailserver sie unterstützen. Eine zusätzliche Inhalts- oder Ende-zu-Ende-Verschlüsselung ist erst bei besonders sensiblen Daten nötig, nicht für die normale Geschäftskorrespondenz.
Reicht eine Checkbox im Kontaktformular als Einwilligung? Bei einer konkreten Anfrage stützt sich die Verarbeitung auf die (vor-)vertragliche Grundlage – dafür ist gar keine Einwilligung erforderlich. Die Checkbox bestätigt in der Praxis vor allem die Kenntnisnahme des Datenschutzhinweises. Koppeln Sie sie nicht mit Werbezwecken; dafür brauchen Sie eine eigene, klar getrennte Einwilligung.
Darf ich Kunden per WhatsApp kontaktieren? Nur eingeschränkt. WhatsApp (auch die Business-Variante) überträgt Daten in die USA und greift je nach Konfiguration auf das Adressbuch zu. Ohne dokumentierte Einwilligung und AVV ist das heikel; datenschutzfreundlichere Kanäle oder EU-Messenger sind der sicherere Weg.
Brauchen Sie Unterstützung bei DSGVO & Cookie-Consent (Borlabs & Co.)? Ypsilon.dev ist Ihre Webagentur aus Regensburg – jetzt kostenlose Erstberatung anfragen.