Маркетинг через рассылки на первый взгляд кажется безобидным. Введите электронную почту, нажмите кнопку, готово. Но именно здесь это становится дорогим. В 2023 году Управление по защите данных Нижней Саксонии наложило на компанию штраф в размере 65 500 евро — из-за рассылок без чистого Opt-In. Земельный суд Мюнхена приговорил компанию к выплате 5 000 евро компенсации за каждого пострадавшего. За каждого человека.
И самое худшее: большинство нарушений происходят не из злого умысла. А потому что кто-то при настройке допустил халатность. Галочки выбраны по умолчанию. Политика конфиденциальности не адаптирована. AVV забыта.
С 2018 года мы настраиваем системы рассылок для клиентов в Германии, Австрии и Швейцарии. Brevo (ранее Sendinblue) уже много лет является нашим первым выбором — французский провайдер, серверы в ЕС, немецкая поддержка. Вы избегаете всей драмы с облаками США, связанной с Schrems II и стандартными договорными положениями.
In dieser Anleitung zeige ich dir Schritt für Schritt, wie du einen DSGVO Newsletter mit Brevo aufsetzt, der einer Prüfung standhält. Keine Theorie. Keine schwammigen Empfehlungen. Du klickst genau dort, wo ich klicke. Am Ende hast du ein System, das rechtlich sauber ist und gleichzeitig Anmeldungen einsammelt — ohne dass dir die Datenschutzbehörde die Tür einrennt.
Los geht’s.
Brevo vs Mailchimp vs ActiveCampaign — честное сравнение по GDPR
Mailchimp ist der bekannteste Anbieter. Auch der problematischste. Sitz in den USA, Server in den USA, Mutterkonzern Intuit. Nach dem Schrems-II-Urteil des EuGH ist die Übermittlung personenbezogener Daten in die USA grundsätzlich kritisch. Du brauchst Standardvertragsklauseln, ein Transfer Impact Assessment und solltest deine Kunden explizit darüber informieren. Die bayerische Datenschutzaufsicht hat 2021 bereits ein Bußgeld gegen ein Unternehmen verhängt, das Mailchimp ohne saubere Prüfung nutzte.
ActiveCampaign — та же проблема. Американский провайдер, те же юридические препятствия. Функционально сильный, в плане автоматизации на высоте. Но для клиентов из DACH больше усилий по соблюдению требований.
Brevo, напротив, находится в Париже. Серверы расположены во Франции и Германии. AVV доступен в виде готового PDF для скачивания — прямо из аккаунта. Никакой драмы с Schrems II, никаких оценок воздействия передачи, никакого риска при следующей проверке.
По цене? Brevo стоит 0 евро в бесплатном плане за 300 писем в день. Стартовый тариф начинается примерно с 7 евро в месяц. Mailchimp становится значительно дороже с первого платного уровня — и вы платите там за каждый контакт, а не за каждое отправленное письмо. Это значит: 5 000 неактивных контактов стоят вам денег.
Мой вывод после восьми лет практики: для немецких, австрийских и швейцарских компаний Brevo — это прагматичный выбор. Вы экономите время, деньги и юридические головные боли.
Настройка аккаунта Brevo и верификация домена — SPF, DKIM, DMARC
Erstmal das Konto. Geh auf brevo.com und klicke oben rechts auf „Kostenlos registrieren“. Du bekommst einen Bestätigungslink, klickst drauf, fertig. Bis hier dauert das fünf Minuten.
Теперь важная часть — аутентификация домена. Без чистых записей SPF, DKIM и DMARC ваш бюллетень попадет в спам. Точка. Gmail и Outlook ужесточили свои требования в 2024 году. Те, кто отправляет без DMARC, попадают у многих получателей прямо в папку нежелательной почты.
Im Brevo-Dashboard gehst du auf „Senders, Domains & Dedicated IPs“ und klickst dann auf „Domains“. Trage deine Versanddomain ein — also zum Beispiel webseiteerstellen.eu. Brevo zeigt dir jetzt drei DNS-Einträge an:
Ein TXT-Record für SPF, der ungefähr so aussieht: v=spf1 include:spf.brevo.com mxa.brevo.com mxb.brevo.com ~all. Zwei CNAME-Einträge für DKIM mit kryptischen Strings wie mail._domainkey. Und einen DMARC-Eintrag auf _dmarc.deinedomain.de mit dem Wert v=DMARC1; p=none; rua=mailto:[email protected].
Diese Einträge musst du bei deinem DNS-Anbieter eintragen. Bei Hostinger findest du das unter „Hosting → Verwalten → Domain → DNS-Zone“. Bei IONOS unter „Domains & SSL → Domain → DNS“. Speichern, 30 Minuten warten, dann zurück zu Brevo und auf „Authentifizieren“ klicken. Wenn alles grün leuchtet — perfekt.
Tipp aus der Praxis: Setze DMARC erst auf p=none, damit du sehen kannst, was passiert. Nach zwei Wochen ohne Probleme stellst du auf p=quarantine um. Das schützt deine Marke vor Phishing.
Правильная настройка Double Opt-In — ключевой момент
Hier scheitern die meisten. Single Opt-In ist in Deutschland faktisch nicht zulässig — der BGH hat das in mehreren Urteilen klargestellt. Ohne Double Opt-In kannst du im Streitfall nicht beweisen, dass die Person wirklich zugestimmt hat. Und Beweispflicht liegt beim Versender, nicht beim Empfänger. Das ergibt sich direkt aus Art. 7 Abs. 1 DSGVO.
In Brevo aktivierst du das so. Geh auf „Kontakte“ → „Formulare“ → „Neues Formular erstellen“. Wähle den Formulartyp aus, dann scrollst du nach unten zu „Einstellungen“. Dort setzt du den Punkt „Double Opt-In aktivieren“ auf An.
Jetzt kommt der Teil, den die meisten falsch machen. Brevo bietet dir eine Standard-Bestätigungsmail an. Die ist auf Englisch und juristisch dünn. Klick auf „Bestätigungs-E-Mail bearbeiten“ und schreib selbst rein:
„Hallo, du hast dich für unseren Newsletter angemeldet. Bitte bestätige deine Anmeldung mit einem Klick auf den folgenden Link: [Bestätigungslink]. Wenn du dich nicht angemeldet hast, ignoriere diese E-Mail einfach. Es entstehen dir keine Kosten.“
Wichtig: Keine Werbung in der Bestätigungsmail. Kein „Hier sind schon mal 10% Rabatt“. Das hat das OLG München 2017 als unzulässige Werbung gewertet. Die Bestätigungsmail darf nur die Bestätigung enthalten — sonst ist sie selbst schon eine unverlangte Werbenachricht.
Speichere die IP-Adresse, den Zeitstempel und den Bestätigungs-Zeitstempel. Brevo macht das automatisch. Du findest die Daten unter dem jeweiligen Kontakt im Tab „Anmeldedaten“. Diese Logs sind deine Versicherung, falls jemand behauptet, er hätte sich nie angemeldet.
Оформление формы регистрации в соответствии с GDPR
Форма на вашем сайте — это второй объект внимания. Здесь действует правило минимизации данных из ст. 5 абз. 1 лит. c DSGVO — вы можете запрашивать только то, что действительно необходимо.
Для рассылки вам требуется только одно обязательное поле: адрес электронной почты. Имя может быть необязательным, фамилия чаще всего излишняя. Дата рождения, адрес, номер телефона? Держитесь подальше, если только у вас нет конкретной причины.
Под полем ввода вам нужна галочка. Не предустановленная — Европейский суд в решении Planet49 от октября 2019 года недвусмысленно указал, что предустановленные галочки не являются действительным согласием. Текст рядом с галочкой выглядит примерно так:
„Ich möchte den Newsletter von [Firmenname] erhalten und stimme der Verarbeitung meiner E-Mail-Adresse für Marketingzwecke zu. Die Einwilligung kann ich jederzeit per Klick auf den Abmeldelink in jedem Newsletter widerrufen. Weitere Infos in der [Datenschutzerklärung].“
Обратите внимание на три обязательных элемента: кто обрабатывает, для чего и указание на отзыв. Это следует непосредственно из ст. 13 DSGVO и бремени доказывания из ст. 7.
Den Submit-Button beschriftest du klar — „Newsletter abonnieren“ statt „Absenden“. So weiß die Person eindeutig, wozu sie gerade zustimmt. Auch das ist ein Punkt, den Datenschutzbehörden gerne prüfen.
Адаптируйте политику конфиденциальности — что действительно должно быть включено
Ваша политика конфиденциальности теперь нуждается в отдельном разделе. Не копируйте из генератора и не забывайте — Brevo требует явного упоминания в качестве обработчика данных.
Следующие пункты должны быть включены:
Erstens den Anbieter. „Wir versenden unseren Newsletter über die Plattform Brevo der Sendinblue SAS, 106 Boulevard Haussmann, 75008 Paris, Frankreich.“
Zweitens die Rechtsgrundlage. „Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 7 Abs. 2 Nr. 3 UWG.“
Drittens den Hinweis auf das Tracking, falls aktiv. „Newsletter enthalten ein Tracking-Pixel, mit dem wir Öffnungs- und Klickraten messen. Diese Auswertung dient der Optimierung unserer Inhalte.“
Viertens die Speicherdauer. „Ihre Daten werden bis zum Widerruf der Einwilligung gespeichert.“
Fünftens das Widerrufsrecht. „Sie können Ihre Einwilligung jederzeit widerrufen, etwa über den Abmeldelink in jeder E-Mail.“
Sechstens der Hinweis auf den AVV. „Mit Brevo wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.“
Wenn deine Datenschutzerklärung das nicht abdeckt, hast du ein Problem. Wir prüfen das bei jedem WordPress-Paket standardmäßig mit.
Заключите договор на обработку данных с Brevo
Договор на обработку данных в соответствии со ст. 28 DSGVO обязателен. Без него вы обрабатываете данные незаконно — даже если все остальное в порядке. Хорошая новость: Brevo делает это просто.
Geh in dein Brevo-Konto auf „Senders, Domains & Dedicated IPs“ — oder direkt auf den Punkt „GDPR“ im Hauptmenü. Du findest dort einen Button „Auftragsverarbeitungsvertrag herunterladen“. Lade das PDF runter, lies es einmal durch, dann kommt der wichtige Schritt: Du unterzeichnest digital im Account, oder du sendest die unterschriebene Version per Mail an Brevo zurück.
Speicher das Dokument bei dir lokal ab — am besten in einem Ordner „Datenschutz/AVV“ mit Datum im Dateinamen. Bei einer Prüfung musst du den Vertrag innerhalb weniger Tage vorlegen können.
Деталь, которую многие упускают: если субподрядчики Brevo изменяются, вы должны быть теоретически проинформированы. Brevo ведет публичный список субподрядчиков — его следует проверять раз в полгода.
Отслеживание и измерение кликов — что разрешено
Щекотливая тема. Показатели открытия, кликов, тепловые карты — все это отслеживание. И для отслеживания нужна правовая основа.
Немецкая конференция по защите данных в 2021 году уточнила: если рассылка содержит индивидуально привязанное отслеживание — то есть кто кликнул на какую ссылку — это требует согласия. Согласие должно быть получено отдельно или, по крайней мере, четко указано в тексте подписки.
Praktisch heißt das: Erweitere den Text bei deiner Anmelde-Checkbox um einen Halbsatz. „Ich willige außerdem ein, dass meine Öffnungs- und Klickdaten zur Optimierung der Inhalte ausgewertet werden.“
Im Brevo-Dashboard kannst du das Tracking pro Kampagne ein- und ausschalten. Findest du beim Erstellen einer Kampagne unter „Erweiterte Einstellungen“. Wenn du auf Nummer sicher gehen willst, deaktivierst du es. Dann verzichtest du auf wertvolle Daten — aber bist hundertprozentig sauber.
Честная рекомендация: получите согласие во время процесса регистрации и отслеживайте с чистой совестью. Вам нужны данные, чтобы стать лучше.
Часто задаваемые вопросы о GDPR-рассылке с Brevo
Действительно ли Single Opt-In недостаточно?
Нет. Практически нет. Бремя доказательства согласия лежит на отправителе. Без подтверждающего письма вы не можете доказать, что адрес электронной почты действительно был введен владельцем. Боты, опечатки, злонамеренные регистрации — все возможно.
Как долго я могу хранить неактивные контакты?
Пока согласие активно. На практике: если кто-то не открывал рассылку в течение 24 месяцев, следует один раз спросить по электронной почте о повторном подтверждении. Если человек не реагирует, удалите его.
Нужен ли мне специалист по защите данных для рассылок?
Не обязательно. Обязанность возникает только при наличии 20 сотрудников, которые регулярно обрабатывают персональные данные. Для индивидуального предпринимателя с рассылкой DSB не требуется.
Сколько может стоить нарушение в худшем случае?
До 20 миллионов евро или 4 процента от мирового годового оборота — что выше. Реалистичные штрафы для МСП составляют от 2.000 до 50.000 евро. Плюс расходы на предупреждение, часто от 500 до 1.500 евро за случай.
Могу ли я просто добавить существующие адреса клиентов в рассылку?
Ограниченно да — если выполнены условия § 7 абз. 3 UWG. Постоянный клиент, аналогичные продукты, четкое указание на возможность отписки в каждом письме, отсутствие возражений. В случае сомнений все равно получите активное согласие.
Нужен ли Double Opt-In для B2B-рассылки?
Да. Даже деловые адреса электронной почты являются персональными данными, как только они могут быть связаны с физическим лицом. [email protected] — это серая зона, [email protected] — совершенно ясно защищено.
Что происходит, если кто-то отписывается?
Вы должны немедленно выполнить отписку — Brevo делает это автоматически через ссылку для отписки. Адрес электронной почты может оставаться в списке блокировки, чтобы вы случайно не написали этому человеку снова. Это даже рекомендуется.
Заказать настройку рассылки — мы сделаем это за вас
Du willst keine Zeit mit Kleingedrucktem verbringen? Verstehe ich. Wir richten dir den kompletten DSGVO Newsletter mit Brevo ein — von der Domain-Authentifizierung über das Anmeldeformular bis zur Datenschutzerklärung. Inklusive AVV, technischer Integration in WordPress und Anbindung an deine SEO-стратегии.
Продолжительность: 3 рабочих дня. Фиксированная цена: 449 евро нетто.
Вы получите систему, которая юридически чиста и одновременно конвертирует. Регистрации вместо штрафов.
Schreib uns kurz worum es geht und wir melden uns am gleichen Tag. Mehr Infos auch unter Защита данных und in unseren пакетах WordPress.