Der Artikel hier schreibt sich fast von alleine … Ein weiterer nach dem über die Google Fonts, die etwas Juristerei in sich tragen. Aber der Reihe nach. Was hat MailPoet mit WooCommerce und diese wiederum mit DSGVO und Schrems II zu tun. Und was ist das überhaupt?
Zuerst wer ist ist was: MailPoet, WooCommerce, DSGVO und Schrems II
MailPoet
MailPoet ist einer von vielen Newsletter Anbietern. So wie MailChimp, CleverReach, … und doch an einer Stelle ein kleines bisschen und entscheidend anders: MailPoet ist WordPress Plugin, welches die Newsletter Erstellung direkt in WordPress erlaubt und – mit Einschränkungen, dazu gleich mehr – auch direkt den Versand über den eigenen Server.
MailPoet und die DSGVO
Damit ist dann auch gleich der DSGVO Teil schon fast erschöpfend behandelt: Dadurch, das der Newsletterservice – Erstellung, Versand, Auswertung – komplett auf dem eigenen, selbst gehosteten Server unter WordPress läuft braucht es zwar nach wie vor das Einverständnis des Empfängers (Double-Opt In, widerrufbarer Consent, …) aber eben keinen darüberhinaus gehenden Auftragsverarbeitungsvertrag mit einer Dritten Partei. 1:0 für MailPoet an der Stelle!
Die Einschränkungen von MailPoet
Der eigene Server als Versandinstanz funktioniert eigentlich nur bis ca. 50 Empfänger und einem überschaubaren Newsletter Volumen von, sagen wir, 1x monatlich. Damit ist’s eine sehr perfekte Lösung für einen kleinen Verein, eine Schulklasse (oder deren Eltern) um immer wieder mal Neuigkeiten zu verbreiten. Der Hintergrund: steigt das Mailvolumen besteht die latente Gefahr das der aussendende Mailserver als Spammer in Verdacht gerät und entsprechend auf Filterlisten (auch Blacklists geheissen) landet. In der Folge ist jeglicher Mailversand von diesem Server gestört, nicht nur der Newsletter und – bei einem Shared Hosting – ggf. auch andere Domains, die über diesen Mailserver ausliefern. Kurz: man macht sich auch bei seinem Hoster nicht gerade beliebt.
Die Lösung aus dem Hause MailPoet
Spätestens wenn die einstmals überschaubare Empfängerliste anwächst, muss man sich also Gedanken um den Versand über andere Server machen. Es gibt dazu spezielle Server, deren ureigenste Aufgabe es ist sog. Bulk- oder Massenemails zu versenden. So lange die im EU Raum beheimatet sind – kein großes Problem. Auftragsverarbeitungsvertrag abgeschlossen, los geht’s. Und weil MailPoet vom Ursprung her ein zutiefst europäisches Produkt ist, bietet man bei MailPoet einen entsprechenden Server im Rahmen eines Premium-Plans für mehr als 1000 Empfänger gleich an.
Nur nebenbei: ab einer weiter steigenden Zahl von Empfängern und mit steigender Aussendefrequenz wird das Preismodell von MailPoet zunehmend unattraktiv. Aber auch dafür gibt es Lösungen, weil MailPoet es grundsätzlich erlaubt fast beliebige andere SMTP-Server einzubinden. Die großen, wirklich leistungsfähigen sitzen – man ahnt es – in den USA. Als Beispiel sei sendgrid, sendinblue oder sendblaster genannt. Die datenschutzfreundlichste Methode dürfte da noch Amazon SES (simple email service) sein, der sich über den SMPT-Endpoint auf Frankfurt und damit ins EU Gebiet konfigurieren lässt.
Die nächste Hürde: Schrems II
Schrems II ist die gängige Bezeichnung für das jüngst ergangene EUGH Urteil zum Privacy Shield Abkommen zwischen den USA und Europa. In Kurzform: das Ding funktioniert so nicht, weil die US Geheimdienste immer noch in den Daten rumschnüffeln dürfen und damit der “vergleichbare Datenschutzstandard” nicht erfüllt ist. Das galt schon für das vorangegangene “Safe Harbour” Abkommen und wie immer der Nachfolger, an dem gerade fleissig gebastelt wird heissen mag – im wird das gleiche Schicksal zu Teil werden.
Was der EUGH explizit zugelassen hat und wo sehr viele Dienste Anbieter in den USA sich nun drauf zurück ziehen, sind die sog. Standardvertragsklauseln. Die in der Praxis aber leider nun auch nicht wirklich funktionieren, weil nun statt einer zwischenstaatlichen Datenschutzprüfung und -zusage (die eben negativ ausfiel) nun die eigene Zuständigkeit gefragt ist. Und ehrlich: wer kann das, was Google, Apple, FaceBook, Microsoft, Amazon, … behaupten schon nachprüfen – sprich: wer kann das und macht das dann auch – und zu welchem Ergebnis mag man dann kommen? Das privat drauf geschaut NSA, CIA, FBI und weiss nicht wer doch nicht abschnorchelt (abschnorcheln darf)? Eben nicht.
Wo kommt nun WooCommerce bei MailPoet ins Spiel?
Zum einen im Rahmen von Integrationen, die es schon “immer” gab. Wenn jemand bei mir im WooCommerce Shop was bestellt, würde ich eigentlich schon gerne sicherstellen, diesen Kunden auch gleich mit Neuigkeiten versorgen zu können. Entsprechend gibt es Plugins, die den “ich will den (MailPoet) Newsletter” Haken gleich in den Checkout-Prozess von WooCommerce integrieren. Seit 7.12.2020 gibt es einen neuen Twist:
MailPoet wurde von WooCommerce übernommen und allen Beteuerungen zu Folge ändert sich (zunächst) erstmal nichts.
Das große Aber zu MailPoet, WooCommerce, DSGVO und ganz sicher Schrems II
WooCommerce und das dahinterstehende Automattic sind zu allererst US Unternehmen. Ja, für den Geltungsbereich von Europa gibt es auch irische Niederlassungen. Das entbehrt insoweit nicht einer gewissen Komik, das die Ansiedlung dort gewählt wurde, wo die nachweislich schlafmützigste und wurschtigste Datenschutzaufsichtsbehörde ihren Dienst versieht. Dagegen waren italienische Zöllner im 70er Jahre Bummelstreik regelrecht agil.
Aktuell ist alles im grünen Bereich. Eben genau so lange, wie “zunächst ändert sich nichts” von MailPoet auch weiterhin gilt. Solange der Versandserver für diesen mittelgroßen Bedarf von größer 1000 bis “kriege-ich-woanders-billiger” weiterhin in Europa bleibt ist alles gut. In dem Moment, wo aber US Ressourcen von WooCommerce oder Automattic ins Spiel kommen – was im Sinne von “Synergie” zu befürchten steht – dann schlägt Schrems II mit voller Härte zu. Ab dem Moment wäre MailPoet faktisch oberhalb von dem kleinen Bedarf von 50 Empfängern in Europa nicht mehr (regelgerecht) zu gebrauchen.
Die Privacy Policy sowohl von WooCommerce als auch Automattic sind aktuell weder im Sinne von Schrems II befriedigend (s.o. unter Standardvertragsklauseln) noch decken sie den Fall des SMTP-Versands durch MailPoet im Moment hinreichend ab. Fatal, denn ich denke mal nicht, dass die Idee zum Kauf von MailPoet durch WooCommerce einen Tag vor dem Announcement erfolgte. Da hätte man etwas besser drauf vorbereitet sein können als nur auf die neue (alte) Privacy Policy von WooCommerce zu verweisen.
Fazit
In der aktuellen Situation bleibt für mich zurück:
- MailPoet ist im kleinen Rahmen nach wie vor meine erste Wahl, wenn es um die Aussendung von Newlettern geht
- Im mittleren Mengenbereich muss man sehr genau beobachten, was mit den Servern von MailPoet passiert
- WooCommerce und Automattic müssen die unklaren Verhältnisse in Sachen Datenschutz angehen. Irische Adresse, Standardvertragsklauseln und eine “wir sind alle lieb” Privacy Policy um die US Server zu verschleiern oder zu verharmlosen sind zu wenig.