INFORMATOO

Frag einfach.Ich antntworte dir über WhatsApp
Buchcover

Mailgun — DSGVO-Probleme?

Bei der Verwendung von Mailgun können unter bestimmten Umständen DSGVO-relevante Probleme auftreten – aber sie sind lösbar, wenn man bestimmte Punkte beachtet.

Das Wichtigste zur DSGVO und Mailgun:

Mailgun hat seinen Hauptsitz in den USA, was zunächst kritisch ist, da perso­nen­be­zogene Daten (z. B. E‑Mail-Adressen, IP-Adressen, Tracking-Infor­ma­tionen) in ein Drittland außerhalb der EU übermittelt werden könnten.

Aber:
Mailgun bietet auch Rechen­zentren in der EU (z. B. in Frankfurt) und ermög­licht die regionale Daten­ver­ar­beitung, was ein wichtiger Schritt zur DSGVO-Konfor­mität ist.

🔍 DSGVO-Probleme & Lösungen im Detail

ThemaProblemLösung
Daten­transfer in die USAÜbermittlung perso­nen­be­zo­gener Daten in ein unsicheres Drittland (USA) ohne Angemes­sen­heits­be­schlussNur EU-Daten­region aktivieren und Vertrag zur Auftrags­ver­ar­beitung (AVV / DPA) abschließen
Tracking von Öffnungen/KlicksNutzer­ver­halten wird mitge­trackt (z. B. via Pixel oder Tracking-Links)Nur mit Einwil­ligung nach Art. 6 Abs. 1 lit. a DSGVO erlaubt; ggf. Tracking deakti­vieren
E‑Mail-Inhalte mit perso­nen­be­zo­genen DatenInhalt wird über US-Server geleitet (wenn EU-Region nicht genutzt wird)Keine sensiblen Daten im Mail-Text oder nur bei aktivierter EU-only-Verar­beitung

Was du tun solltest, um DSGVO-konform zu sein:

  1. EU-Region nutzen
    – Bei Mailgun lässt sich die Verar­beitung auf EU-Server beschränken („EU region deployment“ – Frankfurt).
  2. DPA/AVV abschließen
    – Mailgun bietet einen Data Processing Addendum (DPA) an. Dies ist der Auftrags­ver­ar­bei­tungs­vertrag gemäß Art. 28 DSGVO.
  3. Standard­ver­trags­klauseln (SCCs) prüfen
    – Falls doch Daten in die USA fließen, sollten die aktuellen EU-Standard­ver­trags­klauseln imple­men­tiert und dokumen­tiert sein.
  4. Einwil­ligung für Tracking einholen
    – Öffnungs- und Klick­raten dürfen nur mit vorhe­riger Einwil­ligung erfasst werden (Cookie-Banner / Opt-in).
  5. Daten­schutz­er­klärung aktua­li­sieren
    – Du musst Mailgun als Dienst­leister mit Zweck, Daten­umfang, Rechts­grundlage und Speicher­dauer in deiner Daten­schutz­er­klärung aufführen.

⚠️ Fazit

Mailgun kann DSGVO-konform verwendet werden, wenn:

  • du ausschließlich die EU-Daten­region nutzt,
  • der AV-Vertrag abgeschlossen ist,
  • und du Tracking nur mit Einwil­ligung einsetzt.

Wenn du dich unsicher fühlst, könnte ein Anbieter mit Sitz in der EU (wie z. B. Sendinblue / Brevo, Clever­Reach, mailjet) als Alter­native sinnvoll sein.