DSGVO-konforme E-Mail API: Was Sie wirklich brauchen
DSGVO-Konformität für transaktionale E-Mails wird oft überkompliziert. Hier erfahren Sie, was wirklich wichtig ist und wie Sie es richtig umsetzen.
Was die DSGVO für E-Mail verlangt
Für transaktionale E-Mails gilt die DSGVO für die personenbezogenen Daten, die Sie verarbeiten – hauptsächlich E-Mail-Adressen und Personalisierungsdaten im E-Mail-Inhalt.
Die Kernanforderungen
- Rechtsgrundlage — Transaktionale E-Mails fallen typischerweise unter "berechtigtes Interesse" oder "Vertragserfüllung"
- Datenminimierung — Nur verarbeiten, was Sie brauchen
- Speicherbegrenzung — Daten nicht ewig aufbewahren
- Sicherheit — Verschlüsselung bei Übertragung und Speicherung
- Übertragungsschutz — Wenn Daten die EU verlassen, brauchen Sie rechtliche Mechanismen
Das Datenübertragungsproblem
Die meisten E-Mail-APIs sind US-basiert. Wenn Sie eine E-Mail über Resend, SendGrid oder Postmark senden, reist die E-Mail-Adresse Ihres Kunden zu US-Servern.
Dies erfordert:
- Standardvertragsklauseln (SCCs) — Rechtliche Vereinbarungen für die Übertragung
- Transfer Impact Assessment — Ihre Risikobewertung
- Ergänzende Maßnahmen — Zusätzliche Schutzmaßnahmen, die Sie umsetzen
Das ist nicht illegal, erzeugt aber laufenden Compliance-Aufwand.
Der einfachere Ansatz: EU-Datenresidenz
Wenn Ihre Daten die EU nie verlassen, eliminieren Sie das Übertragungsproblem vollständig:
- Keine SCCs für den E-Mail-Anbieter nötig
- Kein Transfer Impact Assessment
- Einfacherer AVV (Auftragsverarbeitungsvertrag)
- Leichtere Prüfspur
DSGVO-konforme E-Mails mit Truncus implementieren
1. Auftragsverarbeitungsvertrag
Truncus bietet einen Standard-AVV, der abdeckt:
- Umfang der Datenverarbeitung (E-Mail-Adressen, Nachrichteninhalt)
- Sicherheitsmaßnahmen (TLS, Verschlüsselung bei Speicherung)
- Unterauftragnehmer-Liste (AWS EU, keine US-Transfers)
- Datenlöschungsverfahren
2. Technische Implementierung
import { Truncus } from '@truncus/node';
const truncus = new Truncus({
apiKey: process.env.TRUNCUS_API_KEY,
// Daten bleiben in der EU
region: 'eu-west-1',
});
// Nur notwendige Daten senden
await truncus.emails.send({
from: 'noreply@ihreapp.com',
to: benutzerEmail,
subject: 'Ihre Bestellbestätigung',
html: bestellbestaetigungHtml,
// Aufbewahrung für DSGVO-Konformität
metadata: {
retention_days: 30,
},
});3. Webhook-Datenverarbeitung
Wenn Sie Webhooks empfangen, verarbeiten Sie sie angemessen:
// Webhook-Handler
app.post('/webhooks/email', async (req, res) => {
const event = req.body;
// Zustellstatus protokollieren (berechtigtes Interesse)
await logDeliveryEvent({
messageId: event.message_id,
status: event.type, // delivered, bounced, etc.
timestamp: event.timestamp,
});
// Nicht den vollständigen Payload langfristig speichern
// Nur behalten, was Sie für den Betrieb brauchen
res.status(200).send('OK');
});4. Datenaufbewahrung
Truncus löscht automatisch:
- E-Mail-Inhalt: 30 Tage nach Versand
- Zustellprotokolle: 90 Tage
- Analysedaten: Aggregiert, keine personenbezogenen Daten aufbewahrt
Sie können frühere Löschung per API anfordern.
Checkliste: DSGVO-konformes E-Mail-Setup
| Anforderung | Wie Truncus hilft |
|---|---|
| Auftragsverarbeitungsvertrag | Standard-AVV bereitgestellt |
| EU-Datenresidenz | Alle Daten bleiben in der EU |
| Verschlüsselung bei Übertragung | TLS 1.3 erforderlich |
| Verschlüsselung bei Speicherung | AES-256 Verschlüsselung |
| Zugriffskontrollen | API-Key-Scoping, Audit-Logs |
| Datenlöschung | Automatische Aufbewahrungsgrenzen + API |
| Unterauftragnehmer-Transparenz | Veröffentlichte Unterauftragnehmer-Liste |
Was Sie noch tun müssen
Eine DSGVO-konforme E-Mail-API zu nutzen macht Sie nicht automatisch konform. Sie brauchen noch:
- Datenschutzerklärung — Offenlegen, dass Sie transaktionale E-Mail-Dienste nutzen
- Rechtsgrundlage — Dokumentieren, warum Sie jeden E-Mail-Typ senden
- Datenminimierung — Keine unnötigen personenbezogenen Daten in E-Mails
- Betroffenenrechte — Auskunftsanfragen innerhalb von 30 Tagen bearbeiten
Erste Schritte
- Konto erstellen
- AVV aus dem Dashboard herunterladen
- Domain konfigurieren
- Erste E-Mail senden
Fragen zur DSGVO-Konformität? Kontaktieren Sie uns unter privacy@truncus.co