Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Sympa ist ein freier, quelloffener Mailinglisten Manager, ursprünglich an der Université de Rennes 1 in Frankreich entwickelt und heute von der Sympa Community gepflegt. Er betreibt Listenserver an Universitäten, in Forschungsnetzen, öffentlichen Verwaltungen und Vereinen in ganz Europa. Sympa verwaltet Anmeldungen, Moderation, Nachrichtenversand, Webarchive und Digests. Da der Kunde die Software selbst hostet, beschränkt sich der Datenschutz Fußabdruck auf die zur Abonnementverwaltung notwendigen Daten und ein Session Cookie auf der Webarchiv Oberfläche.
Sympa ist ein freier, quelloffener Mailinglisten Manager unter GNU GPL Lizenz. Er wurde 1997 an der Université de Rennes 1 entwickelt und wird heute von der Sympa Community gepflegt, darunter RENATER, das französische Forschungs und Hochschulnetz. Sympa ist an europäischen Universitäten, in Forschungsnetzen, öffentlichen Verwaltungen und Vereinen weit verbreitet, um Diskussionslisten, Ankündigungsbulletins und Arbeitsgruppen Austausche zu betreiben. Die Software wird vom Kunden selbst gehostet, der damit volle Kontrolle über Abonnenten, Inhalte und Konfiguration auf der eigenen Infrastruktur behält.
Sympa speichert die E Mail Adresse des Abonnenten, einen optionalen Anzeigenamen, die Liste der Abonnements, den Zeitstempel der Double Opt In Bestätigung und einen Moderationsstatus je Liste. Die Webarchiv Oberfläche setzt ein einziges Session Cookie mit der ID des angemeldeten Nutzers, wenn Abonnenten ältere Nachrichten ansehen oder ihre Einstellungen ändern. Sympa führt zudem serverseitige Zustellprotokolle mit SMTP Envelope und Bounce Metadaten. Drittanbieter Tracking Cookies, Fingerprinting Skripte oder externe Analytics Aufrufe sind in der Standardoberfläche nicht enthalten.
Der Betrieb einer Mailingliste ist eine Verarbeitung personenbezogener Daten (der E Mail Adresse) im Sinne der DSGVO. Art. 13 ePrivacy Richtlinie, § 7 UWG und die LCEN verlangen eine vorherige, freie, spezifische und informierte Einwilligung für Werbe oder Newsletter Mails an natürliche Personen. CNIL, AEPD und die deutsche Rechtsprechung zur Werbe E Mail laufen auf das Double Opt In Verfahren hinaus. Das Session Cookie der Webarchive ist unbedingt erforderlich und benötigt keine Einwilligung nach § 25 TDDDG.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Für jedes Abonnement ist die Rechtsgrundlage die ausdrückliche Einwilligung nach Art. 6(1)(a) DSGVO, belegt durch die angegebene Adresse und den Zeitstempel der Double Opt In Bestätigung, den Sympa standardmäßig protokolliert. Interne Verteilerlisten an Beschäftigte können in Einzelfällen auf Vertragserfüllung (Art. 6(1)(b)) oder berechtigtes Interesse (Art. 6(1)(f)) gestützt werden, sofern Zweck, Umfang und Widerspruchsrecht dokumentiert sind. Abonnenten müssen sich in jeder Nachricht per Ein Klick abmelden können, im Einklang mit DSK Vorgaben und Art. 21 DSGVO.
Da Sympa selbst gehostet wird, wählt der Verantwortliche den Serverstandort. Die meisten akademischen und öffentlichen Installationen bleiben on premise oder laufen auf RENATER oder GEANT Infrastruktur in der EU, sodass kein Drittstaatentransfer entsteht. Übermittlungen können auftreten, wenn ausgehende Mails über einen Nicht EU SMTP Anbieter (Amazon SES US, SendGrid, Postmark) verschickt werden oder Empfänger außerhalb des EWR sitzen. In diesen Fällen sind Standardvertragsklauseln mit dem SMTP Auftragsverarbeiter und ein kurzes Transfer Impact Assessment angezeigt.
Aktivieren Sie für jede Liste Double Opt In, speichern Sie Zeitstempel und IP der Einwilligung und stellen Sie in jeder Nachricht einen eindeutigen Abmeldelink bereit. Konfigurieren Sie DKIM, SPF und DMARC auf der Sympa Domain, um Zustellbarkeit zu sichern und Spoofing zu verhindern. Legen Sie Speicherfristen fest: gebounzte Adressen werden nach einer Frist entfernt, Archive älter als der dokumentierte Zweck werden anonymisiert oder gelöscht. Beschränken Sie Moderator und Listenbesitzer Rollen, protokollieren Sie Zugriffe auf die Weboberfläche und halten Sie Sympa anhand der Sicherheitsmeldungen auf sympa.community aktuell.
Websites using Sympa must obtain user consent under GDPR regulations.
DPIA considerations
Eine Datenschutz Folgenabschätzung nach Art. 35 DSGVO ist für einen Sympa Betrieb mit internen oder Community Listen und Standarddaten (E Mail Adresse, optionaler Name, Abonnementliste) in der Regel nicht erforderlich. Sie wird relevant, wenn der Verantwortliche Listen sehr großen Umfangs betreibt, besondere Datenkategorien verarbeitet (Patienten oder Aktivistengruppen) oder Empfänger in Drittländern adressiert. Das Verzeichnis nach Art. 30 sollte die Rechtsgrundlage pro Liste, die Speicherdauer für Anmeldungen und Archive, das genutzte SMTP Relay und die Sicherheitsmaßnahmen am Sympa Server dokumentieren.
Sample consent text
Sie können diese Mailingliste, betrieben über unseren in der Europäischen Union gehosteten Sympa Server, abonnieren. Mit der Bestätigung Ihrer E Mail Adresse über den Double Opt In Link erteilen Sie ausdrücklich Ihre Einwilligung nach Art. 6(1)(a) DSGVO zum Empfang der Nachrichten dieser Liste. Sie können sich jederzeit über den Link in jeder Nachricht oder durch Schreiben an den Listenverantwortlichen abmelden. Wir speichern Ihre E Mail Adresse, Ihre Abonnementeinstellungen und das Datum Ihrer Bestätigung als Einwilligungsnachweis.
Third-party domains contacted
sympa.communitysympa.orggithub.comwww.renater.frCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| sympa_session | Session | Session | First party session cookie set by the Sympa web archive interface to keep the authenticated subscriber identifier while browsing list archives or changing personal subscription settings. Strictly necessary, no consent required. |
| sympauser | Persistent | 30 days | Optional first party cookie that remembers the email address of the last authenticated user on shared workstations so that the login form can be prefilled. Set only when the visitor ticks the remember me option. |
Sympa setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
Sympa speichert die E Mail Adresse des Abonnenten, einen optionalen Anzeigenamen, die Abonnementliste, den Zeitstempel der Double Opt In Bestätigung, den Moderationsstatus sowie serverseitige Zustellprotokolle mit SMTP Envelope und Bounce Metadaten. Die Webarchiv Oberfläche setzt ein einziges First Party Session Cookie mit der ID des angemeldeten Nutzers. Sympa lädt keine Drittanbieter Analytics, setzt keine Tracking Cookies und betreibt kein Browser Fingerprinting. Außer dem Session Cookie ist im Browser nur die E Mail Adresse sichtbar, die auf Nutzerseiten angezeigt wird.
Für Abonnements ja, für das Archiv Session Cookie nein. Abonnements einer Mailingliste werden auf Basis ausdrücklicher Einwilligung nach Art. 6(1)(a) DSGVO und Art. 13 ePrivacy verarbeitet und erfordern eine Double Opt In Bestätigung. Das Session Cookie der Webarchive fällt unter die Ausnahme unbedingt erforderlich nach Art. 5(3) ePrivacy und § 25(2) TDDDG, da es zur Erbringung des vom Abonnenten angeforderten Dienstes nötig ist. Für das Cookie selbst ist kein Consent Banner erforderlich.
Primäre Grundlage ist die Einwilligung nach Art. 6(1)(a) DSGVO für jedes Einzelabonnement, belegt durch den Double Opt In Zeitstempel, den Sympa protokolliert. Der Betrieb des Servers (Sicherheitslogs, Missbrauchsbearbeitung, Bounce Verarbeitung) kann auf das berechtigte Interesse nach Art. 6(1)(f) gestützt werden. Interne Mitarbeiterlisten können auf Vertragserfüllung nach Art. 6(1)(b) gestützt werden, sofern das Abonnement Teil der Beschäftigung ist. Jede Listenkonfiguration sollte die gewählte Grundlage in der Sympa Listenbeschreibung und im Verzeichnis dokumentieren.
Sympa selbst übermittelt keine Daten ins Ausland, wenn es innerhalb der EU auf der Infrastruktur des Verantwortlichen gehostet wird. Übermittlungen können auftreten, wenn (i) ausgehende Mails über einen Nicht EU SMTP Anbieter wie Amazon SES US, SendGrid oder Postmark relaisiert werden, (ii) der Verantwortliche eine Nicht EU Cloud wählt oder (iii) Abonnenten außerhalb des EWR sitzen. In diesen Fällen sind Standardvertragsklauseln mit dem Auftragsverarbeiter und ein Transfer Impact Assessment nach Schrems II erforderlich. Öffentliche Archive globaler Listen benötigen nach Art. 49 DSGVO kein Übermittlungsinstrument.
Eine förmliche DSFA nach Art. 35 DSGVO ist für eine Sympa Installation mit Standardlisten und Adressen im moderaten Umfang in der Regel nicht erforderlich. Sie wird empfohlen, wenn sehr große Listen verwaltet werden, Abonnenten besonderen Datenkategorien angehören (Patienten, Minderjährige, politische oder religiöse Zugehörigkeit) oder die Listen umfangreichen grenzüberschreitenden Verkehr erzeugen. Das Verzeichnis nach Art. 30 sollte stets jede Liste, die Rechtsgrundlage, die Speicherdauer für Anmeldungen und Archive sowie die beteiligten Auftragsverarbeiter dokumentieren.
Hosten Sie Sympa innerhalb der EU und wenden Sie Linux Härtung, TLS für SMTP und HTTPS sowie Zugriffsbeschränkungen für das Backend an. Aktivieren Sie Double Opt In auf jeder Liste, speichern Sie die Einwilligungsmetadaten und ergänzen Sie in jeder Nachricht einen Ein Klick Abmeldelink. Definieren Sie Speicherregeln, sodass gebounzte Adressen entfernt und alte Archive im Einklang mit dem dokumentierten Zweck anonymisiert oder gelöscht werden. Konfigurieren Sie DKIM, SPF und DMARC. Halten Sie Sympa nach den Sicherheitsmeldungen auf sympa.community aktuell. Schließen Sie AV Verträge mit SMTP Relay und Hosting Anbieter.
Weitere quelloffene Mailinglisten Manager sind GNU Mailman 3, Listmonk, Mailtrain und phpList. Europäische SaaS Alternativen für Newsletter sind Brevo (ehemals Sendinblue) in Frankreich, Mailjet und Sarbacane sowie Inxmail und CleverReach in Deutschland. Für Forschungs und Hochschul Communities können GroupServer oder die Diskussionsfunktionen von Discourse und Element (Matrix) reine E Mail Listen ersetzen. Die Wahl hängt vom Bedarf an öffentlichen Archiven, dem Wunsch nach Self Hosting sowie Umfang und Art der Abonnenten ab. Sympa bleibt die Referenz für akademische und institutionelle Listen mit hohen Moderationsanforderungen.
Die Datenschutzerklärung sollte den Mailinglisten Dienst auf Sympa Basis beschreiben, die Datenkategorien (E Mail Adresse, optionaler Name, Abonnements, Einwilligungszeitstempel, serverseitige Zustellprotokolle), die Zwecke (Listenverteilung, Moderation, Sicherheit), die Rechtsgrundlage (Einwilligung für das Abonnement, berechtigtes Interesse für den Betrieb), die Speicherdauer, das Recht auf Abmeldung sowie die Rechte auf Auskunft, Berichtigung und Löschung benennen. Geben Sie den EU Standort des Sympa Servers und jeglichen SMTP Relais an. Führen Sie das einzelne Session Cookie der Archiv Oberfläche im Bereich technische Cookies auf.