Brevo Meetings (Terminbuchung) und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Brevo Meetings (auch „Brevo Terminbuchung") ein, verarbeitet er beim Aufruf der Buchungsseite und beim Abschluss einer Terminbuchung Webserver-Protokolldaten, Endgeräte- und Browserinformationen sowie die vom Besucher angegebenen Buchungsdaten zum Zweck der Terminvereinbarung – auf Basis von Einwilligung (bei iframe-Einbindung), Vertragsanbahnung und berechtigten Interessen. Diese Seite erläutert, was Brevo Meetings macht, welche Daten dabei anfallen und welche Pflichtangaben dazu in die Datenschutzerklärung der eigenen Webseite gehören. Grundlage sind die öffentlich zugänglichen Angaben des Anbieters und allgemein recherchierbare Quellen; eine Einzelfallprüfung ersetzt die Darstellung nicht.

A. Zweck und Funktionsweise von Brevo Meetings

Brevo Meetings ist die Online-Terminbuchungs-Funktion innerhalb der Marketing- und CRM-Suite von Brevo (vormals Sendinblue). Sie stellt Webseitenbesuchern eine Buchungsseite (Booking Page) zur Verfügung, auf der sie aus den vom Webseitenbetreiber definierten Meeting-Typen einen freien Zeitslot auswählen, Kontaktdaten und – falls konfiguriert – ergänzende Antworten auf bis zu 15 individuelle Fragen eingeben und damit verbindlich einen Termin buchen. Im Anschluss erhalten Besucher und Anbieter automatisch eine Bestätigungsmail; Termin und Teilnehmer werden in den Kalender des Webseitenbetreibers übernommen, optional mit Anbindung an Google Meet oder Zoom.

Brevo bietet zwei zentrale Integrations-Varianten für die Webseite an: einen Hosted-Link auf die unter meet.brevo.com (bzw. anbieter-spezifischen Subdomains) gehostete Buchungsseite sowie eine iframe-Einbettung dieser Buchungsseite direkt in die eigene Webseite. Beide Varianten führen dazu, dass Daten des Besuchers zwangsläufig an Brevo übermittelt werden, sobald der Besucher die Buchungsseite öffnet. Diese Tool-Seite konzentriert sich auf diese Integrations-Funktionen von Brevo Meetings; weitere Brevo-Module wie Newsletter-Versand, Transaktionsmail, Marketing-Automation, Chat oder CRM sind nicht Gegenstand dieser Darstellung und in eigenen Tool-Seiten zu betrachten.

Brevo Meetings ist als Self-Service-Tool angelegt: Der Webseitenbetreiber legt Meeting-Typen, Verfügbarkeiten, Pflichtfelder und Benachrichtigungen fest. Optional lassen sich Zahlungen für kostenpflichtige Termine, Weiterleitungen auf Danke-Seiten (etwa für Conversion-Tracking) und Erinnerungs-E-Mails konfigurieren.

B. Pflichtangaben nach DSGVO zu Brevo Meetings in der Datenschutzerklärung

Die DSGVO schreibt für die Datenschutzerklärung – neben den allgemeinen Angaben zu Verantwortlichem, Aufsichtsbehörde und Betroffenenrechten – in Bezug auf den Einsatz konkreter Tools wie Brevo Meetings spezifische Pflichtangaben vor.

Aufzunehmen sind insbesondere die Zwecke der Verarbeitung und die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO), Angaben zu einer etwaigen Übermittlung in unsichere Drittländer und der dafür herangezogenen Garantien (Art. 13 Abs. 1 lit. f DSGVO), die Speicherdauer bzw. die Kriterien hierfür (Art. 13 Abs. 2 lit. a DSGVO) sowie – soweit Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden in den nachfolgenden Abschnitten C bis G konkret für Brevo Meetings aufgeschlüsselt.

In der gelebten Praxis wird vielfach für jedes einzelne Tool – also auch für Brevo Meetings – ein eigener, separat formulierter Textbaustein in die Datenschutzerklärung aufgenommen. Diese „Textbaustein-pro-Tool"-Manier hat sich zwar weit verbreitet, sie ist aber kein gesetzliches Erfordernis. Im Gegenteil: Sie führt zu langen, von Anwaltskanzleien wiederverwendeten Bausteinen, die sich inhaltlich erheblich überschneiden, schwer zu pflegen sind und für Nutzer kaum lesbar werden – und sie steht im Spannungsverhältnis zum Transparenzgebot aus Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter, hybrider Ansatz: Die Verarbeitungen werden übergreifend nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Terminbuchung, Newsletter, Tracking, Verkauf …) beschrieben, und die konkret eingesetzten Dienstleister – wie Brevo SAS für Brevo Meetings – werden in einem Anhang Empfänger aufgeführt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Brevo Meetings

Vertragspartner für Webseitenbetreiber in Deutschland ist nach öffentlich zugänglichen Angaben des Anbieters die

Brevo SAS 9-17, rue Salneuve 75017 Paris Frankreich

Brevo SAS (vormals firmierend als Sendinblue SAS) ist im Pariser Handelsregister unter der Nummer 498 019 298 RCS Paris eingetragen und hat ihren Sitz in Frankreich, also innerhalb der EU. Eine direkte DPF-Zertifizierung ist für die Brevo SAS nicht erforderlich, da ihr Sitz in der EU liegt. Soweit Brevo zur Leistungserbringung Subprozessoren in Drittländern (z. B. USA, Indien) einsetzt, weist der Anbieter auf den Einsatz geeigneter Garantien (insbesondere EU-Standardvertragsklauseln) hin; Einzelheiten sind dem AVV/DPA und der Subprozessoren-Liste von Brevo zu entnehmen.

Die einschlägigen Quellen zu Brevo Meetings sind:

D. Datenverarbeitung bei Brevo Meetings – Ablauf in Schritten

E. Erhobene Daten bei Brevo Meetings

Beim Aufruf der Brevo-Meetings-Buchungsseite und beim Buchungsvorgang werden nach den Angaben des Anbieters typischerweise folgende Datenkategorien verarbeitet: technische Verbindungsdaten beim Aufruf der Buchungsseite (IP-Adresse, Zeitstempel, angefragte URL, Referrer, User-Agent), Informationen zum Endgerät und Browser (Gerätetyp, Betriebssystem, Bildschirmgröße, Browsername und -version), die vom Besucher selbst eingegebenen Buchungsdaten (Name, E-Mail-Adresse, ggf. Telefonnummer, freie Antworten auf bis zu 15 individuelle Fragen, ausgewählter Meeting-Typ und Zeitslot) sowie das Buchungsereignis als solches mit Datum, Uhrzeit und Zuordnung zum gewählten Meeting-Typ.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten – beim Aufruf der Buchungsseite an Brevo übermittelte Verbindungsdaten, z. B. IP-Adresse, Datum und Uhrzeit der Anfrage, URL der Buchungsseite, Referrer, übertragene Datenmenge.
• Endgeräte-Daten – Angaben zum Endgerät des Besuchers, z. B. Gerätetyp, Betriebssystem, Bildschirmauflösung.
• Browserinformationen – Informationen zum verwendeten Browser, z. B. Browsername, Browserversion.
• Nutzer-Inhalte – vom Besucher in die Buchungsmaske eingegebene Inhalte, z. B. Name, E-Mail-Adresse, Telefonnummer, Anmerkungen, Antworten auf vom Webseitenbetreiber konfigurierte Fragen.
• Conversion-Ereignisse – das Buchungsereignis selbst (durchgeführte Terminbuchung) sowie ggf. der Aufruf einer konfigurierten Danke-Seite nach erfolgreicher Buchung.

F. Nutzungszwecke beim Einsatz von Brevo Meetings

Der Webseitenbetreiber nutzt Brevo Meetings, um Interessenten und Bestandskunden eine niedrigschwellige Möglichkeit zu geben, einen Termin zu buchen – etwa für Erstgespräche, Demos, Beratungstermine oder Support-Calls. Die dabei erhobenen Daten dienen primär der Bereitstellung der Buchungsfunktion und der nachfolgenden Vorbereitung und Durchführung des Termins inklusive der dazugehörigen Kommunikation (Bestätigungs- und Erinnerungsmails, ggf. Absage- oder Umbuchungsmails). Daneben können Buchungsereignisse für die allgemeine Optimierung der Webseite (z. B. welche Meeting-Typen werden gebucht, an welchen Stellen) ausgewertet und – im Rahmen der jeweiligen Einwilligung – an Tracking- und Werbesysteme als Conversion gemeldet werden.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung – Bereitstellung der Buchungsseite, Anzeige verfügbarer Slots, Verarbeitung der Eingaben, Versand der Bestätigungsmails, Kalender-Synchronisation.
• Vertragsdurchführung – Vorbereitung und Anbahnung des Termins als (entgeltlicher oder unentgeltlicher) Vertragsbestandteil bzw. zur Anbahnung eines Vertrags zwischen Besucher und Webseitenbetreiber, einschließlich Buchungsbestätigung und -abwicklung.
• Sicherheit und Missbrauchsschutz – Erkennung und Abwehr missbräuchlicher Buchungen (z. B. Bot-Buchungen, Spam-Anmeldungen), Schutz vor unzulässiger Nutzung der Buchungsfunktion.
• Kommunikation – Bestätigungs-, Erinnerungs- und Folgekommunikation rund um den gebuchten Termin.
• Allgemeine Produktverbesserung – aggregierte Auswertung der Buchungsnutzung (z. B. welche Meeting-Typen werden bevorzugt, Auslastung, Stornierungsraten).
• Erfüllung von Aufbewahrungspflichten – soweit Buchungen im Zusammenhang mit Verträgen stehen, deren Belege gesetzlichen Aufbewahrungsfristen unterliegen.

G. Rechtsgrundlagen für Brevo Meetings

Brevo Meetings fällt aus Sicht des Webseitenbetreibers primär in die Kategorie Drittanbieter-Inhalte / Terminbuchung, da bei beiden Integrations-Varianten (Hosted-Link und iframe) Daten des Besuchers an einen Drittanbieter (Brevo SAS) übermittelt werden, sobald die Buchungsseite geladen wird.

Als Rechtsgrundlagen kommen typischerweise mehrere parallel in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG für die iframe-Einbettung der Buchungsseite auf der eigenen Webseite, soweit dabei bereits beim Seitenaufruf Daten an Brevo übermittelt oder Cookies bzw. ähnliche Speichermechanismen im Endgerät gesetzt werden (sog. Drittanbieter-Inhalte-Einwilligung bzw. Funktions-Einwilligung über das Consent-Banner).
• Art. 6 Abs. 1 lit. b DSGVO für die eigentliche Terminbuchung als vertragliche oder vorvertragliche Maßnahme, soweit der Besucher mit der Buchung einen Termin (z. B. Beratung, Demo, Support) vereinbart, der einer Vertragsanbahnung oder -durchführung dient.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) an Effizienz (effiziente Selbstbedienungs-Terminvereinbarung), Funktionsbereitstellung, Sicherheit und Missbrauchsschutz sowie ggf. Rechtsdurchsetzung (Nachweis der Buchung, Abwicklung von No-Shows).

Wird die Buchungsseite ausschließlich als externer Link (auf meet.brevo.com) verlinkt, ohne dass auf der Webseite des Betreibers Daten an Brevo fließen, bleibt der Aufruf eine eigene Entscheidung des Besuchers; auf der Brevo-Seite gilt dann die Brevo-Datenschutzerklärung. Bei iframe-Einbettung wird die Übermittlung dagegen bereits durch den Seitenaufruf ausgelöst – hier ist eine vorherige Einwilligung im Regelfall vorzusehen.

Welche Rechtsgrundlage im konkreten Einsatz tatsächlich einschlägig ist, hängt von der Integrations-Variante, der Cookie-Setzung und dem Zweck der Buchung ab und ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Brevo Meetings

• EU-Sitz des Anbieters: Brevo SAS hat ihren Sitz in Paris, Frankreich. Die Übermittlung an Brevo selbst stellt damit keinen Drittlandtransfer im Sinne der Art. 44 ff. DSGVO dar. Soweit Brevo Subprozessoren außerhalb der EU einsetzt (Anbieter weist nach öffentlich zugänglichen Angaben auf den Einsatz von Auftragsverarbeitern u. a. in den USA und Indien hin), erfolgt die Übermittlung nach Anbieterangaben auf Grundlage geeigneter Garantien (insbesondere Standardvertragsklauseln). Die aktuelle Subprozessoren-Liste ist Bestandteil des Brevo DPA.
• AVV/DPA: Brevo stellt einen vorausgefüllten Auftragsverarbeitungsvertrag (Data Processing Agreement) bereit, der typischerweise im Brevo-Account abrufbar bzw. unter https://www.brevo.com/legal/dpa/ zugänglich ist. Der Abschluss eines AVV nach Art. 28 DSGVO ist für den rechtmäßigen Einsatz von Brevo Meetings vor Aufnahme der Verarbeitung erforderlich.
• iframe-Einbindung und Consent: Bei iframe-Einbindung sind die Aufrufe regelmäßig erst nach erteilter Einwilligung über das Consent-Banner zu laden (z. B. erst nach Klick auf einen „Buchungsseite anzeigen"-Button oder per Consent-Mode-Schalter). Eine alternative Verlinkung als Hosted-Link reduziert den Drittanbieter-Bezug der eigenen Webseite.
• Einstellungen für den Webseitenbetreiber: In den Brevo-Einstellungen lassen sich u. a. der Umfang der Buchungsfragen (Datenminimierung), Aufbewahrungsfristen für Kontakte, Double-Opt-In-Verfahren bei Newsletter-Anmeldung im Buchungsprozess, Tracking-Pixel in Bestätigungsmails sowie die Anzeige von Datenschutzhinweisen direkt auf der Buchungsseite konfigurieren. Diese Stellschrauben sollten datenschutzkonform vom Webseitenbetreiber gesetzt werden.
• Opt-Out für Besucher: Der Besucher kann eine bereits erteilte Einwilligung zur iframe-Einbindung über das Consent-Tool jederzeit widerrufen; eine Buchung kann er über den Stornierungslink in der Bestätigungsmail oder durch Kontaktaufnahme mit dem Webseitenbetreiber rückgängig machen.
• Speicherort: Die Hauptverarbeitung erfolgt nach Anbieterangaben in EU-Rechenzentren (u. a. OVH in Frankreich/Deutschland sowie Google Cloud).

I. FAQ zu Brevo Meetings und Datenschutz

J. Fazit und Call-to-Action

Brevo Meetings ist eine in die Brevo-Plattform integrierte Terminbuchungs-Funktion, die Webseitenbetreibern eine schlanke Self-Service-Lösung mit gehosteter Buchungsseite und iframe-Einbettung bietet. Beim Einsatz fallen je nach Integration Webserver-Protokolldaten, Endgeräte- und Browserinformationen sowie die vom Besucher eingegebenen Buchungsdaten und das Buchungsereignis selbst an. Anbieter ist die Brevo SAS in Paris; relevante Rechtsgrundlagen sind Einwilligung (bei iframe), Vertragsanbahnung und berechtigte Interessen.

Für die Datenschutzerklärung folgt daraus: Es ist meist wenig sinnvoll, Brevo Meetings mit einem eigenen, separaten Textbaustein abzubilden. Solche Tool-für-Tool-Bausteine machen die Datenschutzerklärung lang, redundant, schwer pflegbar und für Nutzer kaum verständlich – und stehen damit im Spannungsverhältnis zum Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Empfehlenswert ist ein strukturierter, themenorientierter Ansatz: Die Verarbeitungen werden nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Terminbuchung, Newsletter, Tracking, Verkauf …) übergreifend beschrieben; die konkret eingesetzten Dienstleister – wie Brevo SAS für Brevo Meetings – werden in einem Anhang Empfänger gepflegt. Genau diese Methodik bildet der matterius-Generator ab.

Dieser Beitrag dient der allgemeinen Information zu Brevo Meetings und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 7. Mai 2026.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com