Calendly und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Calendly ein, verarbeitet er beim Aufruf der Seite mit dem eingebetteten Buchungs-Widget Webserver-Protokolldaten, Endgeräte-Daten und Browserinformationen sowie – bei tatsächlicher Buchung – Eingaben aus dem Buchungsformular zur Vorbereitung und Durchführung des Termins. Rechtsgrundlage für das Laden des eingebetteten Widgets ist regelmäßig eine Drittanbieter-Inhalte-Einwilligung, für die Buchung selbst die Vertragsanbahnung bzw. -durchführung (Art. 6 Abs. 1 lit. b DSGVO) sowie ergänzend berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO). Diese Einstiegsseite zu Calendly Datenschutz bündelt, welche Daten der Dienst verarbeitet und welche Pflichtangaben in der Datenschutzerklärung darauf abzubilden sind.

A. Zweck und Funktionsweise von Calendly

Calendly ist ein Online-Terminplanungsdienst, der es Webseitenbesuchern erlaubt, freie Zeitfenster eines Anbieters einzusehen und einen Termin verbindlich zu buchen. Anbieter ist nach den öffentlich zugänglichen Angaben die Calendly, LLC mit Sitz in Atlanta/Buford, Georgia, USA.

Calendly bietet mehrere Funktionen: ein Backend für die Kalenderverwaltung, Integrationen mit Google Calendar, Microsoft 365, Zoom und weiteren Diensten sowie Versand von Einladungen und Erinnerungen. Diese Seite konzentriert sich auf die für Webseitenbetreiber typische Integrations-Funktion: das Einbetten eines Calendly-Buchungs-Widgets auf der eigenen Webseite. Calendly stellt dafür drei Einbettungsvarianten bereit:

• Inline-Einbettung – das Buchungs-Widget wird als <iframe> direkt in eine Seite eingebettet und ist ohne Nutzeraktion sichtbar.
• Pop-up-Widget – ein Skript von assets.calendly.com legt eine Schaltfläche oder einen Trigger; beim Klick öffnet sich das Buchungsformular als Overlay.
• Pop-up-Text/Pop-up-Button – Text- oder Button-Element, das beim Anklicken das Calendly-Buchungs-Overlay startet.

In allen Varianten wird beim Laden bzw. Öffnen ein Skript von einer Calendly-Domain (assets.calendly.com) sowie ein iframe (calendly.com) ausgeliefert. Der Browser des Besuchers stellt damit eine direkte Verbindung zu Calendly-Servern her. Nicht behandelt werden hier Calendly-Funktionen, die ausschließlich im Backend des Webseitenbetreibers laufen (z.B. interne Routing-Regeln, Reporting), da diese keine Datenverarbeitung im Browser des Webseitenbesuchers auslösen.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Calendly

Die DSGVO verlangt für Datenschutzerklärungen neben den allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf einzelne Tools spezifische Pflichtangaben. Hierzu zählen die Zwecke der Verarbeitung und die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei einer Stützung auf Art. 6 Abs. 1 lit. f DSGVO zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO), Hinweise auf Drittlandtransfers und die hierfür herangezogenen Garantien (Art. 13 Abs. 1 lit. f DSGVO) sowie die Speicherdauer oder die Kriterien für deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO). Werden Daten nicht direkt beim Betroffenen erhoben, kommen die Kategorien der verarbeiteten Daten (Art. 14 Abs. 1 lit. d DSGVO) hinzu.

Diese Pflichtangaben werden in den nachfolgenden Abschnitten C–H konkret für Calendly aufgeschlüsselt.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – also auch für Calendly – einen eigenen, zumeist von Anwaltskanzleien vorformulierten Textbaustein in die Datenschutzerklärung einzufügen. Dieser „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Er führt zu langen, sich inhaltlich wiederholenden Texten, die schwer pflegbar und für die Webseitenbesucher kaum noch verständlich sind. Das Transparenzgebot des Art. 12 Abs. 1 DSGVO, wonach Datenschutzhinweise präzise, transparent, verständlich und leicht zugänglich sein sollen, läuft so ins Leere.

Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend beschreibt (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking, Verkauf …) und die konkret eingesetzten Dienstleister – also etwa Calendly – in einem Anhang Empfänger auflistet. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Calendly

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters:

• Calendly, LLC
• 115 E Main St., Ste A1B, Buford, GA 30518, USA
• Sitzland: Vereinigte Staaten von Amerika

Eine eigene EU-Niederlassung zur Vertragsabwicklung mit europäischen Kunden weist Calendly öffentlich nicht aus; benannt ist lediglich der EU-Vertreter nach Art. 27 DSGVO: DPO Centre Europe, Friedrichstraße 88, 10117 Berlin, Deutschland (Kontakt: eurep@calendly.com).

Drittlandtransfer und DPF. Calendly, LLC ist nach den Einträgen unter dataprivacyframework.gov unter dem EU-U.S. Data Privacy Framework sowie der UK-Erweiterung und dem Swiss-U.S. Data Privacy Framework zertifiziert. Damit liegt für Übermittlungen aus der EU in die USA ein Angemessenheitsbeschluss der EU-Kommission vor (Durchführungsbeschluss (EU) 2023/1795). Ergänzend bietet Calendly im Rahmen seines AVV/DPA Standardvertragsklauseln (SCC) an.

Die Datenschutzhinweise von Calendly für diesen Dienst sind unter calendly.com/legal/privacy-notice abrufbar. Der Auftragsverarbeitungsvertrag (Data Processing Addendum) findet sich unter calendly.com/legal/data-processing-addendum, die Liste der Subprozessoren unter calendly.com/help/calendly-sub-processors-gdpr-ccpa.

D. Datenverarbeitung bei Calendly – Ablauf in Schritten

E. Erhobene Daten beim Einsatz von Calendly

Beim Einsatz von Calendly werden im typischen Webseiten-Einbettungs-Szenario insbesondere folgende personenbezogenen Daten verarbeitet: IP-Adresse, Datum/Uhrzeit der Anfrage, aufgerufene URL und Referrer, User-Agent, ggf. Spracheinstellung, daraus abgeleitete grobe Standortinformation, sowie – bei tatsächlicher Buchung – Name, E-Mail-Adresse, ggf. Telefonnummer, Antworten auf Buchungs-Fragen, gewähltes Datum/Uhrzeit, Zeitzone und ggf. Notiz an den Anbieter.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Webserver des Anbieters bei jeder Anfrage erhält, insbesondere IP-Adresse, Datum/Uhrzeit, URL des angefragten Inhalts, Referrer, Informationen zu Browser, Betriebssystem und Gerät sowie ergänzende technische Metadaten.
• Endgeräte-Daten: Angaben zum Endgerät des Nutzers, z.B. Gerätetyp, Betriebssystem, Bildschirmauflösung, Touch-Unterstützung.
• Browserinformationen: Browsername und -version sowie ggf. Spracheinstellung.
• Grobe Standortdaten: anhand der IP-Adresse ermittelter grober Standort auf Stadt- oder Regionsebene.
• Nutzer-Inhalte: vom Webseitenbesucher in das Buchungsformular eingegebene Inhalte, z.B. Name, E-Mail-Adresse, Telefonnummer, Antworten auf Pflicht- und Zusatzfragen, freie Notizen.
• Conversion-Ereignisse: für die Erfolgsanalyse relevante Nutzerinteraktionen, hier insbesondere die abgeschlossene Terminbuchung.

F. Nutzungszwecke beim Einsatz von Calendly

Der Webseitenbetreiber nutzt Calendly, um Webseitenbesuchern eine einfache, asynchrone Terminbuchung zu ermöglichen, ohne dass es einer manuellen Abstimmung per E-Mail oder Telefon bedarf. Die Daten dienen der Anzeige verfügbarer Zeitfenster, der verbindlichen Buchung, dem Versand von Bestätigungen und Erinnerungen sowie der Vor- und Nachbereitung des Termins.

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Erbringung der Funktionalität des Buchungs-Widgets, einschließlich Anzeige verfügbarer Zeitfenster, Darstellung des iframe-Inhalts und Fehlerbehebung.
• Vertragsdurchführung: Vorbereitung, Durchführung und Abwicklung des durch die Buchung begründeten Rechtsverhältnisses (Termin- bzw. Beratungsvereinbarung), einschließlich Erinnerungen, Stornierungen und Verschiebungen.
• Sicherheit und Missbrauchsschutz: Erkennung und Abwehr von Bot- und Spam-Buchungen, allgemeine Missbrauchsabwehr, Authentifizierung von Nutzern beim Anbieter.
• Kommunikation: Kommunikation mit dem Buchenden im Rahmen der Termin-Anbahnung und -Durchführung, z.B. Bestätigungs- und Erinnerungsmails.
• Allgemeine Produktverbesserung: nicht nutzerindividuelle Auswertung, z.B. zur Optimierung des Buchungsprozesses und der Konversionsraten auf Basis aggregierter Kennzahlen.

G. Rechtsgrundlagen für den Einsatz von Calendly

Tool-Kategorie. Calendly fällt im Webseitenkontext primär in die Kategorie Drittanbieter-Inhalte (Terminbuchung): Das Buchungs-Widget wird als externer Inhalt von Servern der Calendly, LLC nachgeladen.

In Betracht kommende Rechtsgrundlagen. Für das Laden des eingebetteten Widgets selbst kommt regelmäßig eine Drittanbieter-Inhalte-Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) in Betracht, da bereits beim Aufruf Daten an einen Drittanbieter im Drittland übermittelt und ggf. Cookies bzw. Speicher im Endgerät genutzt werden. Für die durch das Buchungsformular ausgelöste eigentliche Terminvereinbarung kommt Art. 6 Abs. 1 lit. b DSGVO (Anbahnung/Durchführung eines Vertrags bzw. einer vertragsähnlichen Beziehung mit dem Buchenden) in Betracht. Daneben können sich berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) an Effizienz (effizienter Terminkanal), Sicherheit und Missbrauchsschutz (Bot-/Spam-Abwehr) sowie Geschäftssteuerung (Auslastungsplanung) ergeben. Bei Pop-up- und Pop-up-Button-Varianten, bei denen das iframe erst nach aktivem Klick des Nutzers geladen wird, lässt sich zudem argumentieren, dass die Anforderung des Inhalts auf Veranlassung des Nutzers erfolgt.

Die konkrete Rechtsgrundlage hängt vom Einzelfall ab (u.a. Einbettungsart, Vorhandensein eines Consent-Banners, Cookie-Einsatz) und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Calendly

• Drittlandtransfer / DPF. Calendly, LLC ist nach den Angaben des US-Handelsministeriums unter dem EU-U.S. Data Privacy Framework zertifiziert. Datenübermittlungen in die USA können auf den Angemessenheitsbeschluss gestützt werden. Ergänzend stellt Calendly Standardvertragsklauseln im Rahmen des DPA bereit.
• AVV/DPA. Calendly bietet einen Auftragsverarbeitungsvertrag (Data Processing Addendum) an. Soweit Calendly für Termindaten des Webseitenbetreibers als Auftragsverarbeiter handelt, ist dessen Abschluss nach Art. 28 DSGVO erforderlich. Die genaue Rolle (Auftragsverarbeiter für Termindaten, eigenständiger Verantwortlicher für eigene Backend-Verarbeitungen) ist im Einzelfall zu prüfen.
• Subprozessoren. Eine aktuelle Subprozessoren-Liste wird vom Anbieter veröffentlicht und enthält insbesondere Cloud-Infrastruktur-Anbieter.
• Einbettungsvariante wählen. Aus Datenminimierungs-Sicht ist ein Pop-up-Button (iframe lädt erst nach Klick) gegenüber der Inline-Einbettung in der Regel datensparsamer; bei Inline-Einbettung erfolgt der Drittserver-Request bereits bei jedem Seitenaufruf.
• Consent-Banner. Wer das Widget direkt inline einbindet, sollte den Aufruf typischerweise an eine wirksame Drittanbieter-Inhalte-Einwilligung im Consent-Banner koppeln und vor Einwilligung lediglich einen Platzhalter ausspielen.
• Buchungsformular-Felder. Pflichtfelder im Buchungsformular sollten auf das für den Termin Erforderliche begrenzt werden (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO). Sensible Daten gehören nicht in Pflicht-Fragen.
• EU-Vertreter. Für Anfragen betroffener Personen aus der EU steht der EU-Vertreter eurep@calendly.com (DPO Centre Europe, Berlin) zur Verfügung.
• Sicherheitsinformationen. Calendly veröffentlicht unter calendly.com/security Angaben zu technisch-organisatorischen Maßnahmen, einschließlich SOC 2 / ISO 27001.

I. FAQ zu Calendly und Datenschutz

J. Fazit zu Calendly und Empfehlung

Calendly ist ein in der Praxis weit verbreiteter Terminbuchungs-Dienst, der typischerweise als eingebettetes Widget oder Pop-up auf der Webseite eingebunden wird. Beim Aufruf der einbettenden Seite sowie bei der Buchung selbst werden personenbezogene Daten an die Calendly, LLC in den USA übermittelt; der Anbieter ist unter dem EU-U.S. Data Privacy Framework zertifiziert und stellt einen AVV/DPA sowie eine Subprozessoren-Liste bereit. In der Datenschutzerklärung müssen Zweck, Rechtsgrundlage, Empfänger, Drittlandtransfer und Speicherdauer transparent dargestellt werden.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, für Calendly einen eigenen, langen Textbaustein in die Datenschutzerklärung aufzunehmen. Eine Datenschutzerklärung, die für jedes Tool – Hoster, CDN, Newsletter-System, Tracking, Calendly, Zahlungsdienstleister – einen separaten, juristisch durchformulierten Block enthält, wird zwangsläufig lang, redundant und für Webseitenbesucher kaum verständlich. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz: Verarbeitungen werden nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Terminbuchung, Newsletter, Tracking, Verkauf …) übergreifend erklärt; im Anhang Empfänger wird Calendly konkret als Dienstleister benannt. Der matterius-Generator setzt genau diese Methodik um.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com