CleverReach und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber CleverReach ein, verarbeitet er typischerweise E-Mail-Adressen, Anrede- und Namensangaben sowie Anmelde- und Versanddaten zum Zweck des Newsletter-Versands auf Basis einer Einwilligung der Empfänger. Dieser Beitrag fasst zusammen, welche Datenverarbeitung mit CleverReach typischerweise verbunden ist und was hierzu in die Datenschutzhinweise einer Webseite aufzunehmen ist.

A. CleverReach – Zweck und Funktionsweise

CleverReach ist ein deutscher Anbieter für E-Mail-Marketing und Newsletter-Versand. Webseitenbetreiber nutzen CleverReach in erster Linie, um Anmeldeformulare bereitzustellen, Empfängerlisten zu pflegen, Newsletter und automatisierte E-Mail-Strecken zu versenden sowie die Reaktionen der Empfänger auf diese E-Mails auszuwerten.

Funktional bündelt CleverReach mehrere Bausteine: Anmeldeformulare (Embed- und Pop-up-Formulare), Listenverwaltung mit Tags und Segmenten, Editor und Vorlagen für Newsletter, automatisierte E-Mail-Strecken (sog. THEA-Workflows), Reporting (Öffnungs- und Klick-Tracking) sowie Schnittstellen zu CMS-, Shop- und CRM-Systemen. Der Schwerpunkt dieser Seite liegt auf der Integrations-Funktion, die ein deutscher Webseitenbetreiber typischerweise nutzt: Newsletter-Anmeldeformular auf der Webseite und Versand der E-Mail-Kampagnen über CleverReach. Andere Einsatzszenarien (z. B. reine API-/SMTP-Anbindung) werden auf separaten Seiten behandelt.

Anbieter ist nach öffentlich zugänglichen Angaben die CleverReach GmbH & Co. KG mit Sitz in Deutschland. Die Verarbeitung erfolgt nach Anbieterangaben in deutschen Rechenzentren bzw. im EWR, was Drittlandtransfers regelmäßig vermeidet.

B. CleverReach – Pflichtangaben in der Datenschutzerklärung

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf den Einsatz konkreter Tools wie CleverReach eine Reihe spezifischer Pflichtangaben. Diese dienen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO und ermöglichen es betroffenen Personen, die Verarbeitung nachzuvollziehen.

Aufzunehmen sind insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder – falls nicht möglich – die Kriterien zur Festlegung der Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – wenn die Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden für CleverReach im Folgenden aufgeschlüsselt.

In der Praxis hat sich eingebürgert, jedes einzelne Tool mit einem eigenen Textbaustein in der Datenschutzerklärung zu führen. Diese „Textbaustein-pro-Tool"-Praxis hat sich als schlechte Manier etabliert: Sie führt zu langen, von Anwaltskanzleien vorformulierten Texten, die sich inhaltlich immer wiederholen und die gesamte Datenschutzerklärung schwer pflegbar und für Nutzer kaum lesbar machen. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Serverbetrieb, Newsletter, Tracking, Verkauf …) beschreibt und lediglich die konkret eingesetzten Dienstleister – wie CleverReach – in einem Anhang als Empfänger nennt. Genau diese Methodik verfolgt der Datenschutzerklärungs-Generator von matterius.

C. Anbieter von CleverReach

Vertragspartner für CleverReach ist nach öffentlich zugänglichen Angaben des Anbieters die CleverReach GmbH & Co. KG mit Sitz in Schafjückenweg 2, 26180 Rastede, Deutschland.

Da der Anbieter seinen Sitz in Deutschland hat, findet die Verarbeitung primär im EWR statt; ein Drittlandtransfer ist im Standardbetrieb regelmäßig nicht erforderlich. Sollten im Einzelfall Subprozessoren in Drittländern eingesetzt werden, sind die hierfür vorgesehenen Garantien (insbesondere Standardvertragsklauseln, ggf. DPF) zu prüfen (vom Webseitenbetreiber zu verifizieren).

Die Datenschutzhinweise von CleverReach finden sich unter https://www.cleverreach.com/de/datenschutz/. Der Auftragsverarbeitungsvertrag wird vom Anbieter bereitgestellt; Informationen hierzu sind unter https://www.cleverreach.com/de/funktionen/datensicherheit-datenschutz/ abrufbar.

D. CleverReach – Datenverarbeitung in Schritten

1. Erhebung: Wenn ein Nutzer das CleverReach-Anmeldeformular auf der Webseite ausfüllt oder über eine API-/Schnittstellenanbindung als Empfänger erfasst wird, werden die Eingaben (typischerweise E-Mail-Adresse, ggf. Name, Anrede, Interessensfelder), die IP-Adresse und ein Zeitstempel an CleverReach übermittelt.
2. Speicherung: Die Daten werden in der CleverReach-Infrastruktur, nach Anbieterangaben in deutschen Rechenzentren bzw. im EWR, gespeichert.
3. Nutzung: CleverReach versendet im Auftrag des Webseitenbetreibers die Newsletter und – sofern aktiviert – misst Öffnungs- und Klickereignisse. Bounces und Abmeldungen werden dokumentiert.
4. Weitergabe: Eine Weitergabe erfolgt an Subprozessoren des Anbieters (insb. Hosting). Eine Liste publiziert der Anbieter im Rahmen des AVV bzw. seiner Trust-Informationen.
5. Löschung: Der Webseitenbetreiber kann Empfänger jederzeit aus den Listen entfernen oder ganze Listen löschen. Speicherbegrenzung über Listen- und Retention-Einstellungen ist zu konfigurieren.

E. Welche Daten verarbeitet CleverReach?

Im Rahmen des Newsletter-Versands über CleverReach werden typischerweise folgende personenbezogene Daten verarbeitet: E-Mail-Adresse, Anrede, Vor- und Nachname, ggf. weitere von der Webseite erfasste Felder (z. B. Sprache, Branche, Interessen), die IP-Adresse zum Zeitpunkt der Anmeldung, Zeitstempel der Anmeldung und der Bestätigung im Double-Opt-In-Verfahren, Versandzeitpunkt der einzelnen E-Mails, Zustellstatus, Öffnungs- und Klickereignisse sowie Abmeldungen.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: insbesondere die IP-Adresse und technische Metadaten beim Aufruf des Anmeldeformulars sowie beim Abruf eingebetteter Tracking-Pixel und Klick-Links in versendeten E-Mails.
• Klickpfade: Klicks auf Links in den von CleverReach versendeten E-Mails, jeweils mit Datum und Uhrzeit.
• Endgeräte-Daten: Angaben zum Endgerät, das die E-Mail öffnet, z. B. Gerätetyp und Betriebssystem.
• Browserinformationen: Browser bzw. E-Mail-Client, mit dem die E-Mail geöffnet wird.
• Grobe Standortdaten: anhand der IP-Adresse ermittelter grober Standort des Empfängers auf Stadt- oder Gemeindeebene.
• Nutzungskonto-Daten: Daten zur Identifikation des Empfängers in der Liste, insbesondere die E-Mail-Adresse als Schlüsselmerkmal.
• Nutzerprofile: vom Webseitenbetreiber zu einem Empfänger ermittelte Interessen, Tags und Segmentzuordnungen sowie daraus abgeleitete Kennzahlen.
• Conversion-Ereignisse: bei aktiviertem Tracking z. B. Klick auf einen Call-to-Action oder Aufruf bestimmter Seiten nach Klick aus einem Newsletter.
• Interaktionsdaten: Öffnen einer E-Mail, Klick auf einzelne Links oder Schaltflächen.
• Technische Telemetriedaten: technische Versand- und Zustellmetadaten, Bounce-Codes, Ladezeiten von Tracking-Pixeln.

F. CleverReach – Nutzungszwecke

Der Webseitenbetreiber nutzt CleverReach typischerweise, um angemeldete Empfänger über eigene Inhalte, Produkte und Angebote zu informieren, die Anmeldung und Einwilligung im Double-Opt-In-Verfahren zu dokumentieren, die Versandqualität sicherzustellen und – bei aktiviertem Tracking – die Wirksamkeit der einzelnen Kampagnen zu messen.

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Erbringung der Newsletter- und E-Mail-Funktionalität, einschließlich Bereitstellung des Anmeldeformulars, Double-Opt-In, Versand der bestellten E-Mails sowie Fehlererkennung und Fehlerbehebung im Versandprozess.
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr beim Anmeldeformular, Erkennung und Abwehr von Listen-Missbrauch (z. B. fremdeingetragene Adressen).
• Allgemeine Produktverbesserung: aggregierte Auswertung von Öffnungs- und Klickraten, um Newsletter-Inhalte und -Frequenz insgesamt bedarfsgerecht zu gestalten.
• Allgemeines Marketing: Erfolgsmessung von Kampagnen, Reichweitenanalyse und Bewertung des Kommunikationskanals E-Mail insgesamt.
• Nutzerprofil-Erstellung: Zuordnung zu Segmenten oder Zielgruppen anhand von Tags, Interessen sowie Klick- und Öffnungsverhalten.
• Nutzerindividuelles Marketing: Ausrichtung der Newsletter-Inhalte an die individuellen Interessen und das Verhalten des jeweiligen Empfängers (Segmentierung, Automation).
• Rechtsdurchsetzung: Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, insbesondere Nachweis der Einwilligung des Empfängers (Anmelde-IP, Zeitstempel, Double-Opt-In) gegenüber Aufsichtsbehörden, Mitbewerbern oder Gerichten.
• Compliance: Einhaltung gesetzlicher Vorgaben zum Einwilligungsnachweis und zur Werbe-E-Mail (Art. 7 DSGVO, § 7 UWG).

G. Rechtsgrundlagen für CleverReach

CleverReach fällt für den hier behandelten Einsatzbereich primär in die Tool-Kategorie Newsletter / E-Mail-Marketing.

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Einwilligung der Empfänger (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 Abs. 2 Nr. 3 UWG) für den Versand der Newsletter sowie – soweit aktiviert – für das Öffnungs- und Klick-Tracking.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) an Rechtsdurchsetzung und Compliance für die Speicherung der Anmelde-Metadaten (IP, Zeitstempel, Double-Opt-In-Bestätigung) zum Nachweis der Einwilligung gemäß Art. 7 Abs. 1 DSGVO und § 7 Abs. 2 Nr. 2 UWG.
• Berechtigte Interessen an Werbung im Rahmen des § 7 Abs. 3 UWG für Direktwerbung an Bestandskunden für eigene ähnliche Waren oder Dienstleistungen, wenn die dortigen Voraussetzungen vorliegen.

Bei aktiviertem Öffnungs- und Klick-Tracking ist eine ausdrückliche Tracking-Einwilligung des Empfängers regelmäßig einschlägig; bei Setzen oder Auslesen von Informationen auf dem Endgerät zudem § 25 Abs. 1 TDDDG zu prüfen. Die Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. CleverReach – Besonderheiten und Hinweise

• Auftragsverarbeitungsvertrag (AVV): Der Anbieter stellt einen AVV bereit; der Abschluss ist regelmäßig zwingend, da CleverReach die Empfängerdaten im Auftrag des Webseitenbetreibers verarbeitet. Informationen hierzu unter https://www.cleverreach.com/de/funktionen/datensicherheit-datenschutz/.
• Sitzland und Drittlandtransfer: CleverReach ist ein deutscher Anbieter; eine Verarbeitung im EWR ist der Regelfall. Drittlandbezug entsteht typischerweise nicht; einzelne Subprozessoren mit Drittlandbezug sind im AVV zu prüfen.
• Subprozessoren: Eine aktuelle Liste der Subprozessoren ist beim Anbieter abrufbar.
• Double-Opt-In: CleverReach unterstützt Double-Opt-In über die Anmeldeformulare; der Webseitenbetreiber sollte diese Einstellung in der jeweiligen Liste aktivieren und die Bestätigungsmail textlich auf den eigenen Versand anpassen.
• Einwilligungsnachweis: Anmelde-IP, Zeitstempel sowie Double-Opt-In-Bestätigung sollten dauerhaft mitgeführt werden, um den Einwilligungsnachweis nach Art. 7 Abs. 1 DSGVO und § 7 Abs. 2 Nr. 2 UWG führen zu können.
• Öffnungs- und Klick-Tracking: Diese Funktionen sind in CleverReach zuschaltbar; sie sind nur dann zu nutzen, wenn die Tracking-Einwilligung sauber eingeholt und in der Datenschutzerklärung beschrieben wird.
• Opt-Out: Jeder Newsletter muss nach § 7 Abs. 2 Nr. 4 UWG einen funktionierenden Abmeldelink enthalten; CleverReach stellt dafür Platzhalter bereit.
• Listenhygiene: Inaktive und nicht mehr existierende Adressen sollten regelmäßig entfernt werden; die Speicherung sollte sich an der erteilten Einwilligung orientieren.

Die vorstehende Darstellung beruht auf öffentlich zugänglichen Angaben des Anbieters und ergänzenden öffentlich recherchierbaren Quellen. Eine Einzelfallprüfung durch den Webseitenbetreiber bleibt erforderlich.

I. CleverReach – FAQ

J. Fazit zu CleverReach und Call-to-Action

CleverReach ist ein in Deutschland ansässiger Anbieter für Newsletter-Versand und E-Mail-Marketing. Datenschutzrechtlich relevant sind insbesondere die Themen Einwilligung der Empfänger, Einwilligungsnachweis im Double-Opt-In-Verfahren und – soweit aktiviert – Öffnungs- und Klick-Tracking. Der Sitz im EWR begünstigt eine Verarbeitung ohne Drittlandtransfer; AVV und Datenschutzerklärung müssen die wesentlichen Pflichtangaben (Zwecke, Rechtsgrundlagen, Empfängerkategorien, Speicherdauer) abdecken.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, für jedes einzelne Tool – also auch für CleverReach – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich, unverständlich und schwer pflegbar – und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz: Datenverarbeitungen werden nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) übergreifend erklärt; konkrete Dienstleister wie CleverReach werden lediglich im Anhang „Empfänger" geführt. Genau das ist die Methodik des Datenschutzerklärungs-Generators von matterius.

K. Kurator