ConvertKit Forms (Kit) und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber ConvertKit Forms (seit 2024 unter dem Markennamen Kit) ein, verarbeitet er beim Aufruf der Webseite typischerweise IP-Adresse, Browser- und Endgeräte-Informationen sowie die im Newsletter-Anmeldeformular eingegebenen Daten zum Zweck der Erfassung von Newsletter-Abonnenten auf Basis einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Diese Seite erläutert, welche Daten ConvertKit nach den öffentlich zugänglichen Anbieter-Angaben verarbeitet und was dazu in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von ConvertKit Forms (Kit)

ConvertKit ist eine E-Mail-Marketing- und Newsletter-Plattform, die sich insbesondere an Creator-Wirtschaft, Blogger, Autoren und Online-Unternehmer richtet. Der Anbieter — ConvertKit, LLC mit Sitz in den USA — hat seine Plattform im Jahr 2024 offiziell in Kit umbenannt. Das Produkt und die zugehörigen Formulare sind weiterhin unter dem Domainnamen convertkit.com erreichbar; in der Praxis werden beide Bezeichnungen (ConvertKit und Kit) nebeneinander verwendet. Diese Seite behandelt die eingebetteten Newsletter-Anmeldeformulare (Embedded Forms und Landing-Page-Formulare), nicht die allgemeine Plattform-Verwaltung.

Für Webseitenbetreiber relevant ist die Einbettung eines ConvertKit-Formulars in die eigene Webseite. ConvertKit bietet hierfür im Wesentlichen zwei Integrationsmethoden: ein JavaScript-Embed (ein <script>-Tag, der das Formular dynamisch in die Seite lädt und von ConvertKit-Servern ausgeliefert wird) und ein iFrame-Embed (ein klassischer <iframe>-Tag, der das Formular aus der ConvertKit-Domain nachlädt). Beide Varianten bewirken, dass beim Aufruf der einbettenden Webseite Inhalte von ConvertKit-Servern nachgeladen werden und dabei Verbindungsdaten des Besuchers an ConvertKit übermittelt werden. Beim Absenden des Formulars werden die eingegebenen Daten (mindestens E-Mail-Adresse) direkt an die ConvertKit-API übertragen und in der Abonnentenliste des Webseitenbetreibers gespeichert.

Daneben bietet ConvertKit eigenständige Landing Pages (unter pages.convertkit.com), die ohne eigene Webseite nutzbar sind, sowie ein WordPress-Plugin. Diese Toolseite fokussiert sich auf den im Praxis-Einsatz häufigeren Embed in die eigene Webseite.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von ConvertKit Forms (Kit)

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – wenn Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die nachfolgenden Abschnitte ordnen diese Pflichtangaben für den Einsatz von ConvertKit Forms (Kit) ein.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für ConvertKit – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine "präzise, transparente, verständliche und leicht zugängliche Form" verlangt. Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) beschrieben; die konkret eingesetzten Dienstleister wie ConvertKit werden in einem Anhang: Empfänger aufgelistet.

C. Anbieter von ConvertKit Forms (Kit)

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Anbieter-Angaben:

• ConvertKit, LLC (Handelsname seit 2024: Kit)
• Anschrift: 750 N San Vicente Blvd, Suite 800 West, West Hollywood, CA 90069, USA [vom Betreiber zu verifizieren]
• Sitzland: USA
• Privacy Policy: https://convertkit.com/privacy
• Terms of Service: https://convertkit.com/terms
• Data Processing Agreement: https://convertkit.com/dpa

DPF-Status: Der aktuelle Zertifizierungsstatus von ConvertKit, LLC unter dem EU-U.S. Data Privacy Framework ist vom Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search zu prüfen. Ergänzend stützt ConvertKit Datentransfers nach eigenen Angaben auf EU-Standardvertragsklauseln (SCC).

Hinweis zur Umbenennung: ConvertKit hat sich im Jahr 2024 offiziell in "Kit" umbenannt. Das Produkt und die Formulare sind weiterhin unter convertkit.com erreichbar. In der Datenschutzerklärung sollte der Anbieter unter seinem juristischen Namen ConvertKit, LLC benannt werden; der Handelsname Kit kann ergänzend erwähnt werden.

D. Datenverarbeitung mit ConvertKit Forms (Kit) – Ablauf in Schritten

E. Von ConvertKit Forms (Kit) erhobene Daten

Beim Einsatz von ConvertKit Forms verarbeitet der Anbieter nach den öffentlich zugänglichen Angaben insbesondere folgende Datenkategorien: Verbindungsdaten beim Nachladen des Embeds (IP-Adresse, User-Agent, Zeitstempel, Referrer), die vom Besucher eingegebenen Formularinhalte (mindestens E-Mail-Adresse; je nach Konfiguration Vorname, Nachname und weitere individuell hinzugefügte oder angepasste Felder), den Zeitstempel der Anmeldung sowie ggf. die IP-Adresse des Anmeldevorgangs als Opt-in-Nachweis. Bei aktiviertem ConvertKit-Tracking (z.B. Broadcast-Öffnungsraten, Klicktracking in E-Mails) entstehen nach der Anmeldung zusätzliche Interaktionsdaten.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit, URL des nachgeladenen Embeds, Referrer-URL der einbettenden Seite, Statuscode.
• Browserinformationen: Browsername und -version (aus dem User-Agent).
• Endgeräte-Daten: Gerätetyp, Betriebssystem (aus dem User-Agent).
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter Standort auf Stadt-/Gemeindeebene.
• Nutzer-Inhalte: die im Anmeldeformular eingegebenen Daten – mindestens E-Mail-Adresse, ggf. Name und weitere konfigurierte Felder.
• Nutzungskonto-Daten: E-Mail-Adresse und ggf. Name als Basis-Abonnentendaten in der ConvertKit-Abonnentenliste.
• Nutzerprofil-Erstellung: Tags, Sequenzzugehörigkeit und weitere segmentierungsbezogene Daten, die ConvertKit beim Opt-in und in der Folge-Kommunikation erfasst.
• Conversion-Ereignisse: das Absenden des Anmeldeformulars als Newsletter-Opt-in-Ereignis.
• Erfüllung von Aufbewahrungspflichten: Zeitstempel und ggf. IP-Adresse des Opt-ins als Nachweis der eingeholten Einwilligung.

F. Nutzungszwecke des Webseitenbetreibers beim Einsatz von ConvertKit Forms (Kit)

Der Webseitenbetreiber nutzt ConvertKit Forms primär zur Erfassung von Newsletter-Abonnenten — also zur Einholung der Einwilligung interessierter Besucher für den regelmäßigen E-Mail-Newsletter, automatisierte E-Mail-Sequenzen oder andere Marketing-Kommunikation. Die ConvertKit-Plattform ermöglicht darüber hinaus eine stark auf individuelle Creator-Bedürfnisse ausgerichtete Segmentierung und Automatisierung.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Auslieferung und Funktionsfähigkeit des Newsletter-Anmeldeformulars (Anzeige, Validierung, Absende-Logik), Fehlererkennung.
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr beim Formularabsenden, Validierung von E-Mail-Adressen.
• Allgemeines Marketing: Aufbau einer Abonnentenliste für E-Mail-Newsletter und Marketing-Sequenzen, Messung von Anmeldequoten.
• Nutzerindividuelles Marketing: personalisierte E-Mail-Sequenzen, Segmentierung von Empfängergruppen nach Tags und Interessen, Direktmarketing per E-Mail.
• Nutzerprofil-Erstellung: Erfassung und Pflege von Abonnentenprofilen (Tags, Segmente, Aktivitätsdaten) in der ConvertKit-Plattform.
• Erfüllung von Aufbewahrungspflichten: Dokumentation des Opt-ins (Zeitstempel, ggf. IP-Adresse) als Nachweis der eingeholten Einwilligung nach DSGVO und § 7 UWG.

G. Rechtsgrundlagen für den Einsatz von ConvertKit Forms (Kit)

ConvertKit Forms fällt in die Tool-Kategorie Newsletter / Opt-in-Formular. Da das Formular der Einholung einer Einwilligung zur E-Mail-Marketing-Kommunikation dient, ist die Rechtslage vergleichsweise klar:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) für das Opt-in selbst: Das Anmeldeformular dient der Einholung der Einwilligung zur Zusendung von Newslettern und E-Mail-Marketing. Die Einwilligung muss freiwillig, informiert, unmissverständlich und nachweisbar sein. Ein Double-Opt-in-Verfahren ist nach herrschender Praxis dringend empfohlen und kann in ConvertKit über das "Incentive Email"-Feature konfiguriert werden.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) für das Nachladen des Embeds beim Seitenaufruf, sofern dabei Cookies gesetzt oder Informationen aus dem Endgerät ausgelesen werden. Da das JavaScript oder iFrame von einem Drittanbieter-Server nachgeladen wird, ist dies im Regelfall als einwilligungspflichtig einzustufen.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) kommen für die technische Bereitstellung des Formulars im Einzelfall ergänzend in Betracht; bei einem reinen Newsletter-Opt-in-Tool ist jedoch die Einwilligung die primäre und sachgerechtere Rechtsgrundlage.

Die einschlägige Rechtsgrundlage hängt von der konkreten Konfiguration und dem Einsatzzweck ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu ConvertKit Forms (Kit)

• Umbenennung zu Kit (2024): ConvertKit hat sich 2024 offiziell in Kit umbenannt. Der Dienst ist weiterhin unter convertkit.com erreichbar; der juristische Name der Gesellschaft lautet ConvertKit, LLC. In der Datenschutzerklärung sollte der juristische Name verwendet werden.
• Double-Opt-in (Incentive Email): ConvertKit unterstützt ein Double-Opt-in über die sogenannte "Incentive Email" (Bestätigungs-E-Mail), die im Formular-Editor konfiguriert werden kann. Die Aktivierung ist nach herrschender Praxis dringend empfohlen.
• AVV/DPA: ConvertKit stellt nach eigenen Angaben einen Auftragsverarbeitungsvertrag unter https://convertkit.com/dpa bereit. Der Abschluss ist beim Einsatz des Tools für die Verarbeitung personenbezogener Daten von EU-Bürgern erforderlich.
• Drittlandtransfer: Eine Übermittlung in die USA findet statt. ConvertKit hostet nach Anbieter-Angaben auf Amazon Web Services. Der DPF-Status von ConvertKit, LLC ist vom Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search zu prüfen. ConvertKit stützt Transfers nach eigenen Angaben auf SCC.
• Kein EU-Hosting: Eine Option zur Speicherung von Abonnentendaten auf EU-Servern ist nach den öffentlich zugänglichen Anbieter-Angaben nicht verfügbar.
• Tags und Segmentierung: ConvertKit ermöglicht eine granulare Segmentierung von Abonnenten über Tags, Sequenzen und Custom Fields. Diese Profil-Erstellung sollte in der Datenschutzerklärung adressiert werden, sofern der Webseitenbetreiber entsprechende Funktionen einsetzt.
• Einstellungen für den Webseitenbetreiber: Double-Opt-in (Incentive Email) aktivieren, DSGVO-konformen Einwilligungstext im Formular hinterlegen, nur notwendige Felder abfragen, GDPR-Datenschutzhinweis im Formular verlinken.
• Einstellungen für den Webseitenbesucher: Abmeldung jederzeit über den "Unsubscribe"-Link in jeder E-Mail möglich. Ergänzend kann die Einwilligung gegenüber dem Webseitenbetreiber widerrufen werden.

I. Häufige Fragen zu ConvertKit Forms (Kit) und Datenschutz

J. Fazit zu ConvertKit Forms (Kit) und Hinweise zur Datenschutzerklärung

ConvertKit Forms (Kit) ist ein in der Creator-Wirtschaft und bei Content-Publishern weit verbreitetes Tool zur Newsletter-Anmeldung, das als JavaScript- oder iFrame-Embed in eigene Webseiten integriert wird. Beim Nachladen des Embeds werden Verbindungsdaten an ConvertKit-Server in den USA übertragen; beim Absenden des Formulars werden die Anmeldedaten direkt an ConvertKit übermittelt und dort gespeichert. Die Umbenennung des Produkts in Kit im Jahr 2024 ändert nichts an den datenschutzrechtlichen Anforderungen. Die Einwilligung ist die zwingend erforderliche Rechtsgrundlage; ein Double-Opt-in ist dringend empfohlen. Ein Auftragsverarbeitungsvertrag mit ConvertKit, LLC muss abgeschlossen werden.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für ConvertKit Forms einen eigenen Textbaustein aufzunehmen. Solche Tool-Bausteine machen Datenschutzerklärungen lang, unübersichtlich, schwer pflegbar und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form verlangt.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Tools übergreifend nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) erklärt und im Anhang: Empfänger auf einzelne Dienstleister wie ConvertKit, LLC verweist. Das ist die Methodik des matterius-Generators.

Dieser Beitrag dient der allgemeinen Information zu ConvertKit Forms (Kit) und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 6. Mai 2026.

K. Kurator dieser Seite

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com