Customer.io und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Customer.io ein, verarbeitet er regelmäßig E-Mail-Adressen, Profil- und Eventdaten von Empfängern, um automatisierte E-Mail- und Push-Kampagnen zu versenden, Empfängergruppen zu segmentieren und – soweit das entsprechende Snippet eingebunden wird – auch Webseitenverhalten mit Empfänger-Profilen zu verknüpfen. Diese Verarbeitungen stützen sich typischerweise auf eine Einwilligung der Empfänger nach Art. 6 Abs. 1 lit. a DSGVO, flankiert durch berechtigte Interessen für Nachweisdaten. Diese Seite gibt einen kompakten Überblick darüber, welche Daten Customer.io nach den öffentlich zugänglichen Angaben des Anbieters verarbeitet und welche Pflichtangaben dazu in die Datenschutzerklärung gehören.

A. Zweck und Funktionsweise von Customer.io

Customer.io ist eine Cross-Channel-Customer-Engagement-Plattform, mit der Unternehmen E-Mail-, Push-, SMS- und In-App-Kampagnen orchestrieren können. Webseitenbetreiber nutzen Customer.io typischerweise für Lifecycle-Mailings, Trigger-basierte Kampagnen, Segmentierung von Empfängern und für Kundenkommunikation entlang automatisierter Workflows („Campaigns" und „Journeys").

Diese Seite konzentriert sich auf die für Webseitenbetreiber typische Integrations-Funktion: das Einbinden eines E-Mail-Anmeldeformulars, das Track-JavaScript-Snippet von Customer.io zur Verknüpfung von Webseitenverhalten mit Empfänger-Profilen sowie den Versand von Mailings über Customer.io. Weitere Funktionen wie Push, SMS oder In-App-Messaging sind nicht Gegenstand dieser Darstellung und im Einzelfall durch den Webseitenbetreiber separat zu prüfen.

B. Pflichtangaben für die Datenschutzerklärung beim Einsatz von Customer.io

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu Betroffenenrechten und Aufsichtsbehörde tool-bezogen bestimmte Mindestinhalte. Für den Einsatz von Customer.io sind das insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO),
• bei berechtigten Interessen die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt erhobenen Daten zusätzlich die Kategorien der Daten (Art. 14 Abs. 1 lit. d DSGVO).

Es ist nicht erforderlich, Customer.io mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen, auch wenn diese Praxis weit verbreitet ist. Die „Textbaustein-pro-Tool"-Methode hat sich als schlechte Manier etabliert: Sie führt zu langen, redundanten Texten, macht die Datenschutzerklärung schwer pflegbar und steht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegen. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Newsletter, Tracking …) beschreibt und Customer.io lediglich in einem Anhang Empfänger benennt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Customer.io

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters die Peaberry Software, Inc. d/b/a Customer.io, mit Sitz in Portland, Oregon, USA. Welche genaue Anschrift im Einzelfall maßgeblich ist, ist vom Webseitenbetreiber anhand der Vertragsunterlagen zu prüfen.

Customer.io ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework (DPF) zertifiziert; der Status kann unter https://www.dataprivacyframework.gov/s/participant-search verifiziert werden. Ergänzend kommen EU-Standardvertragsklauseln zum Einsatz. Daneben bietet Customer.io eine EU-Datenresidenz-Region, in der Daten innerhalb der EU verarbeitet werden können – die Wahl der Region trifft der Webseitenbetreiber bei der Account-Einrichtung.

Die Datenschutzhinweise von Customer.io sind abrufbar unter https://customer.io/legal/privacy/. Der Auftragsverarbeitungsvertrag (Data Processing Agreement) wird unter https://customer.io/legal/data-processing-agreement/ bereitgestellt.

D. Datenverarbeitung durch Customer.io – Ablauf in Schritten

E. Erhobene Daten beim Einsatz von Customer.io

Beim Einsatz von Customer.io werden insbesondere E-Mail-Adresse, Name, weitere Profildaten, IP-Adresse und Zeitstempel zum Zeitpunkt der Anmeldung, Double-Opt-In-Bestätigung sowie Öffnungen und Link-Klicks in versendeten E-Mails verarbeitet. Wird das Track-JavaScript eingebunden, kommen Webseitenverhaltensdaten (aufgerufene Seiten, Klicks, Conversion-Ereignisse) hinzu.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit, URL, Referrer, User-Agent, Statuscode bei Aufruf der Tracking- und Anmelde-Endpunkte.
• Klickpfade: Aufrufe definierter Seiten und Schaltflächen, Klicks in Customer.io-Mails.
• Endgeräte-Daten: Gerätetyp, Betriebssystem.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: aus der IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Nutzerkonto-Daten: bei Empfänger-Profilen typischerweise Nutzungskennung (E-Mail) und vom Empfänger bereitgestellte Profildaten.
• Nutzerprofile: Segmentzuordnungen, Engagement-Werte, Tag-Zuordnungen, Tracking-Historien.
• Conversion-Ereignisse: Käufe, Anmeldungen, Aufrufe definierter Zielseiten.
• Interaktionsdaten: Verhalten in Mails (Öffnungen, Klicks) und – bei eingebundenem Track-JS – innerhalb der Webseite.

F. Nutzungszwecke beim Einsatz von Customer.io

Webseitenbetreiber nutzen Customer.io regelmäßig zum Versand von Lifecycle-Mailings und transaktionalen E-Mails, zur Pflege und Segmentierung von Empfängerlisten, zum Auslösen automatisierter Workflows, zur Erfolgsmessung von Kampagnen und – soweit eine Einwilligung vorliegt – zur Personalisierung von Inhalten anhand des Empfänger-Verhaltens.

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung der Cross-Channel-Funktionalität, einschließlich Anmeldebestätigung, Versandauslösung, Workflows.
• Sicherheit und Missbrauchsschutz: Erkennen und Verhindern unzulässiger Anmeldungen, Spam- und Botabwehr.
• Allgemeine Produktverbesserung: Auswertung aggregierter Kampagnenmetriken zur Optimierung von Inhalten und Versandzeitpunkten.
• Allgemeines Marketing: Reichweiten- und Kampagnenanalyse.
• Nutzerprofil-Erstellung: Segmentzuordnung und Ableitung von Interessen und Präferenzen je Empfänger.
• Nutzerindividuelle Produktverbesserung: Personalisierung von Inhalten und Vorschlägen.
• Nutzerindividuelles Marketing: personalisierte Direktwerbung und Trigger-Mails.
• Rechtsdurchsetzung: Nachweis der Anmeldung und Einwilligung.
• Kommunikation: Beantwortung von Anfragen.

G. Rechtsgrundlagen beim Einsatz von Customer.io

In einem ersten Schritt ist Customer.io einer Tool-Kategorie zuzuordnen: Es handelt sich im Schwerpunkt um ein Tool aus der Kategorie Newsletter und E-Mail-/Cross-Channel-Marketing; bei aktiviertem Track-JavaScript kommt zusätzlich die Kategorie Tracking (Statistik bzw. Marketing) in Betracht.

In einem zweiten Schritt kommen folgende Rechtsgrundlagen typischerweise in Betracht:

• Für den Versand von Newslettern und werblichen E-Mails: Einwilligung des Empfängers nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 7 Abs. 2 Nr. 3 UWG.
• Für die Speicherung von Anmelde- und Double-Opt-In-Protokollen: berechtigtes Interesse an Rechtsausübung und Compliance nach Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 7 Abs. 1 DSGVO.
• Für transaktionale E-Mails im Rahmen eines bestehenden Vertrags: Vertragsdurchführung nach Art. 6 Abs. 1 lit. b DSGVO.
• Für Webtracking und Profil-Anreicherung: in der Regel Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG.
• Für Direktwerbung an Bestandskunden für eigene ähnliche Waren oder Dienstleistungen: ergänzend berechtigtes Interesse an Werbung nach Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 7 Abs. 3 UWG.

Die einschlägige Rechtsgrundlage ist fallabhängig und im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Customer.io

• AVV/DPA: Customer.io stellt ein Data Processing Agreement bereit; der Abschluss ist regelmäßig erforderlich.
• EU-Region: Customer.io bietet eine EU-Region für die Datenverarbeitung an, die im Hinblick auf die DSGVO regelmäßig die bevorzugte Wahl ist; die Region ist bei Account-Einrichtung festzulegen.
• Drittlandtransfer / DPF: Bei Wahl der US-Region findet Verarbeitung in den USA statt. Customer.io ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert; ergänzend werden EU-Standardvertragsklauseln eingesetzt.
• Subprozessoren: Eine Übersicht der Subprozessoren wird über den Trust-Bereich der Anbieterseite bereitgestellt.
• Opt-Out: Jede E-Mail enthält einen Abmeldelink; Empfänger können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Einstellungen für den Webseitenbetreiber: Empfehlenswert sind Double-Opt-In, sorgfältige Konfiguration des Track-JS abhängig vom Consent-Status, bewusste Pflege der Empfängerlisten und Wahl der EU-Region soweit möglich.
• Quellenhinweis: Die Angaben beruhen auf öffentlich zugänglichen Veröffentlichungen des Anbieters und ersetzen keine Einzelfallprüfung.

I. Häufige Fragen zu Customer.io und Datenschutz

J. Fazit zu Customer.io

Beim Einsatz von Customer.io verarbeiten Webseitenbetreiber Empfängerdaten zu Zwecken der Cross-Channel-Kommunikation, der Lifecycle-Kampagnen und – bei aktiviertem Track-JS – der Personalisierung anhand von Webseitenverhalten. Vertragspartner ist die US-Konzerngesellschaft, die nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert ist; alternativ steht eine EU-Region zur Verfügung. Zentrale Pflichten sind der Abschluss eines AVV, eine saubere Einwilligungsdokumentation und – bei Webtracking – die Steuerung über das Consent-Management.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, für Customer.io einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Empfehlenswert ist ein strukturierter, themenorientierter Ansatz, der Tools nach Themenblöcken (Newsletter, Tracking …) übergreifend erklärt und nur im Anhang Empfänger die einzelnen Dienstleister wie Customer.io nennt. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com