GetResponse und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber GetResponse ein, verarbeitet er typischerweise E-Mail-Adressen, Profil- und Verhaltensdaten der Empfänger zum Zweck des Newsletter-Versands, der Marketing-Automation und des Lead-Scorings auf Basis der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Diese Seite erklärt, welche Daten GetResponse verarbeitet, welche Pflichtangaben sich daraus für die Datenschutzerklärung der eigenen Webseite ergeben und wie sich diese Angaben pflegbar abbilden lassen. Die Darstellung beruht auf öffentlich zugänglichen Angaben des Anbieters und allgemein recherchierbaren Quellen und ersetzt keine Einzelfallprüfung.

A. Zweck und Funktionsweise von GetResponse

GetResponse ist eine Plattform für E-Mail-Marketing und Marketing-Automation des polnischen Anbieters GetResponse S.A. Die Plattform stellt Funktionen für Listen- und Kontaktverwaltung, Newsletter-Versand, Autoresponder, mehrstufige Workflows (Marketing-Automation), Landing Pages, Webinare und Lead-Scoring bereit.

Webseitenbetreiber binden GetResponse typischerweise über Anmeldeformulare, Pop-ups, Landing Pages oder die GetResponse-API in die Webseite ein. Daneben kann ein optionales Webseiten-Tracking-Skript eingesetzt werden, mit dem Besuche und Conversions auf der Webseite gemessen und Empfängern in GetResponse zugeordnet werden. Im Fokus dieser Seite stehen die Newsletter- und Automation-Funktionen sowie das Webseiten-Tracking; weitere Funktionen wie Webinare oder das integrierte Online-Shop-Modul werden hier nicht vertieft.

B. Pflichtangaben zu GetResponse in der Datenschutzerklärung

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf den Einsatz von Tools wie GetResponse spezifische Pflichtangaben. Dazu gehören die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO) sowie die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO).

Hinzu kommen die Angabe, ob Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO), die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO) sowie – wenn Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der verarbeiteten Daten (Art. 14 Abs. 1 lit. d DSGVO). Diese Angaben werden nachfolgend für GetResponse aufgeschlüsselt.

Es ist nicht erforderlich, GetResponse mit einem eigenen, vorformulierten Textbaustein in der Datenschutzerklärung aufzuführen. Diese „Textbaustein-pro-Tool"-Praxis hat sich zwar weithin eingebürgert, führt aber zu langen, sich wiederholenden und kaum pflegbaren Datenschutzerklärungen. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Newsletter, Marketing-Automation, Tracking) beschreibt und im Anhang lediglich die konkreten Empfänger nennt – genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von GetResponse

Vertragspartner für Webseitenbetreiber in Deutschland ist nach den öffentlich zugänglichen Angaben des Anbieters die

• GetResponse S.A.
• ul. Arkońska 6, A3, 80-387 Gdańsk
• Polen

Da der Anbieter seinen Sitz in Polen und damit innerhalb der EU hat, scheidet ein Drittlandtransfer durch den Hauptdienstleister regelmäßig aus. Subprozessoren mit Sitz außerhalb des EWR können je nach Konfiguration zum Einsatz kommen; die aktuelle Liste ist beim Anbieter abrufbar. Die Datenschutzhinweise des Anbieters sind unter https://www.getresponse.com/legal/privacy erreichbar.

D. Datenverarbeitung durch GetResponse – Ablauf in Schritten

E. Von GetResponse erhobene Daten

Beim Einsatz von GetResponse werden bei der Anmeldung typischerweise E-Mail-Adresse, ggf. Name, Anrede und weitere Profilfelder, IP-Adresse und Zeitstempel zum Anmelde- und Bestätigungszeitpunkt erhoben. Bei Versand und Auswertung kommen Öffnungs- und Klick-Daten, Bounce-Informationen, Tags, Segmentzuordnungen, Lead-Scoring-Werte sowie – bei aktiviertem Webseiten-Tracking – Seitenaufrufe und Conversions auf der Webseite hinzu.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts, Referrer und technische Metadaten beim Tracking-Pixel-Abruf in Mails sowie beim Webseiten-Tracking.
• Klickpfade: Aufgerufene Seiten der Webseite des Webseitenbetreibers bei aktiviertem Webseiten-Tracking sowie angeklickte Links in Mails, jeweils mit Datum und Uhrzeit.
• Endgeräte-Daten: Gerätetyp, Betriebssystem und ähnliche Angaben des Empfängers, soweit aus Mail-Abrufen oder Webseiten-Tracking ableitbar.
• Browserinformationen: Browsername und -version beim Klick auf Mail-Links und beim Webseiten-Tracking.
• Grobe Standortdaten: Aus der IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Nutzungskonto-Daten: E-Mail-Adresse, Name und weitere Profilfelder des Empfängers; Login-Verläufe der Webseitenbetreiber im GetResponse-Konto.
• Nutzerprofile: Vom Webseitenbetreiber ermittelte Interessen, Tags, Segmentzuordnungen und Lead-Scoring-Werte.
• Conversion-Ereignisse: Anmeldung, Double-Opt-In-Bestätigung, Klick auf einen Aktions-Link, Aufruf einer Danke-Seite, Kauf oder Terminbuchung bei aktivem Webseiten-Tracking.
• Interaktionsdaten: Öffnungen einer Mail, Klicks auf Schaltflächen oder Links innerhalb der Mail.
• Technische Telemetriedaten: Bounce-Quoten, Zustellzeiten, Fehlermeldungen aus dem Versandprozess.

F. Nutzungszwecke beim Einsatz von GetResponse

Der Webseitenbetreiber nutzt GetResponse in der Regel, um Newsletter und transaktionale Mails zu versenden, mehrstufige Marketing-Automationen zu betreiben, Empfänger nach Interessen zu segmentieren, Lead-Scoring durchzuführen und – sofern aktiviert – Webseitenbesuche der Empfänger zu messen.

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Bereitstellung von Anmeldeformularen, Landing Pages und Pop-ups, Verarbeitung der Anmeldung, Versand der Bestätigungs- und Folge-Mails, Durchführung mehrstufiger Workflows und Fehlerbehebung.
• Kommunikation: Direkte Ansprache der Empfänger über redaktionelle und werbliche Inhalte sowie automatisierte Antworten.
• Sicherheit und Missbrauchsschutz: Schutz vor Bot-Anmeldungen und Spam-Eintragungen, Verifizierung durch Double-Opt-In.
• Allgemeine Produktverbesserung: Auswertung von Öffnungs- und Klickraten zur generellen Optimierung der Mail-Inhalte.
• Allgemeines Marketing: Bewertung der Wirksamkeit von Mail- und Automation-Kampagnen.
• Nutzerprofil-Erstellung: Vergabe von Tags, Segmentzuordnung und Berechnung von Lead-Scores auf Basis der Empfängerinteraktion.
• Nutzerindividuelle Produktverbesserung: Anpassung von Inhalten an das bisherige Klick- und Öffnungsverhalten.
• Nutzerindividuelles Marketing: Versand interessenbasierter Inhalte, dynamischer Inhaltsblöcke und automatisierter Folgesequenzen.
• Rechtsdurchsetzung: Nachweis der Einwilligung im Streitfall.

G. Rechtsgrundlagen für den Einsatz von GetResponse

GetResponse fällt primär in die Kategorien Newsletter und Marketing-Automation; das optionale Webseiten-Tracking gehört zur Kategorie Tracking (Marketing). Als Rechtsgrundlagen kommen je nach Verarbeitung in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für den Versand werblicher Mails, das Lead-Scoring, die nutzerindividuelle Profilbildung sowie das Webseiten-Tracking; bei Cookie-Einsatz zusätzlich § 25 Abs. 1 TDDDG.
• Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 7 Abs. 3 UWG für Direktwerbung an Bestandskunden für eigene ähnliche Waren oder Dienstleistungen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Berechtigtes Interesse: Werbung.
• Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Art. 7 Abs. 1, Art. 24 Abs. 1 DSGVO und § 7 Abs. 2 Nr. 2 UWG für die Speicherung von Anmelde-Metadaten als Nachweis. Berechtigtes Interesse: Rechtsausübung und Compliance.

Welche Rechtsgrundlage konkret einschlägig ist, hängt vom Einzelfall ab und ist vom Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu GetResponse

• Opt-Out: Empfänger können sich über den Abmelde-Link in jeder Mail jederzeit austragen.
• Double-Opt-In: GetResponse unterstützt nach Anbieterangaben das Double-Opt-In-Verfahren. Webseitenbetreiber sollten diese Einstellung für werbliche Listen aktiv lassen.
• AVV: Da GetResponse Empfängerdaten weisungsgebunden im Auftrag verarbeitet, ist regelmäßig ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO zu schließen. Der Anbieter stellt einen entsprechenden Vertrag bereit.
• Drittlandtransfer: Sitzland ist Polen; je nach Subprozessor können Übermittlungen in Drittländer erfolgen, abgesichert über Standardvertragsklauseln (SCC) oder einen Angemessenheitsbeschluss. Die Subprozessoren-Liste ist beim Anbieter abrufbar.
• Webseiten-Tracking: Wird das Webseiten-Tracking-Skript eingebunden, ist regelmäßig eine Einwilligung über das Consent-Banner einzuholen.
• Einstellungen für den Webseitenbetreiber: Webseiten-Tracking, Lead-Scoring-Schwellen, Tags und Automatisierungsregeln lassen sich im Konto detailliert konfigurieren.

I. FAQ zu GetResponse und Datenschutz

J. Fazit und Call-to-Action zu GetResponse

GetResponse ist eine etablierte EU-Plattform für E-Mail-Marketing und Marketing-Automation. Beim Einsatz auf der eigenen Webseite verarbeitet der Webseitenbetreiber regelmäßig E-Mail-Adressen, Profil- und Verhaltensdaten der Empfänger; bei aktiviertem Webseiten-Tracking zusätzlich Seitenaufrufe und Conversions. Maßgebliche Rechtsgrundlage ist typischerweise die Einwilligung der Empfänger; Nachweisdaten lassen sich auf berechtigte Interessen stützen. Ein Vertrag zur Auftragsverarbeitung ist regelmäßig zu schließen.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, GetResponse mit einem eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Solche tool-spezifischen Bausteine machen die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar – und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Newsletter und Marketing-Automation übergreifend erklärt und GetResponse nur im Anhang als konkreten Empfänger nennt.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com