Iterable und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Iterable ein, verarbeitet er regelmäßig E-Mail-Adresse, Anrede, Name, Anmeldedaten sowie Interaktionsdaten zu E-Mails und – soweit das entsprechende Snippet eingebunden wird – auch Verhaltensdaten auf der Webseite, um Newsletter, Lifecycle-Mailings und kanalübergreifende Kampagnen zu versenden, Empfängergruppen zu segmentieren und den Erfolg von Kampagnen zu messen. Diese Verarbeitungen stützen sich typischerweise auf eine Einwilligung der Empfänger nach Art. 6 Abs. 1 lit. a DSGVO, flankiert von berechtigten Interessen an Rechtsdurchsetzung für Nachweisdaten. Der folgende Beitrag fasst zusammen, was Iterable nach den öffentlich zugänglichen Angaben des Anbieters tut und welche Pflichtangaben in die Datenschutzerklärung der Webseite gehören.

A. Iterable: Zweck und Funktionsweise

Iterable ist eine Cross-Channel-Marketing-Plattform, mit der Unternehmen E-Mail-, SMS-, Push-, In-App- und Webkampagnen aussteuern können. Webseitenbetreiber nutzen Iterable typischerweise für den Versand von Newslettern und Lifecycle-Kampagnen, für automatisierte Workflows („Journeys“), für die Segmentierung von Empfängern auf Basis von Profil- und Verhaltensdaten sowie für die Erfolgsmessung des E-Mail-Kanals.

Die Plattform bietet darüber hinaus weitere Funktionen, etwa SMS, Mobile-Push, In-App-Messaging oder ein KI-gestütztes Personalisierungsmodul (Iterable AI). Diese Seite konzentriert sich auf die für Webseitenbetreiber typische Integrations-Funktion: das Einbinden eines E-Mail-Anmeldeformulars (z. B. über die Iterable-API oder ein selbstgebautes Frontend mit Iterable-Backend) und den Versand von E-Mails über Iterable, gegebenenfalls verbunden mit einem optionalen Webtracking-Snippet, das Webseitenverhalten mit Empfängerprofilen verknüpft. Abweichende Funktionen (insbesondere SMS-, Push- oder In-App-Module) sind nicht Gegenstand dieser Darstellung und im Einzelfall durch den Webseitenbetreiber separat zu prüfen.

B. Pflichtangaben zu Iterable in der Datenschutzerklärung

Die DSGVO verlangt, dass eine Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, den Betroffenenrechten und der zuständigen Aufsichtsbehörde auch tool-bezogen bestimmte Mindestinhalte ausweist. In Bezug auf den Einsatz von Iterable sind das insbesondere die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei berechtigten Interessen die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO), Hinweise zu Drittlandtransfers (Art. 13 Abs. 1 lit. f DSGVO), die Speicherdauer oder deren Festlegungskriterien (Art. 13 Abs. 2 lit. a DSGVO) sowie – soweit Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden nachfolgend für Iterable aufgeschlüsselt. Wichtig: Es ist nicht erforderlich, jedes einzelne Tool wie Iterable mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen. Diese Praxis hat sich zwar weithin etabliert, führt aber zu langen, redundanten Texten, die kaum gepflegt werden können und dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher zuwiderlaufen.

Sachgerechter ist ein themenorientierter Ansatz: Die Verarbeitungen werden übergreifend nach Themen (Serverbetrieb, Newsletter, Tracking, Verkauf …) beschrieben, und die konkret eingesetzten Dienstleister – darunter Iterable – werden in einem Anhang als Empfänger aufgeführt.

C. Anbieter von Iterable

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters in der Regel die Iterable, Inc. mit Sitz in San Francisco, Kalifornien, USA. Welche Anschrift im Einzelfall für die Vertragsbeziehung maßgeblich ist (insbesondere ob mit einer europäischen Tochtergesellschaft kontrahiert wird), ergibt sich aus den Bestellunterlagen und ist vom Webseitenbetreiber zu prüfen.

Iterable, Inc. ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework (DPF) zertifiziert; der Status kann unter https://www.dataprivacyframework.gov/s/participant-search überprüft werden. Für Datenübermittlungen außerhalb des Anwendungsbereichs des DPF sieht der Anbieter den Abschluss der EU-Standarddatenschutzklauseln vor.

Die Datenschutzhinweise von Iterable sind abrufbar unter https://iterable.com/legal/privacy-policy/. Informationen zum Auftragsverarbeitungsvertrag und zu den Subprozessoren stellt Iterable über das Trust- bzw. Compliance-Center unter https://iterable.com/trust/gdpr-commitment/ bereit.

D. Iterable: Datenverarbeitung in Schritten

E. Erhobene Daten bei Iterable

Beim Einsatz von Iterable werden insbesondere E-Mail-Adresse, Anrede, Name, weitere Formularfelder, IP-Adresse und Zeitstempel zum Zeitpunkt der Anmeldung, Double-Opt-In-Bestätigung sowie Öffnungen und Link-Klicks in versendeten E-Mails verarbeitet. Wird ein Webtracking- oder Event-Snippet eingebunden, können zusätzlich Klickpfade, Endgeräteinformationen, Browserinformationen, grobe Standortdaten und Conversion-Ereignisse (z. B. Käufe, Registrierungen) erfasst und dem Profil zugeordnet werden.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Webserver bei jeder Anfrage erhält, z. B. IP-Adresse des Internetanschlusses, Datum, Uhrzeit, URL des angefragten Inhalts, Referrer, Browser-, Betriebssystem- und Geräteinformationen sowie ergänzende technische Metadaten.
• Klickpfade: Besuchte Seiten, angeklickte Links und Schaltflächen mit Datum und Uhrzeit, etwa aufgerufene Links, geklickte Schaltflächen und aufgerufene Formulare.
• Endgeräte-Daten: Angaben zum Endgerät, z. B. Gerätetyp, Betriebssystem, Bildschirmauflösung.
• Browserinformationen: Browsername, -version und ggf. installierte Erweiterungen.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter Standort auf Stadt- oder Gemeindeebene.
• Nutzerprofile: Vom Webseitenbetreiber zu einem Empfänger ermittelte Interessen, Präferenzen, Segmentzuordnungen, Nutzungshistorien und daraus abgeleitete Kennzahlen.
• Conversion-Ereignisse: Vom Webseitenbetreiber als relevant festgelegte Nutzerinteraktionen, z. B. Anmeldung zum Newsletter, Produktkauf, Aufruf einer Danke-Seite oder Download eines Ratgebers.
• Interaktionsdaten: Verhalten innerhalb von E-Mails (z. B. Öffnungen, Link-Klicks) und – bei eingebundenem Webtracking – innerhalb der Webseite.

Sensible Daten im Sinne von Art. 9 DSGVO werden bei der Standardnutzung typischerweise nicht erhoben.

F. Nutzungszwecke beim Einsatz von Iterable

Der Webseitenbetreiber nutzt Iterable regelmäßig, um Newsletter, Lifecycle-Mailings und transaktionale E-Mails zu versenden, Empfängerlisten zu pflegen und zu segmentieren, automatisierte Workflows („Journeys“) auszulösen, den Erfolg von Kampagnen zu messen und – soweit eine Einwilligung vorliegt – Inhalte und Werbung an Interessen und Verhalten der Empfänger anzupassen.

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung der Newsletter- und Cross-Channel-Funktionalität, einschließlich Anmeldeformularen, Bestätigung der Anmeldung (Double-Opt-In), Versandauslösung, Workflows sowie Fehlererkennung und -behebung.
• Sicherheit und Missbrauchsschutz: Erkennen und Verhindern unzulässiger Anmeldungen, Spam- und Botabwehr, Authentifizierung von Empfängern beim Double-Opt-In.
• Allgemeine Produktverbesserung: Auswertung von Versandstatistiken (Öffnungsraten, Klickraten, Reichweite), um Inhalte und Versandzeitpunkte über alle Empfänger hinweg zu optimieren.
• Allgemeines Marketing: Erfolgsmessung von Kampagnen, Reichweitenanalyse und Bewertung des Kanals E-Mail bzw. der Cross-Channel-Strategie insgesamt.
• Nutzerprofil-Erstellung: Segmentzuordnung und Ableitung von Interessen und Präferenzen je Empfänger auf Basis der Profil- und Interaktionsdaten.
• Nutzerindividuelle Produktverbesserung: Anpassung von Inhalten und Vorschlägen an die Interessen einzelner Empfänger.
• Nutzerindividuelles Marketing: Personalisierte Direktwerbung per E-Mail (und ggf. weiteren Kanälen), ausgerichtet an Interessen und Verhalten des jeweiligen Empfängers.
• Rechtsdurchsetzung: Nachweis der Anmeldung und Einwilligung (insbesondere Double-Opt-In-Protokolle).
• Kommunikation: Beantwortung von Anfragen, die über E-Mails oder Anmeldeformulare eingehen.

G. Rechtsgrundlagen für Iterable

Iterable lässt sich primär in die Tool-Kategorie Newsletter und E-Mail-/Cross-Channel-Marketing einordnen; bei aktiviertem Webtracking-Snippet kommt zusätzlich die Kategorie Tracking (Statistik bzw. Marketing) in Betracht.

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Für den Versand von Newslettern und werblichen E-Mails: die Einwilligung des Empfängers nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 7 Abs. 2 Nr. 3 UWG.
• Für die Speicherung der Anmelde- und Double-Opt-In-Protokolle als Nachweis: das berechtigte Interesse an Rechtsausübung und Compliance nach Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 7 Abs. 1 DSGVO.
• Für transaktionale E-Mails im Rahmen eines bestehenden Vertrags (z. B. Bestellbestätigungen): regelmäßig die Vertragsdurchführung nach Art. 6 Abs. 1 lit. b DSGVO.
• Für Webtracking und die Anreicherung von Profilen mit Verhaltensdaten: in der Regel die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG, da auf Endgeräten Informationen gespeichert oder ausgelesen werden.
• Für Direktwerbung an Bestandskunden für eigene ähnliche Waren oder Dienstleistungen: ergänzend das berechtigte Interesse an Werbung nach Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 7 Abs. 3 UWG.

Die einschlägige Rechtsgrundlage ist fallabhängig und im Einzelfall durch den Webseitenbetreiber zu prüfen, insbesondere abhängig von der konkreten Funktionsausgestaltung und vom Versandkanal.

H. Iterable: Besonderheiten und Hinweise

• AVV/DPA: Iterable stellt nach den öffentlich zugänglichen Angaben einen Auftragsverarbeitungsvertrag bereit; Informationen hierzu finden sich im GDPR-/Trust-Bereich unter https://iterable.com/trust/gdpr-commitment/. Der Abschluss ist bei Verarbeitung personenbezogener Daten regelmäßig erforderlich.
• Drittlandtransfer / DPF: Iterable, Inc. ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert. Für nicht vom DPF erfasste Übermittlungen sieht der Anbieter EU-Standarddatenschutzklauseln vor. Status prüfbar unter https://www.dataprivacyframework.gov/s/participant-search.
• Subprozessoren: Eine Übersicht der Subprozessoren wird über den Trust-Bereich der Anbieterseite bereitgestellt; üblicherweise sind dort Cloud-Infrastrukturanbieter und ergänzende Versanddienstleister gelistet.
• Opt-Out für Empfänger: Jede E-Mail enthält einen Abmeldelink. Empfänger können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Einstellungen für den Webseitenbetreiber: Empfehlenswert ist die Aktivierung des Double-Opt-In-Verfahrens, eine sorgfältige Konfiguration des Webtracking-/Event-Snippets in Abhängigkeit vom Consent-Status, ein bewusster Umgang mit Profilanreicherung sowie die Pflege der Empfängerlisten (Bounce-Handling, Inaktive-Bereinigung).
• Rolle: Für die Verarbeitung der vom Webseitenbetreiber hochgeladenen Empfängerdaten tritt Iterable nach den öffentlich zugänglichen Angaben regelmäßig als Auftragsverarbeiter auf; für eigene Zwecke (z. B. Plattformbetrieb, Sicherheit) kann Iterable zugleich als eigener Verantwortlicher handeln. Die genaue Rollenzuordnung ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

Die vorstehenden Angaben beruhen auf den öffentlich zugänglichen Informationen des Anbieters und ersetzen keine Einzelfallprüfung.

I. FAQ zu Iterable und Datenschutz

J. Fazit zu Iterable und Empfehlung

Iterable ist eine etablierte Cross-Channel-Marketing-Plattform, die personenbezogene Daten der Empfänger – insbesondere E-Mail-Adresse, Profil- und Interaktionsdaten – in eigener Cloud-Infrastruktur in den USA verarbeitet. Für den Versand werblicher E-Mails kommt regelmäßig die Einwilligung als Rechtsgrundlage in Betracht; für die Nachweisdaten ergänzend das berechtigte Interesse an Rechtsausübung. Zentrale Pflichten des Webseitenbetreibers sind der Abschluss eines AVV, eine saubere Einwilligungsdokumentation (insbesondere Double-Opt-In) und – soweit ein Webtracking-Snippet eingesetzt wird – die Steuerung über das Consent-Management.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, Iterable mit einem eigenen, ausführlichen Textbaustein in die Datenschutzerklärung zu übernehmen. Solche Bausteine wiederholen sich tool-übergreifend, machen die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar – und stehen damit dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegen.

Empfehlenswert ist ein strukturierter, themenorientierter Ansatz: Die Verarbeitungen werden nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) übergreifend erklärt, und nur in einem Anhang: Empfänger werden die konkret eingesetzten Tools – wie Iterable – mit Anbieter, Sitzland, Rolle und Link zu den Datenschutzhinweisen aufgeführt. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com