Mailchimp und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Mailchimp ein, verarbeitet er typischerweise E-Mail-Adressen, Anrede- und Namensangaben sowie Anmelde- und Interaktionsdaten zum Zweck des Newsletter- und E-Mail-Marketing-Versands auf Basis einer Einwilligung der Empfänger. Die folgende Übersicht zeigt, welche Datenverarbeitung mit Mailchimp typischerweise verbunden ist und was hierzu in die Datenschutzhinweise einer Webseite aufzunehmen ist.

A. Mailchimp – Zweck und Funktionsweise

Mailchimp ist eine cloudbasierte Plattform für E-Mail-Marketing und Marketing-Automation. Webseitenbetreiber nutzen Mailchimp insbesondere zum Versand von Newslettern, Produktankündigungen und automatisierten E-Mail-Strecken (sog. Customer Journeys) sowie zur Auswertung der Empfängerinteraktion.

Funktional bündelt Mailchimp mehrere Bausteine: Anmeldeformulare bzw. eingebettete Embed-Forms für die Webseite, Listen- und Kontaktverwaltung (Audiences), den Versand von Kampagnen, Marketing-Automation, Reporting (Öffnungs- und Klick-Tracking) sowie ergänzende Funktionen wie Landingpages, A/B-Tests und Transaktionsmails (über Mandrill). Der Schwerpunkt dieser Seite liegt auf der Integrations-Funktion, die ein deutscher Webseitenbetreiber typischerweise nutzt: Newsletter-Anmeldeformular auf der Webseite (Embed-Form oder Pop-up) plus Versand der E-Mail-Kampagnen über Mailchimp. Andere Bausteine wie Mailchimp Website-Tracking, Mailchimp-Ads oder Mandrill-Transaktionsmails werden auf separaten Seiten behandelt.

Anbieter ist nach öffentlich zugänglichen Angaben die zur Intuit-Gruppe gehörende The Rocket Science Group, LLC d/b/a Mailchimp mit Sitz in den USA. Für deutsche Webseitenbetreiber ergibt sich daraus regelmäßig ein Drittlandtransfer in die USA, der gesondert zu betrachten ist.

B. Mailchimp – Pflichtangaben in der Datenschutzerklärung

Die DSGVO verlangt für die Datenschutzerklärung nicht nur allgemeine Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde, sondern in Bezug auf den Einsatz konkreter Tools wie Mailchimp eine Reihe spezifischer Pflichtangaben. Diese Pflichtangaben dienen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO und erlauben es betroffenen Personen, die Verarbeitung nachzuvollziehen.

Konkret sind folgende Punkte aufzunehmen:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder – falls nicht möglich – die Kriterien zur Festlegung der Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – wenn die Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Punkte werden für Mailchimp nachfolgend aufgeschlüsselt.

In der Praxis hat sich eingebürgert, jedes einzelne Tool mit einem eigenen Textbaustein in der Datenschutzerklärung zu führen. Diese „Textbaustein-pro-Tool"-Praxis erweist sich jedoch als wenig sachgerecht: Sie führt zu langen, von Anwaltskanzleien vorformulierten Texten, die sich inhaltlich immer wiederholen, und macht die Datenschutzerklärung schwer pflegbar und für Nutzer kaum lesbar – ein Widerspruch zum Transparenzgebot. Vorzugswürdig ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend (Serverbetrieb, Newsletter, Tracking, Verkauf …) beschreibt und lediglich konkret eingesetzte Dienstleister wie Mailchimp in einer Empfängerliste im Anhang aufführt. Genau diese Methodik verfolgt der Datenschutzerklärungs-Generator von matterius.

C. Anbieter von Mailchimp

Vertragspartner für Mailchimp ist nach den öffentlich zugänglichen Angaben des Anbieters die The Rocket Science Group, LLC d/b/a Mailchimp, eine Tochter der Intuit Inc., mit Sitz in 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308, USA.

Da der Anbieter seinen Sitz in den USA hat, liegt eine Datenübermittlung in ein Drittland vor. Intuit Inc. (Mailchimp) ist nach den Angaben in der DPF-Liste unter https://www.dataprivacyframework.gov/s/participant-search als Teilnehmer am EU-US Data Privacy Framework (DPF) gelistet (vom Webseitenbetreiber zu verifizieren). Daneben kommen Standardvertragsklauseln (SCC) zur Absicherung von Subprozessoren und ergänzenden Übermittlungen in Betracht.

Die Datenschutzhinweise von Mailchimp finden sich unter https://mailchimp.com/legal/privacy/. Den Auftragsverarbeitungsvertrag (Data Processing Addendum) stellt der Anbieter unter https://mailchimp.com/legal/data-processing-addendum/ bereit.

D. Mailchimp – Datenverarbeitung in Schritten

1. Erhebung: Wenn ein Nutzer das Mailchimp-Anmeldeformular auf der Webseite ausfüllt, werden die Eingaben (typischerweise E-Mail-Adresse, ggf. Name, Anrede, Interessensfelder) zusammen mit der IP-Adresse und einem Zeitstempel an Mailchimp übermittelt. Mit dem Versand jeder Kampagne erhebt Mailchimp ergänzend Versand- und Zustellinformationen.
2. Speicherung: Die Daten werden in der Mailchimp-Cloud-Infrastruktur, nach Anbieterangaben primär in den USA, gespeichert. Subprozessoren können ergänzend tätig werden.
3. Nutzung: Mailchimp führt im Auftrag des Webseitenbetreibers den Versand der Newsletter aus, dokumentiert Bounces und Abmeldungen und erfasst – sofern aktiviert – Öffnungs- und Klick-Ereignisse.
4. Weitergabe: Eine Weitergabe erfolgt an Subprozessoren (z. B. Hosting-Infrastruktur, Tracking-Komponenten). Eine Liste der Unterauftragsverarbeiter veröffentlicht der Anbieter (siehe DPA).
5. Löschung: Der Webseitenbetreiber kann Empfänger jederzeit aus den Audiences löschen oder ganze Listen entfernen. Eine Speicherbegrenzung über die Lebensdauer der Einwilligung hinaus ist zu konfigurieren.

E. Welche Daten verarbeitet Mailchimp?

Im Rahmen des Newsletter-Versands über Mailchimp werden typischerweise folgende personenbezogene Daten verarbeitet: E-Mail-Adresse, Anrede, Vor- und Nachname, ggf. weitere von der Webseite erfasste Felder (z. B. Branche, Interessen), die IP-Adresse zum Zeitpunkt der Anmeldung, Zeitstempel der Anmeldung und der Bestätigung im Double-Opt-In-Verfahren, Versandzeitpunkt der einzelnen E-Mails, Zustellstatus (Soft/Hard Bounce), Öffnungs- und Klickereignisse sowie Abmeldungen.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: insbesondere die IP-Adresse und technische Metadaten beim Aufruf des Anmeldeformulars sowie beim Abruf eingebetteter Tracking-Pixel und Klick-Links in versendeten E-Mails.
• Klickpfade: Klicks auf Links in den von Mailchimp versendeten E-Mails, jeweils mit Datum und Uhrzeit.
• Endgeräte-Daten: Angaben zum Endgerät, das die E-Mail öffnet, z. B. Gerätetyp und Betriebssystem.
• Browserinformationen: Browser bzw. E-Mail-Client, mit dem die E-Mail geöffnet wird.
• Grobe Standortdaten: anhand der IP-Adresse ermittelter grober Standort des Empfängers auf Stadt- oder Gemeindeebene.
• Nutzungskonto-Daten: Daten zur Identifikation des Empfängers in der Audience, insbesondere E-Mail-Adresse als Schlüsselmerkmal sowie ggf. Benutzerkennung.
• Nutzerprofile: vom Webseitenbetreiber zu einem Empfänger ermittelte Interessen, Segmentzuordnungen und daraus abgeleitete Kennzahlen (z. B. Engagement-Score).
• Conversion-Ereignisse: bei aktivem E-Commerce- oder Tracking-Modul z. B. Klick auf einen Call-to-Action, Öffnen eines bestimmten Newsletters.
• Interaktionsdaten: Öffnen einer E-Mail, Klick auf einzelne Links oder Schaltflächen.
• Technische Telemetriedaten: technische Versand- und Zustellmetadaten, Bounce-Codes, Ladezeiten von Tracking-Pixeln.

F. Mailchimp – Nutzungszwecke

Der Webseitenbetreiber nutzt Mailchimp typischerweise, um angemeldete Empfänger über eigene Inhalte, Produkte und Angebote zu informieren, die Anmeldung und Einwilligung zu dokumentieren, die Versandqualität sicherzustellen und – bei aktiviertem Tracking – die Wirksamkeit einzelner Kampagnen zu messen.

Die mit dem Einsatz von Mailchimp typischerweise verfolgten Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Erbringung der Newsletter- und E-Mail-Funktionalität, einschließlich Bereitstellung des Anmeldeformulars, Double-Opt-In-Verfahren, Versand der bestellten E-Mails sowie Fehlererkennung und Fehlerbehebung im Versandprozess.
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr beim Anmeldeformular, Erkennung und Abwehr von Listen-Missbrauch (z. B. fremdeingetragene Adressen).
• Allgemeine Produktverbesserung: aggregierte Auswertung von Öffnungs- und Klickraten, um Newsletter-Inhalte und -Frequenz insgesamt bedarfsgerecht zu gestalten.
• Allgemeines Marketing: Erfolgsmessung von Kampagnen, Reichweitenanalyse und Bewertung des Kommunikationskanals E-Mail insgesamt.
• Nutzerprofil-Erstellung: Zuordnung zu Segmenten oder Zielgruppen anhand von Interessen, Klick- und Öffnungsverhalten.
• Nutzerindividuelles Marketing: Ausrichtung der Newsletter-Inhalte an die individuellen Interessen und das Verhalten des jeweiligen Empfängers, etwa über Segmentierung und Automation.
• Rechtsdurchsetzung: Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, insbesondere Nachweis der Einwilligung des Empfängers (Anmelde-IP, Zeitstempel, Double-Opt-In) gegenüber Aufsichtsbehörden, Mitbewerbern oder Gerichten.
• Compliance: Einhaltung gesetzlicher Vorgaben zum Einwilligungsnachweis und zur Werbe-E-Mail (Art. 7 DSGVO, § 7 UWG).

G. Rechtsgrundlagen für Mailchimp

Mailchimp fällt für den hier behandelten Einsatzbereich primär in die Tool-Kategorie Newsletter / E-Mail-Marketing.

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Einwilligung der Empfänger (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 Abs. 2 Nr. 3 UWG) für den eigentlichen Versand der Newsletter sowie – soweit aktiviert – für das Öffnungs- und Klick-Tracking.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) an der Rechtsdurchsetzung und Compliance für die Speicherung der Anmelde-Metadaten (IP, Zeitstempel, Double-Opt-In-Bestätigung) zum Nachweis der Einwilligung gemäß Art. 7 Abs. 1 DSGVO und § 7 Abs. 2 Nr. 2 UWG.
• Berechtigte Interessen an Werbung im Rahmen des § 7 Abs. 3 UWG für Direktwerbung an Bestandskunden für eigene ähnliche Waren oder Dienstleistungen, wenn die dortigen Voraussetzungen vorliegen.

Bei aktiviertem Öffnungs- und Klick-Tracking ist eine ausdrückliche Tracking-Einwilligung des Empfängers regelmäßig einschlägig; bei Setzen oder Auslesen von Informationen auf dem Endgerät zudem § 25 Abs. 1 TDDDG zu prüfen. Die Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Mailchimp – Besonderheiten und Hinweise

• Auftragsverarbeitungsvertrag (AVV/DPA): Der Anbieter stellt ein DPA bereit (https://mailchimp.com/legal/data-processing-addendum/); der Abschluss ist regelmäßig zwingend, da Mailchimp im Auftrag des Webseitenbetreibers tätig wird.
• Drittlandtransfer / DPF: Sitzland des Anbieters ist die USA. Die Mutter Intuit Inc. ist nach den Angaben in der DPF-Liste DPF-zertifiziert (vom Webseitenbetreiber zu verifizieren); ergänzend Standardvertragsklauseln möglich.
• Subprozessoren: Mailchimp setzt Subprozessoren ein (Liste über das DPA bzw. das Trust-Center des Anbieters).
• Double-Opt-In: Mailchimp unterstützt Double-Opt-In; der Webseitenbetreiber sollte diese Einstellung in der jeweiligen Audience aktivieren und die Bestätigungsmail textlich auf den eigenen Versand anpassen.
• Einwilligungsnachweis: Anmelde-IP, Zeitstempel sowie Double-Opt-In-Bestätigung sollten dauerhaft mitgeführt werden, um den Einwilligungsnachweis nach Art. 7 Abs. 1 DSGVO und § 7 Abs. 2 Nr. 2 UWG führen zu können.
• Öffnungs- und Klick-Tracking: Mailchimp aktiviert Tracking standardmäßig. Wer Tracking nicht einsetzen möchte, sollte es pro Kampagne deaktivieren – andernfalls ist die Tracking-Einwilligung sauber einzuholen und in der Datenschutzerklärung zu beschreiben.
• Opt-Out: Jeder Newsletter muss nach § 7 Abs. 2 Nr. 4 UWG einen funktionierenden Abmeldelink enthalten; Mailchimp fügt hierfür automatisch einen Unsubscribe-Token in die E-Mails ein.
• Audience-Hygiene: Inaktive und nicht mehr existierende Adressen sollten regelmäßig entfernt werden; die Speicherung sollte sich an der erteilten Einwilligung orientieren.

Die vorstehende Darstellung beruht auf öffentlich zugänglichen Angaben des Anbieters und ergänzenden öffentlich recherchierbaren Quellen. Eine Einzelfallprüfung durch den Webseitenbetreiber bleibt erforderlich.

I. Mailchimp – FAQ

J. Fazit zu Mailchimp und Call-to-Action

Mailchimp ist ein verbreiteter US-Anbieter für Newsletter-Versand und E-Mail-Marketing-Automation. Der Einsatz ist datenschutzrechtlich vor allem geprägt durch die Themen Einwilligung der Empfänger, Einwilligungsnachweis im Double-Opt-In-Verfahren, optional aktiviertes Öffnungs- und Klick-Tracking sowie den Drittlandtransfer in die USA, der über DPF-Zertifizierung und ergänzende Standardvertragsklauseln abgesichert wird. AVV und Datenschutzerklärung müssen die wesentlichen Pflichtangaben (Zwecke, Rechtsgrundlagen, Empfängerkategorien, Drittland, Speicherdauer) abdecken.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, für jedes einzelne Tool – also auch für Mailchimp – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich, unverständlich und schwer pflegbar – und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz: Datenverarbeitungen werden nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) übergreifend erklärt; konkrete Dienstleister wie Mailchimp werden lediglich im Anhang „Empfänger" geführt. Genau das ist die Methodik des Datenschutzerklärungs-Generators von matterius.

K. Kurator