Mailchimp Embedded Forms und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Mailchimp Embedded Forms ein, verarbeitet er beim Aufruf der Webseite typischerweise IP-Adresse, Browser- und Endgeräte-Informationen sowie die im Anmeldeformular eingegebenen Daten (mindestens E-Mail-Adresse) zum Zweck der Newsletter-Anmeldung auf Basis einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Diese Seite erläutert, welche Daten Mailchimp nach den öffentlich zugänglichen Anbieter-Angaben verarbeitet und was dazu in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von Mailchimp Embedded Forms

Mailchimp ist eine E-Mail-Marketing-Plattform der The Rocket Science Group, LLC d/b/a Mailchimp, die seit 2021 zur Intuit Inc. gehört. Der Dienst ermöglicht die Verwaltung von E-Mail-Listen, den Versand von Newslettern und Marketing-Kampagnen sowie die Auswertung von Öffnungs- und Klickraten. Diese Seite fokussiert sich ausschließlich auf die eingebetteten Newsletter-Anmeldeformulare (Embedded Forms), nicht auf die allgemeine Mailchimp-Plattform oder den E-Mail-Versand an sich.

Für Webseitenbetreiber relevant ist das Einbetten eines Mailchimp-Anmeldeformulars in die eigene Webseite. Im Mailchimp-Backend kann unter "Audience → Signup forms → Embedded forms" ein HTML/JavaScript-Code-Snippet erzeugt werden, das in die eigene Webseite eingefügt wird. Dieses Snippet besteht typischerweise aus einem HTML-Formular mit einem <script>-Tag, der die Mailchimp-Stylesheet- und Validierungsbibliothek (//s3.amazonaws.com/downloads.mailchimp.com/js/mc-validate.js) nachlädt. Beim Abschicken des Formulars werden die Eingaben direkt an den Mailchimp-Endpunkt (list-manage.com) übermittelt. Anders als ein klassisches iFrame lädt das Embed Inhalte nicht beim Seitenaufruf von einem Drittserver nach — das Formular selbst wird als HTML in der eigenen Seite gerendert; lediglich das JavaScript-Hilfsskript wird von Mailchimp-Servern nachgeladen.

Diese Funktionsweise ist technisch zu unterscheiden von reinen Backend-Funktionen wie dem Kampagnen-Versand, der Listenver­waltung oder dem Reporting-Dashboard — diese finden ausschließlich zwischen dem Webseitenbetreiber und Mailchimp statt, ohne direkte Berührung mit dem Webseitenbesucher.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Mailchimp Embedded Forms

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – wenn Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die nachfolgenden Abschnitte ordnen diese Pflichtangaben für den Einsatz von Mailchimp Embedded Forms ein.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für Mailchimp – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine "präzise, transparente, verständliche und leicht zugängliche Form" verlangt. Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) beschrieben; die konkret eingesetzten Dienstleister wie Mailchimp werden in einem Anhang: Empfänger aufgelistet.

C. Anbieter von Mailchimp Embedded Forms

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Anbieter-Angaben:

• The Rocket Science Group, LLC d/b/a Mailchimp
• Anschrift: 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308, USA
• Muttergesellschaft: Intuit Inc. (seit 2021), 2700 Coast Avenue, Mountain View, CA 94043, USA
• Sitzland: USA
• Privacy Policy: https://mailchimp.com/legal/privacy/
• Cookie Statement: https://mailchimp.com/legal/cookies/
• Data Processing Agreement: https://mailchimp.com/legal/data-processing-addendum/

DPF-Status: The Rocket Science Group, LLC ist nach öffentlich zugänglichen Angaben unter dem EU-U.S. Data Privacy Framework zertifiziert. Der aktuelle Zertifizierungsstatus ist vom Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search zu verifizieren. Ergänzend stützt Mailchimp Datentransfers nach eigenen Angaben auf EU-Standardvertragsklauseln (SCC).

Hinweis zur Konzernstruktur: Seit der Übernahme durch Intuit Inc. im Jahr 2021 ist Mailchimp eine Tochtergesellschaft von Intuit. Für den Abschluss eines Auftragsverarbeitungsvertrags ist nach den öffentlich zugänglichen Angaben weiterhin The Rocket Science Group, LLC als Vertragspartner vorgesehen.

D. Datenverarbeitung mit Mailchimp Embedded Forms – Ablauf in Schritten

E. Von Mailchimp Embedded Forms erhobene Daten

Beim Einsatz von Mailchimp Embedded Forms verarbeitet der Anbieter nach den öffentlich zugänglichen Angaben insbesondere folgende Datenkategorien: Verbindungsdaten beim Laden des JavaScript-Snippets (IP-Adresse, User-Agent, Zeitstempel, Referrer), die vom Besucher eingegebenen Formularinhalte (mindestens E-Mail-Adresse; je nach Konfiguration zusätzlich Vorname, Nachname, ggf. weitere individuell hinzugefügte Felder), den Zeitstempel der Anmeldung sowie ggf. die IP-Adresse der Anmeldung. Bei aktiviertem Double-Opt-in werden ergänzend Zeitstempel und Bestätigungs-Token gespeichert.

Bei der nachgelagerten Newsletter-Nutzung (also nach der Anmeldung über das Formular) verarbeitet Mailchimp zusätzlich Interaktionsdaten: Öffnungen von E-Mails, Klicks auf Links, Geolokationsdaten aus der IP-Adresse zum Zeitpunkt der Öffnung. Diese Daten entstehen jedoch erst nach dem Newsletter-Versand, nicht beim Embed selbst.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit, URL des nachgeladenen JavaScript-Snippets, Referrer-URL der einbettenden Seite, Statuscode.
• Browserinformationen: Browsername und -version (aus dem User-Agent beim Skript-Aufruf).
• Endgeräte-Daten: Gerätetyp, Betriebssystem (aus dem User-Agent).
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter Standort auf Stadt-/Gemeindeebene.
• Nutzer-Inhalte: die im Anmeldeformular eingegebenen Daten – mindestens E-Mail-Adresse, ggf. Name und weitere konfigurierte Felder.
• Nutzungskonto-Daten: E-Mail-Adresse und ggf. Name als Basis-Kontaktdaten in der Mailchimp-Audience.
• Conversion-Ereignisse: das Absenden des Anmeldeformulars als Newsletter-Opt-in-Ereignis.
• Erfüllung von Aufbewahrungspflichten: Zeitstempel und ggf. IP-Adresse des Opt-ins als Nachweis der Einwilligung (Double-Opt-in-Protokoll).

F. Nutzungszwecke des Webseitenbetreibers beim Einsatz von Mailchimp Embedded Forms

Der Webseitenbetreiber nutzt Mailchimp Embedded Forms primär zur Ermöglichung der Newsletter-Anmeldung auf der eigenen Webseite — also zur Erfassung von E-Mail-Adressen interessierter Besucher für den regelmäßigen E-Mail-Newsletter oder andere Marketing-Kommunikation. Daneben dienen die erhobenen Daten dem Nachweis der eingeholten Einwilligung, der Listenverwaltung sowie der Segmentierung für zielgerichtete Kampagnen.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Auslieferung und Funktionsfähigkeit des Newsletter-Anmeldeformulars (Anzeige, Validierung, Absende-Logik), Fehlererkennung.
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr beim Formularabsenden, Validierung von E-Mail-Adressen.
• Allgemeines Marketing: Aufbau einer Empfängerliste für E-Mail-Newsletter und Marketing-Kampagnen, Messung von Anmeldequoten.
• Nutzerindividuelles Marketing: personalisierte Newsletter, Segmentierung von Empfängergruppen nach Interessen und Verhalten, Direktmarketing per E-Mail.
• Nutzerprofil-Erstellung: Erfassung und Pflege von Kontaktprofilen in der Audience (Interessen, Segmente, Aktivitätsdaten).
• Erfüllung von Aufbewahrungspflichten: Dokumentation des Opt-ins (Zeitstempel, ggf. IP-Adresse) als Nachweis der eingeholten Einwilligung nach DSGVO und § 7 UWG.

G. Rechtsgrundlagen für den Einsatz von Mailchimp Embedded Forms

Mailchimp Embedded Forms fällt in die Tool-Kategorie Newsletter / Opt-in-Formular. Da das Formular ausdrücklich der Einholung einer Einwilligung zur E-Mail-Marketing-Kommunikation dient, ist die Rechtslage vergleichsweise klar:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) für das Opt-in selbst: Das Anmeldeformular dient der Einholung der Einwilligung zur Zusendung von Newslettern. Die Einwilligung muss freiwillig, informiert, unmissverständlich und dokumentiert sein. Die datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und die wettbewerbsrechtliche Einwilligung nach § 7 Abs. 2 UWG sind dabei zu kombinieren. Ein Double-Opt-in-Verfahren ist nach herrschender Praxis dringend empfohlen, um die Einwilligung nachweisbar zu dokumentieren.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) für das Nachladen des JavaScript-Snippets beim Seitenaufruf, sofern dabei Cookies gesetzt oder Informationen aus dem Endgerät ausgelesen werden. Da das Skript von einem Drittanbieter-Server nachgeladen wird, ist dies im Regelfall als einwilligungspflichtig einzustufen.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) kommen für die technische Bereitstellung des Formulars im Einzelfall ergänzend in Betracht; bei einem reinen Newsletter-Opt-in-Tool ist jedoch die Einwilligung die primäre und sachgerechtere Rechtsgrundlage.

Die einschlägige Rechtsgrundlage hängt von der konkreten Konfiguration und dem Einsatzzweck ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Mailchimp Embedded Forms

• Double-Opt-in: Mailchimp unterstützt ein Double-Opt-in-Verfahren, das im Audience-Setting konfiguriert werden kann. Die Aktivierung ist nach herrschender Praxis dringend empfohlen, da sie den Nachweis der Einwilligung erheblich erleichtert.
• AVV/DPA: Mailchimp stellt einen Auftragsverarbeitungsvertrag (Data Processing Addendum) unter https://mailchimp.com/legal/data-processing-addendum/ bereit. Der Abschluss ist beim Einsatz des Tools für die Verarbeitung personenbezogener Daten von EU-Bürgern erforderlich.
• Drittlandtransfer: Eine Übermittlung in die USA findet statt. The Rocket Science Group, LLC ist nach öffentlich zugänglichen Angaben unter dem EU-U.S. Data Privacy Framework zertifiziert; der aktuelle Status sollte unter https://www.dataprivacyframework.gov/s/participant-search verifiziert werden. Ergänzend werden nach Anbieter-Angaben EU-Standardvertragsklauseln (SCC) eingesetzt.
• Kein EU-Hosting: Eine Option zur Speicherung von Kontaktdaten auf EU-Servern ist nach den öffentlich zugänglichen Anbieter-Angaben nicht verfügbar. Das Hosting erfolgt in den USA.
• Subprozessoren: Amazon Web Services ist als primärer Hosting-Subprozessor bestätigt. Die aktuelle Subprozessor-Liste findet sich unter https://mailchimp.com/legal/subprocessors/.
• Nachgelagerte Datenverarbeitung: Über das Anmeldeformular hinaus verarbeitet Mailchimp nach dem Versand von Newslettern Interaktionsdaten (Öffnungen, Klicks, Geolokation), die separat in der Datenschutzerklärung adressiert werden sollten, sofern der Webseitenbetreiber Newsletter verschickt.
• Einstellungen für den Webseitenbetreiber: Double-Opt-in aktivieren (dringend empfohlen), GDPR-Felder (Opt-in-Checkboxen mit Einwilligungstext) im Formular aktivieren, nur notwendige Felder abfragen (Datensparsamkeit), unsubscribed-Kontakte regelmäßig bereinigen.
• Einstellungen für den Webseitenbesucher: Abmeldung jederzeit über den "Unsubscribe"-Link in jedem Newsletter möglich. Ergänzend kann die Einwilligung gegenüber dem Webseitenbetreiber widerrufen werden.

I. Häufige Fragen zu Mailchimp Embedded Forms und Datenschutz

J. Fazit zu Mailchimp Embedded Forms und Hinweise zur Datenschutzerklärung

Mailchimp Embedded Forms ist ein in der Praxis weit verbreitetes Tool zur Newsletter-Anmeldung, das als HTML/JavaScript-Snippet in eigene Webseiten eingebettet wird. Beim Nachladen des Skripts werden Verbindungsdaten an Mailchimp-Server in den USA übertragen; beim Absenden des Formulars werden die Anmeldedaten direkt an Mailchimp übermittelt und dort gespeichert. Die Einwilligung ist die zwingend erforderliche Rechtsgrundlage — sowohl für den Opt-in-Vorgang als auch für das Nachladen des Drittanbieter-Skripts. Ein Double-Opt-in ist dringend empfohlen. Ein Auftragsverarbeitungsvertrag mit Mailchimp muss abgeschlossen werden.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für Mailchimp Embedded Forms einen eigenen Textbaustein aufzunehmen. Solche Tool-Bausteine machen Datenschutzerklärungen lang, unübersichtlich, schwer pflegbar und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form verlangt.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Tools übergreifend nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) erklärt und im Anhang: Empfänger auf einzelne Dienstleister wie The Rocket Science Group, LLC / Mailchimp verweist. Das ist die Methodik des matterius-Generators.

Dieser Beitrag dient der allgemeinen Information zu Mailchimp Embedded Forms und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 6. Mai 2026.

K. Kurator dieser Seite

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com