Mailchimp Website Tracking und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber das Mailchimp Website Tracking ein, verarbeitet er regelmäßig pseudonyme Cookie-IDs, Webseitenverhaltensdaten sowie – nach einem Klick auf einen Link in einer Mailchimp-Mail oder einer Newsletter-Anmeldung – auch identifizierende Empfängerdaten. Diese Seite erläutert, welche Daten Mailchimp Website Tracking nach den öffentlich zugänglichen Angaben des Anbieters verarbeitet, welche Zwecke und Rechtsgrundlagen typischerweise einschlägig sind und wie sich der Einsatz in einer Datenschutzerklärung sachgerecht abbilden lässt.

A. Zweck und Funktionsweise von Mailchimp Website Tracking

Mailchimp Website Tracking (vom Anbieter auch als „Site Tracking" bezeichnet) ist eine optionale Tracking-Funktion innerhalb der Mailchimp-E-Mail-Marketing-Plattform. Bei aktiviertem Site Tracking wird auf der Webseite des Webseitenbetreibers ein JavaScript-Snippet (in der Regel als Bestandteil eines Mailchimp-Anmeldeformulars oder als „connected sites"-Skript) eingebunden, das das Verhalten der Besucher protokolliert.

Wird ein Besucher zuvor über einen Link aus einer Mailchimp-Kampagne auf die Webseite geleitet oder hat er sich über ein Mailchimp-Formular zum Newsletter angemeldet, kann Mailchimp den Besucher anhand einer Cookie-ID einem Empfänger-Profil zuordnen. So lässt sich nachvollziehen, welche Seiten ein Empfänger angesehen, welche Produkte er aufgerufen oder welche Conversion-Ereignisse er ausgelöst hat. Diese Seite betrifft ausschließlich die Tracking-Funktion; der reine Newsletter-Versand über Mailchimp ist eine eigenständige Verarbeitung und nicht Gegenstand dieser Darstellung.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Mailchimp Website Tracking

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Personen und zur Aufsichtsbehörde tool-bezogen bestimmte Mindestinhalte. Für den Einsatz von Mailchimp Website Tracking sind das insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei berechtigten Interessen die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt erhobenen Daten zusätzlich die Kategorien der Daten (Art. 14 Abs. 1 lit. d DSGVO).

Es ist nicht erforderlich, Mailchimp Website Tracking mit einem eigenen Textbaustein in der Datenschutzerklärung zu beschreiben, auch wenn diese Praxis weithin verbreitet ist. Die „Textbaustein-pro-Tool"-Methode hat sich als schlechte Manier etabliert: Sie führt zu langen, redundanten Texten, macht die Datenschutzerklärung schwer pflegbar und steht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegen. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend (Tracking, Newsletter …) beschreibt und die konkret eingesetzten Dienstleister – darunter Mailchimp – nur in einem Anhang Empfänger benennt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Mailchimp Website Tracking

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters die Intuit Inc. bzw. ihre Konzerntochter, die Mailchimp betreibt: The Rocket Science Group, LLC d/b/a Mailchimp, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308, USA. Welche Konzerngesellschaft im Einzelfall Vertragspartner ist, ist vom Webseitenbetreiber anhand der Vertragsunterlagen zu prüfen.

Sowohl Intuit Inc. als auch The Rocket Science Group, LLC sind nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework (DPF) zertifiziert; der Status ist unter https://www.dataprivacyframework.gov/s/participant-search verifizierbar. Ergänzend sieht der Anbieter EU-Standardvertragsklauseln vor.

Die Datenschutzhinweise von Mailchimp sind abrufbar unter https://www.intuit.com/privacy/statement/ bzw. https://mailchimp.com/legal/privacy/. Der Auftragsverarbeitungsvertrag (Data Processing Addendum) wird unter https://mailchimp.com/legal/data-processing-addendum/ bereitgestellt.

D. Datenverarbeitung durch Mailchimp Website Tracking – Ablauf in Schritten

E. Erhobene Daten beim Einsatz von Mailchimp Website Tracking

Im Zusammenhang mit dem Mailchimp Website Tracking werden nach den öffentlich zugänglichen Angaben des Anbieters typischerweise eine pseudonyme Cookie-ID, die IP-Adresse, Zeitstempel, aufgerufene URLs, Referrer, User-Agent, Klick- und Scroll-Ereignisse, Conversion-Ereignisse (z. B. Käufe, Anmeldungen) und – nach Identifikation – die im Empfänger-Profil hinterlegten Daten (z. B. E-Mail-Adresse, Name, Anrede) verarbeitet.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Zeitstempel, URL, Referrer, User-Agent, Statuscode der Serverantwort.
• Klickpfade: aufgerufene Seiten, Klicks auf Links und Schaltflächen, Aufrufe von Mailchimp-Formularen, Klicks in Mailchimp-Kampagnen-Mails.
• Endgeräte-Daten: Gerätetyp und Betriebssystem, soweit aus dem User-Agent ableitbar.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: aus der IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Nutzerprofile: Segmentzuordnungen, Engagement-Werte, Tag-Zuordnungen je Empfänger.
• Conversion-Ereignisse: definierte Käufe, Anmeldungen, Aufrufe von Danke-Seiten oder Produktdetailseiten.
• Interaktionsdaten: Verweildauer, Scrollen, Klicks und Eingaben innerhalb der Webseite, Öffnungen und Klicks in Mailchimp-Kampagnen.

F. Nutzungszwecke beim Einsatz von Mailchimp Website Tracking

Webseitenbetreiber nutzen Mailchimp Website Tracking typischerweise zur Erfolgsmessung von E-Mail-Kampagnen über die E-Mail-Öffnung hinaus, zur Segmentierung von Empfängerlisten auf Basis des Webseitenverhaltens, zur Auslösung trigger-basierter Mailings (z. B. Warenkorbabbruch) und zur Personalisierung von Kampagneninhalten.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: technische Bereitstellung des Tracking-Snippets und der zugehörigen Empfänger-Identifikation.
• Sicherheit und Missbrauchsschutz: Bot- und Spam-Abwehr, Erkennung anomaler Tracking-Muster.
• Allgemeine Produktverbesserung: Auswertung aggregierter Conversion-Raten und Kampagnenmetriken.
• Allgemeines Marketing: Reichweiten- und Kampagnenanalyse.
• Nutzerprofil-Erstellung: Segmentierung und Tag-Zuordnung je Empfänger auf Basis des Webseitenverhaltens.
• Nutzerindividuelle Produktverbesserung: Personalisierung von Inhalten und Empfehlungen.
• Nutzerindividuelles Marketing: trigger-basierte und personalisierte Mailings (z. B. Warenkorbabbrecher-Mails).
• Rechtsdurchsetzung: Nachweis von Anmeldungen und Einwilligungen, soweit über Mailchimp dokumentiert.

G. Rechtsgrundlagen beim Einsatz von Mailchimp Website Tracking

In einem ersten Schritt ist Mailchimp Website Tracking einer Tool-Kategorie zuzuordnen: Es handelt sich im Schwerpunkt um ein Tool aus der Kategorie Tracking (Marketing), ergänzt um Funktionen der Kategorie Newsletter.

In einem zweiten Schritt kommen folgende Rechtsgrundlagen typischerweise in Betracht:

• Für das Setzen und Auslesen des Tracking-Cookies sowie die Verknüpfung mit Empfänger-Profilen: Einwilligung nach § 25 Abs. 1 TDDDG und Marketing-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
• Für trigger-basierte und personalisierte Folge-Mailings: regelmäßig Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 7 Abs. 2 Nr. 3 UWG; im Bestandskundenkontext flankiert durch § 7 Abs. 3 UWG i.V.m. berechtigtem Interesse an Werbung.
• Für die Speicherung von Anmelde- und Einwilligungsnachweisen: rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 7 Abs. 2 Nr. 2 UWG sowie berechtigtes Interesse an Rechtsausübung.

Welche Rechtsgrundlage konkret einschlägig ist, hängt von der Ausgestaltung des Einsatzes (Consent-Banner, Bestandskundenbeziehung, Art der ausgelösten Mailings) ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Mailchimp Website Tracking

• AVV/DPA: Mailchimp stellt unter https://mailchimp.com/legal/data-processing-addendum/ ein Data Processing Addendum bereit; der Abschluss ist beim Einsatz durch deutsche Webseitenbetreiber regelmäßig zwingend.
• Connected Sites: Mailchimp bietet die Funktion „Connected Sites" zum Anlegen einer Verbindung zwischen Webseite und Mailchimp-Konto. Dabei wird ein zentraler Tracking-Snippet ausgespielt, dessen Verwendung im Hinblick auf das Consent-Management besonders sorgfältig zu konfigurieren ist.
• Cookie-Lebensdauer: Die Cookie-Lebensdauer kann je nach Konfiguration bis zu zwei Jahre betragen; eine Reduktion ist regelmäßig zu prüfen.
• Drittlandtransfer / DPF: Datenverarbeitung findet auch in den USA statt. Sowohl Intuit Inc. als auch The Rocket Science Group, LLC sind nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert; ergänzend werden EU-Standardvertragsklauseln eingesetzt.
• Subprozessoren: Eine Liste der Subprozessoren wird über die Mailchimp-Webseite bzw. das DPA bereitgestellt.
• Opt-Out: Empfänger können den Newsletter-Bezug über den Abmeldelink in jeder Kampagne widerrufen; das Setzen des Tracking-Cookies ist über das Consent-Management des Webseitenbetreibers zu steuern.
• Quellenhinweis: Die Angaben beruhen auf den öffentlich zugänglichen Veröffentlichungen des Anbieters und ersetzen keine Einzelfallprüfung.

I. Häufige Fragen zu Mailchimp Website Tracking und Datenschutz

J. Fazit zu Mailchimp Website Tracking

Beim Einsatz von Mailchimp Website Tracking verarbeiten Webseitenbetreiber Verhaltensdaten der Besucher und – bei Identifikation – Empfänger-Profile zu Zwecken der Newsletter-Personalisierung, der Kampagnen-Erfolgsmessung und der Trigger-basierten Mailings. Vertragspartner ist die US-Konzerngesellschaft, die nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert ist. Zentrale Pflichten sind der Abschluss eines Auftragsverarbeitungsvertrags, die saubere Anbindung an das Consent-Management und eine angemessene Cookie-Lebensdauer.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für Mailchimp Website Tracking einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Empfehlenswert ist ein strukturierter, themenorientierter Ansatz, der Tools nach Themenblöcken (Tracking, Newsletter …) übergreifend erklärt und nur im Anhang Empfänger die einzelnen Dienstleister wie Mailchimp nennt. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com