Mailjet und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Mailjet ein, verarbeitet er typischerweise E-Mail-Adressen, Anrede- und Namensangaben sowie Anmelde- und Versanddaten zum Zweck des Newsletter- und E-Mail-Marketing-Versands auf Basis einer Einwilligung der Empfänger. Dieser Beitrag fasst zusammen, welche Datenverarbeitung mit Mailjet typischerweise verbunden ist und was hierzu in die Datenschutzhinweise einer Webseite aufzunehmen ist.

A. Mailjet – Zweck und Funktionsweise

Mailjet ist ein in Frankreich ansässiger E-Mail-Service-Provider, der zur Sinch-Gruppe gehört und sich an Webseitenbetreiber, Online-Shops und SaaS-Anbieter richtet. Webseitenbetreiber nutzen Mailjet zur Verwaltung von Empfängerlisten (sog. Contact Lists), zum Versand von Newslettern, Kampagnen und Marketing-Automation-Strecken sowie zum Versand von Transaktionsmails über die Sende-API oder SMTP-Schnittstelle.

Funktional bündelt Mailjet mehrere Bausteine: Anmeldeformulare (Subscription Widgets bzw. Embed-Formulare), Listen- und Segmentverwaltung, Kampagnen-Editor, Automation, Reporting (Öffnungs- und Klick-Tracking), Transaktionsmails sowie ergänzende Funktionen wie Inbox-Preview oder SMS. Schwerpunkt dieser Seite ist die Integrations-Funktion, die ein deutscher Webseitenbetreiber typischerweise nutzt: Newsletter-Anmeldeformular auf der Webseite und Versand der E-Mail-Kampagnen über Mailjet. Der reine SMTP-/API-Versand für Transaktionsmails (z. B. Bestätigungsmails aus dem Shop) wird auf einer separaten Seite vertieft.

Anbieter ist nach öffentlich zugänglichen Angaben die Mailjet SAS bzw. Sinch Email mit Sitz in Frankreich. Eine Verarbeitung in der EU bzw. im EWR ist daher der Regelfall, je nach Konfiguration und eingesetzten Subprozessoren können jedoch Datenströme in Drittländer hinzukommen.

B. Mailjet – Pflichtangaben in der Datenschutzerklärung

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf den Einsatz konkreter Tools wie Mailjet eine Reihe spezifischer Pflichtangaben. Diese dienen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO und ermöglichen es betroffenen Personen, die Verarbeitung nachzuvollziehen.

Aufzunehmen sind insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder – falls nicht möglich – die Kriterien zur Festlegung der Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – wenn die Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden für Mailjet im Folgenden aufgeschlüsselt.

In der Praxis hat sich eingebürgert, jedes einzelne Tool mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen. Dieser „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Er führt zu langen, von Anwaltskanzleien vorformulierten Texten, die sich inhaltlich immer wiederholen und die gesamte Datenschutzerklärung schwer pflegbar und für Nutzer kaum lesbar machen. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Serverbetrieb, Newsletter, Tracking, Verkauf …) beschreibt und lediglich die konkret eingesetzten Dienstleister – wie Mailjet – in einem Anhang als Empfänger nennt. Genau diese Methodik verfolgt der Datenschutzerklärungs-Generator von matterius.

C. Anbieter von Mailjet

Vertragspartner für Mailjet ist nach öffentlich zugänglichen Angaben des Anbieters die Mailjet SAS (firmierend als Sinch Email) mit Sitz in 4 rue Jules Lefebvre, 75009 Paris, Frankreich.

Da der Anbieter seinen Sitz in Frankreich (EU) hat, findet die Verarbeitung primär im EWR statt. Mailjet kann jedoch Subprozessoren in Drittländern einsetzen (z. B. zur technischen Infrastruktur oder Anti-Spam-Filterung); insoweit greifen Standardvertragsklauseln (SCC) bzw. – soweit USA betroffen – ggf. das DPF, sofern der jeweilige Subprozessor zertifiziert ist (vom Webseitenbetreiber zu verifizieren).

Die Datenschutzhinweise von Mailjet finden sich unter https://www.mailjet.com/security-privacy/. Den Auftragsverarbeitungsvertrag stellt der Anbieter als Data Processing Agreement (DPA) bereit, abrufbar unter https://www.mailjet.com/legal/dpa/.

D. Mailjet – Datenverarbeitung in Schritten

1. Erhebung: Wenn ein Nutzer das in die Webseite eingebundene Mailjet-Anmeldeformular ausfüllt oder über eine API-Anbindung als Kontakt erfasst wird, werden die Eingaben (typischerweise E-Mail-Adresse, ggf. Name, Anrede, Interessensfelder), die IP-Adresse und ein Zeitstempel an Mailjet übermittelt.
2. Speicherung: Die Daten werden in der Mailjet-Infrastruktur, nach Anbieterangaben primär in der EU, gespeichert.
3. Nutzung: Mailjet versendet im Auftrag des Webseitenbetreibers die Newsletter und – sofern aktiviert – misst Öffnungs- und Klickereignisse. Bounces, Spam-Beschwerden und Abmeldungen werden dokumentiert.
4. Weitergabe: Eine Weitergabe erfolgt an Subprozessoren (insbesondere Hosting, Anti-Spam, Reputation Services). Eine Liste publiziert der Anbieter über das DPA bzw. das Trust-Center.
5. Löschung: Der Webseitenbetreiber kann Empfänger jederzeit aus den Listen entfernen oder Listen löschen. Die Speicherbegrenzung ist über Listen- und Retention-Einstellungen zu konfigurieren.

E. Welche Daten verarbeitet Mailjet?

Im Rahmen des Newsletter-Versands über Mailjet werden typischerweise folgende personenbezogene Daten verarbeitet: E-Mail-Adresse, Anrede, Vor- und Nachname, ggf. weitere von der Webseite erfasste Felder (z. B. Sprache, Branche, Interessen), die IP-Adresse zum Zeitpunkt der Anmeldung, Zeitstempel der Anmeldung und der Bestätigung im Double-Opt-In-Verfahren, Versandzeitpunkt der einzelnen E-Mails, Zustellstatus, Öffnungs- und Klickereignisse sowie Abmeldungen.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: insbesondere die IP-Adresse und technische Metadaten beim Aufruf des Anmeldeformulars sowie beim Abruf eingebetteter Tracking-Pixel und Klick-Links in versendeten E-Mails.
• Klickpfade: Klicks auf Links in den von Mailjet versendeten E-Mails, jeweils mit Datum und Uhrzeit.
• Endgeräte-Daten: Angaben zum Endgerät, das die E-Mail öffnet, z. B. Gerätetyp und Betriebssystem.
• Browserinformationen: Browser bzw. E-Mail-Client, mit dem die E-Mail geöffnet wird.
• Grobe Standortdaten: anhand der IP-Adresse ermittelter grober Standort des Empfängers auf Stadt- oder Gemeindeebene.
• Nutzungskonto-Daten: Daten zur Identifikation des Empfängers in der Liste, insbesondere die E-Mail-Adresse als Schlüsselmerkmal.
• Nutzerprofile: vom Webseitenbetreiber zu einem Empfänger ermittelte Interessen, Segmentzuordnungen und daraus abgeleitete Kennzahlen (z. B. Engagement-Score).
• Conversion-Ereignisse: bei aktiviertem Tracking z. B. Klick auf einen Call-to-Action oder Aufruf bestimmter Seiten nach Klick aus einem Newsletter.
• Interaktionsdaten: Öffnen einer E-Mail, Klick auf einzelne Links oder Schaltflächen.
• Technische Telemetriedaten: technische Versand- und Zustellmetadaten, Bounce-Codes, Ladezeiten von Tracking-Pixeln.

F. Mailjet – Nutzungszwecke

Der Webseitenbetreiber nutzt Mailjet typischerweise, um angemeldete Empfänger über eigene Inhalte, Produkte und Angebote zu informieren, die Anmeldung und Einwilligung im Double-Opt-In-Verfahren zu dokumentieren, die Versandqualität sicherzustellen und – bei aktiviertem Tracking – die Wirksamkeit der Kampagnen zu messen.

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Erbringung der Newsletter- und E-Mail-Funktionalität, einschließlich Bereitstellung des Anmeldeformulars, Double-Opt-In, Versand der bestellten E-Mails sowie Fehlererkennung und Fehlerbehebung im Versandprozess.
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr beim Anmeldeformular, Erkennung und Abwehr von Listen-Missbrauch (z. B. fremdeingetragene Adressen), Reputation-Schutz beim Versand.
• Allgemeine Produktverbesserung: aggregierte Auswertung von Öffnungs- und Klickraten, um Newsletter-Inhalte und -Frequenz insgesamt bedarfsgerecht zu gestalten.
• Allgemeines Marketing: Erfolgsmessung von Kampagnen, Reichweitenanalyse und Bewertung des Kommunikationskanals E-Mail insgesamt.
• Nutzerprofil-Erstellung: Zuordnung zu Segmenten oder Zielgruppen anhand von Interessen sowie Klick- und Öffnungsverhalten.
• Nutzerindividuelles Marketing: Ausrichtung der Newsletter-Inhalte an die individuellen Interessen und das Verhalten des jeweiligen Empfängers (Segmentierung, Automation).
• Rechtsdurchsetzung: Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, insbesondere Nachweis der Einwilligung des Empfängers (Anmelde-IP, Zeitstempel, Double-Opt-In) gegenüber Aufsichtsbehörden, Mitbewerbern oder Gerichten.
• Compliance: Einhaltung gesetzlicher Vorgaben zum Einwilligungsnachweis und zur Werbe-E-Mail (Art. 7 DSGVO, § 7 UWG).

G. Rechtsgrundlagen für Mailjet

Mailjet fällt für den hier behandelten Einsatzbereich primär in die Tool-Kategorie Newsletter / E-Mail-Marketing.

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Einwilligung der Empfänger (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 Abs. 2 Nr. 3 UWG) für den Versand der Newsletter sowie – soweit aktiviert – für das Öffnungs- und Klick-Tracking.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) an Rechtsdurchsetzung und Compliance für die Speicherung der Anmelde-Metadaten (IP, Zeitstempel, Double-Opt-In-Bestätigung) zum Nachweis der Einwilligung gemäß Art. 7 Abs. 1 DSGVO und § 7 Abs. 2 Nr. 2 UWG.
• Berechtigte Interessen an Werbung im Rahmen des § 7 Abs. 3 UWG für Direktwerbung an Bestandskunden für eigene ähnliche Waren oder Dienstleistungen, wenn die dortigen Voraussetzungen vorliegen.

Bei aktiviertem Öffnungs- und Klick-Tracking ist eine ausdrückliche Tracking-Einwilligung des Empfängers regelmäßig einschlägig; bei Setzen oder Auslesen von Informationen auf dem Endgerät zudem § 25 Abs. 1 TDDDG zu prüfen. Die Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Mailjet – Besonderheiten und Hinweise

• Auftragsverarbeitungsvertrag (AVV/DPA): Der Anbieter stellt ein DPA bereit (https://www.mailjet.com/legal/dpa/); der Abschluss ist regelmäßig zwingend, da Mailjet im Auftrag des Webseitenbetreibers tätig wird.
• Sitzland und Drittlandtransfer: Mailjet (Sinch Email) hat seinen Sitz in Frankreich; Verarbeitungen finden überwiegend im EWR statt. Drittlandbezug kann durch Subprozessoren entstehen; insoweit kommen SCC bzw. – bei USA-Bezug und Zertifizierung – das DPF in Betracht (vom Webseitenbetreiber zu verifizieren).
• Subprozessoren: Mailjet setzt Subprozessoren ein; eine aktuelle Liste ist über das DPA bzw. das Trust-Center des Anbieters einsehbar.
• Double-Opt-In: Mailjet bietet Double-Opt-In über Anmeldewidgets und API; der Webseitenbetreiber sollte diese Einstellung in der jeweiligen Liste aktivieren und die Bestätigungsmail textlich auf den eigenen Versand anpassen.
• Einwilligungsnachweis: Anmelde-IP, Zeitstempel sowie Double-Opt-In-Bestätigung sollten dauerhaft mitgeführt werden, um den Einwilligungsnachweis nach Art. 7 Abs. 1 DSGVO und § 7 Abs. 2 Nr. 2 UWG führen zu können.
• Öffnungs- und Klick-Tracking: Diese Funktionen sind in Mailjet zuschaltbar; sie sind nur dann zu nutzen, wenn die Tracking-Einwilligung sauber eingeholt und in der Datenschutzerklärung beschrieben wird.
• Opt-Out: Jeder Newsletter muss nach § 7 Abs. 2 Nr. 4 UWG einen funktionierenden Abmeldelink enthalten; Mailjet stellt dafür Platzhalter und Token bereit.
• Listenhygiene: Inaktive und nicht mehr existierende Adressen sollten regelmäßig entfernt werden; die Speicherung sollte sich an der erteilten Einwilligung orientieren.

Die vorstehende Darstellung beruht auf öffentlich zugänglichen Angaben des Anbieters und ergänzenden öffentlich recherchierbaren Quellen. Eine Einzelfallprüfung durch den Webseitenbetreiber bleibt erforderlich.

I. Mailjet – FAQ

J. Fazit zu Mailjet und Call-to-Action

Mailjet ist ein in der EU ansässiger Anbieter für Newsletter-Versand, Marketing-Automation und Transaktionsmails. Datenschutzrechtlich relevant sind insbesondere die Themen Einwilligung der Empfänger, Einwilligungsnachweis im Double-Opt-In-Verfahren, optional aktiviertes Öffnungs- und Klick-Tracking sowie ein möglicher Drittlandbezug über Subprozessoren. AVV und Datenschutzerklärung müssen die wesentlichen Pflichtangaben (Zwecke, Rechtsgrundlagen, Empfängerkategorien, Speicherdauer, Drittland) abdecken.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, für jedes einzelne Tool – also auch für Mailjet – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich, unverständlich und schwer pflegbar – und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz: Datenverarbeitungen werden nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) übergreifend erklärt; konkrete Dienstleister wie Mailjet werden lediglich im Anhang „Empfänger" geführt. Genau das ist die Methodik des Datenschutzerklärungs-Generators von matterius.

K. Kurator