Marketo Munchkin und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Marketo Munchkin ein, verarbeitet er regelmäßig pseudonyme Cookie-IDs, Webseiten-Verhaltensdaten und – nach einem Formular-Submit oder Klick aus einer Marketo-Mail – auch identifizierende Lead-Daten zum Zweck der B2B-Lead-Generierung und Marketing-Automation. Diese Seite gibt Webseitenbetreibern in Deutschland einen kompakten Überblick darüber, welche Daten Marketo Munchkin nach den öffentlich zugänglichen Angaben des Anbieters verarbeitet, welche Zwecke und Rechtsgrundlagen typischerweise einschlägig sind und wie sich der Einsatz sachgerecht in der Datenschutzerklärung abbilden lässt.

A. Zweck und Funktionsweise von Marketo Munchkin

Marketo Munchkin ist das Webtracking-JavaScript der Marketing-Automation-Plattform Adobe Marketo Engage. Auf den Webseiten des Webseitenbetreibers eingebunden, registriert Munchkin Seitenaufrufe, Klickpfade, Verweildauern und definierte Conversion-Ereignisse und übermittelt diese an die Marketo-Plattform. Anonyme Besucher werden über eine pseudonyme Cookie-ID einem virtuellen Profil zugeordnet. Sobald ein Besucher ein Marketo-Formular absendet oder einen personalisierten Link aus einer Marketo-E-Mail anklickt, wird der bisherige anonyme Besuchsverlauf mit dem dabei bekannten Lead-Datensatz verknüpft („known visitor mapping").

Diese Seite konzentriert sich auf die Integrations-Funktion Munchkin-Tracking-Skript sowie Marketo-Formulare und Landingpages. Weitere Funktionen von Marketo Engage (E-Mail-Versand, Engagement Programs, Lead Scoring, Adobe Experience Cloud-Integration) finden serverseitig oder im Adobe-Backend statt und werden hier nur am Rande betrachtet.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Marketo Munchkin

Die DSGVO verlangt von Webseitenbetreibern, in der Datenschutzerklärung neben allgemeinen Angaben zum Verantwortlichen, zu Betroffenenrechten und der zuständigen Aufsichtsbehörde auch tool-bezogen bestimmte Mindestinhalte auszuweisen. Für den Einsatz von Marketo Munchkin sind das insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei berechtigten Interessen die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt beim Betroffenen erhobenen Daten zusätzlich die Kategorien der personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Es ist nicht erforderlich, Marketo Munchkin mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen, auch wenn diese Praxis weit verbreitet ist. Der „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert, weil er zu langen, anwaltlich vorformulierten Texten mit redundanten Inhalten führt, die Datenschutzerklärung schwer pflegbar macht und dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegensteht. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Tracking, Newsletter, Kontaktformular …) beschreibt und Marketo Munchkin lediglich in einem Anhang Empfänger benennt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Marketo Munchkin

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters in der Regel die Adobe Systems Software Ireland Limited, 4–6 Riverwalk, Citywest Business Campus, Dublin 24, Irland. Konzernmuttergesellschaft ist die Adobe Inc., 345 Park Avenue, San Jose, CA 95110-2704, USA. Welche Adobe-Konzerngesellschaft im Einzelfall Vertragspartner ist, ist vom Webseitenbetreiber anhand seiner Bestell- und Vertragsunterlagen zu prüfen.

Die Adobe Inc. ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework (DPF) zertifiziert; der Status kann unter https://www.dataprivacyframework.gov/s/participant-search verifiziert werden. Ergänzend kommen EU-Standardvertragsklauseln zum Einsatz.

Die Datenschutzhinweise von Adobe sind abrufbar unter https://www.adobe.com/de/privacy/policy.html. Der Auftragsverarbeitungsvertrag (Data Processing Agreement) wird über das Adobe Trust Center bzw. die Vertragsunterlagen bereitgestellt.

D. Datenverarbeitung durch Marketo Munchkin – Ablauf in Schritten

E. Erhobene Daten beim Einsatz von Marketo Munchkin

Im Zusammenhang mit Marketo Munchkin werden nach den öffentlich zugänglichen Angaben des Anbieters typischerweise eine pseudonyme Cookie-ID (_mkto_trk), die IP-Adresse, Zeitstempel, aufgerufene URLs und Referrer, Klick- und Formular-Ereignisse, vom Besucher in Marketo-Formulare eingegebene Daten (Name, geschäftliche E-Mail, Telefonnummer, Unternehmen, Position, sonstige Formularfelder) sowie die Verknüpfung früherer anonymer Besuchsverläufe mit dem so entstandenen Lead-Datensatz verarbeitet.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit und Zeitzone der Anfrage, URL des angefragten Inhalts, Referrer, User-Agent, Statuscode der Serverantwort.
• Klickpfade: aufgerufene Seiten, Klicks auf Links und Schaltflächen, Aufrufe von Marketo-Formularen, Klicks in Marketo-Marketing-E-Mails.
• Endgeräte-Daten: Gerätetyp und Betriebssystem, soweit aus dem User-Agent ableitbar.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: aus der IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Nutzerprofile: Score-Werte, Segmentzuordnungen und Engagement-Historien je Lead.
• Conversion-Ereignisse: Aufrufe definierter Zielseiten, Formular-Submits, Klicks auf bestimmte Links, Webinar-Anmeldungen.
• Interaktionsdaten: Verweildauer, Scrollen, Öffnen von E-Mails, Klick auf Links und Schaltflächen.

F. Nutzungszwecke beim Einsatz von Marketo Munchkin

Webseitenbetreiber nutzen Marketo Munchkin in der Regel zur Analyse des Besucherverhaltens für die B2B-Lead-Generierung, zur Verknüpfung anonymer Besuchsverläufe mit identifizierten Leads, zur Steuerung automatisierter Marketingstrecken und Lead-Nurturing-Programme, zur Lead-Qualifizierung über Scoring sowie zur Übergabe qualifizierter Leads an das Vertriebssystem.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Ausspielen von Marketo-Formularen und Landingpages, Versand der Bestätigungs- und Folge-Mails.
• Sicherheit und Missbrauchsschutz: Bot- und Spam-Abwehr in Formularen, Erkennung anomaler Tracking-Muster.
• Allgemeine Produktverbesserung: Auswertung aggregierter Conversion-Raten und Engagement-Verläufe zur Optimierung von Inhalten und Kampagnen.
• Allgemeines Marketing: Reichweiten- und Kampagnenanalyse.
• Nutzerprofil-Erstellung: Score-/Grade-Berechnung, Segmentierung nach Branche, Funktion oder Verhalten.
• Nutzerindividuelle Produktverbesserung: Personalisierung von Inhalten in nachfolgenden Strecken.
• Nutzerindividuelles Marketing: personalisierte Marketing-E-Mails, Trigger-Strecken, Account-Based-Marketing.
• Vertragsdurchführung: Bearbeitung konkret angefragter Vertriebsanfragen aus Formularen.
• Kommunikation: Bereitstellung angeforderter Inhalte (Whitepaper, Webinare).

G. Rechtsgrundlagen beim Einsatz von Marketo Munchkin

In einem ersten Schritt ist Marketo Munchkin einer Tool-Kategorie zuzuordnen: Im hier beschriebenen Einsatz handelt es sich im Schwerpunkt um ein Tool aus der Kategorie Tracking (Marketing), ergänzt um Funktionen der Kategorien Newsletter und Kontaktformular.

In einem zweiten Schritt kommen folgende Rechtsgrundlagen typischerweise in Betracht:

• Für das Setzen und Auslesen des Munchkin-Cookies sowie die Profilbildung: Einwilligung nach § 25 Abs. 1 TDDDG und Marketing-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
• Für die Bearbeitung von Leadkontakt-Anfragen aus Marketo-Formularen: Vertragsdurchführung bzw. vorvertragliche Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO oder berechtigte Interessen an Effizienz nach Art. 6 Abs. 1 lit. f DSGVO.
• Für werbliche Folgekommunikation per E-Mail: regelmäßig Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 7 Abs. 2 Nr. 3 UWG; im Bestandskundenkontext flankiert durch § 7 Abs. 3 UWG i.V.m. berechtigtem Interesse an Werbung.
• Für Anmelde- und Einwilligungsnachweise: rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 7 Abs. 2 Nr. 2 UWG sowie berechtigtes Interesse an Rechtsausübung.

Welche Rechtsgrundlage konkret einschlägig ist, hängt von der Ausgestaltung des Einsatzes (Consent-Banner, Cookie-Lebensdauer, Bestandskundenbeziehung) ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Marketo Munchkin

• AVV/DPA: Adobe stellt für Marketo Engage einen Auftragsverarbeitungsvertrag bereit; der Abschluss ist beim Einsatz durch deutsche Webseitenbetreiber regelmäßig zwingend.
• First-Party- vs. Third-Party-Cookie: Munchkin kann je nach Konfiguration Cookies als First-Party oder Third-Party setzen. Eine Auslieferung über eine vom Webseitenbetreiber kontrollierte Domain erhöht regelmäßig die Aussagekraft der Daten, ändert aber nichts an der Pflicht zur vorherigen Einwilligung.
• Tracking-Opt-In / Consent-Steuerung: Marketo bzw. Adobe stellt Funktionen bereit, mit denen das Setzen des Cookies und das Tracking abhängig von der Einwilligung gesteuert werden können (z. B. spätes Laden des Skripts erst nach Einwilligung).
• Cookie-Lebensdauer: Die Default-Lebensdauer des _mkto_trk-Cookies ist nach den öffentlich zugänglichen Angaben konfigurierbar; eine Reduktion auf eine angemessene Frist ist regelmäßig zu prüfen.
• Drittlandtransfer / DPF: Bei Übermittlungen in die USA kommt die DPF-Zertifizierung der Adobe Inc. als Transfermechanismus in Betracht; ergänzend werden EU-Standardvertragsklauseln eingesetzt.
• Subprozessoren: Eine Liste der Subprozessoren wird über das Adobe Trust Center bereitgestellt.
• Quellenhinweis: Die Angaben beruhen auf öffentlich zugänglichen Veröffentlichungen des Anbieters und ersetzen keine Einzelfallprüfung.

I. Häufige Fragen zu Marketo Munchkin und Datenschutz

J. Fazit zu Marketo Munchkin

Beim Einsatz von Marketo Munchkin verarbeiten Webseitenbetreiber Verhaltens- und Profil-Daten von Besuchern und Leads zu Zwecken der B2B-Lead-Generierung, der Marketing-Automation und der CRM-Integration. Vertragspartner ist regelmäßig die EU-Konzerngesellschaft der Adobe-Gruppe; die Konzernmutter Adobe Inc. ist DPF-zertifiziert. Zentrale Pflichten sind der Abschluss eines Auftragsverarbeitungsvertrags, die Einbindung des Munchkin-Skripts in ein wirksames Consent-Management und eine bewusste Festlegung der Cookie-Lebensdauer.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für Marketo Munchkin einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Empfehlenswert ist ein strukturierter, themenorientierter Ansatz, der Tools nach Themenblöcken (Tracking, Newsletter, Kontaktformular …) übergreifend erklärt und nur im Anhang Empfänger die einzelnen Dienstleister wie Marketo Munchkin nennt. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com