Mautic und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Mautic ein, verarbeitet er typischerweise E-Mail-Adressen, Profil- und Verhaltensdaten der Kontakte zum Zweck des Newsletter-Versands, der Marketing-Automation, des Lead-Scorings und ggf. des Webseiten-Trackings auf Basis der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Diese Seite erklärt, welche Daten Mautic verarbeitet, welche Pflichtangaben sich daraus für die Datenschutzerklärung der eigenen Webseite ergeben und wie sich diese Angaben pflegbar abbilden lassen. Die Darstellung beruht auf öffentlich zugänglichen Angaben des Anbieters bzw. der Mautic-Community und allgemein recherchierbaren Quellen und ersetzt keine Einzelfallprüfung.

A. Zweck und Funktionsweise von Mautic

Mautic ist eine quelloffene Plattform für Marketing-Automation. Webseitenbetreiber können Mautic in zwei Varianten betreiben: als Selbsthosting auf eigener oder gemieteter Server-Infrastruktur (Open-Source-Distribution der Mautic Community) oder als Mautic Cloud bzw. gehostete Variante über kommerzielle Anbieter (z. B. Acquia Campaign Studio auf Mautic-Basis). Die Plattform stellt Funktionen für Kontakt- und Listenverwaltung, Newsletter- und Mail-Versand, mehrstufige Kampagnen, Lead-Scoring, Formulare, Landing Pages und Webseiten-Tracking bereit.

Webseitenbetreiber binden Mautic typischerweise über Anmeldeformulare, ein JavaScript-Tracking-Skript (häufig mtc.js), das Klicks und Seitenaufrufe erfasst, sowie über eine API zur Übergabe von Lead-Daten an. Im Fokus dieser Seite stehen die Newsletter-, Automation- und Tracking-Funktionen; weitere Funktionen wie SMS-Versand oder Social-Monitoring werden hier nicht vertieft.

B. Pflichtangaben zu Mautic in der Datenschutzerklärung

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf den Einsatz von Tools wie Mautic spezifische Pflichtangaben. Dazu gehören die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO) sowie die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO).

Hinzu kommen die Angabe, ob Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO), die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO) sowie – wenn Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der verarbeiteten Daten (Art. 14 Abs. 1 lit. d DSGVO). Diese Angaben werden nachfolgend für Mautic aufgeschlüsselt; die Betriebsvariante (Selbsthosting vs. Cloud) wirkt sich vor allem auf Empfängerkreis und Drittlandtransfer aus.

Es ist nicht erforderlich, Mautic mit einem eigenen, vorformulierten Textbaustein in der Datenschutzerklärung aufzuführen. Diese „Textbaustein-pro-Tool"-Praxis hat sich zwar weithin eingebürgert, führt aber zu langen, sich wiederholenden und kaum pflegbaren Datenschutzerklärungen. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Newsletter, Marketing-Automation, Tracking) beschreibt und im Anhang lediglich die konkreten Empfänger nennt – genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Mautic

Mautic ist ein Open-Source-Projekt der Mautic Community (verwaltet u. a. unter dem Dach von Acquia Inc.). Wer als Vertragspartner gegenüber dem Webseitenbetreiber auftritt, hängt von der Betriebsvariante ab:

• Selbsthosting: Es gibt keinen externen Vertragspartner für die Software selbst. Verantwortlicher und (technisch) handelnde Stelle ist der Webseitenbetreiber; Auftragsverarbeitungsverhältnisse bestehen ggf. mit dem Hoster und mit einem etwaigen E-Mail-Versanddienstleister (SMTP-Anbieter, Transaktions-Mail-API).
• Mautic Cloud / kommerzieller Anbieter: Vertragspartner ist der jeweilige kommerzielle Hoster der Mautic-Cloud-Variante. Der Sitz dieses Anbieters und etwaige Drittlandtransfers sind vom Webseitenbetreiber zu prüfen und in der Datenschutzerklärung anzugeben.

Bei US-bezogenen Cloud-Anbietern ist der DPF-Status unter https://www.dataprivacyframework.gov/s/participant-search zu prüfen. Die Datenschutzhinweise des Mautic-Projekts sind unter https://www.mautic.org/privacy-policy/ abrufbar; Hinweise zur Datenverarbeitung in Mautic-Cloud-Diensten finden sich beim jeweiligen Cloud-Anbieter.

D. Datenverarbeitung durch Mautic – Ablauf in Schritten

E. Von Mautic erhobene Daten

Beim Einsatz von Mautic werden bei der Anmeldung typischerweise E-Mail-Adresse, ggf. Name, Anrede und weitere Profilfelder, IP-Adresse und Zeitstempel zum Anmelde- und Bestätigungszeitpunkt erhoben. Im Betrieb kommen Öffnungs- und Klick-Daten, Bounces, Tags, Segmentzuordnungen, Lead-Scoring-Werte sowie – bei aktivem Tracking-Skript – Seitenaufrufe und Conversions auf der Webseite hinzu.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts, Referrer und technische Metadaten beim Tracking-Pixel-Abruf in Mails sowie beim Webseiten-Tracking.
• Klickpfade: Aufgerufene Seiten der Webseite des Webseitenbetreibers bei aktivem Webseiten-Tracking sowie angeklickte Links in Mails, jeweils mit Datum und Uhrzeit.
• Endgeräte-Daten: Gerätetyp, Betriebssystem und ähnliche Angaben, soweit aus Mail-Abrufen oder Webseiten-Tracking ableitbar.
• Browserinformationen: Browsername und -version beim Klick auf Mail-Links und beim Webseiten-Tracking.
• Grobe Standortdaten: Aus der IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Nutzungskonto-Daten: E-Mail-Adresse und weitere Profilfelder des Kontakts; Login-Verläufe der Mautic-Nutzer im Backend.
• Nutzerprofile: Vom Webseitenbetreiber ermittelte Interessen, Tags, Segmentzuordnungen und Lead-Scoring-Werte.
• Conversion-Ereignisse: Anmeldung, Double-Opt-In-Bestätigung, Klick auf einen Aktions-Link, Aufruf einer Danke-Seite, Formular-Submit oder Kauf bei aktivem Webseiten-Tracking.
• Interaktionsdaten: Öffnungen einer Mail, Klicks auf Schaltflächen oder Links innerhalb der Mail.
• Technische Telemetriedaten: Bounce-Quoten, Zustellzeiten, Fehlermeldungen aus dem Versandprozess.

F. Nutzungszwecke beim Einsatz von Mautic

Der Webseitenbetreiber nutzt Mautic in der Regel, um Newsletter und transaktionale Mails zu versenden, mehrstufige Kampagnen-Workflows abzubilden, Kontakte nach Interessen zu segmentieren, Lead-Scoring durchzuführen und – sofern aktiviert – Webseiten-Interaktionen seiner Kontakte zu messen.

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Bereitstellung von Anmeldeformularen und Landing Pages, Verarbeitung der Anmeldung, Versand der Bestätigungs- und Folge-Mails, Durchführung mehrstufiger Workflows und Fehlerbehebung.
• Kommunikation: Direkte Ansprache der Kontakte über redaktionelle und werbliche Inhalte sowie automatisierte Antworten.
• Sicherheit und Missbrauchsschutz: Schutz vor Bot-Anmeldungen und Spam-Eintragungen, Verifizierung durch Double-Opt-In.
• Allgemeine Produktverbesserung: Auswertung von Öffnungs- und Klickraten zur generellen Optimierung der Mail-Inhalte.
• Allgemeines Marketing: Bewertung der Wirksamkeit von Mail- und Automation-Kampagnen.
• Nutzerprofil-Erstellung: Vergabe von Tags, Segmentzuordnung und Berechnung von Lead-Scores auf Basis der Empfängerinteraktion.
• Nutzerindividuelle Produktverbesserung: Anpassung von Inhalten an das bisherige Klick- und Öffnungsverhalten.
• Nutzerindividuelles Marketing: Versand interessenbasierter Inhalte, dynamischer Inhaltsblöcke und automatisierter Folgesequenzen.
• Rechtsdurchsetzung: Nachweis der Einwilligung im Streitfall.

G. Rechtsgrundlagen für den Einsatz von Mautic

Mautic fällt primär in die Kategorien Newsletter und Marketing-Automation; das Webseiten-Tracking gehört zur Kategorie Tracking (Marketing). Als Rechtsgrundlagen kommen je nach Verarbeitung in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für den Versand werblicher Mails, das Lead-Scoring, die nutzerindividuelle Profilbildung sowie das Webseiten-Tracking; bei Cookie-Einsatz zusätzlich § 25 Abs. 1 TDDDG.
• Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 7 Abs. 3 UWG für Direktwerbung an Bestandskunden für eigene ähnliche Waren oder Dienstleistungen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Berechtigtes Interesse: Werbung.
• Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Art. 7 Abs. 1, Art. 24 Abs. 1 DSGVO und § 7 Abs. 2 Nr. 2 UWG für die Speicherung von Anmelde-Metadaten als Nachweis. Berechtigtes Interesse: Rechtsausübung und Compliance.

Welche Rechtsgrundlage konkret einschlägig ist, hängt vom Einzelfall ab und ist vom Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Mautic

• Selbsthosting vs. Cloud: Beim Selbsthosting entfällt eine externe Auftragsverarbeitung für die Software selbst; der Webseitenbetreiber trägt die volle technische und organisatorische Verantwortung. Bei der Cloud-Variante ist mit dem Cloud-Anbieter regelmäßig ein AVV nach Art. 28 DSGVO zu schließen.
• Opt-Out: Empfänger können sich über den Abmelde-Link in jeder Mail jederzeit austragen. Mautic ergänzt diesen Link bei korrekter Konfiguration automatisch.
• Double-Opt-In: Mautic unterstützt das Double-Opt-In über entsprechende Workflows. Webseitenbetreiber sollten diese für werbliche Listen aktivieren.
• Webseiten-Tracking: Wird das Tracking-Skript eingebunden, ist regelmäßig eine Einwilligung über das Consent-Banner einzuholen. Das Tracking-Skript lässt sich in Mautic deaktivieren.
• Drittlandtransfer: Beim Selbsthosting auf EU-Servern in der Regel kein Drittlandtransfer durch Mautic selbst; die Wahl des SMTP-/Versanddienstleisters ist relevant. In der Cloud-Variante hängt der Transfer vom Cloud-Anbieter ab.
• Einstellungen für den Webseitenbetreiber: Tracking-Skript, Lead-Scoring-Schwellen, Tags, IP-Speicherung und Workflow-Logik lassen sich detailliert konfigurieren. Datenschutzfreundliche Defaults sind aktiv zu setzen (z. B. Anonymisierung, Speicherfristen).

I. FAQ zu Mautic und Datenschutz

J. Fazit und Call-to-Action zu Mautic

Mautic ist eine flexible Open-Source-Plattform für Marketing-Automation, die selbst gehostet oder als Cloud-Variante betrieben werden kann. Beim Einsatz auf der eigenen Webseite verarbeitet der Webseitenbetreiber regelmäßig E-Mail-Adressen, Profil- und Verhaltensdaten der Kontakte; bei aktivem Tracking-Skript zusätzlich Webseiten-Interaktionen. Maßgebliche Rechtsgrundlage ist typischerweise die Einwilligung; Nachweisdaten lassen sich auf berechtigte Interessen stützen. Beim Selbsthosting entfällt eine externe Auftragsverarbeitung für die Software, dafür trägt der Betreiber die volle technische Verantwortung; bei der Cloud-Variante ist regelmäßig ein AVV erforderlich.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, Mautic mit einem eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Solche tool-spezifischen Bausteine machen die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar – und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Newsletter und Marketing-Automation übergreifend erklärt und Mautic nur im Anhang als konkreten Empfänger nennt (sofern Cloud-Variante) bzw. als selbst betriebene Software einbettet.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com