Rapidmail und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Rapidmail ein, verarbeitet er typischerweise E-Mail-Adressen, Anrede, Name, Anmelde-Metadaten sowie Öffnungs- und Klick-Daten zum Zweck des Newsletter-Versands und der Erfolgsmessung auf Basis der Einwilligung der Empfänger nach Art. 6 Abs. 1 lit. a DSGVO. Diese Seite erklärt, welche Daten Rapidmail verarbeitet, welche Pflichtangaben sich daraus für die Datenschutzerklärung der eigenen Webseite ergeben und wie sich diese Angaben pflegbar abbilden lassen. Die Darstellung beruht auf öffentlich zugänglichen Angaben des Anbieters und allgemein recherchierbaren Quellen und ersetzt keine Einzelfallprüfung.

A. Zweck und Funktionsweise von Rapidmail

Rapidmail ist ein in Deutschland ansässiger Anbieter eines E-Mail-Marketing-Dienstes für den rechtskonformen Versand von Newslettern, Mailings und Transaktionsmails. Der Dienst stellt Funktionen für die Verwaltung von Empfängerlisten, das Erstellen von HTML-Mailings über einen Editor, das Double-Opt-In-Verfahren bei der Anmeldung sowie die Auswertung von Versanderfolgen (Öffnungen, Klicks, Bounces) bereit.

Webseitenbetreiber binden Rapidmail typischerweise über ein Anmeldeformular auf der Webseite ein – entweder als JavaScript-Widget, als iFrame oder als eigene Formular-Implementierung mit Übergabe der Daten an die Rapidmail-API. Im Fokus dieser Seite steht diese Integrations-Funktion: Anmeldung zum Newsletter über die Webseite und der anschließende Versand. Daneben existieren Funktionen wie A/B-Tests, Automatisierungen oder Transaktionsmails, die hier nicht im Detail behandelt werden.

B. Pflichtangaben zu Rapidmail in der Datenschutzerklärung

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf den Einsatz von Tools wie Rapidmail spezifische Pflichtangaben. Dazu gehören die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO) sowie die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO).

Hinzu kommen die Angabe, ob Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO), die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO) sowie – wenn Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der verarbeiteten Daten (Art. 14 Abs. 1 lit. d DSGVO). Diese Angaben werden nachfolgend für Rapidmail aufgeschlüsselt.

Es ist nicht erforderlich, Rapidmail in der Datenschutzerklärung mit einem eigenen, vorformulierten Textbaustein aufzuführen. Diese „Textbaustein-pro-Tool"-Praxis hat sich zwar weithin eingebürgert, führt aber zu langen, sich wiederholenden und kaum pflegbaren Datenschutzerklärungen. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Serverbetrieb, Newsletter, Tracking, Verkauf) beschreibt und im Anhang lediglich die konkreten Empfänger nennt – genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Rapidmail

Vertragspartner für Webseitenbetreiber in Deutschland ist nach den öffentlich zugänglichen Angaben des Anbieters die

• rapidmail GmbH
• Augustinerplatz 2, 79098 Freiburg im Breisgau
• Deutschland

Da der Anbieter seinen Sitz in Deutschland hat, scheidet ein Drittlandtransfer durch den Hauptdienstleister selbst regelmäßig aus. Eine Prüfung etwaiger Subprozessoren bleibt dem Webseitenbetreiber im Einzelfall vorbehalten. Die Datenschutzhinweise des Anbieters sind unter https://www.rapidmail.de/datenschutz abrufbar.

D. Datenverarbeitung durch Rapidmail – Ablauf in Schritten

E. Von Rapidmail erhobene Daten

Beim Einsatz von Rapidmail werden bei der Anmeldung typischerweise die E-Mail-Adresse, ggf. Anrede und Name, die IP-Adresse zum Anmeldezeitpunkt sowie der Zeitstempel der Bestätigung im Double-Opt-In-Verfahren erhoben. Beim Versand und nach Auslieferung kommen Öffnungs- und Klick-Daten, Bounce-Informationen sowie Empfänger-individuelle Kennungen für Links und Tracking-Pixel hinzu.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Server bei jeder Anfrage erhält, insbesondere IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts, Browser- und Betriebssystem-Informationen sowie technische Metadaten.
• Klickpfade: Angeklickte Links in versendeten Mails sowie zugehörige Datums- und Uhrzeitangaben.
• Endgeräte-Daten: Angaben zum Endgerät des Empfängers, etwa Gerätetyp und Betriebssystem, soweit aus dem Mail-Abruf ableitbar.
• Browserinformationen: Beim Klick auf Links übermittelte Informationen über den verwendeten Browser, etwa Browsername und -version.
• Grobe Standortdaten: Aus der IP-Adresse abgeleitete grobe Standortinformationen auf Stadt- oder Gemeindeebene.
• Nutzungskonto-Daten: E-Mail-Adresse, Anrede, Name und ggf. weitere Profilangaben des Empfängers, Login-Verläufe der Webseitenbetreiber im Rapidmail-Kundenkonto.
• Conversion-Ereignisse: Erfolgreiche Anmeldung, Bestätigung des Double-Opt-In, Klick auf einen Aktions-Link in einer Mail.
• Interaktionsdaten: Öffnungen einer Mail und Klicks auf Schaltflächen oder Links innerhalb der Mail.
• Technische Telemetriedaten: Bounce-Quoten, Zustellzeiten, Fehlermeldungen aus dem Versandprozess.

F. Nutzungszwecke beim Einsatz von Rapidmail

Der Webseitenbetreiber nutzt Rapidmail in der Regel, um Newsletter und Mailings rechtskonform zu versenden, die Anmeldung über ein Double-Opt-In abzusichern, den Versanderfolg zu messen und die Kommunikation mit Bestandskunden und Interessenten zu pflegen.

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Bereitstellung des Anmeldeformulars, Verarbeitung der Anmeldung, Versand der Bestätigungs-Mail und der eigentlichen Newsletter-Mails sowie Fehlererkennung und Fehlerbehebung im Versandprozess.
• Kommunikation: Direkte Ansprache der Empfänger im Rahmen redaktioneller und werblicher Newsletter-Inhalte.
• Sicherheit und Missbrauchsschutz: Schutz vor Bot-Anmeldungen und Spam-Eintragungen, Verifizierung der Empfänger durch Double-Opt-In.
• Allgemeine Produktverbesserung: Auswertung von Öffnungs- und Klickraten zur generellen Optimierung der Newsletter-Inhalte und der Versandzeitpunkte.
• Allgemeines Marketing: Bewertung der Wirksamkeit von Newslettern als Kommunikationskanal.
• Nutzerprofil-Erstellung: Bei aktiviertem empfängerbezogenem Tracking Zuordnung von Öffnungen und Klicks zu einzelnen Empfängern und Ableitung von Interessen.
• Nutzerindividuelles Marketing: Bei aktiviertem empfängerbezogenem Tracking Versand von Inhalten, die an bisheriges Klickverhalten angepasst sind.
• Rechtsdurchsetzung: Nachweis der Einwilligung im Streitfall, etwa bei Beschwerden oder Abmahnungen.

G. Rechtsgrundlagen für den Einsatz von Rapidmail

Rapidmail fällt primär in die Kategorie Newsletter. Als Rechtsgrundlagen kommen je nach konkreter Verarbeitung in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für den Versand des Newsletters; flankierend für das empfängerbezogene Öffnungs- und Klick-Tracking, soweit die Empfänger hierauf bei der Anmeldung hingewiesen wurden.
• Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 7 Abs. 3 UWG für Direktwerbung an Bestandskunden für eigene ähnliche Waren oder Dienstleistungen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Berechtigtes Interesse: Werbung.
• Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Art. 7 Abs. 1, Art. 24 Abs. 1 DSGVO und § 7 Abs. 2 Nr. 2 UWG für die Speicherung von Anmelde-Metadaten als Nachweis. Berechtigtes Interesse: Rechtsausübung und Compliance.

Welche Rechtsgrundlage konkret einschlägig ist, hängt vom Einzelfall ab und ist vom Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Rapidmail

• Opt-Out: Empfänger können sich über den Abmelde-Link in jeder Mail jederzeit austragen. Rapidmail integriert diesen Link standardmäßig.
• Double-Opt-In: Rapidmail unterstützt nach Anbieterangaben das Double-Opt-In-Verfahren als Standardvorgehen. Webseitenbetreiber sollten diese Einstellung aktiv lassen.
• AVV: Da Rapidmail im Auftrag des Webseitenbetreibers Empfängerdaten verarbeitet, ist regelmäßig ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO zu schließen. Der Anbieter stellt einen entsprechenden AVV bereit.
• Drittlandtransfer: Nach Anbieterangaben werden die Daten in Deutschland gehostet. Die konkrete Subprozessoren-Liste ist beim Anbieter abrufbar.
• Einstellungen für den Webseitenbetreiber: Versandstatistiken, individuelles Empfänger-Tracking sowie Einbindungen in Bestellprozesse lassen sich im Rapidmail-Kundenkonto konfigurieren.

I. FAQ zu Rapidmail und Datenschutz

J. Fazit und Call-to-Action zu Rapidmail

Rapidmail ist ein etablierter deutscher Anbieter für E-Mail-Marketing. Beim Einsatz auf der eigenen Webseite verarbeitet der Webseitenbetreiber regelmäßig E-Mail-Adressen, Anmelde-Metadaten und Interaktionsdaten der Empfänger. Maßgebliche Rechtsgrundlage ist typischerweise die Einwilligung der Empfänger; Nachweisdaten lassen sich auf berechtigte Interessen stützen. Ein Vertrag zur Auftragsverarbeitung ist regelmäßig zu schließen.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, Rapidmail mit einem eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Solche tool-spezifischen Bausteine machen die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar – und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der den Newsletter-Versand übergreifend erklärt und Rapidmail nur im Anhang als konkreten Empfänger nennt.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com