ActiveCampaign Site Tracking und Datenschutz – Was in die Datenschutzerklärung gehört

Webseitenbetreiber nutzen ActiveCampaign Site Tracking, um Besuche auf ihrer Website mit Kontakten aus ihrem ActiveCampaign-CRM-System zu verknüpfen. Ein JavaScript-Snippet wird auf der Website eingebunden und erfasst Seitenaufrufe, Klicks und Nutzeraktionen. Die Besonderheit: Sobald ein Besucher als bekannter Kontakt (E-Mail-Adresse) identifiziert ist, werden seine anonymen Besuche mit seinem Kontaktdatensatz verknüpft – dies geht über einfache Website-Statistiken hinaus und erfordert eine fundierte datenschutzrechtliche Auseinandersetzung.

A. Zweck und Funktionsweise von ActiveCampaign Site Tracking

ActiveCampaign ist eine integrierte Plattform für E-Mail-Marketing, CRM-Systeme und Marketing-Automationen. Site Tracking ist eine spezifische Integrations-Funktion, die separate Website-Besuche mit dem CRM-System verbindet.

ActiveCampaign als Plattform: Das System speichert Kontakdaten (E-Mail-Adressen, Namen, Unternehmensangaben, Custom-Felder) in einer zentralen Datenbank. Nutzer können E-Mail-Kampagnen versenden, Lead-Scoring durchführen, Marketing-Automationen definieren und Kontaktverläufe visualisieren.

Site Tracking als Funktion: Der Webseitenbetreiber bindet ein JavaScript-Tracking-Snippet auf seiner Website ein. Dieses Snippet wird bei jedem Seitenaufruf geladen und erfasst:

• Welche Seiten besucht werden
• Welche Klicks erfolgen
• Welche vordefinierten Conversion-Ziele erreicht werden (z.B. Button-Klicks, Formular-Absendet)

Das zentrale Merkmal von Site Tracking: Verknüpfung anonymer Besuche mit bekannten Kontakten. Wenn ein Besucher sein Tracking-Cookie noch hat und aus irgendeiner Quelle (Form, E-Mail-Klick, CRM-Synchronisation) als Kontakt im ActiveCampaign-System bekannt ist, wird seine Besuchshistorie diesem Kontakt zugeordnet. Dies ermöglicht Marketing-Automationen wie: „Wenn Kontakt Seite X besucht, dann versende E-Mail Y" oder „Lead-Scoring basierend auf Seitenbesuchen."

Abgrenzung: Site Tracking ist eine Funktion zur Tracking und Profilerstellung. E-Mail-Marketing, CRM-Kontaktverwaltung und andere Automations-Funktionen von ActiveCampaign werden in diesem Artikel nicht einzeln behandelt.

B. Pflichtangaben in der Datenschutzerklärung

Nach Art. 13 Abs. 1 DSGVO (oder Art. 14 für nicht direkt erhobene Daten) müssen Verantwortliche Betroffene umfassend informieren. Für ActiveCampaign Site Tracking sind folgende Pflichtangaben zentral:

• Identität und Kontaktdaten des Verantwortlichen (Art. 13 Abs. 1 lit. a): der Webseitenbetreiber selbst
• Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c): Tracking von Seitenbesuchen, Verknüpfung mit bekannten Kontakten, Marketing-Automation, Lead-Scoring, Personalisierung
• Rechtsgrundlage (Art. 13 Abs. 1 lit. e): regelmäßig Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG)
• Empfänger/Auftragsverarbeiter (Art. 13 Abs. 1 lit. e): ActiveCampaign, LLC (USA) als Auftragsverarbeiter
• Speicherdauer und Löschung (Art. 13 Abs. 1 lit. e): Cookie-Dauer, Kontakt-Löschung, Daten-Löschung
• Betroffenenrechte (Art. 13 Abs. 2 lit. a–f): Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch

Ein bloßer generischer Textbaustein ist nicht ausreichend, da die Verknüpfung von anonymen Besuchen mit bekannten Kontakten eine datenschutzrechtlich besondere Situation darstellt und Website-spezifische Faktoren (Dauer, Zwecke, Einstellungen) berücksichtigt werden müssen.

C. Anbieter

Name und Adresse:

• ActiveCampaign, LLC
• 1 North Dearborn, Suite 500
• Chicago, Illinois 60602, USA
• E-Mail (Datenschutz): privacy@activecampaign.com
• Website: https://www.activecampaign.com

Jurisdiktion und Datenschutz: ActiveCampaign, LLC ist ein US-amerikanisches Unternehmen ohne EU-Tochtergesellschaft. Dies bedeutet, dass eine Datenübertragung in die USA erfolgt. ActiveCampaign hat sich zur Einhaltung des EU-U.S. Data Privacy Framework (DPF) verpflichtet und ist im DPF-Participant-Verzeichnis eingetragen. Dies ermöglicht EU-Kunden, Daten in die USA zu übertragen, ohne zusätzliche Instrumentarien wie Standard Contractual Clauses (SCCs) einrichten zu müssen – die DPF-Zertifizierung gilt als „adequacy decision".

Allerdings: Die Adäquanz der DPF ist in der EU rechtlich umstritten und wurde in einigen Fällen von Datenschutzbehörden hinterfragt. Der Webseitenbetreiber sollte sich informieren, ob zusätzlich SCCs oder andere Maßnahmen erforderlich sind.

Privacy Policy und Dokumentation:

• Allgemeine Privacy Policy: https://www.activecampaign.com/legal/privacy-policy
• GDPR-Informationen: https://www.activecampaign.com/legal/gdpr
• Data Privacy Framework: https://www.activecampaign.com/legal/dpf
• Data Processing Addendum (DPA): https://www.activecampaign.com/legal/dpa
• Help Center Site Tracking: https://help.activecampaign.com/hc/en-us/articles/221542267-An-overview-of-Site-Tracking
• GDPR-Compliance im Help Center: https://help.activecampaign.com/hc/en-us/articles/360000872064-Site-tracking-and-the-GDPR

D. Datenverarbeitung – Ablauf

E. Erhobene Daten

ActiveCampaign Site Tracking erhebt eine Kombination technischer und Verhaltens-Daten. Das zentrale Merkmal ist die Verknüpfung anonymer Seitenbesuche mit bekannten Kontakten:

• Besucher-ID: Eindeutige Identifikationsnummer aus dem Tracking-Cookie, um Besuche über mehrere Sessions zu verfolgen
• Webserver-Protokolldaten: IP-Adresse des Besuchers, Zeitstempel von Seitenaufrufen
• Besuchte Seiten: URL der Seite, Page-Title, ggf. zusätzliche Page-Parameter
• Referrer: Herkunftsseite (woher kam der Besucher?)
• Klickpfade und Navigation: Sequenz der besuchten Seiten, Reihenfolge von Nutzeraktionen
• Geräte- und Browser-Daten: Gerätetyp (Desktop, Mobil, Tablet), Betriebssystem, Browser-Name und -Version
• Grobe Standortdaten: Land, Region oder Stadt (aus IP-Adresse abgeleitet)
• Conversion-Ereignisse: Vordefinierte Ziel-Events (z.B. Formular-Absendung, Kauf, Download)
• Custom-Events: Beliebige vom Webseitenbetreiber definierte Ereignisse (z.B. „Video gestartet", „Warenkorb aktualisiert")
• Scrollverhalten und Verweildauer: Wie lange nutzer auf einer Seite verweilt, wie weit sie scrollt (optional)
• Kontakt-Zuordnung: Sobald der Besucher als Kontakt im ActiveCampaign-System bekannt ist, wird eine Verknüpfung hergestellt zwischen:
  • Der E-Mail-Adresse des Kontakts
  • Der Besuchshistorie (alle vorherigen und zukünftigen Besuche)
  • Dem Kontaktprofil im CRM (Name, Unternehmen, Custom-Felder)

F. Nutzungszwecke

ActiveCampaign Site Tracking wird zu folgenden Zwecken verarbeitet:

• Funktionsbereitstellung und Betrieb: Technisches Tracking von Webseitenbesuchen, Speicherung im System
• Marketing-Automatisierung: Trigger-basierte Workflows, die auf Seitenbesuchen reagieren (z.B. E-Mail nach Seitenbesuch)
• Lead-Scoring und Priorisierung: Numerische Bewertung von Leads basierend auf Seitenbesuchen, um Verkaufspriorität zu bestimmen
• Nutzerprofilbildung: Erstellung oder Anreicherung von Kontaktprofilen durch Verhaltens- und Besuchsdaten
• Personalisierung: Anpassung von Website-Inhalten oder E-Mail-Kampagnen basierend auf Nutzerverhalten
• Zielgruppen-Segmentierung: Unterteilung von Kontakten in Gruppen (z.B. „häufige Besucher", „Interessierte im Produkt XYZ") für gezielte Kampagnen
• Analyse und Reporting: Auswertung welche Seiten frequentiert werden, welche Kampagnen konvertieren
• Sicherheit und Betriebsstabilität: Überwachung der Systemsicherheit und Verhinderung von Missbrauch

Der Webseitenbetreiber sollte in seiner Datenschutzerklärung präzisieren, welche dieser Zwecke er konkret nutzt.

G. Rechtsgrundlagen

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Site Tracking hängt von der konkreten Konfiguration ab:

Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG) – die Regel: ActiveCampaign Site Tracking setzt Cookies, die nicht technisch notwendig sind. Nach deutschem Telemediengesetz (TDDDG, früher TTDSG) sind nicht-notwendige Cookies nicht ohne Einwilligung zulässig. Das bedeutet: Der Webseitenbetreiber muss ein Cookie-Banner anzeigen, den Nutzer über das Tracking und die Zwecke informieren, und seine explizite Einwilligung einholen (Opt-in-Prinzip). Die Einwilligung muss vor dem Setzen des Cookies erfolgen.

Technisch bedeutet dies: Der ActiveCampaign-Tracking-Code sollte erst nach Consent-Erteilung geladen werden (z.B. über ein Consent-Management-System wie Consentmanager, Cookiebot, OneTrust).

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) – kritisch bewertet: Einige Webseitenbetreiber argumentieren, dass das Tracking der Website-Optimierung und damit dem legitimen Geschäftsinteresse dient. Diese Argumentation wird von Datenschutzbehörden jedoch sehr kritisch bewertet, besonders wenn es um die Verknüpfung mit Kontakten und Marketing-Automation geht. Diese Rechtsgrundlage ist in der Praxis nicht empfohlen.

Vertragserfüllung (Art. 6 Abs. 1 lit. b) – nur in B2B: Falls der Webseitenbetreiber mit dem Nutzer einen Vertrag hat (z.B. SaaS-Abonnement) und das Tracking zur Vertragserfüllung erforderlich ist, könnte Art. 6 Abs. 1 lit. b greifen. Dies ist aber selten und wird im B2C-Kontext nicht angewendet.

Fazit für die Praxis: Die sichere und am häufigsten anzuwendende Rechtsgrundlage ist Einwilligung. Der Webseitenbetreiber sollte sich auf Art. 6 Abs. 1 lit. a GDPR i.V.m. § 25 Abs. 1 TDDDG stützen und ein Consent-Management-System implementieren.

H. Besonderheiten und Hinweise

Auftragsverarbeitung und Datenverarbeitungsvertrag (AVV/DPA): ActiveCampaign fungiert als Auftragsverarbeiter gemäß Art. 28 GDPR. Der Webseitenbetreiber als Verantwortlicher muss mit ActiveCampaign einen schriftlichen Auftragsverarbeitungsvertrag (AVV) / Data Processing Agreement (DPA) abschließen. Der DPA muss folgende Inhalte haben:

• Verarbeitungsgegenstand und -umfang
• Art, Kontext, Umfang und Zwecke der Verarbeitung
• Garantien für technische und organisatorische Maßnahmen
• Regelungen zu Subprozessoren (sofern ActiveCampaign Dritte beauftragt)
• Verfahren bei Datenpannen

Der DPA ist verfügbar unter https://www.activecampaign.com/legal/dpa und kann über das ActiveCampaign-Konto oder via privacy@activecampaign.com angefordert werden.

Drittlandtransfer und Data Privacy Framework: ActiveCampaign sitzt in den USA (Chicago, Illinois). Dies bedeutet ein Drittlandtransfer personenbezogener Daten in die USA gemäß Art. 44 ff. GDPR. ActiveCampaign hat sich zur Einhaltung des EU-U.S. Data Privacy Framework (DPF) verpflichtet und ist im DPF-Participant-Verzeichnis (https://www.dataprivacyframework.gov) eingetragen. Die DPF-Zertifizierung gilt rechtlich als „adequacy decision" und ermöglicht Datentransfers ohne zusätzliche Instrumentarien.

Hinweis: Die rechtliche Geltung der DPF ist in der EU und innerhalb der Datenschutzbehörden umstritten. Einige Behörden und Datenschutzbeauftragte empfehlen zusätzlich, Standard Contractual Clauses (SCCs) oder andere Maßnahmen zu prüfen. Der Webseitenbetreiber sollte seine lokale Datenschutzbehörde oder einen Rechtsanwalt konsultieren.

Aktivierung und GDPR-Tools in ActiveCampaign:

• Site Tracking ist in ActiveCampaign nicht standardmäßig aktiv und muss explizit aktiviert werden.
• Der JavaScript-Tracking-Code muss auf der Website eingebunden werden.
• ActiveCampaign bietet GDPR-Konfigurationen im Konto, z.B. zur Deaktivierung von Tracking oder zum Setzen von Datenschutzflags.
• Der Webseitenbetreiber sollte diese Einstellungen prüfen und konfigurieren.

Einstellungen und Kontrollmöglichkeiten:

• Tracking aktivieren/deaktivieren: Der Webseitenbetreiber kann Tracking in seinem ActiveCampaign-Konto unter „Tracking" → „Site Tracking" verwalten.
• Cookie-Consent-Mode: ActiveCampaign wartet (bei richtiger Konfiguration), bis ein Nutzer Cookies akzeptiert hat, bevor Tracking startet.
• Opt-Out-Möglichkeiten: Nutzer sollten die Möglichkeit haben, Tracking zu deaktivieren (z.B. über ein Opt-Out-iFrame oder Cookie-Manager-Einstellung).
• Betroffenenrechte: Nutzer können Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17) ihrer Daten verlangen.

Besonderheit: Identifizierung durch Kontakt-Verknüpfung: Site Tracking hat eine Besonderheit: Ein Besucher muss zuerst ein Tracking-Cookie haben, AND als bekannter Kontakt im CRM-System identifizieren sein, damit eine Verknüpfung erfolgt. Isolierte anonyme Besuche bleiben zunächst anonym – erst wenn der Nutzer z.B. ein Formular ausfüllt oder auf einen E-Mail-Link klickt und als Kontakt bekannt wird, erfolgt die Verknüpfung. Dies sollte in der Datenschutzerklärung erklärt werden.

I. Häufige Fragen zu ActiveCampaign Site Tracking und Datenschutz

J. Fazit

ActiveCampaign Site Tracking ist ein leistungsstarkes Marketing-Tool, aber die Verknüpfung von anonymen Webseitenbesuchen mit bekannten Kontakten erfordert sorgfältige datenschutzrechtliche Dokumentation. Die wichtigsten Punkte für die Datenschutzerklärung sind:

1. Identität von ActiveCampaign, LLC (Chicago, USA) und Kontaktdaten (privacy@activecampaign.com)
2. Konkrete Zwecke: Site Tracking, Marketing-Automation, Lead-Scoring, Kontaktprofilbildung
3. Erhobene Daten: Besucher-IDs, Seitenaufrufe, Klickpfade, Device-Daten, Conversion-Events, Verknüpfung mit Kontakt-E-Mail-Adresse
4. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a + § 25 Abs. 1 TDDDG)
5. Auftragsverarbeiter und AVV: ActiveCampaign als Processor, schriftlicher DPA erforderlich
6. Drittlandtransfer: USA, DPF-Zertifizierung (prüfen, ob zusätzlich SCCs erforderlich)
7. Speicherdauer: Cookie-Lebensdauer (z.B. 365 Tage), Kontakt-Speicherung nach ActiveCampaign-Richtlinie
8. Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch
9. Consent-Management: Integration mit Cookie-Banner und Consent-System, Opt-in-Prinzip
10. Besonderheit: Erklären, wie anonyme Besuche mit bekannten Kontakten verknüpft werden

Ein generischer Textbaustein ist nicht ausreichend – der Website-spezifische und themenorientierte Ansatz ist rechtlich sauberer und transparenter.