Braze und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber Braze für Customer Engagement und Email-Marketing ein, verarbeitet er Nutzer-Daten (Name, E-Mail, Verhaltensdaten, Segmente) zum Zweck des Marketings, Push-Notifications und In-App-Messaging auf Basis von Einwilligung und berechtigten Interessen. Braze Inc. (USA), ein führendes Customer Engagement-Unternehmen, fungiert dabei als Auftragsverarbeiter und unterliegt dem Data Privacy Framework (DPF) für Datentransfers in die USA.

Diese Anleitung richtet sich an Webseitenbetreiber, die Braze für Email-Kampagnen, Push-Notifications, In-App-Messages oder Customer Segmentation nutzen und daher eine DSGVO-konforme Datenschutzerklärung benötigen.

A. Zweck und Funktionsweise von Braze

Braze ist eine Customer Engagement Platform (auch »Customer Data Platform« oder CDP genannt), die es Unternehmen ermöglicht:

• Email-Marketing: Automatisierte Email-Kampagnen an segmentierte Kundenlisten
• Push-Notifications: Mobile und Web-Push-Benachrichtigungen
• In-App-Messaging: Kontextuelle Nachrichten innerhalb einer App oder Website
• SMS/Messaging: Direktkommunikation über Telefon, WhatsApp oder andere Kanäle
• Customer Segmentation: Automatische Einteilung von Nutzern in Zielgruppen basierend auf Verhalten, Demografie und Präferenzen
• Journey Automation: Automatisierte Workflows basierend auf Benutzerverhalten (»Wenn Benutzer X kauft, sende Email Y«)

Die Integrationsfunktion erfolgt durch:

1. SDK/API: Der Websitenbetreiber implementiert das Braze SDK auf seiner Website oder App
2. Event Tracking: Die SDK erfasst Nutzerverhalten (Seitenbesuche, Klicks, Käufe)
3. Datenaustausch: Diese Daten werden an Braze-Server übermittelt
4. Kampagnen: Der Websitenbetreiber erstellt Kampagnen in der Braze-Plattform und stellt diese gezielt an Zielgruppen
5. Analytics: Braze liefert Reports über Kampagnen-Performance, Öffnungsraten, Klicks

B. Pflichtangaben in der Datenschutzerklärung zu Braze

Die DSGVO verlangt für jeden Auftragsverarbeiter: Zwecke (Art. 13 Abs. 1 lit. c), Rechtsgrundlagen (Art. 13 Abs. 1 lit. a), Einwilligung (falls erforderlich, Art. 7 DSGVO), Empfängerkategorien (Art. 13 Abs. 1 lit. e), Drittlandtransfers (Art. 13 Abs. 1 lit. f) und Speicherdauer (Art. 13 Abs. 2 lit. a).

Sichtweise auf Braze-Integration: Viele Webseitenbetreiber schreiben zu Braze nur »Braze verarbeitet Marketingdaten« – dies ist viel zu kurz. Stattdessen sollte transparent werden:

• Welche Nutzerdaten werden erfasst (Klicks, Seitenbesuche, Käufe)?
• Zu welchem Zweck (Email-Marketing, Push-Notifications)?
• Aufgrund welcher Rechtsgrundlage (Einwilligung, berechtigte Interessen)?
• Wo werden die Daten verarbeitet (USA mit DPF)?
• Wie lange werden Sie aufbewahrt?

Besser: Ein themenorientierter Abschnitt »Marketing und Kundenengagement« mit Beschreibung aller Engagement-Kanäle (Email, Push, In-App-Messaging).

C. Anbieter von Braze: Braze Inc. (USA)

Juristischer Name: Braze, Inc.

Sitzland: USA (New York oder als Tochter: Braze EU Limited, falls EU-Gesellschaft vorhanden)

Datenschutzerklärung: https://www.braze.com/company/legal/privacy

DPA-Link: https://www.braze.com/company/legal/dpa

DPF-Status: Ja, DPF-zertifiziert. Braze Inc. ist nach Angaben des Unternehmens zertifiziert unter dem EU-U.S. Data Privacy Framework (DPF), dem UK Extension zum DPF und dem Swiss-U.S. DPF (https://www.braze.com/company/legal/data-privacy-framework-notice). Das DPF sichert angemessenes Datenschutzniveau für Transfers von der EU in die USA zu.

Sie können die Zertifizierung prüfen unter: https://www.dataprivacyframework.gov/s/participant-search

Datenschutzvereinbarung (DPA/AVV): Braze bietet eine Data Processing Addendum (DPA) an. Diese ist verfügbar unter https://www.braze.com/company/legal/dpa. Die DPA regelt:

• Braze-Rolle als Auftragsverarbeiter (Art. 28 DSGVO)
• Sicherheitsstandards und Verschlüsselung
• Unterstützung bei Betroffenenrechten
• Subprozessoren-Verwaltung
• Drittlandtransfers via DPF

Die DPA muss unterzeichnet sein, um Braze DSGVO-konform zu nutzen.

D. Datenverarbeitung durch Braze – Ablauf

E. Erhobene Daten beim Einsatz von Braze

Bei der Nutzung von Braze verarbeitet der Websitenbetreiber folgende Datenarten:

• Name und E-Mail-Adresse
• Telefonnummer (optional)
• Besuchte Seiten und Klickpfade
• Produktanschauungen und Warenkorb-Inhalte
• Kaufhistorie (Betrag, Produkte, Datum)
• Seitenbesuche und Besuchsdauer
• IP-Adresse und Geolokation
• Geräteinformationen (Betriebssystem, Browser, App-Version)
• Nutzer-Segmente und Zielgruppen-Zuordnung
• Marketing-Präferenzen (Opt-in/Opt-out für Email, SMS, Push)
• Geburtsdatum (optional)
• Verhaltenssignale (Scroll-Tiefe, Mausbewegungen, Verweildauer)
• Nutzer-Inhalte (falls über Braze-Interface eingegeben)

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit, Browser/OS, User-Agent
• Klickpfade: Besuchte Seiten, angeklickte Links, Referrer
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung, Browser
• Browserinformationen: Browsername, -version, installierte Erweiterungen
• Grobe Standortdaten: IP-basierter Standort auf Stadt-/Gemeindeebene
• Nutzungskonto-Daten: Name, E-Mail-Adresse, Telefon, Geburtsdatum
• Nutzerprofile: Segmente, Zielgruppen, Marketing-Präferenzen, Konversionsereignisse
• Conversion-Ereignisse: Produktkauf, Anmeldung, Download, Seitenaufruf
• Interaktionsdaten: Scroll-Bewegungen, Verweildauer, Klick-Sequenzen, Öffnungsraten (bei Email)

F. Nutzungszwecke beim Einsatz von Braze

Bei der Nutzung von Braze werden Daten zu folgenden Zwecken verarbeitet:

Primäre Zwecke:

• Funktionsbereitstellung: Bereitstellung der Braze-Plattform, Kampagnen-Management, Segmentierung
• Kommunikation: Email-Marketing, Push-Notifications, In-App-Messaging, SMS
• Marketing und Kundenengagement: Gezielte Kampagnen basierend auf Nutzersegmenten
• Personalisierung: Anpassung von Inhalten an Nutzerverhalten
• Vertragsdurchführung: Falls Nutzer sich zu Marketing angemeldet hat (Abonnement)
• Produktverbesserung: Analyse von Kampagnen-Performance, A/B-Teste, Optimierungen
• Allgemeine Produktverbesserung: Verbesserung der Braze-Plattform selbst

Sekundäre Zwecke (falls aktiviert):

• Analytik: Braze-interne Analytics zur Verbesserung des Dienstes
• Betrugsprävention: Identifikation von Bot-Aktivitäten, Missbrauch
• Compliance: Einhaltung von CAN-SPAM (USA), GDPR, ePrivacy-Richtlinie

G. Rechtsgrundlagen für Braze

Schritt 1: Kategorisierung von Braze Braze ist ein Auftragsverarbeiter (Art. 28 DSGVO). Der Websitenbetreiber ist Verantwortlicher. Die Verantwortung liegt beim Websitenbetreiber dafür, dass:

• Eine Rechtsgrundlage für die Verarbeitung besteht
• Kundeneintretungen erforderlich sind (insbes. für Marketing)
• Eine DPA mit Braze besteht

Schritt 2: Anwendbare Rechtsgrundlagen

1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Primär für Marketing:

   • Für Email-Marketing, Push-Notifications und SMS gilt in Deutschland und der EU das Opt-in-Prinzip (ePrivacy-Richtlinie 2002/58/EG, für elektronische Direktwerbung)
   • Der Nutzer muss explizit zustimmen, bevor er Marketing-E-Mails erhält
   • Ausnahme: »Bestandskundenwerbung« für ähnliche Produkte (etwas lockerer in manchen Ländern)
   • Die Einwilligung muss dokumentiert sein (Zeit, Inhalt, Art der Zustimmung)

2. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Für Analyse und Produktverbesserung:

   • Der Websitenbetreiber hat ein berechtigtes Interesse, Nutzerverhalten zu analysieren (für Verbesserung)
   • Dies gilt für nicht-invasive Tracking (z.B. Analysierung welche Seiten beliebt sind)
   • Abwägung: Die Interessen des Websitenbetreibers müssen die Interessen des Nutzers überwiegen
   • Für Marketing selbst reicht berechtigte Interesse nicht aus (Einwilligung erforderlich)

3. Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) – Für transaktionale Kommunikation:

   • Falls der Nutzer etwas kauft, können Sie ihm eine Bestätigung per Email schicken (notwendig für Vertragserfüllung)
   • Falls der Nutzer ein Abonnement abgeschlossen hat, können Sie transaktionale Nachrichten schicken

Besonderheit – § 25 TDDDG und ePrivacy-Richtlinie: Für elektronische Direktwerbung (Email, SMS, Push zu Marketing-Zwecken) ist Opt-in-Einwilligung erforderlich (§ 25 Abs. 1 TDDDG für natürliche Personen). Dies ist höherwertig als die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

H. Besonderheiten und Hinweise zu Braze

1. Einwilligung für Marketing ist zwingend Braze wird primär für Marketing genutzt. Das bedeutet: Sie benötigen ausdrückliche Einwilligung (Opt-in) des Nutzers, bevor Sie ihm Marketing-E-Mails, Push-Notifications oder SMS schicken. Das Setzen von Braze SDK ist bereits eine Datenverarbeitung, aber die Nutzung für aktive Marketing erfordert Einwilligung.

Empfehlung:

• Zeigen Sie beim Besuch der Website einen Cookie-Banner oder eine Consent-Bar an
• »Ich akzeptiere Marketing-Emails von [Websitename]« – Dies sollte ein separates Kontrollkästchen sein (nicht vorgeprüft)
• Speichern Sie diese Einwilligung dokumentiert (Datum, Formulierung, IP-Adresse)
• Nutzen Sie Braze nur dann, wenn Nutzer zustimmen

2. DPA ist zwingend erforderlich Sie müssen eine Data Processing Agreement (DPA) mit Braze haben. Verfügbar unter: https://www.braze.com/company/legal/dpa. Die DPA muss unterzeichnet sein, bevor Sie Braze nutzen.

3. Braze ist DPF-zertifiziert Braze nutzt das Data Privacy Framework (DPF) für Drittlandtransfers. Das bedeutet:

• Daten werden in die USA übermittelt
• Braze hat sich selbst zertifiziert, dass es die DPF-Anforderungen erfüllt
• Sie können die Zertifizierung prüfen unter: https://www.dataprivacyframework.gov/s/participant-search
• Im Fall der Invalidierung des DPF hat Braze Standard Contractual Clauses (SCC) als Fallback

Sie sollten in Ihrer Datenschutzerklärung offenlegen: »Marketingdaten werden in die USA zu Braze übermittelt. Braze ist Data Privacy Framework zertifiziert.«

4. Subprozessoren und Email-Zustellung Braze selbst sendet Emails nicht – es beauftragt Email-Zustelldienstleister (z.B. SendGrid, AWS SES). Diese Subprozessoren sind in den Braze-Subprozessoren-Richtlinien dokumentiert. Sie sollten diese Richtlinien prüfen und in Ihrer Datenschutzerklärung erwähnen.

5. Opt-out und Betroffenenrechte

• Betroffene können sich jederzeit von Marketing abmelden (Unsubscribe)
• Betroffene können Auskunft über ihre Daten verlangen (Art. 15 DSGVO)
• Betroffene können Löschung verlangen (Art. 17 DSGVO)
• Sie sollten ein Verfahren haben, diese Anfragen entgegenzunehmen und an Braze weiterzuleiten

6. Speicherdauer und Datenminimierung Legen Sie fest, wie lange Nutzer in Braze gespeichert werden. Empfehlung:

• Aktive Kunden: Für Dauer der Kundenbeziehung
• Inaktive Kunden: Z.B. 2 Jahre nach letztem Kauf oder Kontakt
• Gekündigte Kampagnen-Abos: 6 Monate (zum Nachweis des Opt-out)

I. FAQ zu Braze

J. Fazit und Empfehlung zu Braze

Braze ist ein leistungsstarkes Marketing-Tool, das jedoch datenschutzrechtlich komplex ist: Einwilligung für Marketingkommunikation ist zwingend erforderlich, Drittlandtransfers in die USA, Subprozessoren, und mehrere Rechtsgrundlagen je nach Nutzungsfall.

Toolspezifische Textbausteine (»Braze verarbeitet Marketingdaten«) sind viel zu kurz und verstecken die wichtigen Informationen (Drittlandtransfer, Einwilligung erforderlich).

Empfehlung: Nutzen Sie einen themenorientierten Aufbau:

• Sektion »Marketing und Kundenengagement« mit Beschreibung aller Kanäle (Email, Push, SMS)
• Klare Information: »Wir schicken Ihnen nur Marketing-Emails, wenn Sie zustimmen«
• Sektion »Ihre Rechte« mit Info zu Opt-out, Auskunft, Löschung
• Sektion »Drittlandtransfers« mit Verweis auf DPF
• Anhang mit Subprozessoren-Liste

Stellen Sie sicher, dass:

• Ein Opt-in-Consent-Mechanismus vorhanden ist (Cookie-Banner oder Checkbox)
• Die DPA mit Braze unterzeichnet ist
• Nutzer einfach abmelden können (Unsubscribe)
• Ein interner Prozess für Betroffenenrechtsanfragen besteht