Datenschutzerklärung für ActiveCampaign

Warum ist ActiveCampaign datenschutzrechtlich relevant?

Um Newsletter per E-Mail und SMS verschicken zu können, müssen Webseitenbetreiber zunächst die E-Mail-Adresse und die Telefonnummer von Usern erheben. Dabei handelt es sich um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) besonders geschützt. Unternehmen müssen daher verschiedene datenschutzrechtliche Pflichten erfüllen.

So können Webseitenbetreiber ActiveCampaign datenschutzkonform verwenden

Um beim Einsatz von ActiveCampaign den datenschutzrechtlichen Anforderungen nachzukommen, müssen Webseitenbetreiber diese Pflichten erfüllen:

Einwilligung für Newsletter einholen

Bevor Seitenbetreiber Newsletter über ActiveCampaign versenden können, müssen sie diese datenschutzrechtlichen Vorgaben beachten:

Double-Opt-In für E-Mail

Um die E-Mail von Usern datenschutzgerecht zu erheben, können Webseitenbetreiber das Double-Opt-In-Verfahren nutzen. Dabei fragen sie zunächst die Mailadresse der User ab und lassen sie in diesem Kontext in das Abonnieren des Newsletters einwilligen. Und: Seitenbetreiber weisen gleichzeitig darauf hin, dass Nutzer den Newsletter jederzeit wieder abbestellen können. Nutzer erhalten dann eine Mail, die ihnen die Anmeldung für den Newsletter anzeigt. Mit einem Klick auf einen Link in der Mail können User die Anmeldung dann bestätigen.

Double-Opt-In für SMS

Um die Telefonnummer für SMS-Marketing zu erhalten, können User das Double-Opt-In-Verfahren in abgewandelter Form nutzen. Dazu fragen Webseitenbetreiber über eine Online-Maske zunächst die Telefonnummer der Nutzer ab. Dabei klären sie auf, dass sie mit Eintragen ihrer Nummer den Newsletter abonnieren. Und: Wie beim E-Mail-Marketing müssen Seitenbetreiber auch hier darauf verweisen, dass User den Newsletter jederzeit wieder abbestellen können. Diese Hinweise sollten sie per Opt-in-Verfahren vom Nutzer bestätigen lassen. Danach sollten Seitenbetreiber im nächsten Schritt in der Online-Maske die Telefonnummer des Newsletter-Absenders anzeigen. User können diese speichern und eine SMS an die Nummer mit dem Befehl „Start“ versenden. Das aktiviert den Newsletter.

Vertrag zur Auftragsverarbeitung abschließen

Immer dann, wenn Dritte Kundendaten eines Unternehmens weisungsgebunden verarbeiten, müssen die beiden Parteien einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Das gibt § 28 DSGVO vor. ActiveCampaign erhält vollen Zugriff auf verschiedene, zum Teil personenbezogene Daten der Kunden. Seitenbetreiber müssen daher mit ActiveCampaign einen AV-Vertrag schließen. Dieser sollte ansprechen,

• welche Nutzerdaten ActiveCampaign wie lange speichert,
• warum und wie es diese Daten verarbeitet und
• welche Rechte und Pflichten die Verantwortlichen haben.

ActiveCampaign ist ein US-amerikanischer Anbieter, der seinen Kunden ein amerikanisches Pendant zum AV-Vertrag bietet. Dies entspricht in der Regel den Vorgaben der DSGVO. Verzichten Webseitenbetreiber darauf, mit ActiveCampaign einen AV-Vertrag zu schließen, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes. Das gibt Art. 83 Abs. 4 lit. a DSGVO vor.

Datenschutzerklärung anpassen

• 13 Abs. 1 DSGVO schreibt vor: Seitenbetreiber müssen in ihrer Datenschutzerklärung aufführen,
• warum sie für den Einsatz von ActiveCampaign personenbezogene Daten sammeln,
• wie lange sie die personenbezogenen Daten speichern,
• welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. a DSGVO)
• dass sie die Daten an ActiveCampain weitergeben,
• dass sie für die Datenweitergabe mit ActiveCampaign einen AV-Vertrag geschlossen haben und
• dass User der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Auskunftspflicht beachten

Nutzer haben gemäß der DSGVO jederzeit das Recht, die Daten einzusehen, die Seitenbetreiber über sie über ActiveCampaign gesammelt haben. Sie müssen diese Daten in einem strukturierten und technisch gängigen Format bereitstellen.

Löschpflicht beachten

Seitenbetreiber dürfen Daten nur so lange speichern, wie sie diese tatsächlich für den angestrebten Zweck benötigen. Meldet also beispielsweise ein Nutzer einen Newsletter ab, dürfen Seitenbetreiber seine Daten nicht weiter speichern. Und: Sie müssen Nutzerdaten auch löschen, wenn User das einfordern.

Standardvertragsklauseln prüfen

AcitveCampaign ist ein US-amerikanischer Anbieter. Das heißt: Unternehmen geben personenbezogene Daten in ein Drittland außerhalb der EU weiter. Dafür besteht aktuell keine Rechtsgrundlage. Als Übergangslösung hat die EU-Kommission daher Standardvertragsklauseln entworfen. Unternehmen müssen diese mit ActiveCampaign abschließen.

Zusätzlich müssen sie eine Risikoabschätzung durchführen. Diese soll zeigen, wie die Datenübermittlung in die USA funktioniert und welche Maßnahmen ActiveCampaign ergreift, um die Daten vor unberechtigten Zugriffen zu schützen. Dabei sollte die Risikoabschätzung vor allem offenlegen,

• welche Art von Daten Unternehmen in die USA senden,
• welche Rechtsvorschriften in den USA gelten und
• ob Unternehmen weitere Maßnahmen ergreifen können, um die Nutzerdaten zusätzlich zu schützen.

Rechtsprechung zum Versand von Newslettern über ActiveCampaign

Für den Einsatz von ActiveCampaign ist diese Rechtsprechung relevant:

Bundesgerichtshof zum Double-Opt-In-Verfahren

Am 10.02.2011 hat der Bundesgerichtshof (BGH) entschieden: Seitenbetreiber müssen die Erlaubnis der User über das Double-Opt-In-Verfahren einholen, wenn sie Newsletter an ihre E-Mail-Adresse versenden wollen (Az. I ZR 164/09).

OLG Düsseldorf zum Double-Opt-In-Verfahren

Das Oberlandesgericht (OLG) Düsseldorf hat am 17.03.2016 bestätigt, dass Webseitenbetreiber Usern im Rahmen des Double-Opt-In-Verfahrens eine Mail zukommen lassen dürfen, um die Anmeldung für einen Newsletter bestätigen zu lassen (Az. I-15 U 64/15).

Datenschutzbehörde Hamburg zum AV-Vertrag

Im Dezember 2018 musste ein deutsches Versandunternehmen eine Strafe von 5.000 Euro zahlen. Es hatte einen spanischen Postdienstleister beauftragt. Dieser hatte dabei unter anderem personenbezogene Daten des deutschen Unternehmens weisungsgebunden verarbeitet. Ein AV-Vertrag lag dafür jedoch nicht vor. Weder das Versandunternehmen noch der Postdienstleister sahen sich dafür verantwortlich. Die Datenschutzbehörde Hamburg sprach daher das Bußgeld aus.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Der Fußball-Bundesligaclub VfB Stuttgart musste im März 2021 ein Bußgeld in Höhe von 300.000 Euro zahlen. Der Verein hatte zwischen 2016 und 2018 mehrere Dienstleister beauftragt, um Mitgliederdaten weisungsgebunden verarbeiten zu lassen – ohne AV-Vertrag. Das stufte die Datenschutzbehörde Baden-Württemberg als schweren Verstoß gegen die DSGVO ein. Sie sprach daher die Strafe aus.

Aktuelles zum Versand von Newslettern über US-amerikanische Anbieter

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) stellte im März 2021 fest: Das Newsletter-Tool Mailchimp erfüllt nicht die Vorgaben der DSGVO. Es sendet personenbezogene Daten an den Anbieter in den USA und damit in ein Drittland außerhalb der EU. Dafür benötigen Unternehmen eine rechtliche Grundlage. Diese existiert derzeit nicht. Denn: Zwar nutzt Mailchimp Standardvertragsklauseln, um die Datenübermittlung rechtlich abzusichern. Das ist laut der BayLDA jedoch nicht ausreichend. Es fehlt eine Kontrolle, ob der Anbieter weitere Maßnahmen ergreift, um den Datentransfer datenschutzkonform zu gestalten. Das betroffene Unternehmen musste kein Bußgeld zahlen, da es fortan auf Mailchimp verzichten will. Die Einschätzung des BayLDA ist jedoch nicht nur für Mailchimp relevant. Worauf Unternehmen daher jetzt achten müssen, erklären wir in unserem Artikel „Datenschutz: Ist der Newsletter-Dienst Mailchimp nicht mehr erlaubt?“.