Mautic ist ein Marketing Automation Tool. Unternehmen können dies für ihr E-Mail-Marketing, Lead Management und Social Media Management sowie zur Erstellung von Landingpages nutzen. Mautic ist eine Open Source Plattform. Sie verfügt über rund 200.000 Nutzer.
Für Mautic benötigen Sie einen Passus in Ihrer Datenschutzerklärung
Datenschutzerklärung kostenlos erstellen
Warum ist Mautic datenschutzrechtlich relevant?
Je nachdem, wie Seitenbetreiber Mautic verwenden, erheben sie verschiedene Daten ihrer Webseitenbesucher. Das können beispielsweise
- E-Mail-Adressen,
- Namen,
- Persönliche Interessen oder
- IP-Adressen sein.
Erheben Seitenbetreiber über Mautic personenbezogene Daten wie die gerade genannten, müssen sie auf die Vorgaben der Datenschutz-Grundverordnung (DSGVO) achten.
Mautic datenschutzkonform verwenden
Verwenden Seitenbetreiber Mautic, müssen sie diese datenschutzrechtlichen Pflichten erfüllen:
Double-Opt-In für E-Mail-Versand verwenden
Das Double-Opt-In-Verfahren soll User vor einem Missbrauch ihrer Daten schützen. Dafür gibt es vor, dass Unternehmen nur dann E-Mails an Nutzer verschicken dürfen, wenn sie über ihre Einwilligung verfügen. Diese können sie in zwei Schritten einholen:
- Unternehmen erheben die E-Mail-Adresse der User und verweisen sie per Opt-In darauf, dass sie so in die Zusendung von E-Mails einwilligen.
- Unternehmen verschicken an die E-Mail-Adresse eine Bestätigung, dass sich User für einen Mail-Service angemeldet haben. User müssen die Mail per Klick auf einen entsprechenden Link bestätigen. Diese erste Mail darf noch keine werblichen Inhalte aufweisen. Sie muss deutlich machen, dass es nur darum geht, die Anmeldung für den Newsletter zu bestätigen. Kommen Nutzer dem nach, haben Unternehmen eine rechtssichere Einwilligung für den Versand von E-Mails eingeholt.
Double-Opt-In für SMS-Versand verwenden
Mautic ermöglicht es Seitenbetreibern, einen SMS-Versand in ihr Direktmarketing zu integrieren. Unternehmen benötigen auch dafür die Erlaubnis der Nutzer. Sie erhalten diese in Anlehnung an das Double-Opt-In-Verfahren in zwei Schritten:
- Seitenbetreiber erheben die Telefonnummer der User, beispielsweise über eine Online-Maske auf ihrer Webseite. Dabei verweisen sie darauf, dass Nutzer auf diese Weise einwilligen, SMS an ihre Telefonnummer zu erhalten. Sie müssen das per Opt-In bestätigen.
- Seitenbetreiber zeigen Nutzern eine Telefonnummer an, von der sie ihren SMS-Newsletter an sie verschicken möchten. User müssen an diese Nummer einen vorgegebenen Befehl versenden, der den Start des SMS-Versands auslöst. Erhalten Seitenbetreiber diesen Startbefehl, verfügen sie über eine rechtssichere Einwilligung in den SMS-Versand.
IP-Adressen anonymisieren
Mautic erlaubt es Seitenbetreibern, beispielsweise ihre Webseite und ihr E-Mail-Marketing zu tracken. Dabei erheben sie unter anderem die IP-Adresse der Nutzer. Sie benötigen diese für ein funktionierendes Tracking jedoch nur in anonymisierter Form. Seitenbetreiber sollten daher die IP-Adressen standardmäßig anonymisieren.
Nutzerdaten regelmäßig löschen
Unternehmen sammeln mit Mautic personenbezogene Daten. Die DSGVO gibt vor, dass sie diese nur so lange behalten dürfen, bis sie damit den angestrebten Zweck erfüllt haben. Unternehmen müssen daher in regelmäßigen Abständen ihre Datenbanken bereinigen. Haben sich beispielsweise User von einem Newsletter-Versand abgemeldet, müssen Unternehmen ihre Daten in einem angemessenen Zeitraum, wie z. B. innerhalb von 30 Tagen, löschen.
Vertrag zur Auftragsverarbeitung abschließen
Unternehmen können Mautic auf eigenen Servern hosten. Hosten sie das Tool jedoch extern, müssen sie mit dem Anbieter einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Denn: Laut DSGVO müssen Unternehmen mit Dritten einen AV-Vertrag eingehen, wenn sie an diese personenbezogene Daten weitergeben. Der Vertrag muss dabei klarstellen,
- welche Userdaten der Anbieter erhält,
- warum er diese erhält,
- wie lange er die Daten speichern will und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Seitenbetreiber müssen in ihrer Datenschutzerklärung darauf hinweisen, dass sie über Mautic personenbezogene Daten erheben. Dabei sollten sie aufführen, wie lange sie die Daten speichern wollen und welche Rechtsgrundlage ihnen das erlaubt (Art. 6 DSGVO). Sie sollten Nutzern zudem erklären, dass sie der Datenspeicherung jederzeit widersprechen können. In diesem Kontext sollten Seitenbetreiber auch erwähnen, dass sie mit dem Hoster für das Marketing Tool Mautic einen AV-Vertrag geschlossen haben.
Rechtsprechung zu Mautic
Dass ein fehlender AV-Vertrag ein Bußgeld kosten kann, zeigte die Datenschutzbehörde Hamburg im Dezember 2018. Sie belegte das Versandunternehmen Kolibri Image mit einer Strafe von 5.000 Euro. Denn: Dies hatte mit dem beauftragten Dienstleister Packlink keinen AV-Vertrag geschlossen.
Der Bundesgerichtshof hat das Double-Opt-In-Verfahren als rechtssicher bestätigt. Es entschied im Februar 2011, dass Seitenbetreiber auf diese Weise die Einwilligung von Nutzern in einen E-Mail-Versand einholen können (Az. I ZR 164/09). Das sah auch das Oberlandesgericht Düsseldorf so. Dies bestätigte im März 2016, dass Unternehmen ihren Kunden im Rahmen von Double-Opt-In eine Mail zuschicken dürfen, die sie die Anmeldung für einen Newsletter-Versand bestätigen lässt (Az. I-15 U 64/15).
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
