Newsletter- & CRM-Tools datenschutzkonform einsetzen

Kaum eine Website kommt ohne Tools für Kundenkontakt und Marketing aus: ein Newsletter-Anmeldefeld im Footer, ein Kontaktformular, das Anfragen direkt ins CRM schreibt, oder ein eingebettetes Lead-Formular. Dienste wie HubSpot, Mailchimp, Brevo, ActiveCampaign oder Salesforce machen das bequem — und verarbeiten dabei personenbezogene Daten deiner Besucher. Dieser Beitrag ordnet neutral ein, welche datenschutzrechtlichen Pflichten dabei typischerweise eine Rolle spielen und wie du prüfst, was auf deiner Seite tatsächlich passiert.

Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.

Was diese Dienste auf deiner Seite tun

CRM-, Formular- und Newsletter-Dienste sind externe Plattformen, die Kontaktdaten erfassen, speichern und für E-Mail-Marketing oder Kundenpflege nutzbar machen. Bekannte Beispiele sind HubSpot, Mailchimp, Brevo, ActiveCampaign und Salesforce. Eingebunden werden sie auf Websites typischerweise auf zwei Wegen:

• Eingebettete Formulare: Ein vom Anbieter bereitgestelltes Anmelde- oder Kontaktformular wird per <iframe> oder über ein eingebundenes Skript direkt auf deiner Seite angezeigt. Die Eingaben deiner Besucher gehen dabei in der Regel direkt zum Anbieter.
• Tracking-Snippets: Manche Dienste setzen zusätzlich ein JavaScript-Snippet (z. B. ein „Tracking-Code" oder Pixel), das Seitenbesuche, Klicks oder das Ausfüllen von Formularen an den Anbieter meldet — teils unabhängig davon, ob jemand das Formular tatsächlich absendet.

In beiden Fällen fließen Daten an einen Dritten. Schon das bloße Laden eines eingebetteten Formulars oder Snippets überträgt technisch unvermeidbar die IP-Adresse des Besuchers an den Anbieter, weil jede HTTP-Anfrage eine Absender-IP trägt. Spätestens beim Absenden kommen Name, E-Mail-Adresse und weitere Eingaben hinzu. Genau deshalb ist die saubere Einbindung dieser Dienste ein eigenes Datenschutzthema.

Auftragsverarbeitung: der AVV

Wenn ein Dienstleister personenbezogene Daten in deinem Auftrag und nach deiner Weisung verarbeitet — also etwa deine Newsletter-Kontakte speichert und die Mails verschickt —, liegt in aller Regel eine Auftragsverarbeitung vor. Dafür verlangt Art. 28 DSGVO einen schriftlichen bzw. elektronischen Auftragsverarbeitungsvertrag (AVV) zwischen dir als Verantwortlichem und dem Dienstleister.

Die großen Anbieter stellen einen solchen AVV (oft englisch: „Data Processing Agreement", DPA) standardmäßig bereit — manchmal automatisch als Teil der Nutzungsbedingungen, manchmal musst du ihn aktiv im Konto akzeptieren oder anfordern. Es lohnt sich, für jeden eingesetzten Dienst zu prüfen, ob ein gültiger AVV vorliegt und abgeschlossen wurde. Ohne diesen Vertrag fehlt der Auftragsverarbeitung eine wesentliche Grundlage.

Drittlandtransfer bei US-Anbietern

Viele der genannten Dienste sind US-Unternehmen oder verarbeiten Daten teilweise außerhalb der EU. Werden personenbezogene Daten in ein Drittland wie die USA übertragen, braucht es dafür eine zusätzliche Grundlage. In Betracht kommen vor allem Standardvertragsklauseln (SCCs) oder — bei zertifizierten US-Anbietern — eine Teilnahme am EU-US Data Privacy Framework (DPF). Sinnvoll ist, pro Dienst nachzusehen, wo verarbeitet wird und auf welche Grundlage sich der Anbieter stützt. Diese Angaben gehören anschließend transparent in die Datenschutzerklärung.

Newsletter: Einwilligung und Double-Opt-In

Werbung per E-Mail — und ein Newsletter ist im Regelfall genau das — setzt grundsätzlich eine Einwilligung des Empfängers voraus. Das ergibt sich nicht nur aus dem Datenschutz, sondern auch aus dem Wettbewerbsrecht (UWG): Unverlangte E-Mail-Werbung gilt dort als unzumutbare Belästigung. Die Einwilligung muss freiwillig, für den konkreten Zweck und informiert erteilt werden.

In der Praxis hat sich das Double-Opt-In-Verfahren als gängiger Weg etabliert, eine Einwilligung nachvollziehbar zu dokumentieren: Nach der Anmeldung erhält die Person eine Bestätigungs-E-Mail mit einem Link, den sie aktiv anklicken muss. Erst danach landet die Adresse aktiv im Verteiler. So lässt sich später belegen, dass die Anmeldung von der angegebenen Adresse selbst ausging und nicht von einem Dritten eingetragen wurde.

Wichtig ist außerdem, die Einwilligung zu dokumentieren — also festzuhalten, wann, mit welchem Text und über welches Formular sie erteilt wurde. Die meisten CRM- und Newsletter-Dienste bieten dafür Double-Opt-In und eine entsprechende Protokollierung an; ob diese Funktionen aktiviert und richtig konfiguriert sind, lohnt sich zu prüfen.

Datenminimierung in Formularen

Die DSGVO verlangt, nur die Daten zu erheben, die für den jeweiligen Zweck tatsächlich erforderlich sind („Datenminimierung"). Für ein Newsletter-Formular bedeutet das in vielen Fällen: Die E-Mail-Adresse genügt. Zusätzliche Felder wie Name, Telefonnummer, Firma oder Geburtsdatum sollten — wenn überhaupt — freiwillig und nicht als Pflichtfeld abgefragt werden, sofern sie für den Zweck nicht wirklich nötig sind.

Ein guter Grundsatz: Jedes Pflichtfeld braucht eine Begründung. Je weniger Pflichtangaben, desto geringer die Menge personenbezogener Daten, die du verantwortest — und desto niedriger die Hürde für die Anmeldung.

Öffnungs- und Klick-Tracking in E-Mails

Viele Newsletter-Tools messen standardmäßig, ob und wann eine Mail geöffnet und welche Links angeklickt wurden. Technisch geschieht das oft über ein unsichtbares Zählpixel und über umgeleitete Link-Adressen. Dieses individuelle Öffnungs- und Klick-Tracking erlaubt Rückschlüsse auf das Verhalten einer bestimmten Person und ist nach überwiegender Auffassung in der Regel einwilligungspflichtig — die Einwilligung in den Newsletter selbst deckt es nicht automatisch mit ab.

Praktisch heißt das: Wer ein solches Tracking nutzt, sollte darüber transparent informieren und eine Rechtsgrundlage dafür haben. Viele Dienste lassen sich so konfigurieren, dass das personenbezogene Tracking abgeschaltet oder auf das Nötige begrenzt wird — auch das ist eine Prüfung wert.

Transparenz in der Datenschutzerklärung

Welche Dienste du einsetzt, welche Daten dabei verarbeitet werden und auf welcher Grundlage — das gehört nachvollziehbar in deine Datenschutzerklärung. Konkret heißt das: jeden eingesetzten CRM-, Formular- und Newsletter-Dienst beim Namen nennen, den Verarbeitungszweck beschreiben und etwaige Drittlandbezüge offenlegen.

Eine häufige Lücke ist, dass die Datenschutzerklärung und die tatsächlich eingebundenen Dienste auseinanderlaufen — etwa weil ein Tool nachträglich hinzukam, aber im Text fehlt. Genau das lässt sich systematisch gegenprüfen: Welche Dienste sind technisch eingebunden, und sind sie auch alle in der Erklärung benannt? Mehr dazu liest du im Soll-Ist-Abgleich.

Wie prüfst du deine eigene Seite?

Du musst kein Profi sein, um einen ersten Eindruck zu bekommen, welche Dienste auf deiner Seite aktiv sind:

• Eingebettete Formulare im Quelltext: Suche im HTML nach <iframe> und nach den Domains der Anbieter (etwa hsforms/hubspot, mailchimp/list-manage, brevo/sendinblue). Treffer deuten auf ein eingebettetes Formular oder Snippet hin.
• Netzwerk-Tab der Entwicklertools: Öffne deine Seite, drücke F12, gehe auf „Netzwerk" und lade neu. Sieh nach, ob bereits beim Laden — also vor jeder Eingabe — Requests an externe Anbieter-Domains auftauchen.
• Mehrere Seitentypen prüfen: Formulare und Snippets stecken oft nur auf bestimmten Templates (Footer, Landingpages, Blog, Kontaktseite). Prüfe nicht nur die Startseite.

Einen schnellen ersten Eindruck — ob deine Seite überhaupt externe Formular- oder CRM-Dienste einbindet — bekommst du in rund einer Minute mit dem kostenlosen Schnellcheck. Er ersetzt keine fachkundige Prüfung, zeigt dir aber sofort, ob an dieser Stelle Handlungsbedarf besteht. Wie konfora dabei vorgeht und wo die Grenzen liegen, steht in der Methodik.

Kurz zusammengefasst

• CRM-, Formular- und Newsletter-Dienste (HubSpot, Mailchimp, Brevo, ActiveCampaign, Salesforce) binden sich per Formular oder Snippet ein — dabei fließen Daten an den Anbieter.
• Für die Auftragsverarbeitung braucht es einen AVV nach Art. 28 DSGVO; bei US-Anbietern zusätzlich eine Grundlage für den Drittlandtransfer (SCCs oder EU-US Data Privacy Framework).
• Newsletter setzen eine Einwilligung voraus; das Double-Opt-In ist der gängige Weg, sie nachvollziehbar zu dokumentieren. Öffnungs- und Klick-Tracking ist in der Regel zusätzlich einwilligungspflichtig.
• Formulare datenminimiert halten und alle eingesetzten Dienste in der Datenschutzerklärung benennen. Prüfen kannst du das im Quelltext und im Netzwerk-Tab.

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.