Was ist ActiveCampaign?
ActiveCampaign ist ein US-amerikanischer E-Mail-Marketing-Anbieter, über den Unternehmen ihre E-Mail-Kampagnen planen, durchführen, verwalten und auswerten können. Der Fokus der Software liegt auf E-Mail-Marketing, Marketing-Automation und CRM-Automatisierung. Kunden können über ActiveCampaign so ihre Marketing- und Vertriebsprozesse optimieren. Der Anbieter hat mehr als 75.000 Kunden. Worauf müssen Unternehmen beim Einsatz von ActiveCampaign datenschutzrechtlich achten?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist ActiveCampaign datenschutzrechtlich relevant?
Um Newsletter per E-Mail und SMS verschicken zu können, müssen Webseitenbetreiber zunächst die E-Mail-Adresse und die Telefonnummer von Usern erheben. Dabei handelt es sich um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) besonders geschützt. Unternehmen müssen daher verschiedene datenschutzrechtliche Pflichten erfüllen.
Ist die Nutzung von ActiveCampaign zulässig?
Verwenden Sie ein Tool oder Programm, das personenbezogene Daten verarbeitet, werden diese Daten an den Dienstanbieter des Tools übermittelt. Je nachdem, in welchem Land der Dienstanbieter sitzt (Sitz des Datenempfängers), kann diese Datenübermittlung problematisch sein. Denn: Übertragen Sie personenbezogene Daten aus der EU in ein Drittland, ist dies nur unter bestimmten Voraussetzungen zulässig. Und zwar dann, wenn das Schutzniveau für die Datenübermittlung in ein Drittland mit dem der EU der Sache nach gleichwertig ist. Bietet das Drittland ein angemessenes Datenschutzniveau, verabschiedet die EU-Kommission einen Angemessenheitsbeschluss.
Der Diensteanbieter von Active Campaign ist Active Campaign. Dieses Unternehmen hat seinen Sitz in den USA. Es gibt einen Angemessenheitsbeschluss für die Datenübermittlung in die USA. Zusätzlich ist die Datenübertragung in die USA rechtlich aber erst dann zulässig, wenn der Datenempfänger außerdem nach dem Datenschutzabkommen EU-USA (Data Privacy Framework) zertifiziert ist.
Das Unternehmen ActiveCampaign ist DPF-zertifiziert. Die Nutzung des Tools Active Campaign ist zulässig.
[Stand 27.07.2023]
Wichtig: Nur weil die Datenübertragung mit diesem Tool rechtlich zulässig ist, bedeutet dies nicht, dass das Programm automatisch datenschutzkonform ist. Damit Sie nicht gegen den deutschen Datenschutz verstoßen, müssen Sie zusätzliche Pflichten erfüllen. Welche das sind, lesen Sie im nächsten Abschnitt.
So nutzen Sie ActiveCampaign datenschutzkonform
Um beim Einsatz von ActiveCampaign den datenschutzrechtlichen Anforderungen nachzukommen, müssen Webseitenbetreiber diese Pflichten erfüllen:
Einwilligung für Newsletter einholen
Bevor Seitenbetreiber Newsletter über ActiveCampaign versenden können, müssen sie diese datenschutzrechtlichen Vorgaben beachten:
Double-Opt-In für E-Mail
Um die E-Mail von Usern datenschutzgerecht zu erheben, können Webseitenbetreiber das Double-Opt-In-Verfahren nutzen. Dabei fragen sie zunächst die Mailadresse der User ab und lassen sie in diesem Kontext in das Abonnieren des Newsletters einwilligen.
Und: Seitenbetreiber weisen gleichzeitig darauf hin, dass Nutzer den Newsletter jederzeit wieder abbestellen können. Nutzer erhalten dann eine Mail, die ihnen die Anmeldung für den Newsletter anzeigt. Mit einem Klick auf einen Link in der Mail können User die Anmeldung dann bestätigen.
Double-Opt-In für SMS
Um die Telefonnummer für SMS-Marketing zu erhalten, können User das Double-Opt-In-Verfahren in abgewandelter Form nutzen. Dazu fragen Webseitenbetreiber über eine Online-Maske zunächst die Telefonnummer der Nutzer ab. Dabei klären sie auf, dass sie mit Eintragen ihrer Nummer den Newsletter abonnieren.
Und: Wie beim E-Mail-Marketing müssen Seitenbetreiber auch hier darauf verweisen, dass User den Newsletter jederzeit wieder abbestellen können. Diese Hinweise sollten sie per Opt-in-Verfahren vom Nutzer bestätigen lassen. Danach sollten Seitenbetreiber im nächsten Schritt in der Online-Maske die Telefonnummer des Newsletter-Absenders anzeigen. User können diese speichern und eine SMS an die Nummer mit dem Befehl „Start“ versenden. Das aktiviert den Newsletter.
Vertrag zur Auftragsverarbeitung abschließen
Immer dann, wenn Dritte Kundendaten eines Unternehmens weisungsgebunden verarbeiten, müssen die beiden Parteien einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Das gibt § 28 DSGVO vor.
ActiveCampaign erhält vollen Zugriff auf verschiedene, zum Teil personenbezogene Daten der Kunden. Seitenbetreiber müssen daher mit ActiveCampaign einen AV-Vertrag schließen. Dieser sollte ansprechen,
- welche Nutzerdaten ActiveCampaign wie lange speichert,
- warum und wie es diese Daten verarbeitet und
- welche Rechte und Pflichten die Verantwortlichen haben.
ActiveCampaign ist ein US-amerikanischer Anbieter, der seinen Kunden ein amerikanisches Pendant zum AV-Vertrag bietet. Dies entspricht in der Regel den Vorgaben der DSGVO.
Verzichten Webseitenbetreiber darauf, mit ActiveCampaign einen AV-Vertrag zu schließen, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes. Das gibt Art. 83 Abs. 4 lit. a DSGVO vor.
Datenschutzerklärung anpassen
13 Abs. 1 DSGVO schreibt vor: Seitenbetreiber müssen in ihrer Datenschutzerklärung aufführen,
- warum sie für den Einsatz von ActiveCampaign personenbezogene Daten sammeln,
- wie lange sie die personenbezogenen Daten speichern,
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. a DSGVO)
- dass sie die Daten an ActiveCampain weitergeben,
- dass sie für die Datenweitergabe mit ActiveCampaign einen AV-Vertrag geschlossen haben und
- dass User der Einwilligung in die Datenerhebung jederzeit widersprechen können.
Auskunftspflicht beachten
Nutzer haben gemäß der DSGVO jederzeit das Recht, die Daten einzusehen, die Seitenbetreiber über sie über ActiveCampaign gesammelt haben. Sie müssen diese Daten in einem strukturierten und technisch gängigen Format bereitstellen.
Löschpflicht beachten
Seitenbetreiber dürfen Daten nur so lange speichern, wie sie diese tatsächlich für den angestrebten Zweck benötigen. Meldet also beispielsweise ein Nutzer einen Newsletter ab, dürfen Seitenbetreiber seine Daten nicht weiter speichern. Und: Sie müssen Nutzerdaten auch löschen, wenn User das einfordern.
Standardvertragsklauseln abschließen
Auch wenn eine Datenübertragung durch DPF-Zertifizierung zulässig ist, empfehlen wir Ihnen nach Möglichkeit den Abschluss von Standardvertragsklauseln sowie eine Datentransfer-Folgenabschätzung vorzunehmen.
Eine rechtssichere Datenschutzerklärung können Sie jetzt schnell und kostenfrei mit unserem Datenschutz-Generator erstellen.
Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator
- Einfache Integration in Ihre Website
- Anwaltlich geprüfter Generator
- Für Sie kostenfrei in wenigen Schritten