Datenschutzerklärung für ConvertKit

(4 Bewertungen, 3.75 von 5)

Was macht CovertKit?

ConvertKit ist ein E-Mail-Marketing-Tool, mit dem Unternehmen Newsletter-Kampagnen und alle damit verknüpften Prozesse gestalten und ausführen können. Zusätzlich können sie mit der Software Landingpages anlegen und Content entwerfen. Damit spricht ConvertKit vor allem Blogger, YouTuber und Podcaster an. Was müssen diese datenschutzrechtlich berücksichtigen, wenn sie das Tool verwenden?

Der Punkt "ConvertKit" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

Warum ist ConvertKit datenschutzrechtlich relevant?

Seitenbetreiber erheben über ConvertKit verschiedene Userdaten. So sammeln sie zum Beispiel

  • Namen,
  • E-Mail-Adressen und
  • IP-Adressen.

Welche Daten sie genau erheben, ist davon abhängig, welche Funktionen von ConvertKit sie nutzen. Bei den Daten handelt es sich zum Teil um personenbezogene Daten. Diese sind nach der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG))  besonders geschützt. Seitenbetreiber müssen daher verschiedene datenschutzrechtliche Pflichten erfüllen. Und: ConvertKit speichert erhobene Daten auf seinen Servern in den USA. Dafür müssen Seitenbetreiber zusätzliche datenschutzrechtliche Vorgaben beachten.

Wie können Seitenbetreiber ConvertKit rechtskonform nutzen?

Erheben und speichern Seitenbetreiber personenbezogene Daten, müssen sie diese datenschutzrechtlichen Anforderungen erfüllen:

Einwilligung für E-Mail-Versand einholen

Unternehmen nutzen ConvertKit vor allem, um Usern einen Newsletter zukommen zu lassen. Dafür benötigen sie ihre Einwilligung. Sie können diese über das Double-Opt-In-Verfahren einholen. Dies hat sich als rechtssicher bewährt.

Das Double-Opt-In-Verfahren schreibt vor, dass Seitenbetreiber User bei der Abfrage ihrer E-Mail darauf hinweisen, wofür sie ihre Mail erheben. Dabei müssen sie auch erklären, dass Nutzer ihre Einwilligung jederzeit widerrufen können.

Haben Unternehmen die Mail-Adresse eingesammelt, können sie Nutzern eine erste Mail zuschicken. Diese führt die Anmeldung für den Newsletter. User müssen die Anmeldung dann per Klick auf einen entsprechenden Link bestätigen. Damit haben Seitenbetreiber die Einwilligung rechtssicher eingeholt.

Vertrag zur Auftragsverarbeitung abschließen

Art. 28 DSGVO gibt vor: Geben Unternehmen personenbezogene Daten zur weisungsgebundenen Verarbeitung an Dritte weiter, müssen sie mit diesen einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen.

Seitenbetreiber geben personenbezogene Daten ihrer Mail-Abonnenten oder ihrer Landingpage-Besucher an ConvertKit weiter. Sie müssen mit dem Software-Anbieter daher einen AV-Vertrag schließen. ConvertKit stellt diesen als Data Processing Agreement zur Verfügung. Unternehmen sollten dies prüfen und darauf achten, ob es erklärt,

  • welche Userdaten ConvertKit speichert,
  • warum es die Daten speichert,
  • wie lange es die Daten speichern will und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Das hinter ConvertKit stehende Unternehmen sitzt in den USA. Das bedeutet: Userdaten, die Unternehmen mit der Software sammeln, landen auf Servern in den USA. Sie geben so personenbezogene Daten an einen Drittstaat außerhalb der EU weiter. Das müssen sie in ihrer Datenschutzerklärung aufführen. Um Nutzern einen genaueren Einblick in die Verarbeitung ihrer Daten in den USA zu geben, sollten Unternehmen auf die Nutzungsbedingungen und Datenschutzbestimmungen von ConvertKit verlinken. User können diese dann selbst überprüfen und entscheiden, ob sie mit der Speicherung ihrer Daten von ConvertKit einverstanden sind.

Zudem müssen Unternehmen in ihrer Datenschutzerklärung erwähnen, dass sie mit ConvertKit einen AV-Vertrag geschlossen haben. In diesem Kontext sollten sie aufführen,

  • warum sie mit der Software personenbezogene Daten erheben,
  • wie lange sie diese speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt ( 6 Abs. 1 lit. c DSGVO) und
  • dass User der Datenerhebung jederzeit widersprechen können.

Standardvertragsklauseln prüfen

ConvertKit verwendet Standardvertragsklauseln, damit Unternehmen ihre gesammelten Daten rechtssicher in die USA versenden können. Unternehmen müssen diese mit ConvertKit abschließen. Zusätzlich müssen sie eine Risikoabschätzung durchführen. Diese soll darlegen,

  • welche Art von Daten sie an ConvertKit weitergeben,
  • welche Rechtsvorschriften in den USA für Datenschutz gelten und
  • ob ConvertKit weitere Schutzmechanismen nutzt, um Nutzerdaten zu sichern.

Auskunftspflicht beachten

Nutzer können Unternehmen jederzeit dazu auffordern, die mit ConvertKit über sie gesammelten Daten offenzulegen. Unternehmen müssen die Daten dann in einem gängigen Format zur Verfügung stellen.

Löschpflicht beachten

Nutzer haben das Recht, ihre Daten jederzeit löschen zu lassen. Für die Praxis heißt das: Fordern sie Unternehmen dazu auf, müssen diese die Daten löschen. Bei ConvertKit ist das vor allem relevant, wenn User ihren Newsletter abbestellen. Unternehmen müssen dann ihre E-Mail-Adresse und alle weiteren in diesem Kontext erhobenen Daten löschen. Denn: Die Daten erfüllen dann keinen Zweck mehr. Worauf Unternehmen beim E-Mail-Marketing sonst noch achten müssen, zeigt unser Artikel zur E-Mail-Werbung. Zudem geben wir 11 wertvolle Tipps für das Erstellen und Versenden von Newslettern.

Rechtsprechung zu ConvertKit

Für ConvertKit ist diese Rechtsprechung relevant:

Europäischer Gerichtshof zum Privacy Shield

Der EuGH stellte im Juli 2020 fest: Der Privacy Shield ist unwirksam, um Daten von der EU in die USA zu versenden. Die dort aktiven Überwachungsprogramme sind nicht auf das zwingend erforderliche Maß beschränkt. Nutzer können sich rechtlich nicht wehren, wenn US-amerikanische Unternehmen oder Behörden ihre Daten missbrauchen. Die USA verfügt daher aktuell nicht über ein angemessenes Datenschutzniveau.

Datenschutzbehörde Hamburg zum AV-Vertrag

Um eine Datenweitergabe an Dritte rechtlich abzusichern, müssen Seitenbetreiber einen AV-Vertrag schließen. Sollten sie dem nicht nachkommen, droht ihnen ein Bußgeld. Das kann bei bis zu 10 Millionen Euro oder 2 Prozent ihres Jahresumsatzes liegen. Die Datenschutzbehörde Hamburg sprach im Dezember 2018 ein Bußgeld für einen fehlenden AV-Vertrag aus. In dem Fall hatte ein Versandunternehmen keinen AV-Vertrag mit einem beauftragten Dienstleister geschlossen.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Der Fußball-Bundesligaclub VfB Stuttgart versäumte es, mit Dienstleistern einen AV-Vertrag zu schließen. Diese hatten für den Verein mehrere tausend Mitgliederdaten verarbeitet. Die Datenschutzbehörde Baden-Württemberg kam im März 2021 daher zu dem Ergebnis: Der VfB Stuttgart hat gegen die DSGVO verstoßen. Er muss eine Strafe von 300.000 Euro zahlen.

Bundesgerichtshof zum Double-Opt-In-Verfahren

Unternehmen müssen für die Newsletter-Anmeldung das Double-Opt-In-Verfahren nutzen. Dies eignet sich, um Nutzer rechtssicher in einen E-Mail-Versand einwilligen zu lassen. Zu diesem Ergebnis kam der Bundesgerichtshof (BGH) im Februar 2011 (Az. I ZR 164/09).

Oberlandesgericht Düsseldorf zum Double-Opt-In-Verfahren

Unternehmen dürfen Nutzern eine E-Mail zuschicken, die sie die Anmeldung für einen Newsletter bestätigen lässt. Das entschied das Oberlandesgericht Düsseldorf im März 2016 (Az. I-15 U 64/15).

Niederländische Aufsichtsbehörde zur Auskunfts- und Löschpflicht

Um ihre Auskunfts- und Löschpflicht zu erfüllen, dürfen Unternehmen von Nutzern nicht erst ein Foto ihres Personalausweises verlangen. Zu diesem Ergebnis kam eine niederländische Aufsichtsbehörde im Februar 2022. Ein Medienunternehmen hatte nicht nur ein Foto des Personalausweises verlangt, sondern Nutzer auch nicht darauf hingewiesen, dass sie in dem Ausweis nicht-relevante Daten schwärzen können. Die Aufsichtsbehörde sprach daher eine Strafe von 525.000 Euro aus. Das Medienunternehmen hat Einspruch gegen das Bußgeld eingelegt.

Aktuelles zum Versand von Newslettern über US-amerikanische Anbieter

ConvertKit ist wie Mailchimp ein US-amerikanischer Anbieter von E-Mail-Software. Mailchimp ist nicht DSGVO-konform. Zu diesem Schluss kam das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) im März 2021. Der Grund: Das Tool versendet personenbezogene Daten in die USA, ohne dass dafür eine rechtliche Grundlage besteht. Für die Praxis heißt das: Es reicht nicht aus, wenn deutsche Unternehmen mit Mailchimp Standardvertragsklauseln abschließen. Sie müssen zusätzlich prüfen und dokumentieren, ob der Anbieter weitere Maßnahmen nutzt, um die Nutzerdaten in den USA zu schützen. Die Einschätzung der Datenschutzbehörde dürfte auch für die Verwendung von ConvertKit relevant sein.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6510 Bewertungen, 4.38 von 5)