Was macht CovertKit?
ConvertKit ist ein E-Mail-Marketing-Tool, mit dem Unternehmen Newsletter-Kampagnen und alle damit verknüpften Prozesse gestalten und ausführen können. Zusätzlich können sie mit der Software Landingpages anlegen und Content entwerfen. Damit spricht ConvertKit vor allem Blogger, YouTuber und Podcaster an. Was müssen diese datenschutzrechtlich berücksichtigen, wenn sie das Tool verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenWarum ist ConvertKit datenschutzrechtlich relevant?
Seitenbetreiber erheben über ConvertKit verschiedene Userdaten. So sammeln sie zum Beispiel
- Namen,
- E-Mail-Adressen und
- IP-Adressen.
Welche Daten sie genau erheben, ist davon abhängig, welche Funktionen von ConvertKit sie nutzen. Bei den Daten handelt es sich zum Teil um personenbezogene Daten. Diese sind nach der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) besonders geschützt. Seitenbetreiber müssen daher verschiedene datenschutzrechtliche Pflichten erfüllen. Und: ConvertKit speichert erhobene Daten auf seinen Servern in den USA. Dafür müssen Seitenbetreiber zusätzliche datenschutzrechtliche Vorgaben beachten.
Wie können Seitenbetreiber ConvertKit rechtskonform nutzen?
Erheben und speichern Seitenbetreiber personenbezogene Daten, müssen sie diese datenschutzrechtlichen Anforderungen erfüllen:
Einwilligung für E-Mail-Versand einholen
Unternehmen nutzen ConvertKit vor allem, um Usern einen Newsletter zukommen zu lassen. Dafür benötigen sie ihre Einwilligung. Sie können diese über das Double-Opt-In-Verfahren einholen. Dies hat sich als rechtssicher bewährt.
Das Double-Opt-In-Verfahren schreibt vor, dass Seitenbetreiber User bei der Abfrage ihrer E-Mail darauf hinweisen, wofür sie ihre Mail erheben. Dabei müssen sie auch erklären, dass Nutzer ihre Einwilligung jederzeit widerrufen können.
Haben Unternehmen die Mail-Adresse eingesammelt, können sie Nutzern eine erste Mail zuschicken. Diese führt die Anmeldung für den Newsletter. User müssen die Anmeldung dann per Klick auf einen entsprechenden Link bestätigen. Damit haben Seitenbetreiber die Einwilligung rechtssicher eingeholt.
Vertrag zur Auftragsverarbeitung abschließen
Art. 28 DSGVO gibt vor: Geben Unternehmen personenbezogene Daten zur weisungsgebundenen Verarbeitung an Dritte weiter, müssen sie mit diesen einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen.
Seitenbetreiber geben personenbezogene Daten ihrer Mail-Abonnenten oder ihrer Landingpage-Besucher an ConvertKit weiter. Sie müssen mit dem Software-Anbieter daher einen AV-Vertrag schließen. ConvertKit stellt diesen als Data Processing Agreement zur Verfügung. Unternehmen sollten dies prüfen und darauf achten, ob es erklärt,
- welche Userdaten ConvertKit speichert,
- warum es die Daten speichert,
- wie lange es die Daten speichern will und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Das hinter ConvertKit stehende Unternehmen sitzt in den USA. Das bedeutet: Userdaten, die Unternehmen mit der Software sammeln, landen auf Servern in den USA. Sie geben so personenbezogene Daten an einen Drittstaat außerhalb der EU weiter. Das müssen sie in ihrer Datenschutzerklärung aufführen. Um Nutzern einen genaueren Einblick in die Verarbeitung ihrer Daten in den USA zu geben, sollten Unternehmen auf die Nutzungsbedingungen und Datenschutzbestimmungen von ConvertKit verlinken. User können diese dann selbst überprüfen und entscheiden, ob sie mit der Speicherung ihrer Daten von ConvertKit einverstanden sind.
Zudem müssen Unternehmen in ihrer Datenschutzerklärung erwähnen, dass sie mit ConvertKit einen AV-Vertrag geschlossen haben. In diesem Kontext sollten sie aufführen,
- warum sie mit der Software personenbezogene Daten erheben,
- wie lange sie diese speichern wollen,
- welche Rechtsgrundlage ihnen das erlaubt ( 6 Abs. 1 lit. c DSGVO) und
- dass User der Datenerhebung jederzeit widersprechen können.
Standardvertragsklauseln prüfen
ConvertKit verwendet Standardvertragsklauseln, damit Unternehmen ihre gesammelten Daten rechtssicher in die USA versenden können. Unternehmen müssen diese mit ConvertKit abschließen. Zusätzlich müssen sie eine Risikoabschätzung durchführen. Diese soll darlegen,
- welche Art von Daten sie an ConvertKit weitergeben,
- welche Rechtsvorschriften in den USA für Datenschutz gelten und
- ob ConvertKit weitere Schutzmechanismen nutzt, um Nutzerdaten zu sichern.
Auskunftspflicht beachten
Nutzer können Unternehmen jederzeit dazu auffordern, die mit ConvertKit über sie gesammelten Daten offenzulegen. Unternehmen müssen die Daten dann in einem gängigen Format zur Verfügung stellen.
Löschpflicht beachten
Nutzer haben das Recht, ihre Daten jederzeit löschen zu lassen. Für die Praxis heißt das: Fordern sie Unternehmen dazu auf, müssen diese die Daten löschen. Bei ConvertKit ist das vor allem relevant, wenn User ihren Newsletter abbestellen. Unternehmen müssen dann ihre E-Mail-Adresse und alle weiteren in diesem Kontext erhobenen Daten löschen. Denn: Die Daten erfüllen dann keinen Zweck mehr. Worauf Unternehmen beim E-Mail-Marketing sonst noch achten müssen, zeigt unser Artikel zur E-Mail-Werbung. Zudem geben wir 11 wertvolle Tipps für das Erstellen und Versenden von Newslettern.
Rechtsprechung zu ConvertKit
Für ConvertKit ist diese Rechtsprechung relevant:
Europäischer Gerichtshof zum Privacy Shield
Der EuGH stellte im Juli 2020 fest: Der Privacy Shield ist unwirksam, um Daten von der EU in die USA zu versenden. Die dort aktiven Überwachungsprogramme sind nicht auf das zwingend erforderliche Maß beschränkt. Nutzer können sich rechtlich nicht wehren, wenn US-amerikanische Unternehmen oder Behörden ihre Daten missbrauchen. Die USA verfügt daher aktuell nicht über ein angemessenes Datenschutzniveau.
Datenschutzbehörde Hamburg zum AV-Vertrag
Um eine Datenweitergabe an Dritte rechtlich abzusichern, müssen Seitenbetreiber einen AV-Vertrag schließen. Sollten sie dem nicht nachkommen, droht ihnen ein Bußgeld. Das kann bei bis zu 10 Millionen Euro oder 2 Prozent ihres Jahresumsatzes liegen. Die Datenschutzbehörde Hamburg sprach im Dezember 2018 ein Bußgeld für einen fehlenden AV-Vertrag aus. In dem Fall hatte ein Versandunternehmen keinen AV-Vertrag mit einem beauftragten Dienstleister geschlossen.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Der Fußball-Bundesligaclub VfB Stuttgart versäumte es, mit Dienstleistern einen AV-Vertrag zu schließen. Diese hatten für den Verein mehrere tausend Mitgliederdaten verarbeitet. Die Datenschutzbehörde Baden-Württemberg kam im März 2021 daher zu dem Ergebnis: Der VfB Stuttgart hat gegen die DSGVO verstoßen. Er muss eine Strafe von 300.000 Euro zahlen.
Bundesgerichtshof zum Double-Opt-In-Verfahren
Unternehmen müssen für die Newsletter-Anmeldung das Double-Opt-In-Verfahren nutzen. Dies eignet sich, um Nutzer rechtssicher in einen E-Mail-Versand einwilligen zu lassen. Zu diesem Ergebnis kam der Bundesgerichtshof (BGH) im Februar 2011 (Az. I ZR 164/09).
Oberlandesgericht Düsseldorf zum Double-Opt-In-Verfahren
Unternehmen dürfen Nutzern eine E-Mail zuschicken, die sie die Anmeldung für einen Newsletter bestätigen lässt. Das entschied das Oberlandesgericht Düsseldorf im März 2016 (Az. I-15 U 64/15).
Niederländische Aufsichtsbehörde zur Auskunfts- und Löschpflicht
Um ihre Auskunfts- und Löschpflicht zu erfüllen, dürfen Unternehmen von Nutzern nicht erst ein Foto ihres Personalausweises verlangen. Zu diesem Ergebnis kam eine niederländische Aufsichtsbehörde im Februar 2022. Ein Medienunternehmen hatte nicht nur ein Foto des Personalausweises verlangt, sondern Nutzer auch nicht darauf hingewiesen, dass sie in dem Ausweis nicht-relevante Daten schwärzen können. Die Aufsichtsbehörde sprach daher eine Strafe von 525.000 Euro aus. Das Medienunternehmen hat Einspruch gegen das Bußgeld eingelegt.
Aktuelles zum Versand von Newslettern über US-amerikanische Anbieter
ConvertKit ist wie Mailchimp ein US-amerikanischer Anbieter von E-Mail-Software. Mailchimp ist nicht DSGVO-konform. Zu diesem Schluss kam das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) im März 2021. Der Grund: Das Tool versendet personenbezogene Daten in die USA, ohne dass dafür eine rechtliche Grundlage besteht. Für die Praxis heißt das: Es reicht nicht aus, wenn deutsche Unternehmen mit Mailchimp Standardvertragsklauseln abschließen. Sie müssen zusätzlich prüfen und dokumentieren, ob der Anbieter weitere Maßnahmen nutzt, um die Nutzerdaten in den USA zu schützen. Die Einschätzung der Datenschutzbehörde dürfte auch für die Verwendung von ConvertKit relevant sein.