Florian Decker
Fachanwalt für gewerblichen Rechtsschutz
Angestellter Rechtsanwalt
Kanzlei Rechtsanwälte Dr. Schultheiß

Da wir immer wieder Fragen zu der DSGVO-Konformität des Newsletter-Tools Sendinblue erhalten, haben wir das Tool ausführlich getestet und stellen unser Ergebnis im nachfolgenden Testbericht vor.

Sendinblue wirbt (siehe de.sendinblue.com/warum-sendinblue – Stand 15.03.2022) selbst mit folgendem Versprechen: „Maximaler Datenschutz – made in Germany […] Mit Sendinblue gestalten Sie Ihr E-Mail Marketing von Anfang an DSGVO-konform.“

Diese Aussage ist aus unserer Sicht aber nur teilweise korrekt, denn eine datenschutzkonforme Nutzung ist nach unserer Einschätzung zwar tatsächlich möglich, allerdings ist das kein Selbstläufer…

Die Standardeinstellungen sind definitiv nicht datenschutzkonform. Mit einer entsprechenden (etwas aufwändigen) Anpassung ist eine rechtskonforme Verwendung dann aber möglich und das Newsletter-Tool überzeugt insoweit jedenfalls nicht zuletzt auf Grund des Funktionsumfanges und der Anpassungsfähigkeit.

Unser Sendinblue Test – Was wurde getestet?

Getestet wurde die kostenfreie Version des Newsletter-Tools. Sendinblue stellt neben dem Newsletter-Tool bzw. darüber hinaus noch eine Reihe weiterer Services zur Verfügung, z.B. eine Chatfunktion, ein CRM, eine SMS-Funktion, eine Website-Tracking-Option (die wir ebenfalls separat getestet haben, hier geht’s zum entsprechenden Blog-Artikel) und viele weitere Features, die jedoch nicht Bestandteil dieses Tests waren.

Welches Unternehmen steht hinter Sendinblue?

Wie man dem Auftragsdatenverarbeitungsvertrag (AVV) entnehmen kann, befindet sich der Hauptsitz des Unternehmens (die Sendinblue SAS) in Frankreich. Zudem gibt es Standorte in den USA (Sendinblue Inc.), in Kanada (Sendinblue Canada Enterprise Inc.) sowie in Indien (Silver Line IT Solutions Pvt. Ltd.). Den AVV schließt man als deutscher Kunde mit der deutschen Sendinblue GmbH ab. Hier können Sie nachlesen, wie Sie hier vorgehen müssen. Aus dem AVV ist auch ersichtlich, dass das Hosting in Deutschland bei der Hetzner Online GmbH stattfindet.

Auf Grund des Standortes USA klingeln logischerweise die Alarmglocken, vor allem bzgl. des sogenannten CLOUD-Acts. Allerdings ist das Mutterunternehmen ein französisches Unternehmen, zudem führt Sendinblue innerhalb des AVV folgendes aus „Es findet daher keine grundsätzliche Datenübertragung außerhalb der EU statt, sondern nur dann ein punktueller Zugriff, sofern dies unbedingt erforderlich ist (z.B. Kundensupport bei einem Ticket um 1.00 Uhr nachts).“ Sodass wir bei dem Punkt „Hosting“ von einer datenschutzkonformen Lösung ausgehen.

Sendinblue-Anmeldeformular auf Website integrieren – Datenschutz beachten!

Damit sich Interessenten zu Ihrem Newsletter eintragen können, brauchen Sie selbstverständlich ein Anmeldeformular. Hierzu können Sie ein entsprechendes Formular im Backend Ihres Sendinblue-Accounts erstellen (bei Nutzung des WordPress PlugIns von Sendinblue gibt es noch eine andere Möglichkeit. Diesbezüglich haben wir weiter unten eine separate Anleitung erstellt).

Im Backend Ihres Sendinblue Accounts können Sie ein Formular konfigurieren. Dabei gibt es sechs Schritte, die wir nun durchgehen werden und dabei erläutern, auf was Sie achten müssen:

1. Einrichtung

Als erstes geben wir einen Formular-Namen ein. Das Auswählen des Kästchens „DSGVO-Felder aktivieren“ können Sie sich dabei sparen. Warum das so ist, erklären wir im nächsten Schritt.

2. Design

Anschließend kommt der Punkt „Design“. So sieht die Vorlage nun aus, wenn man die „DSGVO-Felder“ aktiviert hat:

Diese Vorlage mit den „DSGVO-Feldern“ ist alles andere als rechtskonform (zum einen aus datenschutzrechtlichen und zum anderen aber auch aus werberechtlichen Gründen). Sie müssen das Formular somit noch individuell wie folgt anpassen:

2.1 Checkbox

Die Checkbox ist dahingehend fehlerhaft, dass man eine Datenschutzerklärung nicht „akzeptieren“ kann, eine Datenschutzerklärung ist kein Vertrag, den man schließt. Zudem geht der Newsletter-Versand mit einem Tracking einher, welches man nicht deaktivieren kann. Auf unsere Nachfrage, ob man das Tracking ausstellen kann, bekamen wir folgende Rückmeldung von Sendinblue „Es lässt sich nicht deaktivieren, weil wir dadurch auch schnell und einfach Spammer ausfindig machen können und zur Sicherheit aller Kunden dient“.

In der Anmeldemaske, vor allem der Checkbox ist keine Rede von einem Tracking. Aus unserer Sicht besteht auch beim Newslettertracking die Pflicht eine entsprechende Einwilligung einzuholen. Eine Berufung auf ein berechtigtes Interesse (im Sinne von Art. 6 Abs. 1 lit. f DSGVO) daran, den Erfolg von Werbekampagnen zu messen und diese in Zukunft attraktiver für die Kunden zu gestalten oder eben „Spammer ausfindig machen zu können“, halten wir für nicht ausreichend. Diese Gründe werden wohl eine Rolle spielen, aber datenschutzrechtlich ist für ein solches Tracking nun einmal eine Einwilligung erforderlich und diese kann nur wirksam eingeholt werden, wenn man den Kunden vorher informiert und ihm die freie Wahl lässt, auch „Nein“ zu sagen.

Da man das Tracking bei Sendinblue nun nicht abstellen kann, ist eine Aufnahme dieses Punktes in die bestehende Checkbox wohl die einzig sinnvolle Lösung. Zudem sollte die Datenschutzerklärung und insbesondere, die Ziffer der Datenschutzerklärung, in welcher der Punkt „Sendinblue“ behandelt wird, verlinkt werden. Des Weiteren ist die Checkbox in den Standardeinstellungen KEIN (!) Pflichtfeld, sodass hier überhaupt keine Wirkung erzielt würde, wenn man es dabei beließe; auch das ist entsprechend anzupassen.

Nachfolgend haben wir dargestellt wie die Checkbox aussehen sollte:

Leider lassen sich keine Links innerhalb der Checkbox setzen. Wir zeigen Ihnen jedoch später, wie Sie das nachholen können.

2.2 Hinweis auf Sendinblue

Den Hinweis auf Sendinblue (“Wir verwenden Sendinblue als unsere Marketing-Plattform…“) haben wir somit bereits innerhalb der Checkbox erledigt und verweisen zudem auf die Klausel in der Datenschutzerklärung, in dem wir nochmal alles ausführlich erläutern (diese Klauseln erhalten unsere Kunden selbstverständlich vorgefertigt, sodass man diese nur per Copy&Paste in die Datenschutzerklärung einfügen muss). Den Standardhinweis können Sie entsprechend entfernen. Weniger unnötiger Text = Bessere Conversions.

2.3 Überschrift – Wer ist der Versender?

Die Standard-Überschrift ist nichtssagend. Stellen Sie sich vor, das Anmelde-Formular ist auf einer Landingpage ohne weitere Informationen enthalten (was der Fall ist, wenn man die Quick Share Funktion nutzt – darauf gehen wir später noch ein). Wem gehört der Newsletter eigentlich? Klar, man könnte im Impressum nachsehen (wenn das Formular auf der eigenen Seite eingebunden ist), man könnte aber auch die Seite verlassen. Also sollte die Überschrift direkt klar machen, wer der Versender des Newsletters ist. Zudem ist nirgends ein Verweis vorhanden, dass der Newsletter kostenfrei beziehbar ist (wenn dies der Fall ist – was bei 99,9 % der Newsletter vermutlich der Fall sein wird), sollte dies in der Überschrift aufgenommen werden).

2.4 Verweis auf die Häufigkeit und das Thema des Newsletters

Notwendig ist auch ein Verweis auf die Erscheinungshäufigkeit und das Thema des Newsletters, anstatt des Satzes „Melden Sie sich zu unserem Newsletter an, um auf dem Laufenden zu bleiben.“ Werberechtlich ist eine Einwilligung nur dann belastbar, wenn der User bei Erteilung weiß, wer ihm wie oft zu welchen Themen schreiben will.

2.5 Absendebutton

Auch im Absende-Button sollte die Kostenfreiheit des Newsletters aufgegriffen werden.

2.6 Hinweis auf Pflichtfelder

Der rote Sternchen-Hinweis (*) sollte auch entsprechend erklärt werden. Somit sollte ein entsprechender Hinweis erfolgten, dass es sich bei den Feldern, die so gekennzeichnet sind, um Pflichtfelder handelt.

2.7 Design

Zu guter Letzt können Sie auch noch das Design anpassen (was ein echter Pluspunkt ist). Wir haben hier unsere Unternehmensfarben verwendet. Nachfolgend können Sie nun – die aus unserer Sicht – optimale Gestaltung des Anmeldeformulars (unter Beachtung der Punkte 2.1 – 2.6) erkennen:

Somit haben Sie den Punkt „Design“ abgeschlossen. Klicken Sie auf „Weiter“ erhalten Sie folgende Meldung:

Davon raten wir aus datenschutzrechtlicher Sicht in jedem Fall ab. Denn folgen Sie der Empfehlung so wird das Google reCAPTCHA implementiert. Dessen Einsatz ist aus datenschutzrechtlicher Sicht – insbesondere nach dem EuGH-Urteil vom 16.07.2020 „Schrems II“ – problematisch, da eine Verbindung zu Servern des US-amerikanischen Unternehmens Google LLC besteht, wodurch eine Übermittlung von Daten in die USA vorliegt, was unter Umständen weitreichende Konsequenzen haben kann, z.B. Ordnungswidrigkeitenverfahren durch eine Datenschutz-Behörde, eine strafrechtliche Verantwortung nach BDSG i.V.m. der DSGVO. Auch eine wettbewerbsrechtliche Abmahnung durch Konkurrenten und ein damit verbundener Schadensersatzanspruch ist möglich.

Wenn Sie den Dienst dennoch einbinden möchten, benötigen Sie eine entsprechende informierte Einwilligung des Nutzers nach Art. 49 Abs. 1 S. 1 lit. a DSGVO. An eine solche Einwilligung sind hohe Maßstäbe anzusetzen. Zudem müssen Sie Ihr Newsletter-Formular (den hiermit wird ja das reCAPTCHA nachgeladen) zunächst blocken, bis die Einwilligung für das reCAPTCHA wirksam eingeholt wurde. Ihre Conversion-Rate wird sich dafür nicht bedanken…

Wir raten daher aus juristischer als auch marketingtechnischer Sicht von einem entsprechenden Einsatz ab.

3. Listen

Innerhalb des Punktes „Listen“ können Sie die entsprechenden Listen, denen die Kontakte zugeordnet werden sollen, auswählen.

4. Einstellungen

Innerhalb des Punktes „Einstellungen“ wählen Sie selbstverständlich das Double-Opt-In-Verfahren.

Warum es hier überhaupt andere Auswählmöglichkeiten gibt, wenn ein DSGVO-konformer Einsatz Maß und Ziel von Sendinblue ist, können wir nicht recht nachvollziehen, denn an dem Douple-Opt-In Verfahren führt kein Weg vorbei.

Double-Opt-In bedeutet: Der Nutzer erhält nach Absenden des Newsletter-Formulars eine E-Mail mit einem Bestätigungslink, an die von ihm innerhalb des Anmeldeformulars angegebene E-Mail-Adresse, in welcher er seine Newsletter-Anmeldung nochmals ausdrücklich bestätigen muss, bevor die Einwilligung wirksam zu Stande gekommen ist.

Bei der Gestaltung dieser Opt-In-Mail müssen wiederum einige Anforderungen beachtet werden, um zu vermeiden, dass diese E-Mail selbst eine unzulässige Werbung darstellt bzw. als solche eingestuft werden kann (dies kann nämlich schnell zu einer Abmahnung führen – einen entsprechenden Fall des LG Stendal haben wir hier beschrieben).

Wir empfehlen die Double-Opt-In-Mail individuell zu erstellen und nicht die Standard-Vorlage zu verwenden, die wir nachfolgend abbilden:

Die aus unserer Sicht optimale Gestaltung haben wir Ihnen nachfolgend abgebildet:

5. Nachrichten

Sodann sollten Sie in jedem Fall die Standard-Begrüßungsnachricht ändern (die Nachricht die der Nutzer angezeigt bekommt, wenn er das Anmeldeformular absendet) und einen Hinweis auf die Opt-In-Mail aufnehmen. Wir empfehlen folgende Formulierung:

Dass der Link nur 24 Stunden gültig ist, ist nicht automatisch gegeben. Dies müssen Sie über die Option „Automation“ einstellen. Weitere Informationen erhalten Sie hier.

6. Teilen

Nun zum letzten Punkt „Teilen“.

Hier steht Ihnen die Option Quick Share zur Verfügung.

Mit dieser können Sie das Anmeldeformular per Link oder QR-Code teilen. Der Nutzer wird über diesen Zugang dann nicht auf Ihre eigene Domain geführt, sondern landet auf einer Subdomain der Sendinblue-Domain sibforms.com. Dort wird dann „Ihr Formular“ gezeigt.

Das ist grundsätzlich nicht schlecht. Allerdings besteht für Sie auf dieser Subdomain keine Möglichkeit ein Impressum oder eine Datenschutzerklärung zu hinterlegen; das ist allerdings schlecht, da man Sie im Zweifel als Seitenbetreiber ansehen wird und Sie folglich beides benötigen. Wir raten daher von dieser Lösung ab; zumal Sie auch keinen Einfluss darauf haben, welche Dienste auf der Website nachgeladen werden (und das waren bei unserem Test eine lange Reihe von Diensten, darunter etwa auch das datenschutzrechtlich hochproblematische Google Analytics uvm.).

Daneben gibt es hier auch die Funktion Einbetten (und diese wird wahrscheinlich auch die Mehrheit der Seitenbetreiber nutzen), womit das Formular auf der eigenen Website eingebunden werden kann. Das ist dem Grunde nach vorzugswürdig. Nun gibt es für das Einbetten wiederum drei Alterativen. Einbindung per iFrame, als HTML und als einfaches HTML. Bei der Auswahl der „korrekten“ Alternative ist nun wieder Vorsicht geboten.

Sendinblue empfiehlt den Einbau in Form eines iFrames, wovon wir ausdrücklich abraten. Bauen Sie das Formular als iFrame ein, geschieht vereinfacht gesagt Folgendes: Sie betten einen fremden Inhalt auf Ihre Website ein, hierdurch werden verschieden Verbindungen nachgeladen, auf die Sie keinen expliziten Einfluss haben:

Somit geben Sie ein Stück weit die Kontrolle ab, was auf Ihrer Website geladen wird, da dies beliebig und ohne Ihr Zutun geändert werden kann. Zudem wird durch das iFrame ein Cookie gesetzt:

Bei Einbindung per HTML behalten Sie etwas mehr Kontrolle, wobei auch hier externe Verbindungen (wenngleich nicht so viele wie bei Einbindung via iFrame) nachgeladen werden:

Zudem werden bei dieser Einbettungs-Art keine Cookies gesetzt!

Bei dem einfachen HTML-Code ist zu beachten, dass Formulareinstellungen, die Javascript benötigen, nicht korrekt ausgespielt werden können. Wir empfehlen daher den HTML-Code (das mittlere Element in der Auswahl):

Dies hat zudem den Hintergrund, dass Sie bei dieser Auswahl auch in der Lage sind, die Links (Sie erinnern sich an unsere Hinweise oben) entsprechend händisch in das Formular einzufügen (HTML-Kenntnisse erforderlich!):

Sendinblue-Anmeldeformular per WP-Plugin gestalten

Da viele unserer Kunden Sendinblue gerne als WP-Plugin benutzen wollen, haben wir uns diese Variante ebenfalls angesehen. Wenn Sie das Sendinblue WordPress-Plugin installiert haben, können Sie dieses mittels eines API-Schlüssels mit Ihrem Sendinblue-Account verbinden.

Ein Punkt, der dabei immer wieder Probleme bereitet, ist die korrekte Konfiguration des Anmeldeformulars, weswegen wir dies nachfolgend Schritt-für-Schritt beschreiben:

Ausgangslage: So sieht das Standard-Formular aus (alles andere als datenschutzkonform):

1. Einfügen einer Checkbox

Fügen Sie zunächst eine Checkbox ein, und geben als URL den Link zu Ihrer Datenschutzerklärung an:

Das Zwischenergebnis sieht wie folgt aus:

2. Weitere Anpassungen innerhalb des HTML-Codes

Nun müssen wir individuell in der HTML-Datei arbeiten, um die notwendigen Anpassungen vorzunehmen:

Das Ergebnis sieht wie folgt aus (wir haben bei diesem Beispiel kein Augenmerk auf die Optik gelegt):

Den Code mit entsprechenden Platzhaltern stellen wir nachfolgend für Sie zur Verfügung:

<h4> Kostenfrei zum Newsletter der XY GmbH anmelden </h4>    
</p>
<label class="sib-email-area">E-Mail-Adresse<font color=„FF0000“>*</font> </label>
    <input type="email" class="sib-email-area" name="email" required="required">
</p>
<input type="checkbox" name="terms" required="required">Ich habe die <a href="Anker
-Link zu der Ziffer Ihrer DSE die den Newsletter behandelt"> Datenschutzerklärung</a> 
(insbesondere <a href="Anker-Link zu der Ziffer Ihrer DSE die den Newsletter behandelt
"> Ziffer XY</a>) zur Kenntnis genommen. Für den Versand wird der Anbieter Sendinblue 
verwendet. In das Tracking durch Sendinblue (weitere Informationen unter Ziffer <a 
href="Anker-Link zu der Ziffer Ihrer DSE die den Newsletter behandelt"> Ziffer XY 
</a>der Datenschutzerklärung) willige ich dabei ausdrücklich ein.<font color=„
FF0000“>*</font>
</p>
<p class="sib-email-area">
<i><FONT SIZE="3">Unser Newsletter erscheint in der Regel alle 14 Tage und beinhaltet 
Informationen rund um das Thema "XY"</FONT></i>
</p>
<font color=„FF0000“>*</font> Pflichtfeld<br><br>
<p>
<input type="submit" class="sib-default-btn" value="Jetzt kostenfrei zum Newsletter 
anmelden">
</p>

Diese Punkt sollten Sie bei Sendinblue ebenfalls beachten

Setzen Sie nicht den Sendinblue-Website-Tracker (hat nichts mit dem Newsletter-Tracker zu tun) ein. Hier können Sie nachlesen warum.

Wenn Sie eigene E-Mail-Templates erstellen (wie Sie hier vorgehen, können Sie hier nachlesen) achten Sie darauf, dass Sie unter den Einstellungen, die Webversion aktivieren, sodass die Empfänger Ihren Newsletter auch im Web-Browser öffnen kann:

Google Analytics kann derzeit nicht rechtskonform verwendet werden, siehe hierzu unseren Blog-Beitrag. Wenn Sie eigene E-Mail-Templates erstellen, aktivieren Sie nicht die Verfolgung in Google Analytics.

Generelle Punkte bei einem Newsletter beachten

Einwilligung dokumentieren!
Sie sind als Versender des Newsletters nach § 7 Abs. 2 Nr. 3 UWG dafür verantwortlich, die Einwilligung nachweisen zu können. Daher ist es wichtig, dass Sie die Einwilligung dokumentieren und archivieren. Laut BGH (Urteil vom 10.02.2011 – Az. I ZR 164/09) ist es für den Nachweis des Einverständnisses erforderlich, dass der Werbende (in dem Fall also Sie) die konkrete Einverständniserklärung jedes einzelnen Verbrauchers vollständig dokumentiert, was im Fall einer elektronisch übermittelten Einverständniserklärung deren Speicherung und die jederzeitige Möglichkeit eines Ausdrucks voraussetzt.

Einwilligungen, die Ihnen erteilt wurden, gelten nicht für die Ewigkeit!
Übersenden Sie zum Beispiel überhaupt keinen Newsletter in einer angemessenen Frist, nutzen Sie die Einwilligung also nicht, so verliert die Einwilligung irgendwann Ihre Gültigkeit. Allerdings kann man hier keine pauschale Zeitangabe nennen. Das LG München hat zum Beispiel die Aktualität einer Einwilligung bei einem Zeitraum von etwas mehr als 1 ½ Jahren (LG München I, Urteil vom 08.04.2010 – Az.: 17 HK O 138/10) verneint. Es besteht hier aber keine rechtsverbindliche Zeitschwelle im Gesetz sowie keine Einigkeit in der Rechtsprechung. Wir empfehlen aber, die Einwilligungen durch Versand eines Newsletters regelmäßig (in der dem Kunden bei Anmeldung angekündigten Frequenz) zu nutzen, um deren Wirkung zu erhalten. Sollte das über längere Zeit nicht möglich sein, so müssen Sie genau prüfen, ob der „Verteiler“ noch genutzt werden kann. Im Zweifel lassen Sie sich rechtlich beraten.

Keine Kopplung der Newsletter-Einwilligung mit Goodies!
Bitte beachten Sie, dass die Kopplung einer Newsletter-Anmeldung mit einem Goodie, zum Beispiel einem Gratis eBook oder eines sog. White-Papers, (dergestalt also, dass sich der Nutzer, um z.B. das eBook zu erhalten, zu dem Newsletter anmelden muss) nach unserer Rechtsauffassung ein klares Problem mit sich bringt. Wir verstehen selbstverständlich den marketing- bzw. betriebswirtschaftlichen Hintergrund. Aus juristischer Sicht müssen wir jedoch von dieser Kopplung abraten. Weitere Informationen zu dem Thema können Sie unserem Blog-Beitrag entnehmen.

Newsletter-Einwilligung nicht „versteckt“ einholen!
Laut BGH ist eine gesonderte Einwilligung die nur auf die Zustimmungserklärung bezogen ist, notwendig (BGH, Beschluss vom 14.04.2011, Az. I ZR 38/10). Transparenz ist hier essenziell: Ein „Verstecken“ der Newsletter-Anmeldung sollte in keinem Fall erfolgen, was zum Beispiel vorhanden wäre, wenn der Nutzer mit Erstellung eines Kundenkontos gleichzeitig in den Empfang eines Newsletters „einwilligt“, da hierzu stets eine gesonderte Einwilligung notwendig ist. Es gibt zwar die Rückausnahme für Direktwerbung nach § 7 Abs. 3 UWG, welche vier Voraussetzungen nennt, die alle kumulativ vorliegen müssen, sodass keine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post anzunehmen ist, jedoch scheitert das rechtssichere Berufen hierauf nach unserer Auffassung spätestens bei Nr. 4 des § 7 Abs. 3 UWG, da ein klarer und deutlicher Hinweis, dass der Verwendung jederzeit widersprochen werden kann, bei einem „Verstecken“ der Newsletter-Anmeldung denklogisch nie gegeben sein kann.

Keine Newsletter-Einwilligung durch AGB!
Eine AGB-Klausel, die eine Einwilligung zum Versenden eines Newsletters zum Gegenstand hat, ist ebenfalls nicht zu empfehlen und auf jeden Fall unwirksam. Es fehlt an der entsprechenden Einwilligung, z.B. durch aktives Anklicken eines Auswahlkästchens (wäre übrigens bei einem vorausgewählten Kästchen schon nicht mehr der Fall). Auch bei der Formulierung solcher Einwilligung, die durch Anklicken oder Auswählen erfolgen sollen, ist auf eine klare und eindeutige Formulierung zu achten, da ansonsten auch hier das Transparenzverbot (in dem Fall des § 307 Abs. 1 S. 2 BGB) verletzt wäre. Auch hier ist auf die Rückausnahme für Direktwerbung nach § 7 Abs. 3 UWG, zu verweisen, jedoch scheitert es unserer Auffassung ebenfalls hierbei spätestens bei Nr. 4 des § 7 Abs. 3 UWG, da ein klarer und deutlicher Hinweis, dass der Verwendung jederzeit widersprochen werden kann, bei einem „Verstecken“ der Newsletter-Anmeldung in den AGB nicht gegeben sein kann.