Über die Autoren
Dennis Morgenstern LL.M.
Geschäftsführer
Wirtschaftsjurist
Florian Decker
Fachanwalt für gewerblichen Rechtsschutz
Angestellter Rechtsanwalt
Kanzlei Rechtsanwälte Dr. Schultheiß
UPDATE VOM 01.07.2023
Die Sendinblue GmbH vertreibt die Newsletter-Lösung nicht mehr unter „Sendinblue“ sondern unter dem Namen „Brevo“.
Der Anbieter Sendinblue stellt diverse Tools zur Verfügung. Das Newsletter Tool haben wir bereits getestet (hier geht es zu unserem Blog-Artikel). Neben vielen weiteren Funktionen stellt Sendinblue auch ein Website-Tracking zur Verfügung.
Sendinblue beschreibt die Funktion des Trackers wie folgt „Die Installation des Sendinblue Tracker ermöglicht es Ihnen, über Sendinblue alle Seiten Ihrer Website, die von Ihren Kontakten besucht werden, zu tracken. Sobald die Kontakte identifiziert wurden, werden sie automatisch zu Sendinblue hinzugefügt und können in Ihre Marketing Automation Workflows einbezogen werden.“
Wie wird der Sendinblue Tracker installiert?
Es gibt drei Möglichkeiten den Tracker zu installieren. Über ein entsprechendes Plug-In, mit Hilfe des Google Tag Managers oder (wobei dies Sendinblue nur für Fortgeschrittene empfiehlt) die manuelle Installation.
Die Installation über den Google Tag Manager auszuprobieren und hier darzustellen, haben wir uns gespart (da hier das datenschutzrechtliche K.O. bereits vorprogrammiert ist).
Eine Installation über ein Plug-In haben wir mit WordPress umgesetzt. Die Aktivierung ist hier sehr einfach. Nachdem man das Plug-In installiert hat, aktiviert man das Tracking durch entsprechende Auswahl:
Auch haben wir die entsprechende Variante des manuellen Einbaues getestet. Hierbei bindet man ein Skript vor dem Tag </head> im Code der Website ein.
Ist der Sendinblue Tracker datenschutzkonform?
Um es kurz zu machen: Nein! Durch die Aktivierung geschieht nämlich folgendes: Es wird eine Verbindung zu dem US-amerikanischen Unternehmen Cloudflare, Inc. hergestellt.
Die Verbindung zum US-amerikanischen Unternehmen Cloudflare, Inc., ist aus datenschutzrechtlicher Sicht – insbesondere nach dem EuGH-Urteil vom 16.07.2020 „Schrems II“ – problematisch, da eine Verbindung zu Servern eines US-amerikanischen Unternehmens besteht, wodurch eine Übermittlung von Daten in die USA nicht ausgeschlossen werden kann und sehr wahrscheinlich ist, was unter Umständen weitreichende Konsequenzen haben kann, z.B. Ordnungswidrigkeitenverfahren durch eine Datenschutz-Behörde, eine strafrechtliche Verantwortung nach BDSG i.V.m. der DSGVO.
Auch eine wettbewerbsrechtliche Abmahnung durch Konkurrenten und ein damit verbundener Schadensersatzanspruch oder sogar eine Geltendmachung z.B. eines Schadensersatzanspruches durch einen „kritischen Seitenbesucher“ sind denkbar. Selbst wenn Cloudflare die Daten in europäischen Rechenzentren speichern würde, hätte dies auf Grund des sogenannten CLOUD-Acts rechtlich das gleiche Resultat zur Folge.
Unser Fazit:
Sollten personenbezogene Daten an Cloudflare übertragen werden, ist auch ein Einsatz unter Einholung einer informierten Einwilligung nicht möglich, führt man sich die Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in ihrer Orientierungshilfe vom 20.12.2021 vor Augen:
„Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO.“
Ob personenbezogene Daten übertragen werden können wir nicht mit Gewissheit sagen.
Auf der Website von Cloudflare findet man folgende Aussage:
“Cloudflare Web Analytics does not use any client-side state, such as cookies or localStorage, to collect usage metrics. We also don’t “fingerprint” individuals via their IP address, User Agent string, or any other data for the purpose of displaying analytics. Our analytics are non-invasive and respect the privacy of your visitors.„
[Übersetzung durch uns]
Cloudflare Web Analytics verwendet keinen Client-seitigen Status, wie Cookies oder localStorage, um Nutzungsdaten zu sammeln. Wir erstellen auch keine „Fingerabdrücke“ von Personen über ihre IP-Adresse, User Agent String oder andere Daten zum Zweck der Anzeige von Analysen. Unsere Analysen sind nicht invasiv und respektieren die Privatsphäre Ihrer Besucher.“
Da wir diese Aussage „von außen“ nicht verifizieren können raten wir auch von einem Einsatz unter Einholung einer entsprechenden Einwilligung ab.
Übrigens ist der Tracker Voraussetzung zur Nutzung des Sendinblue Chattools, so dass wir aus datenschutzrechtlicher Sicht ebenfalls von einem entsprechenden Einsatz abraten.
Wir machen Sie abmahnsicher
Jetzt Angebot für Ihre Website anfordern.
Unverbindlich und kostenfrei.
