Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
SendGrid ist eine US-amerikanische E-Mail-Zustellplattform von Twilio, die transaktionale und Marketing-E-Mails für Unternehmen versendet und dabei DSGVO-relevante Empfängerdaten verarbeitet.
SendGrid ist eine cloudbasierte E-Mail-Zustellplattform, die 2009 gegründet wurde und seit 2019 zum Kommunikationsunternehmen Twilio gehört. Die Plattform ermöglicht es Unternehmen, transaktionale E-Mails (Bestellbestätigungen, Passwort-Resets) sowie Marketing-E-Mails zuverlässig zu versenden. SendGrid verarbeitet täglich Milliarden von E-Mails für Kunden weltweit.
SendGrid agiert bei der E-Mail-Zustellung als Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO. Für Marketing-E-Mails ist der Versender der Verantwortliche. Ein Auftragsverarbeitungsvertrag muss mit SendGrid abgeschlossen werden. Rechtsgrundlage für das Versenden von Marketing-E-Mails ist in der Regel die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, während transaktionale E-Mails auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden können.
SendGrid verarbeitet E-Mail-Adressen und Empfänger-Metadaten, Öffnungs- und Klickdaten via Tracking-Pixel und Link-Rewriting, Bounce- und Spam-Report-Daten sowie IP-Adressen der Empfänger. E-Mail-Tracking ist datenschutzrechtlich relevant, da es ohne Wissen des Empfängers Informationen über dessen Verhalten sammelt. Empfänger sollten über das Tracking in der Datenschutzerklärung informiert werden.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Da SendGrid und Twilio ihren Hauptsitz in den USA haben, finden alle Datenübertragungen in ein Drittland statt. Grundlage sind die Standardvertragsklauseln der EU-Kommission, die im Auftragsverarbeitungsvertrag von SendGrid enthalten sind. SendGrid ist zudem unter dem EU-US Data Privacy Framework zertifiziert. Ein Transfer Impact Assessment sollte durchgeführt werden, um die Risiken der Datenübertragung zu bewerten.
Für eine datenschutzkonforme Nutzung von SendGrid empfehlen sich: Abschluss eines Auftragsverarbeitungsvertrags, Implementierung eines Double-Opt-In-Verfahrens für Marketing-E-Mails, Aufnahme von SendGrid in die Datenschutzerklärung, transparente Kommunikation des E-Mail-Trackings und regelmäßige Bereinigung der E-Mail-Listen durch Löschung inaktiver oder abgemeldeter Empfänger.
Eine Datenschutzfolgenabschätzung kann bei SendGrid erforderlich sein, wenn Marketing-E-Mails an eine große Anzahl von Empfängern gesendet werden und systematisches Tracking eingesetzt wird. Gleiches gilt bei der Verarbeitung sensibler Datenkategorien in E-Mail-Inhalten oder bei der Nutzung von Segmentierungsfunktionen auf Basis von Verhaltensprofilierung. Die DSFA muss Risiken der US-Datenübertragung und der Profilbildung durch Tracking-Daten bewerten.
Websites using SendGrid must obtain user consent under GDPR regulations.
DPIA considerations
SendGrid verarbeitet E-Mail-Adressen, Öffnungs- und Klickdaten, IP-Adressen und Metadaten aller Empfänger auf US-Servern. Bei systematischem E-Mail-Tracking oder Marketing-Automation kann eine DSFA erforderlich sein. SCCs müssen implementiert werden.
Sample consent text
Ich stimme zu, dass meine E-Mail-Adresse und Nutzungsdaten durch SendGrid zur Zustellung von E-Mails und zur Analyse der Kommunikationseffektivität verarbeitet werden. Daten können in die USA übertragen werden.
Third-party domains contacted
sendgrid.comsendgrid.netapi.sendgrid.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| __sg_ | persistent | 1 year | SendGrid email engagement tracking cookie linking email clicks to recipient identities for campaign analytics |
SendGrid setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
SendGrid ist eine cloudbasierte E-Mail-Zustellplattform von Twilio, die es Unternehmen ermöglicht, transaktionale und Marketing-E-Mails in großem Maßstab zu versenden. Der Dienst bietet APIs und SMTP-Relay-Funktionen sowie Analysen zu E-Mail-Performance und Zustellraten.
SendGrid bietet eine DSGVO-Compliance-Infrastruktur mit Auftragsverarbeitungsvertrag, Standardvertragsklauseln und EU-US Data Privacy Framework-Zertifizierung. Die tatsächliche Compliance hängt jedoch von der korrekten Nutzung durch den Versender ab, insbesondere beim Double-Opt-In-Verfahren und der Verwaltung von Abmeldungen.
SendGrid verarbeitet E-Mail-Adressen und Empfänger-Metadaten, Öffnungs- und Klickdaten via Tracking-Pixel, Bounce- und Spam-Report-Informationen sowie IP-Adressen der Empfänger. Bei Marketing-Kampagnen werden zusätzlich Segmentierungsdaten und Kampagnenleistungsdaten verarbeitet.
Ja, da SendGrid als Auftragsverarbeiter personenbezogene Daten Ihrer Empfänger im Auftrag verarbeitet, ist ein AVV gemäß Art. 28 DSGVO erforderlich. SendGrid stellt diesen Vertrag online bereit und er muss vor dem produktiven Einsatz abgeschlossen werden.
SendGrid verfolgt E-Mail-Öffnungen durch Einbetten eines unsichtbaren Tracking-Pixels. Klicks werden durch Link-Rewriting verfolgt: Alle Links werden durch SendGrid-Links ersetzt, die Klicks erfassen, bevor sie zur Ziel-URL weiterleiten. Empfänger sollten über dieses Tracking in der Datenschutzerklärung informiert werden.
SendGrid-Daten werden auf Servern in den USA gespeichert, die von Twilio betrieben werden. Es gibt keine Option für die ausschließliche Datenhaltung in der EU. Für europäische Kunden gelten Standardvertragsklauseln als Transfermechanismus. Twilio und SendGrid sind zudem unter dem EU-US Data Privacy Framework zertifiziert.
Zur datenschutzkonformen Konfiguration empfehlen sich: AVV abschließen, Double-Opt-In für Marketing-E-Mails implementieren, Abmeldelink in alle E-Mails einfügen, Tracking-Funktionen in der Datenschutzerklärung dokumentieren und inaktive Empfänger regelmäßig aus den Listen entfernen.
Für das Versenden von Marketing-E-Mails ist eine vorherige ausdrückliche Einwilligung der Empfänger gemäß Art. 6 Abs. 1 lit. a DSGVO und § 7 Abs. 2 Nr. 3 UWG erforderlich. Das Double-Opt-In-Verfahren ist die empfohlene Praxis zur Nachweisbarkeit der Einwilligung. Transaktionale E-Mails im Rahmen eines Vertragsverhältnisses bedürfen keiner gesonderten Einwilligung.