Zum Inhalt springen Zur Navigation springen
Tracking im E-Mail-Newsletter und der Datenschutz

Tracking im E-Mail-Newsletter und der Datenschutz

E-Mail-Newsletter stellen nicht nur Informationen zur Verfügung, sondern sind heutzutage kleine Analysemaschinen, die es den Marketingabteilungen erlauben, mehr über deren Kunden zu erfahren. Wie das Tracking technisch funktioniert und was man rechtlich beachten muss, erfahren Sie im nachstehenden Artikel.

E-Mail-Newsletter erstellen

Früher bestanden Newsletter lediglich aus Text ohne jede Formatierung. Heute werden diese aufwendig designt, enthalten Bilder, große und kleine Überschriften, Links zu Produkten und vieles mehr. Damit diese Designs oder Styles richtig angezeigt werden, werden diese E-Mails in HTML programmiert.

Die Erstellung solcher E-Mails ist mittlerweile einfach, denn Dienstleister für den Newsletterversand bieten einen sogenannten „What You See Is What You Get“-Editor (WYSIWYG), der ähnlich wie Microsoft Word funktioniert. Designt man nun den Newsletter mit Bildern, Links und Textpassagen, so übernimmt der WYSIWYG-Editor die Erstellung der HTML-E-Mail.

Bilder werden allerdings nicht an die E-Mail angehängt, sondern sind auf einem Webserver abgelegt und werden beim Öffnen des Newsletters nachgeladen und angezeigt. Dieses Verhalten nutzen zum Teil auch die in den E-Mail-Newsletter verwendeten Analysetools.

Eingesetzte Tracking-Technologien

Beim Newsletter-Tracking werden die sogenannten Web-Beacons oder auch Zählpixel verwendet. Zählpixel sind extrem kleine, häufig bloß 1×1 Pixel große Bilddateien, welche in die Newsletter-E-Mail integriert werden und so eine Logdatei-Aufzeichnung sowie eine Logdatei-Analyse erlauben.

Öffnet der Nutzer nun die jeweilige vorher geladene E-Mail, so wird der Zählpixel vom Server des Newsletter-Betreibers geladen und gleichzeitig einige Informationen über den E-Mail-Empfänger übermittelt, wie z.B.:

  • ob die E-Mail geöffnet wurde,
  • Zeitpunkt des Aufrufs,
  • sowie die dazugehörige IP-Adresse.

Dabei besteht auch die Möglichkeit, die jeweilige Zählpixel-Bilddatei der für den Versand verwendeten E-Mail-Adresse eindeutig zuzuweisen, indem die Zählpixel-Bilddatei individuell generiert wird.

Darüber hinaus können Links in der E-Mail darüber Aufschluss geben, welche Produkte interessanter – also häufiger geklickt wurden als andere – sind. Diese Links lassen sich, wie auch die Web-Beacons, individualisieren und lassen damit einen Rückschluss auf den jeweiligen Newsletter-Empfänger zu.

So gut wie alle Dienstleister, die sich auf den Newsletter-Versand spezialisiert haben, bieten heute die oben genannten Möglichkeiten an und erlauben neben pseudonymisierten Auswertungen, welche keinen Rückschluss auf einen einzelnen Nutzer zulassen, auch personenbezogenes Tracking an.

Rechtliche Voraussetzungen für das Tracking

E-Mail-Newsletter dürfen nur nach Einholung einer Einwilligung i.S.d. Art. 6 Abs. 1 lit. a DSGVO oder ausnahmsweise unter den engen Voraussetzungen des § 7 Abs. 3 UWG versendet werden. Obwohl § 7 UWG neben der wettbewerbsrechtlichen Bedeutung auch datenschutzrechtliche Bedeutung hat, da bei Vorliegen der Ausnahmen das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO überwiegen kann, ist diese nicht abschließend, da sie keine Aussage darüber trifft, ob und wie personenbezogene Daten in E-Mails verarbeitet werden dürfen. Aus diesem Grund muss auch die Erhebung, Verarbeitung und Übermittlung von personenbezogenen Daten unter Zuhilfenahme von Web-Beacons bzw. individualisierter Links in E-Mails von einer datenschutzrechtlichen Einwilligung gedeckt sein.

Datenschutz beim Tracking in Newslettern

In der Vergangenheit regelte § 15 Abs. 3 TMG, welche Möglichkeiten zur Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zum Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien bestanden. Seit den Cookie-Urteilen und bis zum Inkrafttreten des TTDSG behalf man sich mit einer „richtlinienkonformen Auslegung“ des § 15 Abs. 3 TMG mit Art. 5 Abs. 3 der Richtlinie 2002/58/EG: Demnach bedurfte jeder Zugriff auf Informationen, die auf dem Endgerät des Nutzers gespeichert waren, der informierten und ausdrücklichen Einwilligung der betroffenen Person i.S.d. Art. 6 Abs. 1 lit. a DSGVO. Demnach machte es keinen Unterschied mehr, ob pseudonymisiert oder personalisiert getrackt wird.

Seit 01.12.2021 gilt das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG), das in § 25 Abs. 1 TTDSG eine Einwilligungspflicht für nicht erforderliche Cookies festlegt:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 [DSGVO] zu erfolgen.

Das TTDSG beim Tracking

Dass der obengenannte § 25 Abs. 1 TTDSG für nicht erforderliche Cookies gilt, ist unumstritten. Aber auch die beschriebenen Web-Beacons und Links zu Trackingzwecken stellen „Informationen“ im Sinne der Vorschrift dar, die auf den Endgeräten der Nutzer gespeichert werden. Zudem stellt die Mitteilung, dass eine E-Mail geöffnet wurde, ein Auslesen bzw. einen Zugriff auf die Information dar. Somit besteht auch für das Newsletter-Tracking grundsätzlich eine Einwilligungspflicht.

25 Abs. 2 Nr. 2 TTDSG regelt zwar eine Ausnahme für diese Einwilligungspflicht, und zwar, wenn der Nutzer sich die Bereitstellung eines bestimmten Telemediendienstes „ausdrücklich gewünscht“ hat, und die gespeicherten Informationen hierfür erforderlich sind. Von einem „ausdrücklichen Wunsch“ kann zwar schon gesprochen werden, wenn die Messung als Bestandteil anderer Dienste anzusehen ist und deshalb mit ihr zu rechnen ist. Da die Nutzer jedoch meist kaum ausreichend über die Tracking-Maßnahmen aufgeklärt sein dürften, können sie auch kaum mit diesen rechnen. Zudem dürfte das Tracking nicht als eine erforderliche Maßnahme anzusehen sein, so dass die Ausnahme des § 25 Abs. 2 Nr. 2 TTDSG hier nicht greift.

Tracking in Newslettern nur mit Einwilligung

Die erforderliche Einwilligung setzt voraus, dass

  • der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat (Transparenz),
  • die Einwilligung protokolliert wird,
  • der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  • der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Wichtig ist, dass der Nutzer die Einwilligung freiwillig erteilt und ausreichend über die Datenverarbeitung informiert wird. Insbesondere sollte er erfahren, welche konkreten Daten von ihm gesammelt und für welche Zwecke sie verwendet werden. Überdies muss der Nutzer bei Abgabe der Einwilligungserklärung eine eigene, aktive Handlung vornehmen, wie z.B. das Setzen eines Häkchens.

Auch bei der Einwilligungslösung muss eine Umsetzung des Widerspruchs des Nutzers möglich sein und sollte bevorzugt wie oben bereits dargestellt verfahren werden.

Höchstproblematisch dürften sich Voraussetzungen des personenbezogenen Tracking in Newslettern für bestehende Abonnenten umsetzen lassen. Der Versand einer E-Mail, welche darüber informiert, ist jedenfalls nicht ausreichend. Vielmehr muss der bestehende Abonnent über das Tracking und sein Widerrufsrecht informiert werden und zusätzlich per Klick auf einen Link dem künftigen Tracking eindeutig zustimmen. Unterlässt er den Klick und widerspricht er nicht, so kann keine konkludente Zustimmung zum Tracking angenommen werden. Wurde keine Einwilligung erteilt, hat das Tracking für den Nutzer zu unterbleiben.

Versand und Tracking mit externen Dienstleistern

Wird für den Newsletter-Versand bzw. das Tracking ein externer Dienstleister eingesetzt, so ist eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO zu schließen. Wenn der Anbieter selbst noch im erheblichen Maße mittrackt, kann darüber hinaus eine gemeinsame Verantwortlichkeit vorliegen und ein Vertrag gem. Art. 26 DSGVO notwendig sein. Den Dienstleister sollte man unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Dies gilt sowohl für den Fall des pseudonymen, als auch für den Fall des personenbezogenen Trackings.

Hat der Dienstleister oder dessen Mutterkonzern seinen Firmensitz außerhalb der EU oder des EWR muss zusätzlich sichergestellt werden, dass ein angemessenes Datenschutzniveau gewährleistet ist.

Bußgelder und Schadensersatz

Die Versendung eines Newsletters hat immer wettbewerbsrechtlichen Charakter, so dass ein Verstoß abmahnfähig ist und auf Beseitigung und Unterlassung geklagt werden kann. Verstöße können unter Umständen auch Schadensersatzpflichten auslösen.

Daneben sind datenschutzaufsichtsrechtliche Maßnahmen und Bußgelder denkbar. Die Zuständigkeiten der Landesdatenschutzbehörden für das TTDSG sind hier allerdings nicht abschließend geklärt. Es stünde ein Verstoß gegen § 25 Abs. 1 TTDSG (Bußgelder sind in § 28 TTDSG geregelt), und wenn eine notwendige Vereinbarung zur Auftragsverarbeitung nicht geschlossen wurde, zusätzlich ein Verstoß gegen Art. 28 DSGVO im Raum. In beiden Fällen können Geldbußen verhängt werden.

Werden Daten in Drittstaaten ohne entsprechende Garantien übermittelt, so ist dies ein schwerwiegender Verstoß, der gemäß Art. 83 Abs. 5 DSGVO mit einer Geldbuße von bis zu 20 Mio. EUR oder 4% des gesamten Jahresumsatzes geahndet werden kann.

Fazit: Beim Tracking genauer hinsehen

Allein wegen der hohen Strafen und der Gefahr der Abmahnung durch Mitbewerber oder gar der Verbraucherzentrale sollte man bei der Ausgestaltung von E-Mail-Newslettern und dem damit verbundenen Tracking genauer hinsehen und die Einhaltung der gesetzlichen Vorgaben sicherstellen. Hierbei hilft Ihnen Ihr Datenschutzbeauftragter.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Großartiger Artikel – wie immer :-) Vielen Dank dafür!

    Das Problem ist nur, dass die Aufsichtsbehörden bereits das wesentlich offensichtlichere illegale Website Tracking nicht abstellen. Der Hamburger Aufsicht liegt z.B. seit über 18 Monaten eine Beschwerde über die HASPA vor. Stand heute finden sich dort immer noch weit unten in der Datenschutzerklärung versteckte – und illegal voreingestellte Ankreuzkästchen für Statistik (haspa.de/de/home/footer/datenschutz-nutzereinwilligung.html). Und diese Verbrauchertäuschung hat sich sogar erst nach der Beschwerde und unter den Augen der Behörde eingestellt.

    Trotz zahlreicher Nachfragen bei der Behörde geht das illegale Treiben genauso munter weiter, wie bei ALLEN anderen Websites (https://datenschutz-zwecklos.de/blog/2020/08/weiter-datenschutz-anarchie-im-internet-der-hamburger-aufsichtsbehoerde-sei-dank/). Rund einhundert mir vorliegender Beschwerden bestätigen die Regel. Die DSGVO wird im Tracking nicht von den Behörden umgesetzt, sondern ausgehöhlt und ad absurdum getrieben. Das ist ein trauriger Fakt!

    Bis die Aufsichtsbehörden sich des Themas „illegales Newsletter-Tracking“ annehmen, werden noch sehr viele Jahre vergehen, wenn überhaupt jemals etwas passiert.

    Verbraucher können sich hier nur selbst schützen. Beispielsweise mit kostenlosen Technologien wie von eBlocker.org. eBlocker erkennt u.a. Newsletter-Tracking und kann es häufig sogar umgehen, so dass der Link trotzdem (auch ohne Tracking) funktioniert.

    Disclaimer/Hinweis
    Ja, ich bin engagierter Datenschutz-Aktivist und betreibe sowohl datenschutz-zwecklos.de als auch eBlocker.org vollständig ehrenamtlich und als Non-profit. Beides ist kostenlos, weil mich das illegale Tracking seit Jahren stört und ich möchte, das Betroffene sich selbst verteidigen können. Insofern ist das hier keine „Schleichwerbung“, sondern ein gut gemeinter Hinweis für alle, die nicht auf die behäbigen Behörden warten wollen.

    Und zu Schluss: Solange bei Abmahnungen der rechtskonform agierenden Wettbewerber die Abmahnkosten selbst tragen muss, wird sich das kaum als Mittel zum Trockenlegen des illegalen Tracking-Sumpfes bewähren.
    Absurd, wie diejenigen, die sich rechtskonform verhalten sogar schlechter gestellt werden als diejenigen, die das Gesetz brechen. Wo bitte ist der Rechtsstaat in dem Bereich?

  • Solange kein Tracking im Spiel ist, kommt auch Art. 6 Abs. 1 lit. b DSGVO in Betracht, denn das Bestellen eines Newsletters kann auch als Abschluss eines Dienstleistungs-Vertrags gesehen werden. Es ist ja nicht per se jeder Newsletter nur Werbung.

    P.S.: In HTML kann man nicht „programmieren“, da es sich nicht um eine Programmiersprache handelt und kein Programm abläuft. Man formatiert nur einen Text.

  • Vielen Dank für diesen Artikel. Sehr hilfreich.

  • Dieser Beitrag wurde umfassend überarbeitet und neu veröffentlicht.
    Alle vorherigen Kommentare und unsere Antworten beziehen sich auf die alte Version des Beitrags und können daher unter Umständen nicht mehr aktuell sein.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.