Tracking im E-Mail-Newsletter und der Datenschutz

Fachbeitrag

E-Mail-Newsletter stellen nicht nur Informationen zur Verfügung, sondern sind heutzutage kleine Analysemaschinen, die es den Marketingabteilungen erlauben, mehr über deren Kunden zu erfahren. Wie das Tracking technisch funktioniert und was man rechtlich beachten muss, erfahren Sie im nachstehenden Artikel.

E-Mail-Newsletter erstellen

Früher bestanden Newsletter lediglich aus Text ohne jede Formatierung. Heute werden diese aufwendig designt, enthalten Bilder, große und kleine Überschriften, Links zu Produkten und vieles mehr. Damit diese Designs oder Styles richtig angezeigt werden, werden diese E-Mails in HTML programmiert.

Die Erstellung solcher E-Mails ist mittlerweile einfach, denn Dienstleisters für den Newsletterversand bieten einen sogenannten „What You See Is What You Get“-Editor (WYSIWYG), der ähnlich wie Microsoft Word funktioniert. Designt man nun den Newsletter mit Bildern, Links und Textpassagen, so übernimmt der WYSIWYG-Editor die Erstellung der HTML-E-Mail.

Bilder werden allerdings nicht an die E-Mail angehängt, sondern sind auf einem Webserver abgelegt und werden beim Öffnen des Newsletters nachgeladen und angezeigt. Dieses Verhalten nutzen zum Teil auch die in den E-Mail-Newsletter verwendeten Analysetools.

Eingesetzte Technologien

Es werden die sogenannten Web-Beacons oder auch Zählpixel verwendet. Zählpixel sind extrem kleine, häufig bloß 1×1 Pixel große, Bilddateien, welche in die Newsletter-E-Mail integriert werden und so eine Logdatei-Aufzeichnung sowie eine Logdatei-Analyse erlauben.

Öffnet der Nutzer nun die jeweilige vorher geladene E-Mail, so wird der Zählpixel vom Server des Newsletter-Betreibers geladen und gleichzeitig einige Informationen über den E-Mail-Empfänger übermittelt, wie z.B.:

• ob die E-Mail geöffnet wurde,
• Zeitpunkt des Aufrufs,
• sowie die dazugehörige IP-Adresse.

Dabei besteht auch die Möglichkeit, die jeweilige Zählpixel-Bilddatei der für den Versand verwendeten E-Mail-Adresse eindeutig zuzuweisen, indem die Zählpixel-Bilddatei individuell generiert wird.

Darüber hinaus können Links in der E-Mail darüber Aufschluss geben, welche Produkte interessanter – also häufiger geklickt wurden als andere – sind. Diese Links lassen sich, wie auch die Web-Beacons, individualisieren und lassen damit einen Rückschluss auf den jeweiligen Newsletter-Empfänger zu.

So gut wie alle Dienstleister, die sich auf den Newsletter-Versand spezialisiert haben, bieten heute die oben genannten Möglichkeiten an und erlauben neben pseudonymisierten Auswertungen, welche keinen Rückschluss auf einen einzelnen Nutzer zulassen, auch personenbezogenes Tracking an.

Rechtliche Voraussetzungen

E-Mail-Newsletter dürfen nur nach Einholung einer Einwilligung i.S.d. Art. 6 Abs. 1 lit. a DSGVO oder ausnahmsweise unter den engen Voraussetzungen des § 7 Abs. 3 UWG versendet werden. Obwohl § 7 UWG neben der wettbewerbsrechtlichen Bedeutung auch datenschutzrechtliche Bedeutung hat, da bei Vorliegen der Ausnahmen das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO überwiegen kann, ist diese nicht abschließend, da sie keine Aussage darüber trifft, ob und wie personenbezogene Daten in E-Mails verarbeitet werden dürfen. Aus diesem Grund muss auch die Erhebung, Verarbeitung und Übermittlung von personenbezogenen Daten unter Zuhilfenahme von Web-Beacons bzw. individualisierter Links in E-Mails von einer datenschutzrechtlichen Einwilligung gedeckt sein.

Pseudonymisiertes Tracking in Newslettern

Was zuvor § 15 Abs. 3 TMG hinsichtlich der Möglichkeit der Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zum Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien ausdrücklich regelte, hängt seit den sogenannten „Cookie-Urteilen“ in der Luft. Nach richtlinienkonformer Auslegung des § 15 Abs. 3 TMG mit Art. 5 Abs. 3 der Richtlinie 2002/58/EG bedarf jeder Zugriff auf Informationen, die auf dem Endgerät des Nutzers gespeichert sind, der informierten und ausdrücklichen Einwilligung der betroffenen Person i.S.d. Art. 6 Abs. 1 lit. a DSGVO. Demnach macht es keinen Unterschied mehr, ob pseudonymisiert oder personalisiert getrackt wird. Im Ergebnis heißt das: wer seine Newsletter auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO und § 7 Abs. 3 UWG versendet, kann das Newsletter-Tracking nicht rechtskonform betreiben.

Personalisiertes Tracking in Newslettern

Auch hier gilt gem. Art. 5 Abs. 3 der Richtlinie 2002/58/EG, dass das personalisierte Newsletter-Tracking ist nur nach ausdrücklicher Einwilligung des Nutzers zulässig ist.

Dieses setzt voraus, dass

• der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat (Transparenz),
• die Einwilligung protokolliert wird,
• der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
• der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Wichtig ist, dass der Nutzer die Einwilligung freiwillig erteilt und ausreichend über die Datenverarbeitung informiert wird. Insbesondere sollte er erfahren, welche konkreten Daten von ihm gesammelt und für welche Zwecke sie verwendet werden. Überdies muss der Nutzer bei Abgabe der Einwilligungserklärung eine eigene, aktive Handlung vornehmen, wie z.B. das Setzen eines Häkchens.

Auch bei der Einwilligungslösung muss eine Umsetzung des Widerspruchs des Nutzers möglich sein und sollte bevorzugt wie oben bereits dargestellt verfahren werden.

Höchstproblematisch dürften sich Voraussetzungen des personenbezogenen Tracking in Newslettern für bestehende Abonnenten umsetzen lassen. Der Versand einer E-Mail, welche darüber informiert, ist jedenfalls nicht ausreichend. Vielmehr muss der bestehende Abonnent über das Tracking und sein Widerrufsrecht informiert werden und zusätzlich per Klick auf einen Link dem künftigen Tracking eindeutig zustimmen. Unterlässt er den Klick und widerspricht er nicht, so kann keine konkludente Zustimmung zum Tracking angenommen werden. Wurde keine Einwilligung erteilt, hat das Tracking für den Nutzer zu unterbleiben.

Versand und Tracking mit externen Dienstleistern

Wird für den Newsletter-Versand bzw. das Tracking ein externer Dienstleister eingesetzt, so ist eine Vereinbarung zur Auftragsdatenverarbeitung gemäß Art. 28 DSGVO zu schließen. Wenn der Anbieter selbst noch im erheblichen Maße mittrackt, kann darüber hinaus eine gemeinsame Verantwortlichkeit vorliegen und ein Vertrag gem. Art. 26 DSGVO notwendig sein. Den Dienstleister sollte man unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Dies gilt sowohl für den Fall des pseudonymen, als auch für den Fall des personenbezogenen Trackings.

Hat der Dienstleister oder dessen Mutterkonzern seinen Firmensitz außerhalb der EU oder des EWR muss zusätzlich sichergestellt werden, dass ein angemessenes Datenschutzniveau gewährleistet ist.

Bußgelder und Schadensersatz

Die Versendung eines Newsletters hat immer wettbewerbsrechtlichen Charakter, so dass ein Verstoß abmahnfähig ist und auf Beseitigung und Unterlassung geklagt werden kann. Verstöße können unter Umständen auch Schadensersatzpflichten auslösen.

Daneben sind datenschutzaufsichtsrechtliche Maßnahmen und Bußgelder denkbar. Bei Verstößen gegen § 15 Abs. 3 TMG ist die Lage zwar aktuell kompliziert. Es ist aber durchaus denkbar, dass die Datenschutzaufsichtsbehörde bei ihren Sanktionen einfach an den nachgelagerten Auswertungen und Datenverarbeitungen ansetzen. Dann stünde ein Verstoß gegen Art. 6 Abs. 1 lit. a DSGVO und wenn eine notwendige Vereinbarung zur Auftragsdatenverarbeitung nicht geschlossen wurde, zusätzlich ein Verstoß gegen Art. 28 DSGVO im Raum. In beiden Fällen können Geldbußen verhängt werden.

Werden Daten in Drittstaaten ohne entsprechende Garantien übermittelt, so ist dies ein schwerwiegender Verstoß, der gemäß Art. 83 Abs. 5 DSGVO mit einer Geldbuße von bis zu 20 Mio. EUR oder 4% des gesamten Jahresumsatzes geahndet werden kann.

Fazit

Allein wegen der hohen Strafen und der Gefahr der Abmahnung durch Mitbewerber oder gar der Verbraucherzentrale sollte man bei der Ausgestaltung von E-Mail-Newslettern und dem damit verbundenen Tracking genauer hinsehen und die Einhaltung der gesetzlichen Vorgaben sicherstellen. Hierbei hilft Ihnen Ihr Datenschutzbeauftragter.