Tracking im E-Mail-Newsletter und der Datenschutz

E-Mail-Newsletter stellen nicht nur Informationen zur Verfügung, sondern sind heutzutage kleine Analysemaschinen, die es den Marketingabteilungen erlauben, mehr über deren Kunden zu erfahren. Wie das Tracking technisch funktioniert und was man rechtlich beachten muss, erfahren Sie im nachstehenden Artikel.

E-Mail-Newsletter erstellen

Früher bestanden Newsletter lediglich aus Text ohne jede Formatierung. Heute werden diese aufwendig designt, enthalten Bilder, große und kleine Überschriften, Links zu Produkten und vieles mehr. Damit diese Designs oder Styles richtig angezeigt werden, werden diese E-Mails in HTML programmiert.

Die Erstellung solcher E-Mails ist mittlerweile einfach, denn Dienstleister für den Newsletterversand bieten einen sogenannten „What You See Is What You Get“-Editor (WYSIWYG), der ähnlich wie Microsoft Word funktioniert. Designt man nun den Newsletter mit Bildern, Links und Textpassagen, so übernimmt der WYSIWYG-Editor die Erstellung der HTML-E-Mail.

Bilder werden allerdings nicht an die E-Mail angehängt, sondern sind auf einem Webserver abgelegt und werden beim Öffnen des Newsletters nachgeladen und angezeigt. Dieses Verhalten nutzen zum Teil auch die in den E-Mail-Newsletter verwendeten Analysetools.

Eingesetzte Tracking-Technologien

Beim Newsletter-Tracking werden die sogenannten Web-Beacons oder auch Zählpixel verwendet. Zählpixel sind extrem kleine, häufig bloß 1×1 Pixel große Bilddateien, welche in die Newsletter-E-Mail integriert werden und so eine Logdatei-Aufzeichnung sowie eine Logdatei-Analyse erlauben.

Öffnet der Nutzer nun die jeweilige vorher geladene E-Mail, so wird der Zählpixel vom Server des Newsletter-Betreibers geladen und gleichzeitig einige Informationen über den E-Mail-Empfänger übermittelt, wie z.B.:

• ob die E-Mail geöffnet wurde,
• Zeitpunkt des Aufrufs,
• sowie die dazugehörige IP-Adresse.

Dabei besteht auch die Möglichkeit, die jeweilige Zählpixel-Bilddatei der für den Versand verwendeten E-Mail-Adresse eindeutig zuzuweisen, indem die Zählpixel-Bilddatei individuell generiert wird.

Darüber hinaus können Links in der E-Mail darüber Aufschluss geben, welche Produkte interessanter – also häufiger geklickt wurden als andere – sind. Diese Links lassen sich, wie auch die Web-Beacons, individualisieren und lassen damit einen Rückschluss auf den jeweiligen Newsletter-Empfänger zu.

So gut wie alle Dienstleister, die sich auf den Newsletter-Versand spezialisiert haben, bieten heute die oben genannten Möglichkeiten an und erlauben neben pseudonymisierten Auswertungen, welche keinen Rückschluss auf einen einzelnen Nutzer zulassen, auch personenbezogenes Tracking an.

Rechtliche Voraussetzungen für das Tracking

E-Mail-Newsletter dürfen nur nach Einholung einer Einwilligung i.S.d. Art. 6 Abs. 1 lit. a DSGVO oder ausnahmsweise unter den engen Voraussetzungen des § 7 Abs. 3 UWG versendet werden. Obwohl § 7 UWG neben der wettbewerbsrechtlichen Bedeutung auch datenschutzrechtliche Bedeutung hat, da bei Vorliegen der Ausnahmen das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO überwiegen kann, ist diese nicht abschließend, da sie keine Aussage darüber trifft, ob und wie personenbezogene Daten in E-Mails verarbeitet werden dürfen. Aus diesem Grund muss auch die Erhebung, Verarbeitung und Übermittlung von personenbezogenen Daten unter Zuhilfenahme von Web-Beacons bzw. individualisierter Links in E-Mails von einer datenschutzrechtlichen Einwilligung gedeckt sein.

Datenschutz beim Tracking in Newslettern

In der Vergangenheit regelte § 15 Abs. 3 TMG, welche Möglichkeiten zur Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zum Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien bestanden. Seit den Cookie-Urteilen und bis zum Inkrafttreten des TTDSG behalf man sich mit einer „richtlinienkonformen Auslegung“ des § 15 Abs. 3 TMG mit Art. 5 Abs. 3 der Richtlinie 2002/58/EG: Demnach bedurfte jeder Zugriff auf Informationen, die auf dem Endgerät des Nutzers gespeichert waren, der informierten und ausdrücklichen Einwilligung der betroffenen Person i.S.d. Art. 6 Abs. 1 lit. a DSGVO. Demnach machte es keinen Unterschied mehr, ob pseudonymisiert oder personalisiert getrackt wird.

Seit 01.12.2021 gilt das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG), das in § 25 Abs. 1 TTDSG eine Einwilligungspflicht für nicht erforderliche Cookies festlegt:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 [DSGVO] zu erfolgen.

Das TTDSG beim Tracking

Dass der obengenannte § 25 Abs. 1 TTDSG für nicht erforderliche Cookies gilt, ist unumstritten. Aber auch die beschriebenen Web-Beacons und Links zu Trackingzwecken stellen „Informationen“ im Sinne der Vorschrift dar, die auf den Endgeräten der Nutzer gespeichert werden. Zudem stellt die Mitteilung, dass eine E-Mail geöffnet wurde, ein Auslesen bzw. einen Zugriff auf die Information dar. Somit besteht auch für das Newsletter-Tracking grundsätzlich eine Einwilligungspflicht.

25 Abs. 2 Nr. 2 TTDSG regelt zwar eine Ausnahme für diese Einwilligungspflicht, und zwar, wenn der Nutzer sich die Bereitstellung eines bestimmten Telemediendienstes „ausdrücklich gewünscht“ hat, und die gespeicherten Informationen hierfür erforderlich sind. Von einem „ausdrücklichen Wunsch“ kann zwar schon gesprochen werden, wenn die Messung als Bestandteil anderer Dienste anzusehen ist und deshalb mit ihr zu rechnen ist. Da die Nutzer jedoch meist kaum ausreichend über die Tracking-Maßnahmen aufgeklärt sein dürften, können sie auch kaum mit diesen rechnen. Zudem dürfte das Tracking nicht als eine erforderliche Maßnahme anzusehen sein, so dass die Ausnahme des § 25 Abs. 2 Nr. 2 TTDSG hier nicht greift.

Tracking in Newslettern nur mit Einwilligung

Die erforderliche Einwilligung setzt voraus, dass

• der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat (Transparenz),
• die Einwilligung protokolliert wird,
• der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
• der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Wichtig ist, dass der Nutzer die Einwilligung freiwillig erteilt und ausreichend über die Datenverarbeitung informiert wird. Insbesondere sollte er erfahren, welche konkreten Daten von ihm gesammelt und für welche Zwecke sie verwendet werden. Überdies muss der Nutzer bei Abgabe der Einwilligungserklärung eine eigene, aktive Handlung vornehmen, wie z.B. das Setzen eines Häkchens.

Auch bei der Einwilligungslösung muss eine Umsetzung des Widerspruchs des Nutzers möglich sein und sollte bevorzugt wie oben bereits dargestellt verfahren werden.

Höchstproblematisch dürften sich Voraussetzungen des personenbezogenen Tracking in Newslettern für bestehende Abonnenten umsetzen lassen. Der Versand einer E-Mail, welche darüber informiert, ist jedenfalls nicht ausreichend. Vielmehr muss der bestehende Abonnent über das Tracking und sein Widerrufsrecht informiert werden und zusätzlich per Klick auf einen Link dem künftigen Tracking eindeutig zustimmen. Unterlässt er den Klick und widerspricht er nicht, so kann keine konkludente Zustimmung zum Tracking angenommen werden. Wurde keine Einwilligung erteilt, hat das Tracking für den Nutzer zu unterbleiben.

Versand und Tracking mit externen Dienstleistern

Wird für den Newsletter-Versand bzw. das Tracking ein externer Dienstleister eingesetzt, so ist eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO zu schließen. Wenn der Anbieter selbst noch im erheblichen Maße mittrackt, kann darüber hinaus eine gemeinsame Verantwortlichkeit vorliegen und ein Vertrag gem. Art. 26 DSGVO notwendig sein. Den Dienstleister sollte man unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Dies gilt sowohl für den Fall des pseudonymen, als auch für den Fall des personenbezogenen Trackings.

Hat der Dienstleister oder dessen Mutterkonzern seinen Firmensitz außerhalb der EU oder des EWR muss zusätzlich sichergestellt werden, dass ein angemessenes Datenschutzniveau gewährleistet ist.

Bußgelder und Schadensersatz

Die Versendung eines Newsletters hat immer wettbewerbsrechtlichen Charakter, so dass ein Verstoß abmahnfähig ist und auf Beseitigung und Unterlassung geklagt werden kann. Verstöße können unter Umständen auch Schadensersatzpflichten auslösen.

Daneben sind datenschutzaufsichtsrechtliche Maßnahmen und Bußgelder denkbar. Die Zuständigkeiten der Landesdatenschutzbehörden für das TTDSG sind hier allerdings nicht abschließend geklärt. Es stünde ein Verstoß gegen § 25 Abs. 1 TTDSG (Bußgelder sind in § 28 TTDSG geregelt), und wenn eine notwendige Vereinbarung zur Auftragsverarbeitung nicht geschlossen wurde, zusätzlich ein Verstoß gegen Art. 28 DSGVO im Raum. In beiden Fällen können Geldbußen verhängt werden.

Werden Daten in Drittstaaten ohne entsprechende Garantien übermittelt, so ist dies ein schwerwiegender Verstoß, der gemäß Art. 83 Abs. 5 DSGVO mit einer Geldbuße von bis zu 20 Mio. EUR oder 4% des gesamten Jahresumsatzes geahndet werden kann.

Fazit: Beim Tracking genauer hinsehen

Allein wegen der hohen Strafen und der Gefahr der Abmahnung durch Mitbewerber oder gar der Verbraucherzentrale sollte man bei der Ausgestaltung von E-Mail-Newslettern und dem damit verbundenen Tracking genauer hinsehen und die Einhaltung der gesetzlichen Vorgaben sicherstellen. Hierbei hilft Ihnen Ihr Datenschutzbeauftragter.