E-Mail-Newsletter stellen nicht nur Informationen zur Verfügung, sondern sind heutzutage kleine Analysemaschinen, die es den Marketingabteilungen erlauben, mehr über deren Kunden zu erfahren. Wie das Tracking technisch funktioniert und was man rechtlich beachten muss, erfahren Sie im nachstehenden Artikel.
Der Inhalt im Überblick
E-Mail-Newsletter erstellen
Früher bestanden Newsletter lediglich aus Text ohne jede Formatierung. Heute werden diese aufwendig designt, enthalten Bilder, große und kleine Überschriften, Links zu Produkten und vieles mehr. Damit diese Designs oder Styles richtig angezeigt werden, werden diese E-Mails in HTML programmiert.
Die Erstellung solcher E-Mails ist mittlerweile einfach, denn Dienstleisters für den Newsletterversand bieten einen sogenannten „What You See Is What You Get“-Editor (WYSIWYG), der ähnlich wie Microsoft Word funktioniert. Designt man nun den Newsletter mit Bildern, Links und Textpassagen, so übernimmt der WYSIWYG-Editor die Erstellung der HTML-E-Mail.
Bilder werden allerdings nicht an die E-Mail angehängt, sondern sind auf einem Webserver abgelegt und werden beim Öffnen des Newsletters nachgeladen und angezeigt. Dieses Verhalten nutzen zum Teil auch die in den E-Mail-Newsletter verwendeten Analysetools.
Eingesetzte Technologien
Es werden die sogenannten Web-Beacons oder auch Zählpixel verwendet. Zählpixel sind extrem kleine, häufig bloß 1×1 Pixel große, Bilddateien, welche in die Newsletter-E-Mail integriert werden und so eine Logdatei-Aufzeichnung sowie eine Logdatei-Analyse erlauben.
Öffnet der Nutzer nun die jeweilige vorher geladene E-Mail, so wird der Zählpixel vom Server des Newsletter-Betreibers geladen und gleichzeitig einige Informationen über den E-Mail-Empfänger übermittelt, wie z.B.:
- ob die E-Mail geöffnet wurde,
- Zeitpunkt des Aufrufs,
- sowie die dazugehörige IP-Adresse.
Dabei besteht auch die Möglichkeit, die jeweilige Zählpixel-Bilddatei der für den Versand verwendeten E-Mail-Adresse eindeutig zuzuweisen, indem die Zählpixel-Bilddatei individuell generiert wird.
Darüber hinaus können Links in der E-Mail darüber Aufschluss geben, welche Produkte interessanter – also häufiger geklickt wurden als andere – sind. Diese Links lassen sich, wie auch die Web-Beacons, individualisieren und lassen damit einen Rückschluss auf den jeweiligen Newsletter-Empfänger zu.
So gut wie alle Dienstleister, die sich auf den Newsletter-Versand spezialisiert haben, bieten heute die oben genannten Möglichkeiten an und erlauben neben pseudonymisierten Auswertungen, welche keinen Rückschluss auf einen einzelnen Nutzer zulassen, auch personenbezogenes Tracking an.
Rechtliche Voraussetzungen
E-Mail-Newsletter dürfen nur nach Einholung einer Einwilligung i.S.d. Art. 6 Abs. 1 lit. a DSGVO oder ausnahmsweise unter den engen Voraussetzungen des § 7 Abs. 3 UWG versendet werden. Obwohl § 7 UWG neben der wettbewerbsrechtlichen Bedeutung auch datenschutzrechtliche Bedeutung hat, da bei Vorliegen der Ausnahmen das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO überwiegen kann, ist diese nicht abschließend, da sie keine Aussage darüber trifft, ob und wie personenbezogene Daten in E-Mails verarbeitet werden dürfen. Aus diesem Grund muss auch die Erhebung, Verarbeitung und Übermittlung von personenbezogenen Daten unter Zuhilfenahme von Web-Beacons bzw. individualisierter Links in E-Mails von einer datenschutzrechtlichen Einwilligung gedeckt sein.
Pseudonymisiertes Tracking in Newslettern
Was zuvor § 15 Abs. 3 TMG hinsichtlich der Möglichkeit der Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zum Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien ausdrücklich regelte, hängt seit den sogenannten „Cookie-Urteilen“ in der Luft. Nach richtlinienkonformer Auslegung des § 15 Abs. 3 TMG mit Art. 5 Abs. 3 der Richtlinie 2002/58/EG bedarf jeder Zugriff auf Informationen, die auf dem Endgerät des Nutzers gespeichert sind, der informierten und ausdrücklichen Einwilligung der betroffenen Person i.S.d. Art. 6 Abs. 1 lit. a DSGVO. Demnach macht es keinen Unterschied mehr, ob pseudonymisiert oder personalisiert getrackt wird. Im Ergebnis heißt das: wer seine Newsletter auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO und § 7 Abs. 3 UWG versendet, kann das Newsletter-Tracking nicht rechtskonform betreiben.
Personalisiertes Tracking in Newslettern
Auch hier gilt gem. Art. 5 Abs. 3 der Richtlinie 2002/58/EG, dass das personalisierte Newsletter-Tracking ist nur nach ausdrücklicher Einwilligung des Nutzers zulässig ist.
Dieses setzt voraus, dass
- der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat (Transparenz),
- die Einwilligung protokolliert wird,
- der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
- der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Wichtig ist, dass der Nutzer die Einwilligung freiwillig erteilt und ausreichend über die Datenverarbeitung informiert wird. Insbesondere sollte er erfahren, welche konkreten Daten von ihm gesammelt und für welche Zwecke sie verwendet werden. Überdies muss der Nutzer bei Abgabe der Einwilligungserklärung eine eigene, aktive Handlung vornehmen, wie z.B. das Setzen eines Häkchens.
Auch bei der Einwilligungslösung muss eine Umsetzung des Widerspruchs des Nutzers möglich sein und sollte bevorzugt wie oben bereits dargestellt verfahren werden.
Höchstproblematisch dürften sich Voraussetzungen des personenbezogenen Tracking in Newslettern für bestehende Abonnenten umsetzen lassen. Der Versand einer E-Mail, welche darüber informiert, ist jedenfalls nicht ausreichend. Vielmehr muss der bestehende Abonnent über das Tracking und sein Widerrufsrecht informiert werden und zusätzlich per Klick auf einen Link dem künftigen Tracking eindeutig zustimmen. Unterlässt er den Klick und widerspricht er nicht, so kann keine konkludente Zustimmung zum Tracking angenommen werden. Wurde keine Einwilligung erteilt, hat das Tracking für den Nutzer zu unterbleiben.
Versand und Tracking mit externen Dienstleistern
Wird für den Newsletter-Versand bzw. das Tracking ein externer Dienstleister eingesetzt, so ist eine Vereinbarung zur Auftragsdatenverarbeitung gemäß Art. 28 DSGVO zu schließen. Wenn der Anbieter selbst noch im erheblichen Maße mittrackt, kann darüber hinaus eine gemeinsame Verantwortlichkeit vorliegen und ein Vertrag gem. Art. 26 DSGVO notwendig sein. Den Dienstleister sollte man unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Dies gilt sowohl für den Fall des pseudonymen, als auch für den Fall des personenbezogenen Trackings.
Hat der Dienstleister oder dessen Mutterkonzern seinen Firmensitz außerhalb der EU oder des EWR muss zusätzlich sichergestellt werden, dass ein angemessenes Datenschutzniveau gewährleistet ist.
Bußgelder und Schadensersatz
Die Versendung eines Newsletters hat immer wettbewerbsrechtlichen Charakter, so dass ein Verstoß abmahnfähig ist und auf Beseitigung und Unterlassung geklagt werden kann. Verstöße können unter Umständen auch Schadensersatzpflichten auslösen.
Daneben sind datenschutzaufsichtsrechtliche Maßnahmen und Bußgelder denkbar. Bei Verstößen gegen § 15 Abs. 3 TMG ist die Lage zwar aktuell kompliziert. Es ist aber durchaus denkbar, dass die Datenschutzaufsichtsbehörde bei ihren Sanktionen einfach an den nachgelagerten Auswertungen und Datenverarbeitungen ansetzen. Dann stünde ein Verstoß gegen Art. 6 Abs. 1 lit. a DSGVO und wenn eine notwendige Vereinbarung zur Auftragsdatenverarbeitung nicht geschlossen wurde, zusätzlich ein Verstoß gegen Art. 28 DSGVO im Raum. In beiden Fällen können Geldbußen verhängt werden.
Werden Daten in Drittstaaten ohne entsprechende Garantien übermittelt, so ist dies ein schwerwiegender Verstoß, der gemäß Art. 83 Abs. 5 DSGVO mit einer Geldbuße von bis zu 20 Mio. EUR oder 4% des gesamten Jahresumsatzes geahndet werden kann.
Fazit
Allein wegen der hohen Strafen und der Gefahr der Abmahnung durch Mitbewerber oder gar der Verbraucherzentrale sollte man bei der Ausgestaltung von E-Mail-Newslettern und dem damit verbundenen Tracking genauer hinsehen und die Einhaltung der gesetzlichen Vorgaben sicherstellen. Hierbei hilft Ihnen Ihr Datenschutzbeauftragter.
Großartiger Artikel – wie immer :-) Vielen Dank dafür!
Das Problem ist nur, dass die Aufsichtsbehörden bereits das wesentlich offensichtlichere illegale Website Tracking nicht abstellen. Der Hamburger Aufsicht liegt z.B. seit über 18 Monaten eine Beschwerde über die HASPA vor. Stand heute finden sich dort immer noch weit unten in der Datenschutzerklärung versteckte – und illegal voreingestellte Ankreuzkästchen für Statistik (haspa.de/de/home/footer/datenschutz-nutzereinwilligung.html). Und diese Verbrauchertäuschung hat sich sogar erst nach der Beschwerde und unter den Augen der Behörde eingestellt.
Trotz zahlreicher Nachfragen bei der Behörde geht das illegale Treiben genauso munter weiter, wie bei ALLEN anderen Websites (https://datenschutz-zwecklos.de/blog/2020/08/weiter-datenschutz-anarchie-im-internet-der-hamburger-aufsichtsbehoerde-sei-dank/). Rund einhundert mir vorliegender Beschwerden bestätigen die Regel. Die DSGVO wird im Tracking nicht von den Behörden umgesetzt, sondern ausgehöhlt und ad absurdum getrieben. Das ist ein trauriger Fakt!
Bis die Aufsichtsbehörden sich des Themas „illegales Newsletter-Tracking“ annehmen, werden noch sehr viele Jahre vergehen, wenn überhaupt jemals etwas passiert.
Verbraucher können sich hier nur selbst schützen. Beispielsweise mit kostenlosen Technologien wie von eBlocker.org. eBlocker erkennt u.a. Newsletter-Tracking und kann es häufig sogar umgehen, so dass der Link trotzdem (auch ohne Tracking) funktioniert.
Disclaimer/Hinweis
Ja, ich bin engagierter Datenschutz-Aktivist und betreibe sowohl datenschutz-zwecklos.de als auch eBlocker.org vollständig ehrenamtlich und als Non-profit. Beides ist kostenlos, weil mich das illegale Tracking seit Jahren stört und ich möchte, das Betroffene sich selbst verteidigen können. Insofern ist das hier keine „Schleichwerbung“, sondern ein gut gemeinter Hinweis für alle, die nicht auf die behäbigen Behörden warten wollen.
Und zu Schluss: Solange bei Abmahnungen der rechtskonform agierenden Wettbewerber die Abmahnkosten selbst tragen muss, wird sich das kaum als Mittel zum Trockenlegen des illegalen Tracking-Sumpfes bewähren.
Absurd, wie diejenigen, die sich rechtskonform verhalten sogar schlechter gestellt werden als diejenigen, die das Gesetz brechen. Wo bitte ist der Rechtsstaat in dem Bereich?
Solange kein Tracking im Spiel ist, kommt auch Art. 6 Abs. 1 lit. b DSGVO in Betracht, denn das Bestellen eines Newsletters kann auch als Abschluss eines Dienstleistungs-Vertrags gesehen werden. Es ist ja nicht per se jeder Newsletter nur Werbung.
P.S.: In HTML kann man nicht „programmieren“, da es sich nicht um eine Programmiersprache handelt und kein Programm abläuft. Man formatiert nur einen Text.
Vielen Dank für diesen Artikel. Sehr hilfreich.