Tracking im E-Mail-Newsletter und der Datenschutz

e-mail 04
Fachbeitrag

E-Mail-Newsletter stellen nicht nur Informationen zur Verfügung, sondern sind heutzutage kleine Analysemaschinen, die es den Marketingabteilungen erlauben, mehr über deren Kunden zu erfahren. Wie das Tracking technisch funktioniert und was man rechtlich beachten muss, erfahren Sie im nachstehenden Artikel.

E-Mail-Newsletter erstellen

Früher bestanden Newsletter lediglich aus Text ohne jede Formatierung. Heute werden diese aufwendig designt, enthalten Bilder, große und kleine Überschriften, Links zu Produkten und vieles mehr. Damit diese Designs oder Styles richtig angezeigt werden, werden diese E-Mails in HTML programmiert.

Die Erstellung solcher E-Mails ist mittlerweile einfach, denn Dienstleisters für den Newsletterversand bieten einen sogenannten „What You See Is What You Get“-Editor (WYSIWYG), der ähnlich wie Microsoft Word funktioniert. Designt man nun den Newsletter mit Bildern, Links und Textpassagen, so übernimmt der WYSIWYG-Editor die Erstellung der HTML-E-Mail.

Bilder werden allerdings nicht an die E-Mail angehängt, sondern sind auf einem Webserver abgelegt und werden beim Öffnen des Newsletters nachgeladen und angezeigt. Dieses Verhalten nutzen zum Teil auch die in den E-Mail-Newsletter verwendeten Analysetools.

Eingesetzte Technologien

Es werden die sogenannten Web-Beacons oder auch Zählpixel verwendet. Zählpixel sind extrem kleine, häufig bloß 1×1 Pixel große, Bilddateien, welche in die Newsletter-E-Mail integriert werden und so eine Logdatei-Aufzeichnung sowie eine Logdatei-Analyse erlauben.

Öffnet der Nutzer nun die jeweilige vorher geladene E-Mail, so wird der Zählpixel vom Server des Newsletterbetreibers geladen und gleichzeitig einige Informationen über den E-Mail Empfänger übermittelt, wie z.B.:

  • ob die E-Mail geöffnet wurde,
  • Zeitpunkt des Aufrufs,
  • sowie die dazugehörige IP-Adresse.

Dabei besteht auch die Möglichkeit die jeweilige Zählpixel-Bilddatei der für den Versand verwendeten E-Mail-Adresse eindeutig zuzuweisen, indem die Zählpixel-Bilddatei individuell generiert wird.

Darüber hinaus können Links in der E-Mail darüber Aufschluss geben, welche Produkte interessanter – also häufiger geklickt wurden als andere – sind. Diese Links lassen sich, wie auch die Web-Beacons, individualisieren und lassen damit einen Rückschluss auf den jeweiligen Newsletterempfänger zu.

So gut wie alle Dienstleister, die sich auf den Newsletter-Versand spezialisiert haben, bieten heute die oben genannten Möglichkeiten an und erlauben neben pseudonymisierten Auswertungen, welche keinen Rückschluss auf einen einzelnen Nutzer zulassen, auch personenbezogenes Tracking an.

Rechtliche Voraussetzungen

E-Mail-Newsletter dürfen nur nach Einholung einer Einwilligung oder ausnahmsweise unter den engen Voraussetzungen des §7 Abs. 3 UWG versendet werden. Obwohl § 7 UWG neben Ihrer wettbewerbsrechtlichen Bedeutung auch als datenschutzrechtliche Norm verstanden wird, ist diese nicht abschließend, da sie keine Aussage über trifft, ob und wie personenbezogene Daten in E-Mails verarbeitet werden dürfen. Aus diesem Grund muss auch die Erhebung, Verarbeitung und Übermittlung von personenbezogenen Daten unter zu Hilfenahme von Web-Beacons bzw. individualisierter Links in E-Mails von einer datenschutzrechtlichen Erlaubnis gedeckt sein.

Hinsichtlich der Zulässigkeit von Datenverarbeitungstätigkeiten im Bereich der Telemedien werden die Regelungen des Bundesdatenschutzgesetzes von den Regelungen des Telemediengesetzes, insbesondere §§12ff TMG verdrängt.

Pseudonymisiertes Tracking in Newslettern

In §15 Abs. 3 TMG sieht das Telemediengesetz die Möglichkeit der Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zum Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien ausdrücklich vor. Dieses ist demnach möglich, wenn pseudonyme Nutzungsprofile erstellt werden und der Nutzer im Rahmen der Unterrichtung nach §13 Abs. 1 TMG über sein Widerspruchsrecht aufgeklärt wurde und er davon keinen gebraucht gemacht hat.

Voraussetzung hierfür ist zunächst die pseudonyme Speicherung. Diese liegt nur dann vor, wenn alle Informationen, die eine unmittelbaren Rückschluss auf den E-Mail-Inhaber erlauben, gelöscht und durch eine zufällig erzeugte Kennzahl (Pseudonym) ersetzt werden. Für die Praxis bedeutet das, dass im Rahmen des E-Mail-Trackings die Nutzungsdaten nicht zusammen mit der E-Mail-Adresse oder der IP-Adressen gespeichert werden dürfen, sondern die Nutzungsdaten nur zusammen mit zufällig erzeugten Kennziffer gespeichert werden dürfen. Eine Zusammenführung dieser Kennziffer mit der E-Mail-Adresse des Nutzers darf nicht erfolgen. Dies ist technisch sicherzustellen. Darüber hinaus sollten versandte Newsletter, direkt nach Versendung unwiederbringlich gelöscht werden, da diese andernfalls eine Zusammenführung der Kennziffer mit der E-Mail-Adresse ermöglichen könnten.

Des Weiteren ist es notwendig den Nutzer im Rahmen der Anmeldung zum Newsletter über die Tatsache des pseudonymisierten Trackings aufzuklären und ihm die Möglichkeit zum Widerruf einzuräumen. Dies kann meines Erachtens im Rahmen der Unterrichtungspflicht gemäß §13 Abs. 1 Satz 2 TMG innerhalb der Datenschutzerklärung erfolgen, wobei man sich die Kenntnisnahme der Datenschutzerklärung bestätigen lassen sollte. Bereits bestehende Newsletterabonnenten sollten per E-Mail (ohne integriertem Tracking) über den Umstand der künftigen pseudonymisierten Auswertung und über die Möglichkeit des Widerspruchs informiert werden.

Letztlich muss auch der Widerspruch gegen das Tracking umgesetzt werden. Es besteht natürlich Möglichkeit diesen Nutzer nun gänzlich von E-Mail-Newslettern auszuschließen, besser ist es jedoch den Widerspruch in der Art umzusetzen, dass Nutzer die von ihrem Widerspruchsrecht Gebrauch gemacht haben, zu einem Newsletterverteiler hinzuzufügen, der ohne entsprechendem Tracking versendet wird.

Personalisiertes Tracking in Newslettern

Möchte man jedoch die durch den Newsletter gewonnenen Informationen und Interessen des Nutzers diesem unmittelbaren zurechnen können, um ihn beispielsweise einer Interessengruppe zuzuweisen, ist ein Rückgriff auf §15 Abs. 3 TMG versperrt. In diesem Fall sind die Voraussetzungen des §13 Abs. 1 und Abs. 2 TMG zu beachten und das personalisierte Newsletter-Tracking ist nur nach ausdrücklicher Einwilligung des Nutzers zulässig.

Dieses setzt voraus, dass

  • der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat (Transparenz),
  • die Einwilligung protokolliert wird,
  • der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  • der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Wichtig ist, dass der Nutzer die Einwilligung freiwillig erteilt und ausreichend über die Datenverarbeitung informiert wird. Insbesondere sollte er erfahren, welche konkreten Daten von ihm gesammelt und für welche Zwecke sie verwendet werden. Überdies muss der Nutzer bei Abgabe der Einwilligungserklärung eine eigene, aktive Handlung vornehmen, wie z.B. das Setzen eines Häkchens.

Auch bei der Einwilligungslösung muss eine Umsetzung des Widerspruchs des Nutzers möglich sein und sollte bevorzugt wie oben bereits dargestellt verfahren werden.

Höchstproblematisch dürften sich Voraussetzungen des personenbezogenen Tracking in Newslettern für bestehende Abonnenten umsetzen lassen. Der Versand einer E-Mail, welche darüber informiert, ist jedenfalls nicht ausreichend. Vielmehr muss der bestehende Abonnent über das Tracking und sein Widerrufsrecht informiert werden und zusätzlich per Klick auf einen Link dem künftigen Tracking eindeutig zustimmen. Unterlässt er den Klick und widerspricht er nicht, so kann keine konkludente Zustimmung zum Tracking angenommen werden. Wurde keine Einwilligung erteilt, hat das Tracking für den Nutzer zu unterbleiben.

Versand und Tracking mit externen Dienstleistern

Wird für den Newsletter-Versand bzw. das Tracking ein externer Dienstleister eingesetzt, so ist eine Vereinbarung zur Auftragsdatenverarbeitung gemäß §11 BDSG zu schließen. Den Dienstleister sollte man unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Dies gilt sowohl für den Fall des pseudonymen, als auch für den Fall des personenbezogenen Trackings.

Hat der Dienstleister oder dessen Mutterkonzern seinen Firmensitz außerhalb der EU oder des EWR muss zusätzlich sichergestellt werden, dass ein angemessenes Datenschutzniveau gewährleistet ist.

Bußgelder

Die §§12 ff TMG haben nach überwiegender Ansicht in Rechtsprechung und Literatur wettbewerbsrechtlichen Charakter, so dass der Verstoß gegen diese Normen abmahnfähig sind, auf Beseitigung und Unterlassung geklagt werden kann und Verstöße unter Umständen auch Schadensersatzpflichten auslösen können.

Daneben sind datenschutzaufsichtsrechtliche Maßnahmen denkbar. Verstöße gegen die §13 Abs. 1 und §2 TMG sind wegen §16 Abs. 2 Nr. 2 bußgeldbewährt. Wird keine Vereinbarung zur Auftragsdatenverarbeitung gemäß §11 BDSG oder nicht richtig geschlossen, so ist dies gemäß §43 Abs. 1 Nr. 2b BDSG bußgeldbewährt. In beiden Fällen können Geldbußen von bis zu EUR 50.000,- verhängt werden.

Werden Daten in Drittstaaten ohne entsprechende Garantien übermittelt, so ist dies ein schwerwiegender Verstoß, der gemäß §43 Abs. 2 Nr.1 BDSG mit einer Geldbuße von bis zu EUR 300.000 geahndet werden kann.

Fazit

Allein wegen der hohen Strafen und der Gefahr der Abmahnung durch Mitbewerber oder gar der Verbraucherzentrale sollte man bei der Ausgestaltung von E-Mail-Newslettern und dem damit verbundenen Tracking genauer hinsehen und die Einhaltung der gesetzlichen Vorgaben sicherstellen. Hierbei hilft Ihnen Ihr Datenschutzbeauftragter.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.