Das Tracking von Newslettern hat sich mittlerweile etabliert, in vielen E-Mail-Marketing-Programmen ist die Funktion standardmäßig aktiviert und teilweise auch nicht mehr deaktivierbar. Doch wie sieht die Rechtslage auf diesem Gebiet aus? Darf man Newsletter tracken und wenn ja, unter welchen Voraussetzungen? Wie kann ich Newsletter-Tracking DS-GVO-konform betreiben?
Nachfolgend wird der Begriff des Trackings zunächst definiert, anschließend folgt eine genauere Betrachtung der Rechtsgrundlagen und zuletzt eine Anleitung, wie Sie Newsletter DS-GVO-konform verschicken und tracken können.
Was versteht man unter Newsletter-Tracking?
Das Newsletter-Tracking ist im Online-Marketing weit verbreitet und bezeichnet die Erhebung und Verarbeitung von Analysedaten wie Öffnungs- und Klickraten. Einige Daten werden dabei in der Regel automatisch übertragen, darunter der verwendete Client, die Geolocation oder das bevorzugte E-Mail-Format.
Die Öffnungsraten, also die Information, wie viele der Newsletter-Empfänger diesen auch geöffnet haben, werden mithilfe eines sog. Web-Beacons ermittelt. Ein Web-Beacon ist vergleichbar mit einem Cookie. Dabei handelt es sich um ein sehr kleines, transparentes Bild (1x1 Pixel), das in der E-Mail platziert wird. Sobald das Bild beim Öffnen der E-Mail angezeigt, das Bild also vom Server des Newsletter-Versenders abgerufen wird, kann daraus abgeleitet werden, dass die E-Mail zu einem bestimmten Zeitpunkt geöffnet wurde. Das Tracken der Öffnungsrate funktioniert folglich nur dann, wenn der Empfänger der Mail, Bilder im Newsletter nicht unterdrückt.
Die Klickrate gibt an, ob die Empfänger des Newsletters auf in der Mail enthaltene Links geklickt haben. Dazu werden alle Klicks auf Links registriert und gespeichert. In der Praxis werden Empfänger nach einem Klick auf einen Link zunächst auf den Server des Anbieters umgeleitet und von dort aus dann zu ihrem eigentlichen Ziel. Die Links im Newsletter werden dazu durch sog. „Tracking-Links“ ersetzt.
Aus diesen Daten können anschließend Profile gebildet werden. So kann der Anbieter bspw. erkennen, wie gut einzelne Newsletter performt haben und sein Angebot entsprechend auf die Präferenzen der Empfänger ausrichten.
Zusätzlich haben Anbieter die Möglichkeit, mithilfe von zusätzlichen Tools wie Google Analytics, Conversions zu tracken. Der Anbieter kann einem Newsletter dann auch verschiedene Aktionen zuordnen, also den Besuch bestimmter Seiten, Downloads oder getätigter Käufe in einem Onlineshop.
Ist Newsletter-Tracking DS-GVO-konform nur mit Einwilligung möglich?
Der Versand von Newslettern kann neben der Einwilligung gem. Art. 6 Abs. 1 lit. a Datenschutz-Grundverordnung auch auf § 7 Abs. 3 UWG in Verbindung mit dem berechtigten Interesse gem. Art. 6 Abs. 1 lit. f DS-GVO gestützt werden. Hiernach ist der Versand von Newslettern ohne Einwilligung immer dann möglich, wenn:
1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
3. der Kunde der Verwendung nicht widersprochen hat und
4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
Diese Ausnahme gilt allerdings nur für den Versand von Newsletter oder E-Mails an sich, nicht aber für das Tracking und die Bildung von Nutzerprofilen.
Hierzu macht die ePrivacy-Richtlinie genauere Angaben. Die ePrivacy-Richtlinie aus dem Jahr 2009 (nicht zu verwechseln mit der noch ausstehenden ePrivacy-Verordnung) fordert immer dann eine Einwilligung, wenn das Tracking für den Versand der E-Mails nicht unbedingt erforderlich wäre.
Zwar wurde die ePrivacy-Richtlinie in Ihrer Gänze nur bedingt im TMG in Deutschland umgesetzt, nichtsdestotrotz gibt es Gerichtsurteile, die eine Einwilligungspflicht bestätigen. Unter Betrachtung der eingesetzten Technologien zur Durchführung des Trackings, ist das „Cookie-Urteil“ des EuGH (Urt. V. 1.10.2019 – C-673/17) und des BGH (Urt. V. 28.5.2020 – I ZR 7/16) zur Einwilligungspflicht bei Werbecookies nämlich auch auf das Gebiet Newsletter-Tracking zu übertragen. Folglich wird für die Durchführung der o.g. Tracking-Maßnahmen in den meisten Fällen eine gesonderte Einwilligung benötigt. Auch eine etwaige Pseudonymisierung der Trackingdaten würde ähnlich wie bei der Verarbeitung von Cookies an der Einwilligungspflicht nichts ändern.
Abgesehen davon kann der Versand von Newslettern in Einzelfällen auch auf die Erfüllung eines Vertrages gestützt werden. In diesem Fall ist keine Einwilligung der Empfänger nötig, wenn das Tracking im Sinne der Vertragserfüllung eingesetzt wird. Also bspw. dann, wenn es sich um einen kostenpflichtigen Newsletter handelt, dessen Personalisierung Vertragsbestandteil ist.
Anforderungen an eine Einwilligung bei DS-GVO-konformen Newsletter-Tracking
Die Anforderungen an eine Einwilligung ergeben sich aus Art. 7 und Art. 4 Nr. 11 DS-GVO. Eine Einwilligung muss demnach eine „in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“, sein. Weiterhin muss die Einwilligung:
- nachweisbar,
- leicht verständlich,
- widerrufbar,
- und freiwillig sein.
Das setzt eine vorherige, umfassende Information über die Tracking-Maßnahmen voraus. Gleichzeitig bedeutet das nicht, dass der User zwingend ein Kontrollkästchen anklicken muss.
Newsletter-Tracking DS-GVO-konform:
Die praktische Umsetzung
In der Praxis ist das Tracking bei den meisten Dienstleistern voreingestellt und lässt sich teilweise auch nicht deaktivieren. Auch eine Segmentierung und die Deaktivierung des Trackings auf Userebene geben die meisten Anbieter nicht her. Das Tracking kann also in den meisten Fällen entweder für alle User aktiviert oder deaktiviert werden. Dazu ist (wie oben erläutert) eine Einwilligung der Empfänger erforderlich.
Anders als beim Cookie-Urteil, muss hierzu keine Checkbox angekreuzt werden. Eine Umsetzung mittels Checkbox wäre aufgrund der o.g. Gründe ohnehin kaum durchzuführen. Eine datenschutzkonforme Umsetzung inkl. Tracking kann z.B. folgendermaßen aussehen:
1. Einwilligung einholen
Die Einwilligung zum Erhalt des Newsletters muss auch eine Einwilligung zum Tracking enthalten.
Dazu ist es notwendig, dass die Empfänger vorab ausführlich über das Tracking informiert werden. Dies kann bspw. mit einem kurzen Text unter dem Newsletter-Anmeldeformular beschrieben werden.
Der Text könnte dabei wie folgt formuliert werden:
„Mit abonnieren des Newsletters erklären Sie sich mit dem Erhalt von E-Mails zu o.g. Themen einverstanden. Weiterhin willigen Sie ein, dass wir die Öffnungs- und Klickraten unserer Newsletter erheben und in Empfängerprofilen zusammenfassen, zum Zwecke der Personalisierung und Gestaltung zukünftiger Newsletter. Ihre Einwilligung kann jederzeit widerrufen werden. Nähere Informationen erhalten Sie in unserer Datenschutzerklärung.“
In Ihrer Datenschutzerklärung informieren Sie den Empfänger dann über die erfassten Daten, inkl. näheren Angaben zum Versanddienstleister.
2. Konfiguration der Bestätigungsmails
Um zu verifizieren, dass sich ein bestimmter User tatsächlich selbst in den Newsletter eingetragen hat, werden sog. Double-Opt-In-Mails verschickt. Dort muss der Empfänger auf einen Link klicken, um zu bestätigen, dass er den Newsletter bestellt hat. Es empfiehlt sich sich, die Informationen zum Tracking hier ebenfalls bereitzustellen. Die Bestätigungsmail kann damit als zusätzlicher Nachweis für die Einwilligung dienen.
3. Austragungslink
In jedem Newsletter muss anschließend ein Austragungslink platziert werden, mit dem der Empfänger seine Einwilligung widerrufen kann.
Umsetzung bei bestehenden Empfängern
Die Einwilligungspflicht ist selbstverständlich auch auf Empfänger anzuwenden, die sich bereits in den Verteilerlisten für den Newsletter befinden. Hier empfiehlt sich die nachträgliche Einholung der Einwilligung per Mail. Wichtig ist hierbei zu beachten, dass eine reine Information („Wir tracken, wenn Sie sich nicht austragen, stimmen Sie zu.“) nicht ausreicht.
Wie auch bei der Einwilligung zum Newsletter muss der Empfänger eine aktive Willensbekundung abgeben, damit das Newsletter-Tracking DS-GVO-konform ist. Das kann bspw. dadurch erreicht werden, dass er auf einen bestimmten Link in der Mail klickt oder auf diese antwortet. Liegt diese Einwilligung nicht vor, so muss das Tracking (falls möglich) deaktiviert und alte Datensätze gelöscht werden. Falls das Tracking nicht deaktiviert werden kann, muss der Empfänger zwangsläufig aus dem Verteiler entfernt werden.
Fazit
Die Analyse von Newsletter-Daten um deren Performance zu optimieren ist nicht ganz ohne datenschutzrechtliche Hürden möglich. Das „Cookie-Urteil“ ist aufgrund der eingesetzten Methoden und Technologien auch auf das Newsletter-Tracking zu beziehen.
Demnach führt in der Regel kein Weg an der Einwilligung durch den Empfänger vorbei. Ausnahmen gibt es bspw. beim kostenpflichtigen Newsletter, bei dem Trackingmaßnahmen als Teil der Vertragserfüllung anzusehen sind. Die Einwilligung selbst muss, anders als beim Einsatz von Cookies, nicht durch eine Checkbox erteilt werden. Wichtig ist hierbei nur eine umfassende Information, wozu der Empfänger seine Einwilligung erteilt. Und so können Sie Ihr Newsletter-Tracking DS-GVO-konform gestalten!
Daniel Lüttgens
Hallo Herr Lüttgens, schöner Artikel. Wie sehen Sie die Problematik des Kopplungsverbots in Bezug zur Kopplung Tracking mit Erhalt Newsletter. Würde ich User die dem Tracking nicht zustimmen den Erhalt des Newsletters verwehren, würde ich gegen eben dieses ja verstoßen? Welche Möglichkeiten bieten sich hier? Haben Sie hier Learnings?
Vielen Dank für Ihren Kommentar! Das „absolute Kopplungsverbot“, als das der Art. 7 Abs. 4 DS-GVO zu Beginn interpretiert wurde, ist in der vorherrschenden Rechtsmeinung in den letzten Jahren ein wenig aufgeweicht. Hier gab es 2019 ein Urteil des OLG Frankfurt (Az.: 6 U 6/19), welches die „Bezahlung mit Daten“ für die Teilnahme an einem Gewinnspiel grundsätzlich für zulässig erklärt hat. Voraussetzung hierfür sei eine korrekte Einwilligung (wie oben beschrieben). Dieses Urteil ist nach vorherrschender Rechtsmeinung aber wohl nicht auf das Tracking und die damit einhergehende Profilbildung auszulegen. Grundsätzlich benötigen Sie hierfür also weiterhin eine gesonderte Einwilligung. Diese muss freiwillig erfolgen, eine Kopplung an das Tracking ist also zunächst nicht zulässig. Das LDI NRW zeigte vor einiger Zeit die Alternative auf, die „Bezahlung mit Daten“ auf den dafür vorgesehenen Art. 6 Abs. 1 lit. b zu stützen (Vertragserfüllung). Das ist in der Praxis aber ein wenig schwieriger umzusetzen.
Zusammengefasst: Eine Kopplung ist des Trackings an den Versand des Newsletters ist grundsätzlich wohl nicht zulässig. Einzelfallabhängig könnte die Vertragserfüllung eine bessere Alternative sein, bspw. in bestehenden Vertragsverhältnissen mit Kunden. Sollten Sie hierbei Unterstützung benötigen, kommen Sie gerne auf uns zu!