E-Mail und Newsletter-Tracking Datenschutzkonform umsetzen

Vorab-Hinweis 

Der Beitrag unten ist vor Geltung der DSGVO erschienen. Bitte beachten Sie meine aktuellen Beiträge zum Datenschutz bei Webseiten und Marketing unter der DSGVO: 

Datenschutz bei Webseiten und Apps - 10 Themen, die Sie beachten sollten (Checkliste/DSGVO)

Direktwerbung datenschutzkonform umsetzen (E-Mail-, Post-, Telefon-Marketing)

Formular/Checkliste zu Erfassung von Webseiteninhalten für Datenschutzerklärungen (Datenschutzhinweise, Privacy Policy)

Einleitung

Das Tracking von Besuchern auf Webseiten mit Tools wie Google Analytics oder Piwik (Webtracking) ist seit längerem in Fokus der Web-Gemeinde und Datenschützer. Das Tracking des Nutzungsverhaltens von E-Mail Empfängern mittels Ein-Pixel-Bildern (Web-Beacons) und individualisierten Links in E-Mails wurde dagegen bisher wenig beachtet. Dies hat sich nunmehr geändert: Wie mir bekannt ist, hat zumindest eine deutsche Aufsichtsbehörde begonnen, Unternehmen anzuschreiben, die entsprechende Mail- und Newsletter-Tracking Technologien einsetzen.

Nicht nur die Nutzung US-amerikanischer Dienste stellt dabei den Kunden vor datenschutzrechtliche Herausforderungen. Auch wer ein E-Mail-Tracking in Eigenregie betreibt oder deutsche Anbieter nutzt, muss eine Reihe von Punkten beachten.

Der folgende Beitrag erläutert die Anforderungen an einen datenschutzkonformen Einsatz von E-Mail-und Newsletter-Tracking Technologien und gibt konkrete Hinweise zur Datenschutz-konformen Umsetzung nach dem Telemediengesetz (TMG) und Bundesdatenschutzgesetz (BDSG).

Soviel vorab: Nach meinem persönlichen Eindruck werden die Anforderungen derzeit oft nicht oder nur unvollständig umgesetzt. Es droht ein Einschreiten von Behörden bis hin zu Bußgeldern sowie Abmahnungen durch Wettbewerber, da einige Gerichte zuletzt unvollständige Datenschutzhinweise und Datenschutzverletzungen für abmahnfähig gehalten haben. Kunden können Unternehmen mit Auskunftsbegehren und Beschwerden bei Behörden das Leben schwer machen und unzulässig gebildete Nutzerprofile müssen unter Umständen gelöscht werden.

1)    Inhalt

Zunächst erläutere ich kurz die hinter dem Tracking stehende Technologie und die Besonderheiten gegenüber dem Webtracking (Ziffer 2). Danach gehe ich auf die zwei grundsätzlichen Lösungsansätze ein, nämlich die Widerspruchslösung und die Einwilligungslösung (Ziffer 3). Im Anschluss erläutere ich Besonderheiten, die zu beachten sind, wenn Tracking-Anbieter in Deutschland oder im Ausland (z.B. USA) eingesetzt werden sollen (Ziffer 4).  Am Ende gibt es eine tabellarische Zusammenfassung der wichtigsten Aussagen (Ziffer 5).

2)    Technologie und Besonderheiten beim E-Mail-/Newsletter-Trascking

Beim Newsletter- und Mail-Tracking werden Ein-Pixel-Bilder (auch Web-Beacons oder Tracking-Pixel genannt) in die versendeten E-Mails integriert. Die E-Mail enthält dabei nur die Web-Adresse, unter der das Bild abrufbar ist (z.B. www.domain.de/bild.png). Die Bilddaten selbst sind nicht in der Mail enthalten, sondern müssen durch das Mail-Programm des Empfängers (oder den Browser) von einem externen Server heruntergeladen werden.

Bei der Auslieferung des Bildes kann der externe Server dann bestimmte Daten des Empfängers erfassen, z.B. den Zeitpunkt des Abrufs, die IP-Adresse oder Angaben zum genutzten E-Mail-Programm (Client). Der Name der Bilddatei wird für jeden Mailempfänger individualisiert, indem eine eindeutige ID angehängt wird (z.B. www.domain.de/bild-ID123.png). Der Mailversender merkt sich dabei, zu welcher E-Mail-Adresse welche ID gehört und kann so bei einem Abruf des Bildes ermitteln, welcher Mailempfänger gerade die E-Mail geöffnet hat oder liest.

Enthalten die verschickten E-Mails Links, z.B. zu Produktseiten des Shops, so können auch diese Links entsprechend individualisiert und mit einer ID versehen werden. Klickt der Mailempfänger auf den Link, so kann der Webserver beim Abruf der Seite erkennen, aus welcher E-Mail heraus der Klick erfolgt ist und so den Besucher identifizieren.

Die aus dem Tracking gewonnen Daten können statistisch genutzt werden, etwa um zu erkennen, wie viele E-Mails wann gelesen werden und welche Links dabei häufig aufgerufen wurden. In diesem Fall erfolgt die Nutzung nicht personenbezogen: Es Interessieren nur die Gesamtzahlen, nicht ob Herr anton.schmidt4354@sonstwo.de seine E-Mails tagsüber oder nachts liest. Die Erkenntnisse können zum Beispiel zur Optimierung der Inhalte von Newslettern verwendet werden oder, um Newsletter besser auf die von den Empfängern genutzten Mail-Clients abzustimmen.

Möglich ist aber auch eine personenbezogene Verwendung: So lässt sich erfassen, wann ein bestimmter Nutzer seine E-Mails liest und welche Links er klickt. Bei zukünftigen Newslettern können so etwa Sendezeiten und Inhalte angepasst werden. Die gewonnenen Hinweise (interessiert sich für Produkte der Kategorie „Heimwerken“, liest E-Mails am Freitagabend, nutzt zum Mail-Lesen ein teures iPad, klickt gerne auf Rabattaktionen) können zu anderen Kundendaten zugespeichert und für personenbezogene Profilbildungen genutzt werden. Gelangen Nutzer über individualisierte Links aus Newslettern auf eine Webseite sind sie anhand ihrer E-Mail Adresse identifizierbar. Clickstreams können so einzelnen Kundenkonten auch ohne Login zugeordnet werden.

Das Mailtracking ist dem Webtracking ähnlich, aber es gibt Besonderheiten:

•  E-Mail Adresse personenbezogen: Mit der E-Mail Adresse kann auf eine konkrete Person geschlossen werden (siehe meine Mailadresse), jedenfalls lässt sich dies nicht für alle Fälle ausschließen. Es liegt deshalb immer ein Datum vor, das potentiell einen Personenbezug erlaubt. Beim Webtracking kann die IP Adresse verkürzt gespeichert und so die Personenbeziehbarkeit des Klickverhaltens ausgeschlossen werden.
• Chance zur Einwilligung: Wer einen Newsletter erhält, muss diesen meist zuvor aktiv bestellen oder sich sonst online registrieren. Dabei besteht für das Unternehmen die Gelegenheit, sich eine wirksame Einwilligung für das Tracking geben zu lassen. Das ist beim Tracking des Surfverhaltens von Webseitenbesuchern kaum möglich.
• Standardeinstellung im Client: Viele E-Mail Programme laden Bilder standardmäßig nicht herunter oder warnen zumindest vor Gefahren des Trackings.

Im Folgenden erläutere ich nun die beiden datenschutzrechtlichen Lösungsmöglichkeiten für das Newsletter und Mail-Tracking:

• Die Widerspruchs-Lösung (Opt-Out): Es wird informiert und pseudonym getrackt bis ein Widerspruch kommt
• Die Einwilligungs-Lösung (Opt-In): Es wird nur getrackt wenn der Empfänger zustimmt, dann aber auch gerne personenbezogen

3)    Widerspruchslösung (Opt-Out) beim Newsletter-/E-Mail-Tracking

Das Newsletter- und Mail-Tracking ist ohne Einwilligung des Empfängers zulässig, wenn folgende Voraussetzungen erfüllt werden:

• Pseudonymisierung: Die Nutzungsdaten (z.B. wer hat wann welche E-Mail geöffnet und was geklickt) werden pseudonymisiert gespeichert und nicht mit den Daten zusammengeführt, die den Empfänger identifizieren können (z.B. mit der E-Mail-Adresse oder IP-Adresse) (siehe Buchstabe a unten)
• Transparenz: Der Empfänger wird vorab über das Tracking informiert (siehe Buchstabe b unten)
• Widerspruch: Der Empfänger erhält die Möglichkeit, dem Tracking zu widersprechen (siehe Buchstabe c unten)

A)      Anforderung: Pseudonymisierung

Pseudoynmisierte Speicherung bedeutet, dass alle Informationen, die eine namentliche Identifikation des Benutzers erlauben, gelöscht und durch eine Kennzahl (Pseudonym) ersetzt werden. Die E-Mail Adresse erlaubt jedenfalls eine Identifikation von Benutzern, ebenso in bestimmten Fällen die IP-Adresse (z.B. statische IP-Adresse). Die Nutzungsdaten dürfen beim E-Mail-Tracking daher nicht zusammen mit der E-Mail-Adresse oder den IP-Adressen gespeichert werden. Stattdessen können die Nutzungsdaten z.B. zusammen mit der in den Ein-Pixel-Bildern oder Links verwendeten IDs (siehe oben) gespeichert werden. Diese IDs sind dann das „Pseudonym“.

Eine Zusammenführung der IDs mit den E-Mail Adressen darf nicht erfolgen. Dies ist durch geeignete Maßnahmen sicherzustellen. In den ausgehenden E-Mails stehen sowohl die E-Mail Adressen als auch – in den Links – die IDs. Die E-Mails  enthalten damit die für die Zusammenführung (De-Pseudonymisierung) relevante Zuordnungsregel. Die E-Mails sind daher zu löschen oder ebenfalls von den Nutzungsdaten zu separieren. Die Systeme zum Versand der E-Mails und der Server, der die Anfragen aus den Ein-Pixel-Bildern erfasst, müssen technisch oder organisatorisch klar getrennt werden.

Wer wissen möchte, welcher konkrete E-Mail Empfänger den Newsletter wann geöffnet hat oder welche Links dieser geklickt hat, kann also nicht auf die Widerspruchslösung bauen. Gleiches gilt für Nutzer von Software bei der diese Daten heruntergebrochen auf den einzelnen Empfänger bereitgestellt werden.

B)     Anforderung: Transparenz

Das E-Mail-Tracking muss wie das Webtracking transparent gemacht werden. Wird die E-Mail Adresse online erfasst, kann die Information in den Datenschutzhinweisen der Webseite gegeben werden. Die sauberste Lösung wäre dann ein kurzer Hinweis auf das Tracking an der Stelle, an der der Nutzer seine E-Mail Adresse eingibt. Für die Details kann dort auf die Ausführungen der Datenschutzhinweise mit entsprechender Verlinkung verweisen werden.

Ein Hinweis auf das Tracking in einer E-Mail selbst genügt nur, wenn mit dieser E-Mail noch kein Tracking erfolgt. Möglich wäre etwa der Hinweis in der Mail mit dem Bestätigungslink beim Double-Opt-In Verfahren zur Bestellung von Newslettern.

Ist der Tracking-Hinweis bisher unterblieben muss die Information für die Zukunft nachgereicht werden. Sicherer als die stillschweigende Aufnahme in die Datenschutzhinweise ist eine Mitteilung an die Bestands-Abonnenten des Newsletters.

Bei E-Mail Adressen, die schriftliche erhoben werden (z.B. im Rahmen von Gewinnspielen), müsste der Hinweis auf dem Formular selbst erfolgen.

(Siehe auch meinen gesonderten Beitrag zur Gestaltung von Datenschutzhinweisen für Webseiten allgemein).

C)      Anforderung: Widerspruchslösung (Opt-Out)

Dem Nutzer ist das Recht einzuräumen, dem Tracking zu widersprechen und er ist über dieses Recht zu informieren. Hier sind verschiedene Varianten denkbar:

• Do Not Track-Link: Der Empfänger erhält in jeder E-Mail einen persönlichen „Do Not Track“-Link. Wenn er auf diesen klickt speichert das System, dass der Empfänger mit dieser E-Mail Adresse zukünftig keine Links mit individualisierter ID mehr erhält. Das Verfahren entspricht insoweit einem Abmelden von Newslettern nur mit dem Unterschied, dass der Empfänger weiter auf der Verteilerliste bleibt, zukünftige E-Mails aber keine Web Beacons und individualisierten Links mehr enthalten.
• Einstellung im Kundenkonto: Der Empfänger kann in seinem Kundenkonto angeben, dass er E-Mails ohne Tracking-Code erhalten will.
• Manuelle Erfassung vom Opt-Out: Der Empfänger kann sich an eine zu benennende Stelle beim Absender wenden, z.B. per Mail, Post oder telefonisch. Dort wird dann im System manuell erfasst, dass zu einer E-Mail Adresse kein Tracking mehr erfolgen darf. Das erscheint umständlich, kann aber als kurzfristige Umgehungslösung darstellen.

Die Umsetzung der Widerspruchsmöglichkeit (Opt-Out) erfordert also eine technische Implementierung. Daher ist der Gedanke naheliegend, den Widerspruch zum Tracking einfach wie eine Abmeldung zu behandeln: Dem Empfänger wird mitgeteilt, er könne dem Tracking durch Abmeldung vom Newsletter widersprechen. Dies funktioniert allerdings dann nicht, wenn der Tracking-Code in System-Emails enthalten ist (z.B. Bestellbestätigungen, Benachrichtigungen). Hier müsste der Kunde zur Ausübung des Widerspruchsrechts darauf verwiesen werden, sich vom Dienst gänzlich abzumelden, bzw. diesen nicht mehr in Anspruch zu nehmen. Es erscheint allerdings zweifelhaft, ob dieser Verweis auf die Abmeldung/Nichtnutzung eine wirksame Einräumung eines Widerspruchsrechts darstellt: Würde man dies akzeptieren, könnte man analog beim Webtracking eine wirksame Widerspruchsmöglichkeit darin sehen, dem Nutzer zu sagen, er möge die Webseite doch nicht mehr besuchen, wenn er mit dem Tracking nicht einverstanden sei. Das erscheint kaum im Sinne des Gesetzgebers, der explizit ein Opt-Out fordert.

Bei Web-Beacons (Tracking-Pixel) wäre noch denkbar, dass der Kunde darauf verwiesen wird, in seinem Mailprogramm einzustellen, Bilder standardmäßig nicht zu laden. Ob das als Widerspruchsmöglichkeit genügt, erscheint aber zumindest angreifbar.

Wer einen Newsletter-Tracking Dienst sucht, nutzt oder betreibt, sollte deshalb unbedingt darauf achten, dass dieser eine Funktion für den Tracking-Widerspruch bietet.

4)    Einwilligungslösung (Opt-In) beim Newsletter-/E-Mail-Tracking

Wem der technische Aufwand der Widerspruchslösung zu groß ist, oder für wen diese ausscheidet, weil er Daten personenbezogen verwenden will, muss eine wirksame Einwilligung einholen.

Eine online eingeholte Einwilligung muss dabei eine Reihe von Anforderungen erfüllen:

• Informiert: Die Einwilligung muss informiert sein. Der Nutzer muss wissen, welche konkreten Daten von wem gesammelt und für welche bestimmten Zwecke verwendet werden. Allgemeine Datenbezeichnungen („Nutzungsdaten“) und verallgemeinerte Zweckangaben („Optimierung unser Dienstleistungen und Produkte“) genügen nicht.
• Bewusst und eindeutig: Der Nutzer muss die Einwilligung bewusst und eindeutig erteilen. Er muss zum Beispiel aktiv ein nicht vorausgewähltes Häkchen setzen. Das Verstecken in Datenschutzhinweisen, Nutzungsbedingungen oder AGBs genügt nicht. Die Methode „wir haben unsere AGB / Datenschutzhinweise geändert; wenn Sie nicht widersprechen gelten diese als akzeptiert“ ist zwar beliebt, nach deutschem Recht aber für eine datenschutzrechtlich wirksamen online-Einwilligung untauglich.
• Protokollierung: Die Einwilligungserteilung ist zu protokollieren.
• Widerrufbarkeit: Die Einwilligung muss jederzeit mit Wirkung für die Zukunft widerrufbar sein und der Kunde ist hierüber zu informieren. Hier erscheint wieder fraglich, ob der Kunde für einen Widerruf darauf verwiesen werden kann, den Newsletter abzubestellen oder sich vom Dienst abzumelden. Hierzu gelten ähnliche Erwägungen wie oben zum Widerspruchsrecht.
• Abrufbarkeit: Der Text der Einwilligung muss für den Nutzer abrufbar sein. Hierzu kann der Text der Einwilligung in den Datenschutzhinweisen wiederholt abgedruckt oder bei der ersten E-Mail mitgesendet werden.
• Freiwilligkeit / Koppelung: Die Einwilligung muss freiwillig erfolgen. Zwar ist eine gewisse Koppelung möglich: Du darfst den Dienst nur nutzen, wenn Du einwilligst. Grenzen bestehen aber dort, wo der Nutzer faktisch keine zumutbaren Alternativen (andere Anbieter) hat, oder auch dort entsprechende Einwilligungen abverlangt werden. Kritisch ist die Freiwilligkeit, wenn ein Arbeitgeber eine Einwilligung von Beschäftigten oder Bewerbern (z.B. Online Bewerberportal) einholen will.

Die Einwilligungslösung hat den Vorzug, dass Daten personenbezogen verwendet werden können, bringt aber ebenfalls einen Implementierungsaufwand mit sich, denn wer nicht einwilligt oder die Einwilligung später widerruft, muss vom Tracking ausgenommen werden. Vor allem aber ist eine aktive Aktion des Nutzers nötig. Bei der Newsletter-Bestellung mag das Abfragen einer Einwilligung noch klappen. Problematisch ist aber unter Umständen der Bestand der Altkunden.

5)    Nutzung von Tracking Anbietern, insbesondere in den USA

Wer für das Newsletter Tracking auf einen externen Anbieter zurückgreift sollte sicherstellen, dass mit dessen Lösung die oben genannten Anforderungen umsetzbar sind.

Sind die Daten (z.B. E-Mail-Adressen der Kunden oder erfasste Nutzungsdaten) auf dem Server des Anbieters gespeichert (z.B. Software as a Service Lösungen – SaaS), so sind weitere Anforderungen zu beachten:

A) Auftragsdatenverarbeitungsvertrag mit dem Tracking-Anbieter

Wer für das Newsletter-Tracking einen externen Dienstleister nutzt, der muss wie auch beim Web-Tracking mit dem Anbieter einen schriftlichen Vertrag zur Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz schließen. Ohne einen solchen Vertrag drohen dem Kunden Bußgelder bis € 50.000,-. Die Verantwortung für den Abschluss trägt der Kunde. Er muss beim Anbieter aktiv nach solch einem Vertrag fragen, und zwar am besten schon in der Phase der Angebotseinholung. Der Auftragsdatenverarbeitung-Vertrag muss zudem schriftlich geschlossen werden (ein Dokument mit zwei Unterschriften, kein Fax), ein Online-Abschluss genügt nicht.

Das deutsche Gesetz stellt an solche Auftragsdatenverarbeitungs-Verträge eine Reihe von inhaltlichen Vorgaben. Nur wenige ausländische Newsletter-Tracking Anbieter dürften bereit sein, einen solchen Vertrag zu schließen, außer der Anbieter hat sich auf den deutschen Markt spezialisiert oder der Kunde beglückt ihn mit einem hohen Umsatz.

Für meinen eigenen Newsletter hatte ich bei dem beliebten Anbieter „Mailchimp“ angefragt und als Antwort erhalten, dass man dort solche länderspezifischen Verträge per se nicht abschließe. Daraus folgere ich, dass ein datenschutzkonformer Einsatz der Trackingfunktion von Mailchimp für deutsche Kunden derzeit nicht möglich ist, außer der Anbieter hat seine Strategie zwischenzeitlich geändert.

B) Tracking durch Dienstleister in den USA

Hat der Anbieter seinen Sitz in einem Land außerhalb der EU oder dem Europäischen Wirtschaftsraum (EWR), so muss der Kunde zusätzliche Anforderungen beachten:

Bei US-Anbietern sind diese erfüllt, wenn der Anbieter am Safe Harbor Programm teilnimmt. Hierzu kann eine Abfrage auf der Webseite des US-Handelsministeriums erfolgen: (http://safeharbor.export.gov/list.aspx). Wichtig und häufig verkannt: Selbst wenn das US Unternehmen Safe Harbor zertifiziert ist benötigt der Kunde in Deutschland zusätzlich einen Vertrag gemäß § 11 Bundesdatenschutzgesetz mit dem Anbieter!

Die Safe Harbor Option besteht nur bei US Unternehmen. Bei Anbietern in anderen nicht-EU/EWR Ländern (z.B. Indien) müssen ergänzen zu den deutschen Anforderungen des § 11 Bundesdatenschutzgesetz bestimmte Musterverträge der Europäischen Kommission geschlossen werden.

D) Server-Standort und Tochtergesellschaften

Ob die Server des Anbieters in der EU stehen oder nicht ist für die oben genannten Anforderungen unerheblich: Hat der Anbieter seinen Sitz außerhalb der EU und kann von dort aus auf die Tracking-Server und -Daten zugreifen, so liegt bereits ein Datentransfer vor, und die genannten Sonderanforderungen sind zu beachten.

Das gleiche gilt, wenn der Anbieter des Trackings eine Vertriebs-Gesellschaft in der EU ist (aus Steuergründen gerne Irland) und die Muttergesellschaft in den USA das System betreibt oder Zugriff auf die Daten haben kann. Auch in diesem Fall liegt ein Datenexport in ein Drittland vor für den der Kunde in Deutschland besonderen Anforderungen zu beachten sind.

6)    Zusammenfassung: E-Mail und Newsletter-Tracking Datenschutz-konform umsetzen

Und abschließend nochmal das Wichtigste tabellarisch zusammengefasst:

Sie haben Fragen zum Tracking oder allgemein zum Datenschutz oder IT-Recht? Dann kontaktieren Sie mich gerne unverbindlich.