Datenschutz

Newsletter-Tracking: Anleitung für rechtssichere Messung von Öffnungs- und Klickraten

von Dr. Thomas Schwenke
/

Die Messung von Öffnungs- und Klickraten in Newslettern und anderen Mailings ist heutzutage üblich und wird praktisch von allen E-Mailversandplattformen angeboten. Das gilt auch für die Speicherung der Messergebnisse in Profilen der Adressaten (d. h. der E-Mail-Empfänger).

Allerdings verstoßen diese Tracking- und Profilingmaßnahmen in den meisten Fällen gegen die gesetzlichen Vorgaben der DSGVO und des Privatsphärenschutzes. Als Folge drohen Bußgelder, Schadensersatzansprüche und Abmahnungen.

In dem folgenden Beitrag erfahren Sie daher, wie Sie Ihre Newsletter und Mailings rechtssicher gestalten können.

Dieser Beitrag fasst den Beitrag des Autors in der Fachzeitschrift “Datenschutz-Berater” zusammen (Ausgabe 2021/01 S. 7). Den Beitrag können Sie hier herunterladen: “Direktmarketing: Zulässigkeit der Messung von Öffnungs- und Klickraten sowie der Bildung von Empfängerprofilen“.

Technische Grundlagen

Bevor wir uns der Einwilligungspflicht widmen, ist es wichtig zu verstehen, bei welchen Arten von Tracking- und Profilingmaßnahmen sie erforderlich wird:

  • Öffnungsraten – Eine Öffnungsrate zeigt an, wie viele der Adressaten die versendete E-Mail tatsächlich geöffnet haben. Dazu wird im HTML-Code der E-Mail ein sogenannter “Web-Beacon” eingebunden (auch als “Mess- oder Zählpixel” bezeichnetet). Dabei handelt es sich in der Regel um eine 1×1 Pixel große Grafik, die vom Server des Absenders abgerufen wird. Da dieser Web-Beacon eine individuelle Empfängerkennung enthält, weiß der Versender, dass die E-Mail geöffnet wurde.
  • Klickraten – Neben der Messung von Klickarten möchten Versender auch erfahren, welche Links in den E-Mails von den Adressaten wie oft angeklickt werden. Dazu werden die eigentlichen Links durch Links ersetzt, die auf den Server des Versenders verweisen und eine individuelle Empfängerkennung erhalten. Klickt ein Empfänger auf einen solchen Link, dann wird er zunächst auf den Server des E-Mail-Absenders geleitet (sog. “Klicktracking”). Dort wird der Klick registriert und auf die eigentliche Linkquelle umgeleitet. Das Verfahren gleicht der Funktionsweise von Linkverkürzungsdiensten, wie z. B. bit.ly.
  • Profilbildung – Die Öffnungsraten und Klickraten werden in der Regel individuell pro Adressat gemessen und in den Empfängerprofilen gespeichert. Damit können Adressaten z.B. erkennen, ob Empfänger kein Interesse an den E-Mails haben und die Abonnements von sich aus beenden. Sei es, um Ausgaben zu sparen und/oder zu verhindern, dass die Empfänger Mailings erhalten, die sie scheinbar nicht mehr möchten. Ferner können die künftigen Inhalte der Mailings anhand der Interessen der Empfänger ausgerichtet werden.

Neben diesen Verfahren können auch weitere Tracking- und Profilingmaßnahmen durchgeführt werden. Z. B. kann in die Mailings Google Analytics eingebunden oder gar das Scroll- und Mausbewegungsverhalten mittels so genannter “Heat-Maps” gespeichert werden. Die nachfolgenden Erläuterungen gelten erst recht auch für diese Verfahren.

Einwilligungspflicht beim Tracking

Der Europäische Gesetzgeber hat in der sogenannten “ePrivacy-Richtlinie” festgelegt, dass Nutzer grundsätzlich eine Einwilligung geben müssen, bevor auf deren Endgeräten Informationen gespeichert werden oder Informationen auf deren Endgeräten zugegriffen wird (Art. 5 Abs. 3 S.1 Richtlinie 2002/58/EG, bekannt als “Cookie-Richtlinie”).

Diese Pflicht gilt jedoch nicht nur für Cookies, sondern auch für E-Mails.

Gerichtliche Bestätigung der Einwilligungspflicht: Die Einwilligungspflicht wurde zuletzt durch den Europäischen Gerichtshof und den Bundesgerichtshof für die deutsche Umsetzung im § 15 Abs. 3 S. 1 TMG bestätigt (EuGH, Urt. v. 1.10.2019, Az. C-673/17 und BGH, Urt. v. 28.5.2020, Az. I ZR 7/16 – wir berichteten hier im Blog).

Geltung der “Cookie-Richtlinie” für E-Mails

Die Aufnahme der Einwilligungspflicht in der ePrivacy-Richtlinie vom 25.11.2009 (Richtlinie 2009/136/EG) wurde zwar als “Cookie-Richtlinie” bekannt. Das ist dem Umstand geschuldet, dass sie am häufigsten das Schreiben und Auslesen von Cookies betrifft.

Allerdings spricht die Richtlinie selbst nicht von Cookies, sondern generell vom Speichern und Auslesen von Daten auf Endgeräten der Nutzer.

Denn auch im Fall der Web-Beacons und der Links in den E-Mails handelt es sich um Informationen, die auf Geräten der Adressaten gespeichert werden. Zudem stellt die Mitteilung der Empfängerkennung an den Server des Versenders einen Zugriff auf diese Information dar (Im Fall des Linkaufrufs kann man sich über einen “Zugriff” durchaus verneinen, was jedoch insoweit irrelevant ist, da bereits eine Speicherung vorliegt).

Keine Ausnahme, da Tracking nicht notwendig

Eine Einwilligung der Adressaten wäre nur dann nicht erforderlich, wenn sie sich die empfangenen E-Mails ausdrücklich gewünscht hätten und die Messung der Öffnungs- und Klickraten für den E-Mailversand unbedingt erforderlich wäre (Art. 5 Abs. 3 S. 2 ePrivacy-Richtlinie).

Eine solche Konstellation ist z. B. dann vorstellbar, wenn die Adressaten in den Empfang eines personalisierten Newsletters eingewilligt hätten. Allerdings müssten die Adressaten dann ausdrücklich darüber belehrt werden, dass und wie der Newsletter personalisiert wird. Nur dann könnte man von einer unbedingten Erforderlichkeit der Messung von Öffnungs- und Klickraten ausgehen.

Denn diese Ausnahme soll nicht die Umgehung der Einwilligung ermöglichen. Vielmehr soll sie nur die Situationen erfassen, in denen sich die Adressaten mit dem Tracking im Rahmen eines anderen Verfahrens einverstanden erklärt haben. D.h. die Anforderungen, die nachfolgend an eine Einwilligung gestellt werden, müssten auch im Fall dieses Einverständnisses erfüllt werden.

Betrachtung aus Empfängersicht: Der häufigste Einwand der Versender lautet, dass die Messung der Öffnungs- und Klickraten unbedingt erforderlich ist, um einen Newsletter wirtschaftlich zu betreiben. Allerdings kommt es darauf an, ob sich diese Notwendigkeit auch den E-Mail-Empfängern erschließt. Zumindest nach derzeitiger Rechtslage ist davon auszugehen, dass Gerichte diese Kenntnis der Empfänger verneinen werden. Denn den meisten Empfängern dürfte es erst gar nicht bewusst sein, dass sie von den Trackingmaßnahmen betroffen sind.

Einwilligungspflicht beim Profiling

Die Einwilligungspflicht nach der ePrivacy-Richtlinie, bzw. § 15 Abs. 3 TMG betrifft nur die Messung der Öffnungs- und Klickraten. Deren Speicherung in Profilen der Empfänger beurteilt sich nach der DSGVO. Allerdings sieht die DSGVO bei diesem Fall des Profilings grundsätzlich auch eine Einwilligungspflicht vor (Art. 6 Abs. 1 S. 1 lit a. DSGVO).

Zwar sind ebenfalls Ausnahmen zwar möglich, werden aber selten vorliegen:

  • Profiling ist notwendig zu Zwecken der Vertragserfüllung – Eine Einwilligung wäre nicht notwendig, wenn sie zur Erfüllung eines Vertrages unbedingt erforderlich wäre (Art. 6 Abs. 1 S. 1 lit b. DSGVO).
  • Profiling auf Grundlage berechtigter Interessen der Versender – Gemäß Art. 6 Abs. 1 S. 1 lit f. DSGVO können sich Versender z. B. auf berechtigte betriebswirtschaftliche Interessen am Profiling stützen. Allerdings nur dann, wenn die Interessen der Adressaten am Schutz ihrer Daten diese Interessen nicht überwiegen. Hierbei wird insbesondere darauf geachtet, ob die Adressaten mit den Profilingmaßnahmen vernünftigerweise rechnen mussten (Erwägungsgrund 47 DSGVO).

Derartige Konstellationen werden (entsprechend den vorhergehenden Ausführungen zur Messung von Öffnungs- und Klickraten), vor allem bei personalisierten Newslettern in Frage kommen. Allerdings auch hier nur dann, wenn die Adressaten vorab klar und deutlich über das Profiling informiert werden. Damit stellen sie zumindest im Hinblick auf die Informationspflichten keine wirkliche Erleichterung gegenüber einer Einwilligung dar.

Zusammenspiel von “ePrivacy” und der DSGVO: Die DSGVO regelt die Verarbeitung personenbezogener Daten. Bei den als “ePrivacy” bezeichneten Regelungen werden die Endgeräte der Nutzer vor Zugriffen durch Dritte geschützt (d. h. es wird die “elektronische Privatsphäre” (= “ePrivacy”) auf den Endgeräten geschützt). Die ePrivacy gilt vorrangig, weswegen sie die Öffnungs- und Klickraten regelt. Die DSGVO kommt damit nur im Hinblick auf das geräteunabhängige Profiling zum Zuge. Im Ergebnis muss jedoch in beiden Fällen eine Einwilligung vorliegen, so dass der Unterschied in der Praxis eher gering ist.

Anforderungen an eine wirksame Einwilligung

Sowohl für die Einwilligung in die Messung der Öffnungs- als auch der Klickraten sowie Bildung von Profilen der Adressaten nach der DSGVO, gelten die Vorgaben der DSGVO (Art. 4 Nr. 11 DSGVO).

Demnach setzt eine wirksame Einwilligung vor allem eine aktive “Willensbekundung” voraus, die „für den bestimmten Fall“, in „informierter Weise“, „unmissverständlich“ und “freiwillig” abgegeben wird.

Diese Voraussetzungen können nur dann erfüllt werden, wenn die Adressaten über die technischen Vorgänge nachvollziehbar informiert werden. Dagegen ist es nicht erforderlich, dass die Adressaten auch ein gesondertes Kontrollkästchen anhaken.

Information der Adressaten

Die Adressaten müssen über das Tracking und Profiling schon im Rahmen einer Einwilligung (z. B. in den Empfang eines Newsletters) informiert werden. Hierbei ist es ausreichend, wenn sie übersichtsartig im Anmeldeformular informiert und über die Details in der Datenschutzerklärung belehrt werden (sogenanntes Zwei-Ebenen-Modell).

Ferner müssen die Adressaten auch darüber belehrt werden, dass die Einwilligung widerruflich ist als auch, ob die Daten der Adressaten auch Dritten zur Verfügung und wie lange sie gestellt werden.

Gesondertes Kontrollkästchen ist nicht erforderlich

Es ist immer wieder zu hören, dass eine wirksame Einwilligung in Tracking und Profiling ein gesondertes Kontrollkästchen voraussetzt, das die Adressaten ankreuzen müssen.

Das ist jedoch nicht richtig. Der EuGH hat (in seinem Urteil zu Einwilligungspflicht bei Cookies) keine derart gesonderte Einwilligung verlangt.

Notwendig ist lediglich, dass die Adressaten wissen, dass ihre Einwilligung in den Empfang der Mailings auch eine Einwilligung in die Messung der Öffnungs- sowie Klickraten und der Profile mit umfasst.

Dies kann durch deutliche sprachliche Hinweise, wie in dem folgenden Beispiel erreicht werden.

Beispiel eines Einwilligungstextes

Im Rahmen unseres Generators für Datenschutzerklärungen, können Sie auch Informationen zur Messung von Öffnungs- und Klickraten aufnehmen (als auch zum Einsatz von Google Analytics in Newslettern sowie der Verwendung von E-Mail-Marketingplattformen).

Beispiel einer Einwilligung in einen Newsletter, die sowohl die Einwilligung in den Versand, als auch in Tracking- und Profilingmaßnahmen umfasst:

„Mit dem Klick auf ‚Absenden‘ erklären Sie sich mit dem Empfang des Newsletters mit Informationen zu [bitte Inhalte angeben, z. B.: unseren Leistungen, unserem Unternehmen und Datenschutzthemen] sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung“).

Mit dieser Formulierung können Sie eine wirksame Einwilligung im Fall einer Einwilligung in den Empfang von Newslettern und/oder Werbemailings einholen. Schwieriger wird es dagegen, wenn Sie auch Mailings an Bestandskunden sowie bereits vorhandene Adressaten tracken und für diese Empfänger Profile bilden möchten.

Tracking bei Werbemailings an Bestandskunden

Werbemailings können nicht nur auf Grundlage einer Einwilligung versendet werden. Daneben erlaubt § 7 Abs. 3 UWG auch den Versand für Werbung an Bestandskunden (beschränkt auf ähnliche Produkte und Dienstleistungen, wie die erworbenen).

Voraussetzung hierbei ist lediglich, dass die Bestandskunden im Rahmen des Bestellvorgangs auf die Möglichkeit des Versandes der Werbemailings und deren Widerspruchsmöglichkeiten hingewiesen werden.  Das bedeutet aber, dass kein Einwilligungsprozess stattfindet, in dessen Rahmen auch eine Einwilligung in die Tracking- und Profilingmaßnahmen eingeholt werden könnte.

Einholung einer Einwilligung von Bestandskunden

Da die Werbung an Bestandskunden auf Grundlage eines bloßen Hinweises erfolgen kann, muss die Einwilligung in die Messung von Öffnungs- und Klickraten sowie die Verarbeitung der Ergebnisse in Profilen der Adressaten gesondert eingeholt werden:

  • Einwilligung im Rahmen eines Bestellabschlussverfahrens – Eine Einwilligung könnte im Rahmen des Bestellabschlusses eingeholt werden. Allerdings muss hierbei das sogenannte Kopplungsverbot beachtet werden (Art. 7 Abs. 4 DSGVO). Demnach gilt eine Einwilligung nicht als freiwillig, wenn sie zur Bedingung eines Vertragsschlusses gemacht wird, ohne für den Vertrag notwendig zu sein. Die Reichweite dieser Regelung ist zwar umstritten. Aber wer kurz vor Vertragsschluss steht und die Wahl hat entweder das Tracking & Profiling zu akzeptieren oder Einwilligung abzugeben oder das Bestellverfahren abzubrechen, der handelt eher nicht freiwillig.
  • Nachträgliche Einwilligungsanfrage per E-Mail – An die Bestandskunden könnte eine E-Mail versendet werden, in der sie um eine Einwilligung gebeten werden. Allerdings ist es nicht klar, ob diese Anfrage noch als eine Unterfall der “Werbung für ähnliche Produkte und Waren” zu verstehen ist (wobei der Autor dieses Beitrags die Anfrage für zulässig hält).

Die nachträgliche Einholung der Einwilligungen per E-Mail kommt auch bei bereits vorhandenen Adressätzen in Frage.

Einholung einer Einwilligung von bestehenden Adressaten

Im Regelfall wurden für die bestehenden Adressaten keine Einwilligungen in Tracking- und Profilingmaßnahmen eingeholt, sondern nur in den Empfang der E-Mails an sich.

Eine nachträgliche EInwilligung kann jedoch im Wege von Einwilligungsanfragen per E-Mail eingeholt werden. Hier gilt das oben zu den Bestandskunden gesagte, wobei in diesem Fall keine Zweifel an der Zulässigkeit der Anfragen bestehen.

Umgang mit Adressaten ohne Tracking-Einwilligung

Es ist davon auszugehen, dass nicht alle Adressaten in Adresslisten eine Einwilligung in Tracking- und Profilingmaßnahmen abgegeben haben werden.

Das bedeutet, dass beim künftigen Versand von Mailings Adressaten-Segmente gebildet werden:

  • Adressaten mit vorhandener Einwilligung – Nur bei diesen Adressaten dürfen Tracking- und Profilingmaßnahmen aktiviert werden.
  • Adressaten ohne eine Einwilligung in Tracking – Bei diesen Adressaten müssen die Tracking- und Profilingoptionen deaktiviert werden.

Löschung bisheriger Profile

Sofern Sie bisher Profile der Adressaten auf Grundlage von Tracking- und Profilingmaßnahmen gebildet haben, sollten Sie diese löschen.

Dies kann sich insbesondere als problematisch darstellen, wenn Marketingplattformen eingesetzt werden, die eine solche Löschung nicht erlauben. In dem Fall könnten die bisherigen Adressen als Alternativlösung exportiert, auf der Plattform samt Profilen gelöscht und die Adressen wieder hochgeladen werden.

Nachweis der Einwilligung

Die Einwilligung muss von den Versendern zu Nachweiszwecken protokolliert und durch die Adressaten abrufbar sein können (Art. 7 Abs. 1 DSGVO, § 13 Abs. 2 TMG).

Die Einwilligung mittels der Aufnahme des Einwilligungstextes in die Double-Opt-In-E-Mail protokolliert werden (bzw. in der Einwilligungsanfrage-E-Mail bei Bestandskunden und vorhandenen Adressaten).

Dazu muss der Inhalt der DOI-E-Mails gespeichert werden (oder zumindest sollte der Inhalt der Vorlagen der DOI-E-Mails samt Zeitraums ihrer Verwendung sicher protokolliert werden). Der Vorteil dieser Lösung ist, dass so die Einwilligung für die Adressaten (in Form der DOI-E-Mail) abrufbar ist.

Beispiel des Hinweises in einer DOI-E-Mail:

Bitte bestätigen Sie die Anmeldung zu unserem Newsletter, indem Sie diesen Link klicken.
Mit dem Klick auf den Bestätigungslink erklären Sie sich mit dem Empfang des Newsletters mit Informationen zu [bitte Inhalte angeben, z. B.: unseren Leistungen, unserem Unternehmen und Datenschutzthemen] sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung“).

Konsequenzen bei Missachtung

Werden die Tracking- und Profilingmaßnahmen ohne Einwilligung fortgesetzt, drohen u.a. die folgenden Konsequenzen:

  • Bußgelder – Datenschutzbehörden können gem. Art. 83 Abs. 5 DSGVO Bußgelder verhängen, die bis zu 4 % des Umsatzes des Vorjahres oder 20 Millionen Euro (je nachdem was höher ist), betragen können.
  • Schadensersatzforderungen – Gem. Art. 82 Abs. 1 DSGVO können betroffene Adressaten Schadensersatzforderungen stellen. Da es hier noch an Präzedenzfällen fehlt, kann die Höhe der Schadensersatzforderungen gering sein (z. B. 50 Euro betragen), sich jedoch in der Masse zu einer empfindlichen Summe addieren.
  • Abmahnungen, Abmahnungsgebühren und Vertragsstrafen – Adressaten, die von den Tracking- und Profilingmaßnahmen betroffen waren, können von den Versendern deren Unterlassung verlangen. Damit geht einher, dass deren Anwaltsgebühren übernommen werden müssen. Wird das Tracking- und Marketing fortgesetzt, können Vertragsstrafen fällig werden, die ca. 2.500 bis 5.000 Euro betragen können. Ebenso drohen Abmahnungen von Verbraucher- oder Wettbewerbsverbänden. Ob Mitbewerber Abmahnungen aussprechen dürfen, entscheiden die Gerichte uneinheitlich (zudem müssen Einschränkungen des § 13 Abs. 4 UWG beachtet werden).

Zusammenfassung

Wenn Sie innerhalb Ihrer Newsletter Öffnungs- oder Klickraten messen (oder andere Trackingmaßnahmen, wie den Google-Analytics-Code) einbinden, bedarf dies einer Einwilligung der Adressaten. Eine Einwilligung ist auch notwendig, wenn die Messergebnisse individuell in den Profilen der Adressaten gespeichert werden.

Ein gesondertes Kontrollkästchen ist zwar nicht notwendig. Aber die Adressaten müssen schon im Anmeldeformular darauf hingewiesen werden, welche Tracking- und Profilingmaßnahmen eingesetzt werden. Zu den Details der Verfahren können sie auf die Datenschutzerklärung verwiesen werden.

Vorsicht ist beim Einsatz von Tracking- und Profilingmaßnahmen bei Bestandskunden sowie bereits vorhandenen Adressaten geboten. In diesen Fällen muss auf die Maßnahmen verzichtet oder die Einwilligung gesondert eingeholt werden.

Tipp für mehr Rechtssicherheit

Rechtssichere DSGVO-Datenschutzerklärung, inklusive Modulen zum Tracking- und Profiling in E-Mails:  vom Anwalt  mit Siegel  über 500 aktuelle Module  kein Abo  Dokument ohne zeitliches Limit nutzbar  Download als Word/Office & PDF  Speichern & Laden von Eingaben
DSGVO-Datenschutz-Generator - Datenschutzerklärung, Impressum, Fotohinweis