Die Ausgangssituation:

Der Versender einer E-Mail bzw. eines Newsletters möchte das Verhalten von E-Mail-Empfängern mittels Tracking auswerten.

Welche Daten werden beim Messen und Analysieren von Nutzerverhalten
konkret ausgewertet?

Im E-Mail-Marketing wird zur Erfolgsmessung von E-Mail-Kampagnen das Nutzerverhalten der Empfänger gemessen und analysiert. Diese Messung und Analyse dient zur Optimierung der Marketing- und Vertriebsstrategie der E-Mail Kampagnen und zur besseren Ansprache der E-Mail Empfänger. Die Messung der Öffnungen und Klicks erfolgt pixelbasiert durch ein Tracking-Pixel im Quelltext der HTML-Nachricht oder durch individualisierte Tags innerhalb der aufzurufenden Weblinks. Zur genauen Feststellung der Öffnung und der Zuweisung zur Kampagne, Zeitpunkt und Empfänger werden eindeutige IDs vergeben, die durch den Versender bei der Ausführung des Redirects entschlüsselt werden können.

Die Erfolgsmessung kann auf zwei unterschiedliche Arten erfolgen:

1. Nutzerbasiertes Empfängerverhalten und somit Analyse des persönlichen Öffnungs- und Klickverhaltens
2. Kumuliertes Empfängerverhalten der gesamten Zielgruppe für die empfängerübergreifende und anonymisierte Analyse von Öffnungen und Klicks auf Kampagnenbasis.

Während die Analyse des kumulierten Empfängerverhaltens, wie unter 2. beschrieben, auf Basis anonymisierter Daten erfolgt, ist für die Analyse des persönlichen Öffnungs- und Klickverhaltens (s. 1.) die Verwertung personenbezogener Daten erforderlich, in den meisten Fällen mindestens die  E-Mail-Adresse oder IP-Adresse des Nutzers.

Somit unterliegt die Analyse kumulierten Nutzerverhaltens nicht den Anforderungen der DS-GVO, wohingegen bei der Analyse des persönlichen Öffnungs- und Klickverhaltens die Regeln der DS-GVO zu beachten sind.

Einwilligung oder berechtigtes Interesse? Welche Verpflichtungen folgen aus der Anwendbarkeit der DS-GVO bei der Analyse des persönlichen Öffnungs- und Klickverhaltens (personenbezogenes Tracking)?

Entscheidend für die rechtmäßige Verarbeitung und Nutzung dieser Daten ist Art. 6 der DS-GVO. Danach ist die Verarbeitung in verschiedenen Konstellationen, d.h. unter unterschiedlichen rechtlichen Bedingungen zulässig.

Grundsätzlich stellt eine Einwilligung gemäß Artikel 6 Absatz 1 a.) DS-GVO die rechtssicherste Möglichkeit dar, wenn ein Versender E-Mail-Tracking oder eine Bereinigung seiner Empfängerlisten durchführen möchte.

Voraussetzung ist dann, dass jeder einzelne Nutzer vor der Verarbeitung in konkreter Weise darüber informiert wird, welche Daten und in welcher Form diese verarbeitet werden. Eine allgemeine Information in den AGB des Versenders reicht dafür nicht aus.

Viele Versender halten die Einholung einer Einwilligung für Werbe-E-Mails für nicht praktikabel und verzichten daher auf diese Form der Legitimation des Tracking.

Dabei ist es eigentlich gar nicht so kompliziert, eine Einwilligung für die Datenanalyse zu erhalten. Der Versender muss im Rahmen der Einwilligung für die Zusendung von werblichen E-Mails einen weiteren Passus einfügen, in dem er detailliert darüber informiert, welche Daten des Nutzers und in welcher Form er diese verwenden möchte. Verbunden mit einer für den Nutzer nachvollziehbaren Erklärung, welche Zwecke mit der Datenverarbeitung verbunden sind, kann diese auch dem Nutzer vorteilhaft erscheinen, so dass er seine Einwilligung abgibt. Um eine pauschale Ablehnung zu vermeiden, empfiehlt es sich, dem Nutzer die Möglichkeit zu geben, die Einwilligung für die verschiedenen Arten der Datenverwendung zu differenzieren, ähnlich, wie die Rechtsprechung des EuGH sowie des Bundesgerichtshofes dies auch für den Einsatz von Cookies inzwischen fordern.

Viele Versender setzen nach wie vor darauf, keine Einwilligung einholen zu müssen, da sie davon ausgehen, ein berechtigtes Interesse zu haben, die Daten verwerten zu dürfen. Allerdings setzt Art. 6 Abs. 1 f.) DS-GVO die Abwägung des berechtigten Interesses gegen die Rechte des E-Mail-Empfängers voraus.

Die automatisierte Aussteuerung von Online-Werbemitteln an ausgewählte Zielgruppen sowie die Bereinigung der Listen dient zwar der effizienten Aussteuerung von Werbemitteln und damit der Absatzförderung. Direktwerbung sowie Listenbereinigung ist damit auch in den Augen des Gesetzgebers gemäß Erwägungsgrund 47 DS-GVO ein berechtigtes Interesse. Das bedeutet aber nicht, dass Erwägungsgrund 47 der DS-GVO für die Verarbeitung personenbezogener Nutzerdaten pauschal greift. Hinzukommen muss die Berücksichtigung der Interessen des Empfängers.

Hier sind Grundrechte und -freiheiten zu berücksichtigen, insbesondere das Recht auf Schutz personenbezogener Daten. Auch andere Freiheiten und Interessen der Empfänger sind hier von Bedeutung, beispielsweise das Interesse, keine wirtschaftlichen Nachteile zu erleiden (z.B. bei personalisierter Preisbildung). Die Interessenabwägung ist komplex und immer für den Einzelfall durchzuführen. Pauschale Feststellungen, dass eine Datenverarbeitung gem. Art. 6 Abs. 1 lit. f) DSGVO zulässig ist, erfüllen daher nicht die gesetzlichen Anforderungen. Gehen Versender dennoch diesen Weg, treffen im Streitfall die zuständigen Datenschutzbehörden bzw. die Gerichte eine Entscheidung. In der Folge können den Versender Bußgelder, Schadenersatzansprüche sowie der damit einhergehende Reputationsverlust treffen.

Fazit und Empfehlung:

Bei personenbezogenem Tracking stellt die Einholung einer Einwilligung der betroffenen Person in der beschriebenen Weise den alleinig rechtlich sicheren Weg dar. Vom Vorliegen eines berechtigten Interesses kann und sollte vor dem Hintergrund der beschriebenen Risiken nicht pauschal ausgegangen werden.

Sofern eine rein statistische Analyse durchgeführt wird, erfordert diese weder eine Einwilligung noch eine Interessenabwägung nach der DS-GVO. Diese Auswertung ist daher problemlos ohne Einschränkungen und jederzeit möglich.