5. Tracking und Profiling
5.1 Überblick
Im E-Mail-Marketing wird zur Erfolgsmessung von E-Mail-Kampagnen das Nutzerverhalten der Empfänger gemessen und analysiert. Diese Messung und Analyse dient zur Optimierung der Marketing- und Vertriebsstrategie der E-Mail-Kampagnen und zur besseren Ansprache der E-Mail-Empfänger:innen. Die Analysen erfolgen sowohl durch Feststellung des individuellen Öffnungs- und Klickverhaltens als auch durch Auswertung des kumulierten Empfängerverhaltens der gesamten Zielgruppe für die empfängerübergreifende und anonymisierte Analyse von Öffnungen und Klicks auf Kampagnenbasis. Daneben werden auch die Endgeräte der Nutzer:innen für Analysen herangezogen.
Die Auswertung all dieser Daten erfordert die Einhaltung bestimmter rechtlicher Voraussetzungen.
Die Rechtslage hierzu hat sich in den letzten Jahren erheblich gewandelt. Neben der Einführung der Datenschutzgrundverordnung im Jahr 2018 erfolgte unter Berücksichtigung einiger höchstrichterlicher Urteile zur ePrivacy-Richtlinie deren Umsetzung in deutsches Recht durch das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG).
Im Folgenden beleuchten wir zunächst, welche Maßnahmen E-Mail-Marketer im Rahmen des Tracking und Profiling konkret ergreifen und welche Informationen sie dabei erhalten, s. Ziffer 2. Im Anschluss wird die aktuell geltende Rechtslage erklärt (Ziffer 3) und wie diese Anforderungen in der Praxis umzusetzen sind, s. Ziffer 4.
Schließlich wird dargestellt, welche Sanktionen Unternehmen befürchten müssen, wenn sie diese Vorgaben missachten, s. Ziffer 5.
5.2 Wie sieht Tracking und Profiling in Newslettern konkret aus?
5.2.1 Tracking
Newsletter können zu verschiedenen Zwecken getrackt werden: Interessant für Unternehmen ist zum einen die Messung der Öffnungs- und Klickrate.
Die Öffnungsrate zeigt, wie viele Adressaten den Newsletter tatsächlich geöffnet haben. Durch die Klickrate können die Versender nachvollziehen, welche Links im Newsletter die Empfänger wie oft angeklickt haben. Hier werden die Daten sowohl auf Basis anonymisierter Nutzerdaten als auch auf Basis individueller Daten ausgewertet.
5.2.2 Profiling
Das „Profiling“ dient dazu, alle möglichen Informationen über die Nutzer:innen zu sammeln und individuelle Profile zu speichern. Teilweise werden hierzu auch externe Dienste wie Google Analytics eingebunden. In extremen Fällen tracken die Dienste sogar die Scroll- und Mausbewegungen mit so genannten “Heat-Maps”. Mit all diesen individualisierten Methoden können Unternehmen z.B. erkennen, an welchen Produkten Empfänger:innen ein Interesse haben und an welchen nicht. Das macht es z.B. möglich, die Nutzer:innen gezielt mit für sie interessanten Produkten anzusprechen.
Diese Raten werden mit verschiedenen Technologien gemessen, z.B. mit sog. Web-Beacons oder auch Zählpixeln, welche in den Newsletter integriert werden. Wenn der Nutzer oder die Nutzerin dann die E-Mail öffnet, wird eine Datei vom Server nachgeladen, welche die individuelle Messung ermöglicht. Auch die klickbaren Links können personalisiert werden.
5.2.3 Einordnung
Während die Analyse des kumulierten Empfängerverhaltens auf Basis anonymisierter Daten erfolgt, ist für die Analyse des persönlichen Öffnungs- und Klickverhaltens sowie für das Anlegen individueller Nutzerprofile die Verwertung personenbezogener Daten erforderlich, in den meisten Fällen mindestens die E-Mail-Adresse oder IP-Adresse der Nutzer:innen.
Neben der Erhebung und Nutzung personenbezogener Daten werden auch auf den Endgeräten der Newsletter-Empfänger:innen Informationen gespeichert bzw. ausgelesen. Das Schreiben von Informationen und Zugriff auf diese liegen jedenfalls dann vor, wenn dauerhaft oder vorübergehend im Speicher des Geräts Informationen geschrieben oder gelesen werden.
5.3 Aktuelle Rechtsgrundlagen
Auf welcher Rechtsgrundlage können Unternehmen nun solche Tracking- bzw. Profiling-Maßnahmen durchführen? Je nach Ausgestaltung der Analysen kommen zwei Gesetze in Betracht:
5.3.1 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und ePrivacy-Richtlinie
Es setzt die ePrivacy-Richtlinie der EU um und hat diesbezüglich am 1.12.2021 das alte Telemediengesetz (TMG) in Deutschland abgelöst. Die Richtlinie und das auf ihr basierende Gesetz dienen allgemein dem Schutz von Endgeräten wie PCs und Smartphones vor dem Zugriff durch Dritte. Man kann sich den Schutzzweck dieses Gesetzes anhand eines Beispiels etwa so vorstellen: So wie ein Haus vor unbefugtem Zutritt gesetzlich geschützt wird, wird das “digitale Haus”, also das Smartphone oder der PC vor unbefugten Zugriffen geschützt. Artikel 5 Abs. 3 der Richtlinie regelt den hier vorliegenden Fall, dass Informationen auf den Endgeräten gespeichert werden bzw. auf Informationen auf den Endgeräten zugegriffen wird, insofern übereinstimmend mit dem Anwendungsbereich nach § 1 Absatz 1 Ziffer 7 TTDSG.
Nach einem langen Hin und Her zwischen deutschen und europäischen Institutionen und Gerichten[1] wird Artikel 5 Abs. 3 der ePrivacy-Richtlinie nun in § 25 des TTDSG umgesetzt. Übertragen auf das Newsletter-Tracking mittels Web-Beacons oder trackbaren Links gilt danach: Das Speichern bzw. Auslesen von Informationen auf bzw. von den Endgeräten der Newsletter-Empfänger:innen ist grundsätzlich nur zulässig, wenn die Nutzer:innen auf der Grundlage von klaren und umfassenden Informationen eingewilligt haben. Die Einwilligung muss den Anforderungen der DSGVO entsprechen, § 25 Absatz 1, Satz 2 TTDSG. Die Einwilligung wäre nach dem Gesetz nur dann nicht nötig, wenn das Tracking „unbedingt erforderlich“ wäre, damit der Anbieter einen vom Nutzenden ausdrücklich gewünschten Dienst zur Verfügung stellen kann. Da Letzteres beim Newsletter-Tracking in der Regel nicht der Fall sein dürfte, bedarf es schon auf dieser Grundlage einer Einwilligung der Nutzer:innen in jegliche Tracking-Maßnahmen.
[1] EuGH, Urt. v. 1. Oktober 2019, C-673/17 – PLANET49; BGH, Urt. v. 28. Mai 2020, Az. I ZR 7/16 – Cookie-Einwilligung II
5.3.2 Datenschutzgrundverordnung (DSGVO)
Alles, was nach dem Speichern bzw. Abrufen von Informationen auf den Endgeräten passiert, ist an der DSGVO zu messen – zumindest, soweit die gesammelten Informationen personenbezogene Daten sind. Nach Artikel 4 Abs. 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Damit handelt es sich bei der IP-Adresse sowie der E-Mail-Adresse um personenbezogene Daten. Dies gilt erst recht für individualisierte Nutzungsprofile. Wer personenbezogene Daten verarbeitet, muss sich dafür auf eine Rechtsgrundlage stützen können. Angesichts der Marketingzwecke des Trackings kommt hier als Rechtsgrundlage ausschließlich eine Einwilligung gemäß Artikel 6 Absatz 1 Satz 1 lit a. DSGVO als rechtssichere Möglichkeit in Betracht, wenn ein Versender E-Mail-Tracking durchführen möchte. Voraussetzung ist dann, dass jede:r einzelne Nutzende vor der Verarbeitung in konkreter Weise darüber informiert wird, welche Daten zu welchen Zwecken und in welcher Form verarbeitet werden, und ausdrücklich einwilligt.
5.4 Die Einwilligung rechtssicher einholen
5.4.1 Rechtswirksame Einwilligung bei neuen Abonnenten
Wer neue Interessenten für den Newsletter gewinnen möchte und dabei auf das Endgeräte der Nutzenden zugreifen sowie personenbezogene Daten verarbeiten möchte, muss also darauf achten, dass eine Einwilligung die Anforderungen von § 25 TTDSG und anderen nationalen Implementierungen gemäß den Vorgaben von Artikel 5 Absatz 3 ePrivacy-Richtlinie und Art. 6 Abs. 1 S. 1 lit a., 7 DSGVO erfüllt.
Nach der DSGVO sind folgende Voraussetzungen zu beachten (wer diese Voraussetzungen einhält, handelt auch im Einklang mit dem TTDSG):
- Die Einwilligung muss sich auf die konkreten Tracking-Maßnahmen beim Newsletter und ihre konkrete Art der Verarbeitungszwecke beziehen. Newsletter-Empfänger:innen müssen also ausreichend über die Reichweite der Einwilligung informiert werden.
- Die Einwilligung muss freiwillig erteilt werden. Der oder die Einwilligende muss eine echte und freie Wahl haben und in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Aufgrund des sog. „Kopplungsverbots“ nach Art. 7 Abs. 4 DSGVO darf eine Vertragserfüllung nicht mehr von einer Einwilligung in die Datenverarbeitung zu Marketingzwecken abhängig gemacht werden.
- Der Einwilligungstext muss klar formuliert sein.
- Der Text muss gut zugänglich sein.
- Die Nutzenden müssen deutlich auf die Widerrufsmöglichkeit hingewiesen werden.
- Das versendende Unternehmen muss die Einwilligung später nachweisen können. Daher ist auch hier auf das Double-Opt-In-Verfahren zu achten.
Nach einem Urteil des EuGH[2] zur ePrivacy-Richtlinie ist außerdem klar, dass der oder die Nutzende selbst aktiv werden und z.B. ein Kontrollkästchen anklicken muss, um den Empfang des Newsletters inklusive aller Tracking-Maßnahmen zu bestätigen. Voreingestellte Kästchen sind hingegen nicht zulässig.
Im Rahmen des Anmeldeformulars muss kurz darauf hingewiesen werden, welche Daten mit welchen Tracking- und Profiling-Maßnahmen zu welchen Zwecken eingesetzt werden. Auch ein Hinweis auf die jederzeitige Widerruflichkeit der Einwilligung muss bereits hier erfolgen. Ist ein Drittanbieter beteiligt, gehört dies ebenfalls zu den wichtigen Informationen auf dem Anmeldeformular. Lediglich zu den Details können Unternehmen auf ihre Datenschutzerklärung verlinken. Dementsprechend ist es wichtig, in der Datenschutzerklärung genaue Informationen über Tracking und Profiling in Newslettern mit aufzunehmen.
[2] EuGH, Urt. v. 1. Oktober 2019, C-673/17 – PLANET49; BGH, Urt. v. 28. Mai 2020, Az. I ZR 7/16 – Cookie-Einwilligung
5.4.2 Procedure for existing customers
Nicht immer bestellen Kund:innen jedoch aktiv einen Newsletter. Das Wettbewerbsrecht[3] erlaubt es auch, E-Mails zu Werbezwecken an Bestandskund:innen zu senden, ohne dass sie explizit hierin eingewilligt haben, s. hierzu auch Kapitel 2.5.
Diese Rechtsgrundlage rechtfertigt jedoch keine Tracking-Maßnahmen. Hierzu bedarf es weiterhin einer gesonderten datenschutzrechtlichen Einwilligung. Unternehmen haben daher folgende Möglichkeiten:
- Sie holen diese Einwilligung direkt im Rahmen des Bestellvorgangs ein. Dann aber muss der Erhalt des Newsletters tatsächlich freiwillig sein. Die Nutzer:innen müssen also aktiv auf ein Kästchen klicken und alternativ die Ware auch ohne Newsletter bestellen können. Hier besteht aber die Gefahr, dass Bestandskund:innen auf den Erhalt des Newsletters verzichten.
- Sie versenden im Nachhinein eine E-Mail an die Bestandskund:innen mit der Bitte um Einwilligung in Newsletter zu ähnlichen Waren und Dienstleistungen. Hier besteht aber die Gefahr, dass sich Kund:innen endgültig vom Newsletter abmelden.
- Sie verzichten auf die gesonderte Einwilligung zugunsten einer volleren Empfänger-Liste für Ihren Newsletter. Dann müssen Unternehmen aber auch auf jegliches Tracking der an Bestandskund:innen versendeten Newsletter verzichten. Diese Personen müssen dazu in eine gesonderte Empfänger:innen-Liste verschoben werden, für die jegliche Trackingmaßnahmen deaktiviert sind.
[3] Dies entspricht den Vorgaben von Artikel 13 Abs. 2 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 und den nationalen Implementierungen, in Deutschland § 7 Absatz 3 UWG
5.5 Konsequenzen bei Missachtung der Einwilligungspflicht
Unternehmen, die Newsletter tracken, sollten sich an diese Vorgaben halten. Denn bei einem Verstoß drohen mehrere Konsequenzen parallel:
- DSGVO-Bußgelder der Datenschutzbehörden:
Sie können nach Art. 83 Abs. 5 DSGVO Bußgelder bis zu 4 % des Vorjahres-Umsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist), auferlegt bekommen. - Wettbewerbsrechtliche Abmahnungen:
Konkurrenten oder Verbraucher- bzw. Wettbewerbsverbände könnten unzulässige Newsletter-Praktiken auch abmahnen. - Unterlassungs- und Schadensersatzforderungen von Newsletter-Empfänger:innen:
Newsletter-Empfangende können zum einen Unterlassung und die damit einhergehende Erstattung der anwaltlichen Abmahngebühren verlangen. Zum anderen steht ihnen möglicherweise ein immaterieller Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu.
5.6 Zusammenfassung
Eine Einwilligung ist beim Tracking und Profiling fast immer erforderlich, jedenfalls dann, wenn es sich entweder um personenbezogene Daten handelt oder auf die Endgeräte der Nutzer:innen zugegriffen wird. Auf die Einhaltung der gesetzlichen Voraussetzungen sollte streng geachtet werden, da ansonsten empfindliche rechtliche Konsequenzen drohen.