E-Mail-Tracking nach DSGVO (2020)

Mit datenschutzkonformem E-Mail-Tracking mehr über Interessierte und Kund*innen erfahren – so klappt die rechtssichere Analyse des Nutzerverhaltens.

Sie stecken Stunden an Arbeit in die Planung von Newslettern, E-Mail-Kampagnen und Co – aber lohnt sich Ihr Aufwand eigentlich? Welche Interessentin und welcher Kunde öffnen Ihre Mailings? Wie häufig klicken Ihre Abonnent*innen auf Links, die auf Ihre Website weiterleiten? Aufschluss darüber bekommen Sie mit E-Mail-Tracking. Aber: Ist Tracking nach DSGVO überhaupt erlaubt? Wie sieht es hier mit dem Datenschutz aus?

Wir klären in diesem Artikel, wie Sie E-Mail-Tracking trotz DSGVO rechtskonform nutzen können und dabei u. a. von diesen Vorteilen profitieren:

  • Zielgruppenanalyse: Wer liest Ihre E-Mail-Newsletter?
  • Benchmarking: Wie gut sind Ihre Kennzahlen im internationalen Branchenvergleich?
  • Statistische Auswertungen und Identifikation von Verbesserungspotenzialen: Warum läuft eine E-Mail-Kampagne besser als die andere?

Machen Sie sich schlau, wie Sie mit datenschutzkonformem Tracking Ihre Marketing- und Vertriebskanäle erfolgreich verbessern. Dieser Blogartikel führt darin ein, wie Nutzertracking funktioniert und welche Schritte Sie für DSGVO-gerechtes Tracking und E-Mail-Marketing beachten müssen.

Definition: Was ist E-Mail-Tracking?

Der Begriff E-Mail-Tracking beschreibt alle Maßnahmen, mit denen Interaktionen von Interessierten oder Kund*innen auf Ihre E-Mails und Newsletter gemessen werden können. Zu diesen Messwerten gehören beispielsweise die Öffnungsrate, Klickrate oder auch Klickhäufigkeit bestimmter Links.

Mailing und Nutzerverhalten auswerten mit E-Mail-Tracking DSGVO

E-Mail-Tracking bringt klare Vorteile mit sich: Erheben Sie Daten aus E-Mail-Newslettern und Werbemails, können Sie erfahren, für welche Themen sich Ihre Abonnent*innen interessieren. Nutzen Sie dieses Wissen, um Ihre Prozesse im Marketing und Vertrieb sowie Ihre Produktentwicklung optimal an Interessierten- und Kundenwünsche anzupassen. Profiling hilft Ihnen dabei, personalisierte und zielgerichtete Werbenachrichten an Empfänger und Empfängerinnen zu senden. Und hier heißt es: Je besser Sie Ihre Kund*innen kennen, desto positiver entwickeln sich Traffic und Conversion.

Beim Tracking werden personenbezogene Daten verarbeitet. Somit berühren Newsletter- und E-Mail-Tracking sensible Informationen, die dem Datenschutz unterstehen. Es gilt also: Beim rechtssicheren E-Mail-Tracking müssen die Anforderungen der DSGVO eingehalten werden.

Nicht jede Person möchte, dass ihre persönlichen Informationen verarbeitet werden. Deshalb bestärkt die DSGVO die Rechte Betroffener und erschwert es auf der anderen Seite, personenbezogene Informationen zu erheben. Methoden dafür, E-Mail-Tracking DSGVO-konform umzusetzen, gibt es aber dennoch. Wir zeigen Ihnen, was Sie beachten müssen, um den Datenschutz sicherzustellen.

Dazu starten wir mit der Frage: Wie funktioniert E-Mail-Tracking? Erfahren Sie in einem kurzen Exkurs, was es mit Tracking Pixeln und individualisierte Links auf sich hat. Sie wissen schon Bescheid oder interessieren sich dafür nicht? Dann springen Sie gleich zu unserer Anleitung für DSGVO-konformes Tracking.

Exkurs: Wie funktioniert E-Mail-Tracking?

Beim Newsletter- und E-Mail-Tracking kommen Web-Beacons bzw. sogenannte Tracking Pixel sowie individualisierte Links zum Einsatz. Wir erläutern Ihnen hier, wie die Technik funktioniert.

E-Mail-Tracking DSGVO durch Tracking Pixel

Tracking Pixel

Tracking Pixel werden häufig auch als Zählpixel bezeichnet. Es handelt sich um kleinstmögliche Bilddateien (1×1 Pixel), die quasi nicht sichtbar sind. Die kleinen Bilddateien werden nicht direkt in E-Mails eingebettet, sondern erst nach Öffnung der E-Mail von einem Server heruntergeladen. Dadurch kann der Server den Zeitpunkt der erstmaligen, sowie aller weiterer Öffnungen erkennen und speichern. Daneben gibt es weitere Daten, die im Rahmen von E-Mails oder Newslettern durch Tracking Pixel erhoben werden können. Hierzu zählen z. B. die IP-Adresse, der geographische Standort oder E-Mail-Client. In der Regel ist jeder Tracking Pixel individualisiert, sodass erhobene Daten mit der entsprechenden E-Mail-Adresse verknüpft werden können. Gerade diese Möglichkeit zur genauen Zuordnung der Angaben macht die Befolgung der DSGVO umso wichtiger.

Eine Garantie dafür, dass das Tracking ausnahmslos bei allen Empfänger*innen Ihres Mailings greift, gibt es allerdings nicht. Denn mittlerweile wurden spezielle Tools entwickelt, die Tracking bei Wunsch vollständig blockieren, wie z. B.:

Individualisierte Links

Sie versenden ein Mailing – beispielsweise um ein Webinar zu bewerben – und verlinken in diesem Zusammenhang auf eine Webseite mit weiteren Informationen. Wer diese externe Webseite aufruft, können Sie ebenfalls tracken: Ganz einfach, mit individualisierten Links. Damit diese Tracking-Methode funktioniert, erhalten alle Empfänger*innen einen automatisch erstellten, individualisierten Link mit Ihrer Mail. Über diesen personengebundenen Link lässt sich, ähnlich wie beim Tracking Pixel, eine eindeutige Verknüpfung zwischen Interaktion und E-Mail-Adresse herstellen.

Nahezu alle Dienstleistenden, die Lösungen für den Newsletter-Versand bereitstellen, bieten Trackingtechnologien an. Dazu gehören auch Lösungen, die durch E-Mail-Tracking erhobene Daten im Sinne der DSGVO pseudonymisieren. Durch die Pseudonymisierung sind Rückschlüsse auf individuelle Nutzer*innen nicht mehr möglich. Wann Sie nach DSGVO auf eine Pseudonymisierung zurückgreifen müssen und in welchem Rahmen Sie diese einsetzen dürfen, erläutern wir Ihnen weiter unten in diesem Beitrag.

E-Learning-Kurs Datenschutz Marketing Vertrieb
Vertrieb und Marketing DSGVO-konform gestalten?
Alle Grundlagen und wichtige Praxisbeispiele lernen Sie in unserem E-Learning-Kurs zum Datenschutz im Marketing und Vertrieb kennen.

So geht’s: Newsletter- und E-Mail-Tracking nach DSGVO

Da beim E-Mail- und Newsletter-Tracking personenbezogene Daten erhoben werden, gelten die Bestimmungen der Datenschutzgrundverordnung. Um DSGVO-konformes Tracking zu betreiben, muss eine erste Bedingung geprüft werden: Die Rechtmäßigkeit zur Verarbeitung (Art. 6 DSGVO). Für die Erfüllung der Rechtmäßigkeit kommen zwei Optionen in Frage:

  • Datenverarbeitung auf Basis einer Einwilligung
  • Datenverarbeitung zur Wahrung der berechtigten Interessen

In Art. 21 Abs 1 und 2 DSGVO wird ein auf Basis des berechtigten Interesses durchgeführtes Profiling zum Direktvertrieb für zulässig erklärt. Betroffenen muss dabei allerdings die Möglichkeit gegeben werden, dem Profiling jederzeit zu widersprechen.

Von technischer Seite aus unterscheidet man in zwei Varianten des Trackings, die sich auf die Begründung der Rechtmäßigkeit verschieden auswirken:

Pseudonymisiertes Tracking

Bei pseudonymisierten Datensätzen wurden alle Daten, die unmittelbaren Rückschluss auf individuelle Betroffene (also in diesem Fall auf E-Mail-Empfänger*innen) erlauben, gelöscht oder durch Pseudonyme ersetzt. Dies bedeutet, dass erhobene Nutzungsdaten nicht zusammen mit der E-Mail-Adresse und/oder IP-Adresse gespeichert werden. Dabei ist technisch sicherzustellen, dass eine Zusammenführung der Informationen ausgeschlossen ist. Das pseudonymisierte Tracking bietet damit einen erhöhten Datenschutz beim E-Mail-Tracking.

Personalisiertes Tracking

Beim personalisierten Tracking werden erhobenen Nutzungsdaten fest an E-Mail-Adresse oder IP-Adresse gekoppelt. Dies ermöglicht eine Erstellung individueller Nutzungsprofile im Rahmen der Datenanalyse. Ein beliebter Anwendungsfall kann z. B. so aussehen:

Eine Interessentin klickt über den Erhalt mehrerer Newsletter wiederholt auf das gleiche Produkt. Dank personalisierter Aufzeichnung der Daten ist ihre Interaktion nachvollziehbar. Der Versand eines individuellen Produktgutscheins animiert zur Kaufentscheidung.

Das ist praktisch, bedeutet im Hinblick auf die DSGVO aber auch: Rechtmäßigkeit und datenschutzkonforme Anwendung des E-Mail-Trackings müssen umso genauer geprüft werden.

Datenschutz und E-Mail-Tracking in der Praxis

Für Ihre Praxis bedeutet das: Je nachdem, ob Sie pseudonymisiertes oder personalisiertes Tracking anwenden möchten, gibt es Unterschiede in der Rechtsgrundlage.

Gemäß den Bestimmungen des Gesetzes gegen unlauteren Wettbewerb und der DSGVO ist E-Mail-Tracking wie folgt zulässig:

Rechtmaessigkeit von E-Mail-Tracking DSGVO in der Praxis

E-Mail-Tracking nach DSGVO auf Basis eines berechtigten Interesses

Möchten Sie die Rechtmäßigkeit des E-Mail-Trackings auf ein berechtigtes Interesse stützen, gilt es dafür abzuwägen, ob Ihr Interesse an der Datenverarbeitung höher ist, als die vorliegenden Interessen Betroffener (DSGVO Art. 6). Entscheiden Sie sich dafür, E-Mail-Tracking auf Basis Ihres berechtigten Interesses anzuwenden, sind Sie dazu verpflichtet, diese notwendige Abwägung zu dokumentieren. Grundsätzlich reicht das alleinige Vorliegen eines berechtigten Interesses aber nicht dazu aus, die Anforderungen an den Datenschutz für personalisiertes E-Mail-Tracking zu erfüllen. Hier sieht das Telemediengesetz §15 eine „ausdrückliche Einwilligung“ der Nutzenden vor. Anders ist es im Fall des pseudonymisierten E-Mail-Trackings, welches als Widerspruchslösung (Opt-Out) möglich ist. Für pseudonymisiertes E-Mail-Tracking auf Basis eines berechtigten Interesses müssen 3 Voraussetzungen erfüllt werden:

Pseudonymisierung technisch gewährleisten

Die technische Gewährleistung der Pseudonymisierung bedeutet eine Verpflichtung dazu, Maßnahmen zu ergreifen, die sicherstellen, dass sich aus den erhobenen Daten keine Rückschlüsse eine einzelne Personen ziehen lassen.

Transparenz sicherstellen

Betroffenen muss klar sein, für welche Zwecke und in welchem Umfang ihre Nutzungsdaten verarbeitet werden. Ein Hinweis auf pseudonymisiertes E-Mail-Tracking ist daher zwingend in Ihrer Datenschutzerklärung aufzunehmen. Zusätzlich sollten Sie an der konkreten Stelle, an der interessierte Abonnent*innen ihre E-Mail-Adresse hinterlassen, einen Datenschutzhinweis einfügen.
Pseudonymisiertes E-Mail-Tracking mit Einwilligung nach DSGVO

Sollten Sie E-Mail-Tracking als neues Feature eines bereits bestehenden E-Mail-Verteilers einführen, sind Sie nach DSGVO dazu verpflichtet, alle E-Mail-Empfänger*innen über das zukünftig eingeführte E-Mail-Tracking zu informieren.

Widerspruch ermöglichen

E-Mail-Empfänger*innen müssen im Rahmen der Datenschutzinformationen über ihr Widerspruchsrecht aufgeklärt werden. Dabei sollte das Widerspruchsrecht in erster Linie in Ihrer Datenschutzerklärung Erwähnung finden. Im Sinne der Gewährleistung von Transparenz ist es außerdem empfehlenswert, zusätzlich an der Stelle, an der interessierte Abonnent*innen ihre E-Mail-Adresse hinterlassen, explizit auf das Widerrufsrecht hinzuweisen.

Zusammenfassung: E-Mail-Tracking und berechtigtes Interesse

In den meisten Fällen ist E-Mail-Tracking auf Basis eines berechtigten Interesses pseudonymisiert möglich. Berücksichtigen Sie die technische Gewährleistung der Pseudonymisierung, eine Sicherstellung der Transparenz sowie die Möglichkeit zum Widerspruch, können Sie E-Mail-Tracking gemäß DSGVO pseudonymisiert einsetzen. Denken Sie dabei daran, im Vorfeld eine schriftlich dokumentierte Interessensabwägung durchzuführen. Berufen Sie sich auf Ihr berechtigtes Interesse, tragen Sie stets ein Risiko, dass Betroffene die Interessenabwägung anders auslegen. Dies kann unter Umständen bis zum Rechtsstreit führen.

E-Mail-Tracking nach DSGVO auf Basis einer Einwilligung

Mit einer zulässigen Einwilligung Ihrer Abonnent*innen sind Sie gegenüber möglichen Ansprüchen Betroffener gut abgesichert. Damit eine Einwilligung nach DSGVO gültig ist, muss sie einige Anforderungen erfüllen. Einwilligungen müssen

  • informiert,
  • bewusst und eindeutig,
  • protokolliert,
  • widerrufbar,
  • freiwillig und
  • ohne Kopplung

geschehen. Eine Einwilligung erlaubt es Ihnen, personalisiertes E-Mail-Tracking anzuwenden. Tracking auf Basis von Einwilligung bietet Ihnen größtmögliche Absicherung und Vorteile gegenüber einer Datenerhebung auf Basis eines berechtigten Interesses. Denn schriftlich erfolgte Einwilligungen bedürfen keiner im Voraus getroffenen protokollierten Abwägung. Eingeholt werden können Einwilligungen beispielsweise im Rahmen neuer Newsletter-Anmeldungen. Etwas schwieriger gestaltet es sich bei Bestandskunden: Diese müssen Sie explizit um ihre Einwilligung zum Tracking bitten, um den E-Mail-Datenschutz weiterhin sicherzustellen.

Achtung, eine kleine Stolperfalle bietet die Einwilligung allerdings: Das Kopplungsverbot. Dieses untersagt die Kopplung einer Einwilligung zum E-Mail-Tracking an eine zu erbringende Dienstleistung. Das Kopplungsverbot sieht vor, dass

ein Vertragsabschluss nicht von der Einwilligung zur Verarbeitung weiterer personenbezogener Daten abhängig gemacht werden [darf], die für die Durchführung des Geschäftes nicht nötig sind.“ (Art. 7 DSGVO)

Hierunter fällt auch das E-Mail-Tracking. Denn für den Versand von Mailings ist es schließlich nicht zwingend notwendig, Informationen zu Öffnungs- oder Klickraten zu erheben. Machen Sie E-Mail-Tracking zum Bestandteil des Vertrags, müssen Sie also immer auch die Möglichkeit offen lassen, hierzu keine Einwilligung zu erteilen.

E-Mail-Tracking DSGVO-konform mit Einwilligung

Zusammenfassung: E-Mail-Tracking und Einwilligung

Im besten Fall liegt Ihnen beim Einsatz von E-Mail-Tracking eine Einwilligung der E-Mail-Empfänger*innen vor. Möchten Sie personalisiertes E-Mail-Tracking DSGVO-konform anwenden, ist die erteilte Einwilligung sogar ein absolutes Muss. Dabei gilt es nach Kopplungsverbot stets zu bedenken, dass Interessierten der Bezug der angebotenen Leistung (z. B. PDF-Download oder Newsletter-Erhalt) auch ohne ihre Einwilligung zum E-Mail-Tracking zustehen muss.
Mehr zu den Hintergründen von Einwilligung und berechtigtem Interesse erfahren Sie auch hier in unserem Blogbeitrag DSGVO im Marketing und Vertrieb: Das müssen Sie bei der Kundenansprache beachten.

Pflicht zum Vertrag zur Auftragsverarbeitung

In der Regel werden für die Durchführung von E-Mail-Tracking externe Dienstleistende eingesetzt. Das sind z. B. häufig E-Mail-Marketingdienste, die den Versand der Mailings übernehmen. Da hierbei alle personenbezogenen Daten an die Dienstleistenden weitergegeben werden, liegt eine Auftragsverarbeitung vor. Um den Datenschutz Ihrer E-Mails weiterhin sicherzustellen, benötigten Sie daher einen entsprechenden Vertrag über die Auftragsverarbeitung.

Beauftragen Sie Dritte zur Verarbeitung von personenbezogenen Daten, sind Sie dazu verpflichtet, einen Vertrag zur Auftragsverarbeitung abzuschließen und zu prüfen, ob notwendige Datenschutzmaßnahmen umgesetzt werden. Viele Anbieter*innen von Marketingdiensten haben ihren Sitz in den USA, wo sich die Datenschutzbestimmungen von denen der EU unterschieden – dies sollten Sie unbedingt berücksichtigen.

Auftragsverarbeitung, Einwilligung, rechtmäßiges Interesse?
In allen wichtigen Grundsätzen der DSGVO und mehr können Sie Ihre Mitarbeitenden jetzt ganz einfach und automatisiert mit unseren E-Learning-Kursen unterweisen.

Fazit

E-Mail- und Newsletter-Tracking sind wertvolle Maßnahmen für die Auswertung Ihrer Marketing-Kampagnen. Auch nach den Anforderungen der DSGVO können Sie E-Mail-Tracking datenschutzkonform für Ihre Zwecke einsetzen.

Für die Anwendung von pseudonymisiertem Tracking können Sie sich in der Regel auf Ihr berechtigtes Interesse berufen. Für personalisiertes Tracking reicht dies allerdings nicht. Hier benötigen Sie durch den erhöhten Datenschutz eine Einwilligung der betroffenen Person.

Setzen Sie zur Durchführung des E-Mail-Trackings auf externe Dienstleistende, haften Sie bei Datenschutzverstößen in der beauftragten Angelegenheit weiterhin. Auch, wenn der Verstoß nicht direkt durch Sie erfolgt ist. Eine Zusammenarbeit mit anderen Unternehmen müssen Sie daher unbedingt in einem entsprechenden Vertrag zur Auftragsverarbeitung festhalten.

Die wichtigsten Punkte dazu, wie Sie die datenschutzrechtlichen Anforderungen der DSGVO für Ihr E-Mail-Tracking konsequent umsetzen können, haben wir für Sie abschließend noch einmal in einem praktischen Schaubild zusammengefasst.

Vorteile und Nachteile von E-Mail-Tracking DSGVO

Hinweis: Unsere Autoren und Autorinnen arbeiten mit größter Sorgfalt an den Inhalten dieser Website und des Magazins. Die gewissenhafte Recherche ist dabei selbstverständlich. Dennoch übernehmen wir (sowohl interne als auch externe Autoren und Autorinnen) keine Haftung für die Aktualität, Richtigkeit oder Vollständigkeit der hier dargestellten Inhalte. Die Inhalte stellen keine Rechtsberatung dar und ersetzen diese nicht. Bitte lassen Sie sich bei rechtlichen Fragen zusätzlich anwaltlich beraten. Wir übernehmen keine Haftung durch mittelbare oder unmittelbare Schäden, die sich durch jedweden Rechtsgrund aus der Nutzung dieser Inhalte oder der Website ergeben. 

Weitere spannende Beiträge
Ratgeber Pflicht-Unterweisungen

Ratgeber: Welche Unterweisungen sind Pflicht?

Sie hören Begriffe wie Mitarbeiterunterweisung, gesetzliche Grundlage, Bußgelder und Datenschutzschulung immer wieder und stellen sich die Frage, welche Mitarbeiterunterweisungen Sie im Unternehmen eigentlich durchführen müssen? …

Weiterlesen »
Über die Autorin
Sina Frenzel VINYA

Sina Frenzel

Sina ist Gründerin und Marketing-Expertin von VINYA. Als Wirtschaftspsychologin interessieren Sina insbesondere aktuelle Fragestellungen rund um die Themen Mitarbeitergesundheit und Arbeitsschutz. Dabei arbeitet sie eng mit VINYAs Anwender*innen zusammen, um den Arbeitsplatz zu einem inspirierenden und sicheren Ort für alle zu machen.

Sina finden Sie auch hier:

Jetzt zum Newsletter anmelden!
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Vielen Dank! Wir senden Ihnen eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.