E-Mail-Tracking nach DSGVO
So klappt die rechtssichere Analyse des Nutzerverhaltens
Sie stecken Stunden an Arbeit in die Planung von Newslettern, E-Mail-Kampagnen und Co – aber lohnt sich Ihr Aufwand eigentlich? Welche Interessentin und welcher Kunde öffnen Ihre Mailings? Wie häufig klicken Ihre Abonnent*innen auf Links, die auf Ihre Website weiterleiten? Aufschluss darüber bekommen Sie mit Tracking. Aber: Ist E-Mail-Tracking nach DSGVO überhaupt erlaubt? Wie sieht es hier mit dem Datenschutz aus?
Wir klären in diesem Artikel, wie Sie E-Mail-Tracking trotz DSGVO rechtskonform nutzen können und dabei u. a. von diesen Vorteilen profitieren:
- Zielgruppenanalyse: Wer liest Ihre E-Mail-Newsletter?
- Benchmarking: Wie gut sind Ihre Kennzahlen im internationalen Branchenvergleich?
- Statistische Auswertungen und Identifikation von Verbesserungspotenzialen: Warum läuft eine E-Mail-Kampagne besser als die andere?
Machen Sie sich schlau, wie Sie mit datenschutzkonformem Tracking Ihre Marketing- und Vertriebskanäle erfolgreich verbessern. Dieser Blogartikel führt darin ein, wie Nutzertracking funktioniert und welche Schritte Sie für DSGVO-gerechtes Tracking und E-Mail-Marketing beachten müssen.
Definition: Was ist E-Mail-Tracking?
Der Begriff E-Mail-Tracking beschreibt alle Maßnahmen, mit denen Interaktionen von Interessierten oder Kund*innen auf Ihre E-Mails und Newsletter gemessen werden können. Zu diesen Messwerten gehören beispielsweise die Öffnungsrate, Klickrate oder auch Klickhäufigkeit bestimmter Links.
E-Mail-Tracking bringt klare Vorteile mit sich: Erheben Sie Daten aus E-Mail-Newslettern und Werbemails, können Sie erfahren, für welche Themen sich Ihre Abonnent*innen interessieren. Nutzen Sie dieses Wissen, um Ihre Prozesse im Marketing und Vertrieb sowie Ihre Produktentwicklung optimal an Interessierten- und Kundenwünsche anzupassen. Profiling hilft Ihnen dabei, personalisierte und zielgerichtete Werbenachrichten an Empfänger und Empfängerinnen zu senden. Und hier heißt es: Je besser Sie Ihre Kund*innen kennen, desto positiver entwickeln sich Traffic und Conversion.
Beim Tracking werden personenbezogene Daten verarbeitet. Somit berühren Newsletter- und E-Mail-Tracking sensible Informationen, die dem Datenschutz unterstehen. Es gilt also: Beim rechtssicheren E-Mail-Tracking müssen die Anforderungen der DSGVO eingehalten werden.
Nicht jede Person möchte, dass ihre persönlichen Informationen verarbeitet werden. Deshalb bestärkt die DSGVO die Rechte Betroffener und erschwert es auf der anderen Seite, personenbezogene Informationen zu erheben. Methoden dafür, E-Mail-Tracking DSGVO-konform umzusetzen, gibt es aber dennoch. Wir zeigen Ihnen, was Sie beachten müssen, um den Datenschutz sicherzustellen.
Dazu starten wir mit der Frage: Wie funktioniert E-Mail-Tracking? Erfahren Sie in einem kurzen Exkurs, was es mit Tracking Pixeln und individualisierte Links auf sich hat. Sie wissen schon Bescheid oder interessieren sich dafür nicht? Dann springen Sie gleich zu unserer Anleitung für DSGVO-konformes Tracking.
Exkurs: Wie funktioniert E-Mail-Tracking?
Beim Newsletter- und E-Mail-Tracking kommen Web-Beacons bzw. sogenannte Tracking Pixel sowie individualisierte Links zum Einsatz. Wir erläutern Ihnen hier, was es damit auf sich hat:
Tracking Pixel
Tracking Pixel werden häufig auch als Zählpixel bezeichnet. Es handelt sich um kleinstmögliche Bilddateien (1×1 Pixel), die quasi nicht sichtbar sind. Die kleinen Bilddateien werden nicht direkt in E-Mails eingebettet, sondern erst nach Öffnung der E-Mail von einem Server heruntergeladen. Dadurch kann der Server den Zeitpunkt der erstmaligen, sowie aller weiterer Öffnungen erkennen und speichern. Daneben gibt es weitere Daten, die im Rahmen von E-Mails oder Newslettern durch Tracking Pixel erhoben werden können. Hierzu zählen z. B. die IP-Adresse, der geographische Standort oder E-Mail-Client. In der Regel ist jeder Tracking Pixel individualisiert, sodass erhobene Daten mit der entsprechenden E-Mail-Adresse verknüpft werden können. Gerade diese Möglichkeit zur genauen Zuordnung der Angaben macht die Befolgung der DSGVO umso wichtiger.
Eine Garantie dafür, dass das Tracking ausnahmslos bei allen Empfänger*innen Ihres Mailings greift, gibt es allerdings nicht. Denn mittlerweile wurden spezielle Tools entwickelt, die Tracking bei Wunsch vollständig blockieren, wie z. B.:
- PixelBlock für den Chrome-Browser
- Ugly Email für Chrome
- oder Trocker für Firefox
Individualisierte Links
Stellen Sie sich folgenden Anwendungsfall vor: Sie versenden ein Mailing – beispielsweise um ein Webinar zu bewerben – und verlinken in diesem Zusammenhang auf eine Webseite mit weiteren Informationen. Mit Hilfe von individualisierten Links können Sie nun ganz einfach tracken, wer auf den Link in der Mail geklickt und die externe Webseite aufgerufen hat. Damit das Tracking funktioniert, erhalten alle Empfänger*innen einen automatisch erstellten, individualisierten Link in Ihrer Mail. Über diesen personengebundenen Link lässt sich, ähnlich wie beim Tracking Pixel, eine eindeutige Verknüpfung zwischen Interaktion und E-Mail-Adresse herstellen.
Nahezu alle Dienstleistenden, die Lösungen für den Newsletter-Versand bereitstellen, bieten zusätzlich Trackingtechnologien an. Dazu gehören auch Lösungen, die durch E-Mail-Tracking erhobene Daten im Sinne der DSGVO pseudonymisieren. Durch die Pseudonymisierung sind Rückschlüsse auf individuelle Nutzer*innen nicht mehr möglich. Wann Sie nach DSGVO auf eine Pseudonymisierung zurückgreifen müssen und in welchem Rahmen Sie diese einsetzen dürfen, erläutern wir Ihnen weiter unten in diesem Beitrag.
So geht’s: Newsletter- und E-Mail-Tracking nach DSGVO
Da beim E-Mail- und Newsletter-Tracking personenbezogene Daten erhoben werden, gelten die Bestimmungen der Datenschutzgrundverordnung. Um DSGVO-konformes Tracking zu betreiben, muss eine erste Bedingung geprüft werden: Die Rechtmäßigkeit zur Verarbeitung (Art. 6 DSGVO). Für die Erfüllung der Rechtmäßigkeit kommen zwei Optionen in Frage:
- Datenverarbeitung auf Basis einer Einwilligung
- Datenverarbeitung zur Wahrung der berechtigten Interessen
In Art. 21 Abs 1 und 2 DSGVO wird ein auf Basis des berechtigten Interesses durchgeführtes Profiling zum Direktvertrieb für zulässig erklärt. Betroffenen muss dabei allerdings die Möglichkeit gegeben werden, dem Profiling jederzeit zu widersprechen.
Von technischer Seite aus unterscheidet man in zwei Varianten des Trackings, die sich auf die Begründung der Rechtmäßigkeit verschieden auswirken:
Pseudonymisiertes Tracking
Personalisiertes Tracking
Beim personalisierten Tracking werden die erhobenen Nutzungsdaten fest an E-Mail-Adresse oder IP-Adresse gekoppelt. Dies ermöglicht eine Erstellung individueller Nutzungsprofile im Rahmen der Datenanalyse. Ein beliebter Anwendungsfall kann z. B. so aussehen:
Eine Interessentin klickt über den Erhalt mehrerer Newsletter wiederholt auf das gleiche Produkt. Dank personalisierter Aufzeichnung der Daten ist ihre Interaktion nachvollziehbar. Der Versand eines individuellen Produktgutscheins animiert zur Kaufentscheidung.
Das ist praktisch, bedeutet im Hinblick auf die DSGVO aber auch: Rechtmäßigkeit und datenschutzkonforme Anwendung des E-Mail-Trackings müssen umso genauer geprüft werden.
Datenschutz und E-Mail-Tracking in der Praxis
Für Ihre Praxis bedeutet das: Je nachdem, ob Sie pseudonymisiertes oder personalisiertes Tracking anwenden möchten, gibt es Unterschiede in der Rechtsgrundlage.
Gemäß den Bestimmungen des Gesetzes gegen unlauteren Wettbewerb und der DSGVO ist E-Mail-Tracking wie folgt zulässig:
E-Mail-Tracking nach DSGVO auf Basis eines berechtigten Interesses
Möchten Sie die Rechtmäßigkeit des E-Mail-Trackings auf ein berechtigtes Interesse stützen, gilt es dafür abzuwägen, ob Ihr Interesse an der Datenverarbeitung höher ist, als die vorliegenden Interessen der betroffenen Personen (DSGVO Art. 6). Entscheiden Sie sich dafür, E-Mail-Tracking auf Basis Ihres berechtigten Interesses anzuwenden, sind Sie dazu verpflichtet, diese notwendige Abwägung zu dokumentieren.
Grundsätzlich reicht das alleinige Vorliegen eines berechtigten Interesses aber nicht dazu aus, die Anforderungen an den Datenschutz für personalisiertes E-Mail-Tracking zu erfüllen. So schreibt das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) in Deutschland eine Einwilligungspflicht für alle technisch nicht erforderlichen Cookies vor.
Anders ist es im Fall des pseudonymisierten E-Mail-Trackings, welches als Widerspruchslösung (Opt-Out) möglich ist. Für pseudonymisiertes E-Mail-Tracking auf Basis eines berechtigten Interesses müssen 3 Voraussetzungen erfüllt werden:
- Pseudonymisierung technisch gewährleisten
Pseudonymisierung technisch gewährleisten
Die technische Gewährleistung der Pseudonymisierung bedeutet eine Verpflichtung dazu, Maßnahmen zu ergreifen, die sicherstellen, dass sich aus den erhobenen Daten keine Rückschlüsse zu einzelnen Personen ziehen lassen.
Transparenz sicherstellen
Sollten Sie E-Mail-Tracking als neues Feature eines bereits bestehenden E-Mail-Verteilers einführen, sind Sie nach DSGVO dazu verpflichtet, alle E-Mail-Empfänger*innen über das zukünftig eingeführte E-Mail-Tracking zu informieren.
Widerspruch ermöglichen
E-Mail-Empfänger*innen müssen im Rahmen der Datenschutzinformationen über ihr Widerspruchsrecht aufgeklärt werden. Dabei sollte das Widerspruchsrecht in Ihrer Datenschutzerklärung Erwähnung finden. Im Sinne der Gewährleistung von Transparenz ist es außerdem empfehlenswert, zusätzlich an der Stelle, an der interessierte Abonnent*innen ihre E-Mail-Adresse hinterlassen, explizit auf das Widerrufsrecht hinzuweisen.
Zusammenfassung: E-Mail-Tracking und berechtigtes Interesse
E-Mail-Tracking nach DSGVO auf Basis einer Einwilligung
Mit einer zulässigen Einwilligung Ihrer Abonnent*innen sind Sie gegenüber möglichen Ansprüchen Betroffener gut abgesichert. Damit eine Einwilligung nach DSGVO gültig ist, muss sie einige Anforderungen erfüllen. Einwilligungen müssen
- informiert,
- bewusst und eindeutig,
- protokolliert,
- widerrufbar,
- freiwillig und
- ohne Kopplung
geschehen. Eine Einwilligung erlaubt es Ihnen, personalisiertes E-Mail-Tracking anzuwenden. Tracking auf Basis von Einwilligung bietet Ihnen größtmögliche Absicherung und Vorteile gegenüber einer Datenerhebung auf Basis eines berechtigten Interesses. Denn schriftlich erfolgte Einwilligungen bedürfen keiner im Voraus getroffenen protokollierten Abwägung. Eingeholt werden können Einwilligungen beispielsweise im Rahmen neuer Newsletter-Anmeldungen. Etwas schwieriger gestaltet es sich bei Bestandskunden: Diese müssen Sie explizit um ihre Einwilligung zum Tracking bitten, um den E-Mail-Datenschutz weiterhin sicherzustellen.
Achtung, eine kleine Stolperfalle bietet die Einwilligung allerdings: Das Kopplungsverbot. Dieses untersagt die Kopplung einer Einwilligung zum E-Mail-Tracking an eine zu erbringende Dienstleistung. Das Kopplungsverbot sieht vor, dass
„ein Vertragsabschluss nicht von der Einwilligung zur Verarbeitung weiterer personenbezogener Daten abhängig gemacht werden [darf], die für die Durchführung des Geschäftes nicht nötig sind.“ (Art. 7 DSGVO)
Hierunter fällt auch das E-Mail-Tracking. Denn für den Versand von Mailings ist es schließlich nicht zwingend notwendig, Informationen zu Öffnungs- oder Klickraten zu erheben. Machen Sie E-Mail-Tracking zum Bestandteil des Vertrags, müssen Sie also immer auch die Möglichkeit offenlassen, hierzu keine Einwilligung zu erteilen.
Zusammenfassung: E-Mail-Tracking und Einwilligung
Pflicht zum Vertrag zur Auftragsverarbeitung
In der Regel werden für die Durchführung von E-Mail-Tracking externe Dienstleistende eingesetzt. Das sind z. B. häufig E-Mail-Marketingdienste, die den Versand der Mailings übernehmen. Da hierbei alle personenbezogenen Daten an die Dienstleistenden weitergegeben werden, liegt eine Auftragsverarbeitung vor. Um den Datenschutz Ihrer E-Mails weiterhin sicherzustellen, benötigten Sie daher einen entsprechenden Vertrag über die Auftragsverarbeitung.
Beauftragen Sie Dritte zur Verarbeitung von personenbezogenen Daten, sind Sie dazu verpflichtet, einen Vertrag zur Auftragsverarbeitung abzuschließen und zu prüfen, ob notwendige Datenschutzmaßnahmen umgesetzt werden. Viele Anbieter*innen von Marketingdiensten haben ihren Sitz in den USA, wo sich die Datenschutzbestimmungen von denen der EU unterschieden – dies sollten Sie unbedingt berücksichtigen.
Fazit
E-Mail- und Newsletter-Tracking sind wertvolle Maßnahmen für die Auswertung Ihrer Marketing-Kampagnen. Die gute Nachricht ist: Auch nach den Anforderungen der DSGVO können Sie E-Mail-Tracking datenschutzkonform für Ihre Zwecke einsetzen.
Während Sie sich für die Anwendung von pseudonymisiertem Tracking in der Regel auf Ihr berechtigtes Interesse berufen können, reicht dies für personalisiertes Tracking allerdings nicht. Hier benötigen Sie durch den erhöhten Datenschutz eine Einwilligung der betroffenen Person.
Setzen Sie zur Durchführung des E-Mail-Trackings auf externe Dienstleistende, haften Sie bei Datenschutzverstößen in der beauftragten Angelegenheit weiterhin. Auch dann, wenn der Verstoß nicht direkt durch Sie veranlasst wurde. Eine Zusammenarbeit mit anderen Unternehmen müssen Sie daher unbedingt in einem entsprechenden Vertrag zur Auftragsverarbeitung festhalten.
Die wichtigsten Punkte dazu, wie Sie die datenschutzrechtlichen Anforderungen der DSGVO für Ihr E-Mail-Tracking konsequent umsetzen können, haben wir für Sie hier abschließend noch einmal zusammengefasst:
Hinweis: Unsere Autoren und Autorinnen arbeiten mit größter Sorgfalt an den Inhalten dieser Website und des Magazins. Die gewissenhafte Recherche ist dabei selbstverständlich. Dennoch übernehmen wir (sowohl interne als auch externe Autoren und Autorinnen) keine Haftung für die Aktualität, Richtigkeit oder Vollständigkeit der hier dargestellten Inhalte. Die Inhalte stellen keine Rechtsberatung dar und ersetzen diese nicht. Bitte lassen Sie sich bei rechtlichen Fragen zusätzlich anwaltlich beraten. Wir übernehmen keine Haftung durch mittelbare oder unmittelbare Schäden, die sich durch jedweden Rechtsgrund aus der Nutzung dieser Inhalte oder der Website ergeben.
Weitere relevante Artikel
Umweltmanagementsystem einführen: Warum sich eine Investition lohnt
Die Folgen des Klimawandels wirken sich unmittelbar darauf aus, wie wir leben – und arbeiten. Natürliche Ressourcen werden knapper, das Konsumentenverhalten zunehmend kritischer und gesetzliche Vorschriften zum Umweltschutz schärfer…
IT-Sicherheit im Homeoffice: Mit Abstand sicher zusammen arbeiten
2021 läutet für viele den Start in eine neue Homeoffice-Saison ein. Damit das gemeinsame Arbeiten aus der Ferne langfristig gut funktionieren kann, müssen Unternehmen Ihre Mitarbeitenden entsprechend unterweisen.
Unternehmerpflichten im Arbeitsschutz: Was Arbeitgeber*innen wissen müssen
Das Arbeitsschutzgesetz stellt klare Anforderungen an die Pflichten von Unternehmer*innen.
Welche Auflagen…
Sina Frenzel
Sina ist Gründerin und Marketing-Expertin von VINYA. Als Wirtschaftspsychologin interessieren Sina insbesondere aktuelle Fragestellungen rund um die Themen Mitarbeitergesundheit und Arbeitsschutz. Dabei arbeitet sie eng mit VINYAs Anwender*innen zusammen, um den Arbeitsplatz zu einem inspirierenden und sicheren Ort für alle zu machen.
Sina finden Sie auch hier: