VINYA E-Learning GmbH Logo
login-alternate Login
Kontakt

E-Mail-Tracking nach DSGVO

So klappt die rechtssichere Analyse des Nutzerverhaltens

Sina Frenzel 14.02.2022

Sie stecken Stunden an Arbeit in die Planung von Newslettern, E-Mail-Kampagnen und Co – aber lohnt sich Ihr Aufwand eigentlich? Welche Interessentin und welcher Kunde öffnen Ihre Mailings? Wie häufig klicken Ihre Abonnent*innen auf Links, die auf Ihre Website weiterleiten? Aufschluss darüber bekommen Sie mit Tracking. Aber: Ist E-Mail-Tracking nach DSGVO überhaupt erlaubt? Wie sieht es hier mit dem Datenschutz aus?

Wir klären in diesem Artikel, wie Sie E-Mail-Tracking trotz DSGVO rechtskonform nutzen können und dabei u. a. von diesen Vorteilen profitieren:

  • Zielgruppenanalyse: Wer liest Ihre E-Mail-Newsletter?
  • Benchmarking: Wie gut sind Ihre Kennzahlen im internationalen Branchenvergleich?
  • Statistische Auswertungen und Identifikation von Verbesserungspotenzialen: Warum läuft eine E-Mail-Kampagne besser als die andere?

Machen Sie sich schlau, wie Sie mit datenschutzkonformem Tracking Ihre Marketing- und Vertriebskanäle erfolgreich verbessern. Dieser Blogartikel führt darin ein, wie Nutzertracking funktioniert und welche Schritte Sie für DSGVO-gerechtes Tracking und E-Mail-Marketing beachten müssen.

Definition: Was ist E-Mail-Tracking?

Der Begriff E-Mail-Tracking beschreibt alle Maßnahmen, mit denen Interaktionen von Interessierten oder Kund*innen auf Ihre E-Mails und Newsletter gemessen werden können. Zu diesen Messwerten gehören beispielsweise die Öffnungsrate, Klickrate oder auch Klickhäufigkeit bestimmter Links.

Mailing und Nutzerverhalten auswerten mit E-Mail-Tracking DSGVO

E-Mail-Tracking bringt klare Vorteile mit sich: Erheben Sie Daten aus E-Mail-Newslettern und Werbemails, können Sie erfahren, für welche Themen sich Ihre Abonnent*innen interessieren. Nutzen Sie dieses Wissen, um Ihre Prozesse im Marketing und Vertrieb sowie Ihre Produktentwicklung optimal an Interessierten- und Kundenwünsche anzupassen. Profiling hilft Ihnen dabei, personalisierte und zielgerichtete Werbenachrichten an Empfänger und Empfängerinnen zu senden. Und hier heißt es: Je besser Sie Ihre Kund*innen kennen, desto positiver entwickeln sich Traffic und Conversion.

Beim Tracking werden personenbezogene Daten verarbeitet. Somit berühren Newsletter- und E-Mail-Tracking sensible Informationen, die dem Datenschutz unterstehen. Es gilt also: Beim rechtssicheren E-Mail-Tracking müssen die Anforderungen der DSGVO eingehalten werden.

Nicht jede Person möchte, dass ihre persönlichen Informationen verarbeitet werden. Deshalb bestärkt die DSGVO die Rechte Betroffener und erschwert es auf der anderen Seite, personenbezogene Informationen zu erheben. Methoden dafür, E-Mail-Tracking DSGVO-konform umzusetzen, gibt es aber dennoch. Wir zeigen Ihnen, was Sie beachten müssen, um den Datenschutz sicherzustellen.

Dazu starten wir mit der Frage: Wie funktioniert E-Mail-Tracking? Erfahren Sie in einem kurzen Exkurs, was es mit Tracking Pixeln und individualisierte Links auf sich hat. Sie wissen schon Bescheid oder interessieren sich dafür nicht? Dann springen Sie gleich zu unserer Anleitung für DSGVO-konformes Tracking.

Exkurs: Wie funktioniert E-Mail-Tracking?

Beim Newsletter- und E-Mail-Tracking kommen Web-Beacons bzw. sogenannte Tracking Pixel sowie individualisierte Links zum Einsatz. Wir erläutern Ihnen hier, was es damit auf sich hat:

E-Mail-Tracking DSGVO durch Tracking Pixel

Tracking Pixel

Tracking Pixel werden häufig auch als Zählpixel bezeichnet. Es handelt sich um kleinstmögliche Bilddateien (1×1 Pixel), die quasi nicht sichtbar sind. Die kleinen Bilddateien werden nicht direkt in E-Mails eingebettet, sondern erst nach Öffnung der E-Mail von einem Server heruntergeladen. Dadurch kann der Server den Zeitpunkt der erstmaligen, sowie aller weiterer Öffnungen erkennen und speichern. Daneben gibt es weitere Daten, die im Rahmen von E-Mails oder Newslettern durch Tracking Pixel erhoben werden können. Hierzu zählen z. B. die IP-Adresse, der geographische Standort oder E-Mail-Client. In der Regel ist jeder Tracking Pixel individualisiert, sodass erhobene Daten mit der entsprechenden E-Mail-Adresse verknüpft werden können. Gerade diese Möglichkeit zur genauen Zuordnung der Angaben macht die Befolgung der DSGVO umso wichtiger.

Eine Garantie dafür, dass das Tracking ausnahmslos bei allen Empfänger*innen Ihres Mailings greift, gibt es allerdings nicht. Denn mittlerweile wurden spezielle Tools entwickelt, die Tracking bei Wunsch vollständig blockieren, wie z. B.:

Individualisierte Links

Stellen Sie sich folgenden Anwendungsfall vor: Sie versenden ein Mailing – beispielsweise um ein Webinar zu bewerben – und verlinken in diesem Zusammenhang auf eine Webseite mit weiteren Informationen. Mit Hilfe von individualisierten Links können Sie nun ganz einfach tracken, wer auf den Link in der Mail geklickt und die externe Webseite aufgerufen hat. Damit das Tracking funktioniert, erhalten alle Empfänger*innen einen automatisch erstellten, individualisierten Link in Ihrer Mail. Über diesen personengebundenen Link lässt sich, ähnlich wie beim Tracking Pixel, eine eindeutige Verknüpfung zwischen Interaktion und E-Mail-Adresse herstellen.

Nahezu alle Dienstleistenden, die Lösungen für den Newsletter-Versand bereitstellen, bieten zusätzlich Trackingtechnologien an. Dazu gehören auch Lösungen, die durch E-Mail-Tracking erhobene Daten im Sinne der DSGVO pseudonymisieren. Durch die Pseudonymisierung sind Rückschlüsse auf individuelle Nutzer*innen nicht mehr möglich. Wann Sie nach DSGVO auf eine Pseudonymisierung zurückgreifen müssen und in welchem Rahmen Sie diese einsetzen dürfen, erläutern wir Ihnen weiter unten in diesem Beitrag.

Illustration Datenschutzkurs Marketing und Vertrieb
Vertrieb und Marketing DSGVO-konform gestalten?
Schulen Sie Ihre Mitarbeitenden jetzt ganz einfach mit VINYAs interaktivem E-Learning-Kurs zum Datenschutz im Marketing und Vertrieb.
mehr erfahren

So geht’s: Newsletter- und E-Mail-Tracking nach DSGVO

Da beim E-Mail- und Newsletter-Tracking personenbezogene Daten erhoben werden, gelten die Bestimmungen der Datenschutzgrundverordnung. Um DSGVO-konformes Tracking zu betreiben, muss eine erste Bedingung geprüft werden: Die Rechtmäßigkeit zur Verarbeitung (Art. 6 DSGVO). Für die Erfüllung der Rechtmäßigkeit kommen zwei Optionen in Frage:

  • Datenverarbeitung auf Basis einer Einwilligung
  • Datenverarbeitung zur Wahrung der berechtigten Interessen

In Art. 21 Abs 1 und 2 DSGVO wird ein auf Basis des berechtigten Interesses durchgeführtes Profiling zum Direktvertrieb für zulässig erklärt. Betroffenen muss dabei allerdings die Möglichkeit gegeben werden, dem Profiling jederzeit zu widersprechen.

Von technischer Seite aus unterscheidet man in zwei Varianten des Trackings, die sich auf die Begründung der Rechtmäßigkeit verschieden auswirken:

Pseudonymisiertes Tracking

Bei pseudonymisierten Datensätzen wurden alle Daten, die unmittelbaren Rückschluss auf individuelle Betroffene (also in diesem Fall auf E-Mail-Empfänger*innen) erlauben, gelöscht oder durch Pseudonyme ersetzt. Dies bedeutet, dass erhobene Nutzungsdaten nicht zusammen mit der E-Mail-Adresse und/oder IP-Adresse gespeichert werden. Dabei ist technisch sicherzustellen, dass eine Zusammenführung der Informationen ausgeschlossen ist. Das pseudonymisierte Tracking bietet damit einen erhöhten Datenschutz beim E-Mail-Tracking.

Personalisiertes Tracking

Beim personalisierten Tracking werden die erhobenen Nutzungsdaten fest an E-Mail-Adresse oder IP-Adresse gekoppelt. Dies ermöglicht eine Erstellung individueller Nutzungsprofile im Rahmen der Datenanalyse. Ein beliebter Anwendungsfall kann z. B. so aussehen:

Eine Interessentin klickt über den Erhalt mehrerer Newsletter wiederholt auf das gleiche Produkt. Dank personalisierter Aufzeichnung der Daten ist ihre Interaktion nachvollziehbar. Der Versand eines individuellen Produktgutscheins animiert zur Kaufentscheidung.

Das ist praktisch, bedeutet im Hinblick auf die DSGVO aber auch: Rechtmäßigkeit und datenschutzkonforme Anwendung des E-Mail-Trackings müssen umso genauer geprüft werden.

Datenschutz und E-Mail-Tracking in der Praxis

Für Ihre Praxis bedeutet das: Je nachdem, ob Sie pseudonymisiertes oder personalisiertes Tracking anwenden möchten, gibt es Unterschiede in der Rechtsgrundlage.

Gemäß den Bestimmungen des Gesetzes gegen unlauteren Wettbewerb und der DSGVO ist E-Mail-Tracking wie folgt zulässig:

Rechtmaessigkeit von E-Mail-Tracking DSGVO in der Praxis

E-Mail-Tracking nach DSGVO auf Basis eines berechtigten Interesses

Möchten Sie die Rechtmäßigkeit des E-Mail-Trackings auf ein berechtigtes Interesse stützen, gilt es dafür abzuwägen, ob Ihr Interesse an der Datenverarbeitung höher ist, als die vorliegenden Interessen der betroffenen Personen (DSGVO Art. 6). Entscheiden Sie sich dafür, E-Mail-Tracking auf Basis Ihres berechtigten Interesses anzuwenden, sind Sie dazu verpflichtet, diese notwendige Abwägung zu dokumentieren.

Grundsätzlich reicht das alleinige Vorliegen eines berechtigten Interesses aber nicht dazu aus, die Anforderungen an den Datenschutz für personalisiertes E-Mail-Tracking zu erfüllen. So schreibt das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) in Deutschland eine Einwilligungspflicht für alle technisch nicht erforderlichen Cookies vor.

Anders ist es im Fall des pseudonymisierten E-Mail-Trackings, welches als Widerspruchslösung (Opt-Out) möglich ist. Für pseudonymisiertes E-Mail-Tracking auf Basis eines berechtigten Interesses müssen 3 Voraussetzungen erfüllt werden:

  • Pseudonymisierung technisch gewährleisten
  • Transparenz sicherstellen
  • Widerspruch ermöglichen

    • Pseudonymisierung technisch gewährleisten

    Die technische Gewährleistung der Pseudonymisierung bedeutet eine Verpflichtung dazu, Maßnahmen zu ergreifen, die sicherstellen, dass sich aus den erhobenen Daten keine Rückschlüsse zu einzelnen Personen ziehen lassen.

    Transparenz sicherstellen

    Betroffenen muss klar sein, für welche Zwecke und in welchem Umfang ihre Nutzungsdaten verarbeitet werden. Ein Hinweis auf pseudonymisiertes E-Mail-Tracking ist daher zwingend in Ihrer Datenschutzerklärung aufzunehmen. Zusätzlich sollten Sie an der konkreten Stelle, an der interessierte Abonnent*innen ihre E-Mail-Adresse hinterlassen, einen Datenschutzhinweis einfügen.
    Pseudonymisiertes E-Mail-Tracking mit Einwilligung nach DSGVO

    Sollten Sie E-Mail-Tracking als neues Feature eines bereits bestehenden E-Mail-Verteilers einführen, sind Sie nach DSGVO dazu verpflichtet, alle E-Mail-Empfänger*innen über das zukünftig eingeführte E-Mail-Tracking zu informieren.

    Widerspruch ermöglichen

    E-Mail-Empfänger*innen müssen im Rahmen der Datenschutzinformationen über ihr Widerspruchsrecht aufgeklärt werden. Dabei sollte das Widerspruchsrecht in Ihrer Datenschutzerklärung Erwähnung finden. Im Sinne der Gewährleistung von Transparenz ist es außerdem empfehlenswert, zusätzlich an der Stelle, an der interessierte Abonnent*innen ihre E-Mail-Adresse hinterlassen, explizit auf das Widerrufsrecht hinzuweisen.

    Zusammenfassung: E-Mail-Tracking und berechtigtes Interesse

    In den meisten Fällen ist E-Mail-Tracking auf Basis eines berechtigten Interesses pseudonymisiert möglich. Berücksichtigen Sie die technische Gewährleistung der Pseudonymisierung, eine Sicherstellung der Transparenz sowie die Möglichkeit zum Widerspruch, können Sie E-Mail-Tracking gemäß DSGVO pseudonymisiert einsetzen. Denken Sie dabei daran, im Vorfeld eine schriftlich dokumentierte Interessensabwägung durchzuführen. Berufen Sie sich auf Ihr berechtigtes Interesse, tragen Sie stets ein Risiko, dass Betroffene die Interessenabwägung anders auslegen. Dies kann unter Umständen bis zum Rechtsstreit führen.

    E-Mail-Tracking nach DSGVO auf Basis einer Einwilligung

    Mit einer zulässigen Einwilligung Ihrer Abonnent*innen sind Sie gegenüber möglichen Ansprüchen Betroffener gut abgesichert. Damit eine Einwilligung nach DSGVO gültig ist, muss sie einige Anforderungen erfüllen. Einwilligungen müssen

    • informiert,
    • bewusst und eindeutig,
    • protokolliert,
    • widerrufbar,
    • freiwillig und
    • ohne Kopplung

    geschehen. Eine Einwilligung erlaubt es Ihnen, personalisiertes E-Mail-Tracking anzuwenden. Tracking auf Basis von Einwilligung bietet Ihnen größtmögliche Absicherung und Vorteile gegenüber einer Datenerhebung auf Basis eines berechtigten Interesses. Denn schriftlich erfolgte Einwilligungen bedürfen keiner im Voraus getroffenen protokollierten Abwägung. Eingeholt werden können Einwilligungen beispielsweise im Rahmen neuer Newsletter-Anmeldungen. Etwas schwieriger gestaltet es sich bei Bestandskunden: Diese müssen Sie explizit um ihre Einwilligung zum Tracking bitten, um den E-Mail-Datenschutz weiterhin sicherzustellen.

    Achtung, eine kleine Stolperfalle bietet die Einwilligung allerdings: Das Kopplungsverbot. Dieses untersagt die Kopplung einer Einwilligung zum E-Mail-Tracking an eine zu erbringende Dienstleistung. Das Kopplungsverbot sieht vor, dass

    ein Vertragsabschluss nicht von der Einwilligung zur Verarbeitung weiterer personenbezogener Daten abhängig gemacht werden [darf], die für die Durchführung des Geschäftes nicht nötig sind.“ (Art. 7 DSGVO)

    Hierunter fällt auch das E-Mail-Tracking. Denn für den Versand von Mailings ist es schließlich nicht zwingend notwendig, Informationen zu Öffnungs- oder Klickraten zu erheben. Machen Sie E-Mail-Tracking zum Bestandteil des Vertrags, müssen Sie also immer auch die Möglichkeit offenlassen, hierzu keine Einwilligung zu erteilen.

    E-Mail-Tracking DSGVO-konform mit Einwilligung

    Zusammenfassung: E-Mail-Tracking und Einwilligung

    Im besten Fall liegt Ihnen beim Einsatz von E-Mail-Tracking eine Einwilligung der E-Mail-Empfänger*innen vor. Möchten Sie personalisiertes E-Mail-Tracking DSGVO-konform anwenden, ist die erteilte Einwilligung sogar ein absolutes Muss. Dabei gilt es nach Kopplungsverbot stets zu bedenken, dass Interessierten der Bezug der angebotenen Leistung (z. B. PDF-Download oder Newsletter-Erhalt) auch ohne ihre Einwilligung zum E-Mail-Tracking zustehen muss.
    light-bulb-shine

    Mehr zu den Hintergründen von Einwilligung und berechtigtem Interesse erfahren Sie auch in unserem Blogbeitrag DSGVO im Marketing und Vertrieb: Das müssen Sie bei der Kundenansprache beachten.

    Pflicht zum Vertrag zur Auftragsverarbeitung

    In der Regel werden für die Durchführung von E-Mail-Tracking externe Dienstleistende eingesetzt. Das sind z. B. häufig E-Mail-Marketingdienste, die den Versand der Mailings übernehmen. Da hierbei alle personenbezogenen Daten an die Dienstleistenden weitergegeben werden, liegt eine Auftragsverarbeitung vor. Um den Datenschutz Ihrer E-Mails weiterhin sicherzustellen, benötigten Sie daher einen entsprechenden Vertrag über die Auftragsverarbeitung.

    Beauftragen Sie Dritte zur Verarbeitung von personenbezogenen Daten, sind Sie dazu verpflichtet, einen Vertrag zur Auftragsverarbeitung abzuschließen und zu prüfen, ob notwendige Datenschutzmaßnahmen umgesetzt werden. Viele Anbieter*innen von Marketingdiensten haben ihren Sitz in den USA, wo sich die Datenschutzbestimmungen von denen der EU unterschieden – dies sollten Sie unbedingt berücksichtigen.

    Ist Ihr Team fit im Datenschutz?
    Unterweisen Sie Ihre Mitarbeitenden jetzt automatisiert per E-Learning in allen wichtigen Grundsätzen der DSGVO. Hier gehts zu unseren Kursen:
    E-Learning-Kurs Datenschutz nach DSGVO
    Datenschutz-Grundlagen für Mitarbeitende
    E-Learning-Kurs Datenschutz im Marketing und Vertrieb
    Datenschutz für Marketing und Vertrieb
    E-Learning-Kurs Datenschutz im Personalwesen
    Datenschutz für die Personalabteilung
    Datenschutz für die Personal-Abteilung

    Fazit

    E-Mail- und Newsletter-Tracking sind wertvolle Maßnahmen für die Auswertung Ihrer Marketing-Kampagnen. Die gute Nachricht ist: Auch nach den Anforderungen der DSGVO können Sie E-Mail-Tracking datenschutzkonform für Ihre Zwecke einsetzen.

    Während Sie sich für die Anwendung von pseudonymisiertem Tracking in der Regel auf Ihr berechtigtes Interesse berufen können, reicht dies für personalisiertes Tracking allerdings nicht. Hier benötigen Sie durch den erhöhten Datenschutz eine Einwilligung der betroffenen Person.

    Setzen Sie zur Durchführung des E-Mail-Trackings auf externe Dienstleistende, haften Sie bei Datenschutzverstößen in der beauftragten Angelegenheit weiterhin. Auch dann, wenn der Verstoß nicht direkt durch Sie veranlasst wurde. Eine Zusammenarbeit mit anderen Unternehmen müssen Sie daher unbedingt in einem entsprechenden Vertrag zur Auftragsverarbeitung festhalten.

    Die wichtigsten Punkte dazu, wie Sie die datenschutzrechtlichen Anforderungen der DSGVO für Ihr E-Mail-Tracking konsequent umsetzen können, haben wir für Sie hier abschließend noch einmal zusammengefasst:

    Vorteile und Nachteile von E-Mail-Tracking DSGVO

    Hinweis: Unsere Autoren und Autorinnen arbeiten mit größter Sorgfalt an den Inhalten dieser Website und des Magazins. Die gewissenhafte Recherche ist dabei selbstverständlich. Dennoch übernehmen wir (sowohl interne als auch externe Autoren und Autorinnen) keine Haftung für die Aktualität, Richtigkeit oder Vollständigkeit der hier dargestellten Inhalte. Die Inhalte stellen keine Rechtsberatung dar und ersetzen diese nicht. Bitte lassen Sie sich bei rechtlichen Fragen zusätzlich anwaltlich beraten. Wir übernehmen keine Haftung durch mittelbare oder unmittelbare Schäden, die sich durch jedweden Rechtsgrund aus der Nutzung dieser Inhalte oder der Website ergeben. 

  • Teilen

    Weitere relevante Artikel

    • Weitere spannende Beiträge
    Über die Autorin
    Sina Frenzel VINYA

    Sina Frenzel

    Sina ist Gründerin und Marketing-Expertin von VINYA. Als Wirtschaftspsychologin interessieren Sina insbesondere aktuelle Fragestellungen rund um die Themen Mitarbeitergesundheit und Arbeitsschutz. Dabei arbeitet sie eng mit VINYAs Anwender*innen zusammen, um den Arbeitsplatz zu einem inspirierenden und sicheren Ort für alle zu machen.

    Sina finden Sie auch hier:

    Jetzt zum Newsletter anmelden!
    Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
    Vielen Dank! Wir senden Ihnen eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.
    VINYA E-Learning GmbH Logo

    VINYA ist eine Lernplattform, mit der Mitarbeiterunterweisungen automatisiert organisiert und durchgeführt werden – sodass sich Unternehmen auf ihr Kerngeschäft fokussieren können.

    Lösungen

    Kurse

    Über VINYA