So setzen Sie Tracking-Pixel rechtskonform im Newsletter ein!

Heutzutage sind E-Mail-Newsletter nicht nur reine Informationsquellen, sondern stellen für Marketingabteilungen wichtige Analysetools dar, um mehr über die lesende Zielgruppe zu erfahren. Die Messung von Öffnungs- und Klickraten in Newslettern und anderen Mailings ist in unserer Zeit üblich, sodass es praktisch von allen E-Mail-Versandplattformen angeboten wird. Dies geht sogar so weit, dass auch für die Speicherung der Messergebnisse in Profilen der Adressaten standardmäßig angeboten wird.

Wie sieht es jedoch bei solch nützlichen Tools und Möglichkeiten von Tracking- und Profilingmaßnahmen mit den gesetzlichen Vorgaben der DSGVO und dem Lauterkeitsrecht aus?

In diesem Rechtstipp erfahren Sie, welche Stolperfallen bestehen und wie Sie Ihre Newsletter rechtssicher ausgestalten können.

Wie funktioniert das Tracking?

In den meisten Fällen werden sog. Zählpixel / Tracking Pixel oder auch Web-Beacons verwendet. Das sind extrem kleine, häufig nur ein Pixel große, Dateien z. B. Bilder, die in die Newsletter integriert werden, eine Logdatei-Aufzeichnung sowie eine Logdatei-Analyse erlauben.

Wird ein solcher Newsletter nun geöffnet, so wird der Zählpixel vom Server des Newsletter Anbieters geladen. Dabei werden gleichzeitig einige Informationen über der jeweiligen Empfängerin  bzw. den Empfänger des Newsletters übermittelt.

Zu den übermittelten Daten gehörten häufig Informationen, ob und wann die E-Mail geöffnet wurde und welche IP-Adresse dazu verwendet wurde.

Weiter können Links in der E-Mail darüber Aufschluss geben, welche Produkte häufiger geklickt wurden als andere und somit vermeintlich Interessanter für den Newsletter-Adressaten waren.

Durch eine entsprechende Ausgestaltung lassen sich, die Tracking-Pixel individualisieren, um einen Rückschluss auf den jeweiligen Newsletter-Empfänger zu ermöglichen.

Neben der beschriebenen Ausgestaltung besteht jedoch auch die Möglichkeit der pseudonymisierten Auswertungen, welche kein Rückschluss auf die nutzende Person zulassen.

Rechtliche Grundlagen

Wenn Sie E-Mails mit werblicher Ansprache versenden wollen, ist dies grundsätzlich nur mit

Einwilligung der adressierten Person möglich. Als Werbung gilt dabei jegliches Angebot an Inhalten, das der Absatzförderung Ihres Unternehmens dient. Dabei spielt es keine Rolle, ob der Werbeinhalt für die Kundin oder den Kunden einen Vorteil darstellt (z. B. Gutschein oder Rabattcode).

Es fallen somit nicht nur regelmäßige Mailings, wie z. B. Newsletter mit aktuellen Angeboten unter diesen Begriff, auch einmalige Mailings, etwa mit einem Rabatt zum Geburtstag der Kundin oder des Kunden, sind als Werbung zu werten, da sie der Absatzförderung dienen.

E-Mail-Newsletter dürfen nur nach Einholung einer Einwilligung i.S.d. Art. 6 Abs. 1 lit. a DSGVO oder ausnahmsweise unter den engen Voraussetzungen des § 7 Abs. 3 UWG versendet werden.

Die Einwilligung muss durch eine ausdrückliche Handlung der Empfängerin oder des

Empfängers erfolgen (z. B. mittels Opt-In Checkbox), protokolliert werden (Logfiles) und die vorgenommene Datenverarbeitung muss jederzeit für die Kundschaft abrufbar sein (Datenschutzerklärung). Zudem muss vor Erteilung der Einwilligung auf die jederzeitige Widerrufsmöglichkeit (Abmeldemöglichkeit) hingewiesen werden. Der Einwilligungstext darf nicht in den AGB eingebettet sein, sondern ist immer separat einzuholen.

Der Text der Einwilligung darf auch nicht mit der Bestätigung der oder der Teilnahmeklausel an einem Gewinnspiel verknüpft werden. Hierfür ist ein separates Opt-In erforderlich. Obwohl § 7 UWG neben der wettbewerbsrechtlichen Bedeutung auch datenschutzrechtliche Bedeutung hat, da bei Vorliegen der Ausnahmen das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO überwiegen kann, ist diese nicht abschließend, da sie keine Aussage darüber trifft, ob und wie personenbezogene Daten in E-Mails verarbeitet werden dürfen. Aus diesem Grund muss auch die Erhebung, Verarbeitung und Übermittlung von personenbezogenen Daten unter Zuhilfenahme von Web-Beacons bzw. individualisierter Links in E-Mails von einer datenschutzrechtlichen Einwilligung gedeckt sein.

Pseudonymisiertes Tracking in Newslettern

Was zuvor § 15 Abs. 3 TMG hinsichtlich der Möglichkeit der Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zum Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien ausdrücklich regelte, hängt seit den sogenannten „Cookie-Urteilen“ in der Luft. Nach richtlinienkonformer Auslegung des § 15 Abs. 3 TMG mit Art. 5 Abs. 3 der Richtlinie 2002/58/EG bedarf jeder Zugriff auf Informationen, die auf dem Endgerät der Nutzerinnen bzw. des Nutzers gespeichert sind, der informierten und ausdrücklichen Einwilligung der betroffenen Person i.S.d. Art. 6 Abs. 1 lit. a DSGVO. Demnach macht es keinen Unterschied mehr, ob pseudonymisiert oder personalisiert getrackt wird. Im Ergebnis heißt das: wer seine Newsletter auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO und § 7 Abs. 3 UWG versendet, kann das Newsletter-Tracking nicht rechtskonform betreiben.

Personalisiertes Tracking in Newslettern

Auch hier gilt gem. Art. 5 Abs. 3 der Richtlinie 2002/58/EG, dass das personalisierte Newsletter-Tracking nur nach ausdrücklicher Einwilligung der nutzenden Personen  zulässig ist.

Dieses setzt voraus, dass gemäß

§ 7 Abs. 2 Nr. 3 UWG bei Werbung per E-Mail eine vorherige ausdrückliche Einwilligung der Empfängerin oder des Empfängers vorliegen muss. Darüber hinaus sind die datenschutzrechtlichen Vorgaben der DSGVO zu beachten. Demnach ist eine Einwilligung der betroffenen Person nach Art. 6 Abs. 1 S. 1 lit. a DSGVO erforderlich. Es werden allerdings nicht zwei separate Erklärungen benötigt.

Es genügt eine Einwilligungserklärung, welche die Anforderungen des Art. 7 DS-GVO und des § 7 UWG erfüllt.

• Eindeutige bestätigende Handlung

Die Einwilligung ist so zu gestalten, dass die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar. Auch das Wettbewerbsrecht setzt eine ausdrückliche vorherige Einwilligung voraus. Der Einwilligungstext darf nicht in den AGB eingebettet sein, sondern ist immer separat einzuholen. Eine eindeutige bestätigende Handlung kann etwa dann vorliegen, wenn die Nutzerin oder der Nutzer eine Checkbox ankreuzt oder im Footer eines Shops nach Eingabe der E-Mail-Adresse auf einen Button mit „Newsletter bestellen“ klickt.

• Freiwilligkeit

Eine Einwilligung ist darüber hinaus freiwillig zu erteilen, d. h. sie muss ohne Druck oder Zwang abgegeben sein. Nach Art. 7 Abs. 4 DSGVO ist bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, zu berücksichtigen, ob die Erfüllung eines Vertrags von der Einwilligung abhängig gemacht wird. Es gilt somit ein strenges Kopplungsverbot. Die Einwilligung darf nicht mit der Bestätigung der AGB oder der Teilnahmeklausel an einem Gewinnspiel verknüpft werden. Der Vertragsschluss darf nicht abhängig von der Newsletteranmeldung sein, da diese in der Regel für die Vertragsabwicklung im Online-Shop nicht zwingend notwendig ist.

• Informiertheit

Die Einwilligungserklärung müssen Sie in verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache zur Verfügung stellen. Darüber hinaus muss die Einwilligung für den konkreten Fall, in informierter Weise und unmissverständlich erfolgen (Art. 7 Abs. 2, ErwG 32 S. 1 DSGVO). Damit die betroffene Person ihre Einwilligung in Kenntnis der Sachlage geben kann, sollte sie mindestens wissen, wer die oder der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. In der Vergangenheit hat die Rechtsprechung dazu tendiert, eine besonders hohe Konkretisierung des werbenden Unternehmens sowie der Art der Produkte zu verlangen. Aus der Klausel müsse genau hervorgehen, für welche Produkte geworben werden dürfe. Diese müssten in der Einwilligungserklärung klar benannt werden. Der Verbraucher müsse von Anfang an wissen, für welche Werbung er seine Einwilligung erteilt.

Nutzung von externen Dienstleistern

Sollte für den Newsletter-Versand bzw. das Tracking ein externer Dienstleister eingesetzt werden, so ist grundsätzlich ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO  mit dem jeweiligen Dienstleister abzuschließen. Zusätzlich dazu ist zu beachten, dass darüber hinaus eine gemeinsame Verantwortlichkeit vorliegen kann und ein Vertrag gem. Art. 26 DSGVO notwendig sein kann, soweit der Dienstleister selbst noch im erheblichen Maße mittrackt.

Unabhängig davon, ob ein Fall des pseudonymen, als auch für den Fall des personenbezogenen Trackings, sollte man unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen den Dienstleister sorgfältig auswählen.

Dies gilt sowohl für den Dienstleister selbst als auch für dessen Mutterkonzern, soweit dieser seinen Firmensitz außerhalb der EU oder des EWR hat, muss zusätzlich sichergestellt werden, dass ein angemessenes Datenschutzniveau gewährleistet ist.

Bußgelder und Schadensersatz

Die Versendung eines Newsletters hat immer wettbewerbsrechtlichen Charakter, sodass ein Verstoß abmahnfähig ist und auf Beseitigung und Unterlassung geklagt werden kann. Verstöße können unter Umständen auch Schadensersatzpflichten auslösen.

• Bußgelder

Gemäß Art. 83 Abs. 5 DSGVO können Datenschutzbehörden Bußgelder verhängen, die je nachdem was höher ist bis zu 4 % des Umsatzes des Vorjahres oder 20 Millionen Euro, betragen können.

• Schadensersatzforderungen

Weiter können betroffene Adressaten gemäß. Art. 82 Abs. 1 DSGVO Schadensersatzforderungen stellen. Aktuell kann mangels einer ausreichenden Anzahl an Präzedenzfällen, die Höhe der Schadensersatzforderungen gering sein, sich jedoch in der Masse zu einer empfindlichen Summe addieren.

Unser Tipp

Nicht nur wegen der hohen Strafen und der Gefahr der Abmahnung sollte man bei der Nutzung von Newslettern als Marketinginstrument und dem damit verbundenen Tracking genauer hinsehen und die Einhaltung der gesetzlichen Vorgaben sicherstellen.

Wir empfehlen, als ersten Schritt zu prüfen, ob Ihr Newsletter tatsächlich Trackingtechnologinnen nutzt und inwieweit Sie diesbezüglich wie beschrieben eine wirksame Einwilligung einholen.

Über den Autor

Thomas Josef Zieba ist Legal Consultant bei der Trusted Shops GmbH und Rechtsanwalt der Kanzlei FÖHLISCH. Studium der Rechtswissenschaft an der Universität Münster. Referendariat im Bezirk des Oberlandesgerichts Köln mit Stationen u.a. bei der Kanzlei WILDE BEUGER SOLMECKE und HMS Barthelmeß Görzel Rechtsanwälte. Von Oktober 2017 bis August 2018 Tätigkeit als Rechtsanwalt im Bereich Handels- und Wirtschaftsrecht bei der Kanzlei GRP Rainer Rechtsanwälte, dort unter anderem zuständig für die Betreuung internationaler Mandate. Seit September 2018 Legal Consultant bei der Trusted Shops GmbH und seit Januar 2020 Rechtsanwalt der Kanzlei FÖHLISCH.