Newsletter gehören für viele Unternehmen zu den wichtigsten Marketingkanälen. Sie sind vergleichsweise günstig, direkt und gut steuerbar. Richtig interessant werden sie meist vor allem durch Tracking. Wer sieht, welche Betreffzeilen geöffnet werden, welche Themen Klicks auslösen und wann die Zielgruppe besonders aktiv ist, kann Inhalte gezielter planen und die Kommunikation Stück für Stück verbessern.

Rechtlich ist Newsletter-Tracking allerdings kein Selbstläufer. Denn sobald Öffnungen, Klicks oder technische Informationen erfasst werden, geht es nicht mehr nur um Marketing-Optimierung, sondern auch um Datenschutz.

Dieser Beitrag gibt einen Überblick darüber, wie Newsletter-Tracking funktioniert, wann eine Einwilligung erforderlich ist und worauf Unternehmen besonders achten sollten.

Corona-Test

Wie funktioniert Newsletter-Tracking?

Das bekannteste technische Mittel ist das sogenannte Tracking-Pixel, auch Zählpixel genannt. Dabei wird ein sehr kleines, für Empfänger:innen unsichtbares Bild in die E-Mail eingebettet. Dieses Bild ist nicht in der E-Mail selbst gespeichert, sondern wird beim Öffnen von einem externen Server geladen.

Wird die E-Mail geöffnet und das Bild geladen, erhält der Server automatisch eine Anfrage. Dabei können unter anderem folgende Informationen anfallen:

  • Zeitpunkt der Öffnung,
  • IP-Adresse,
  • verwendetes Gerät und Betriebssystem,
  • eingesetzter E-Mail-Client, zum Beispiel Outlook oder Gmail.

Daneben kommt häufig Klick-Tracking zum Einsatz. Links in der E-Mail führen dann zunächst über einen Zwischenserver. Dort wird der Klick registriert, bevor die Person zur eigentlichen Zielseite weitergeleitet wird. So lässt sich auswerten, welche Inhalte besonders relevant waren.

Aus Marketingsicht ist das nachvollziehbar. Aus rechtlicher Sicht ist zunächst entscheidend, ob und in welchem Umfang dabei Daten einzelnen Personen zugeordnet werden können oder das Tracking anonym erfolgt.

Personenbezogen oder anonym: Warum die Unterscheidung wichtig ist

Nicht jedes Tracking ist gleich. Der zentrale Unterschied liegt darin, ob die erhobenen Informationen einer konkreten Person zugeordnet werden können.

Personenbezogenes Tracking liegt vor, wenn Öffnungen, Klicks oder technische Informationen mit einer E-Mail-Adresse verknüpft werden. Das ist bei individualisierten Tracking-Pixeln regelmäßig der Fall.

Anonymes Tracking arbeitet dagegen ohne Rückschluss auf Einzelpersonen. Erfasst werden dann nur aggregierte Werte, etwa: „60 Prozent der Empfänger:innen haben den Newsletter geöffnet.“ Einzelprofile entstehen dabei nicht.

Diese Unterscheidung ist vor allem für die DSGVO relevant. Nur beim personenbezogenen Tracking werden personenbezogene Daten verarbeitet, sodass eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich ist. Damit ist die Prüfung aber noch nicht beendet. Zusätzlich ist das TDDDG zu beachten. Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz schützt unter anderem den Zugriff auf Informationen in Endeinrichtungen. Vereinfacht gesagt: Schon der technische Vorgang, bei dem ein Tracking-Pixel auf dem Gerät der empfangenden Person geladen wird, ist in der Regel bereits einwilligungspflichtig, unabhängig davon, ob anschließend personenbezogene Daten verarbeitet werden.

Praktisch bedeutet das: Auch rein anonymes Tracking kann unter das TDDDG fallen, wenn dafür ein Pixel oder vergleichbare Technik eingesetzt wird.

Welche Rechtsgrundlage kommt für Newsletter-Tracking in Betracht?

Für personenbezogenes Newsletter-Tracking kommt in der Praxis regelmäßig nur die Einwilligung der betroffenen Person in Betracht, also Art. 6 Abs. 1 lit. a DSGVO.

Ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO ist bei individuellem Tracking nur schwer tragfähig. Die Datenschutzkonferenz hat in ihrer Orientierungshilfe zur Direktwerbung klargestellt, dass eingriffsintensivere Maßnahmen, etwa die Erstellung individueller Zielgruppenprofile oder die Analyse des Nutzungsverhaltens, grundsätzlich nicht auf eine Interessenabwägung gestützt werden sollten.

Über die Grenzen des berechtigten Interesses kann (wie immer) diskutiert werden, allerdings hilft das in der Praxis nur begrenzt. Denn unabhängig von der datenschutzrechtlichen Bewertung nach der DSGVO verlangt § 25 TDDDG für den Zugriff auf das Endgerät grundsätzlich eine vorherige Einwilligung. Das Laden eines Tracking-Pixels ist genau ein solcher Zugriff.

Gibt es Ausnahmen vom Einwilligungserfordernis?

Ja, aber sie sind eng. Die französische Datenschutzbehörde CNIL hat in ihrer Empfehlung zu Tracking-Pixeln in E-Mails aus April 2026 bestimmte Fallgruppen beschrieben, in denen ein Einsatz ohne Einwilligung in Betracht kommen kann. Dazu gehören insbesondere:

  • Zustellbarkeits-Management: Ein Pixel kann ausnahmsweise zulässig sein, wenn es ausschließlich dazu dient, inaktive Empfänger:innen zu erkennen und Verteilerlisten zu bereinigen. Entscheidend ist, dass nur das Datum der letzten Öffnung gespeichert wird und keine Profilbildung stattfindet.
  • Sicherheits- und Authentifizierungszwecke: Denkbar ist ein einwilligungsfreier Einsatz etwa bei bestimmten Sicherheitsmechanismen, zum Beispiel im Zusammenhang mit einer Zwei-Faktor-Authentifizierung.

Diese Ausnahmen tragen aber nicht das übliche Marketing-Tracking. Wer wissen möchte, welche Inhalte geöffnet oder angeklickt werden, bewegt sich außerhalb dieser engen Fallgruppen.

Wie kann die Einwilligung sinnvoll eingeholt werden?

Die Einwilligung muss freiwillig, und für den bestimmten Fall in informierter Weise, nachweisbar und unmissverständlich abgegeben werden. Das ergibt sich aus Art. 4 Nr. 11 und Art. 7 DSGVO. Die Anforderungen lassen sich auf § 25 TDDDG übertragen.

Am praktikabelsten ist es meist, die Tracking-Einwilligung direkt bei der Newsletter-Anmeldung einzuholen. Genau in diesem Moment gibt die Person ihre E-Mail-Adresse an und entscheidet sich für den Newsletter. Der Zusammenhang zwischen Anmeldung, Versand und Tracking ist dann am besten nachvollziehbar.

Wichtig ist aber die konkrete Ausgestaltung. Im Anmeldeformular sollte klar erklärt werden, dass Tracking-Techniken eingesetzt werden, zu welchen Zwecken das geschieht (zum Beispiel Erfolgsmessung oder Personalisierung) und dass die Einwilligung jederzeit widerrufen werden kann. Ein Link auf die Datenschutzerklärung ist sinnvoll, ersetzt aber nicht jede Information im Formular.

Kann die Tracking-Einwilligung an die Newsletter-Anmeldung gekoppelt werden?

Vom klassischen Kopplungsverbot sollte man in diesem Zusammenhang nicht vorschnell sprechen. Art. 7 Abs. 4 DSGVO zielt vor allem auf Fälle, in denen die Erfüllung eines Vertrags oder die Erbringung einer Dienstleistung von einer Einwilligung abhängig gemacht wird, die dafür nicht erforderlich ist. Bei der Newsletter-Anmeldung geht es aber zunächst um die Frage, wie spezifisch die Einwilligung ausgestaltet sein muss. Letztlich handelt es sich beim Versand und Tracking ja zunächst um verschiedene Zwecke.

In der Praxis dürfte eine vollständige Trennung nicht leicht umsetzbar sein. Viele Newsletter-Systeme sind so aufgebaut, dass Tracking entweder für den gesamten Versand aktiviert ist oder nicht. Eine Infrastruktur mit Empfänger:innen „mit Tracking“ und „ohne Tracking“ kann technisch und organisatorisch kaum abgebildet werden.

Die CNIL erkennt in ihrer Empfehlung an, dass eine gemeinsame Einwilligung für elektronische Direktwerbung und das unmittelbar damit verbundene Tracking grundsätzlich möglich sein kann, wenn die Zwecke eng miteinander zusammenhängen und transparent beschrieben werden. Mit Blick auf die Praxis ist das eine willkommene Aussage. Trotzdem bleibt ein Restrisiko, dass deutsche Aufsichtsbehörden das anders beurteilen.

Kann die Tracking-Einwilligung nachträglich eingeholt werden?

Häufig verfügt ein Unternehmen über historisch gewachsene Verteilerlisten, deren Einwilligungen zu einer Zeit eingeholt wurden, in der Tracking noch kein Thema war. Somit entsteht hier eine gewisse Lücke, da für diese Personen keine Rechtsgrundlage für das Tracking vorliegt. Die CNIL hält es in solchen Fällen für möglich, die Einwilligung nachträglich einzuholen. Dafür kann eine gesonderte E-Mail versendet werden, die auf eine Einwilligungs- oder Präferenzoberfläche verweist. Wichtig ist dabei, dass diese E-Mail selbst keine einwilligungspflichtigen Tracking-Technologien enthält. Sonst würde das Tracking bereits stattfinden, bevor die betroffene Person überhaupt entscheiden konnte.

Auch die Entscheidung muss echt freiwillig bleiben. Die empfangende Person muss aktiv zustimmen. Bloßes Nichtstun reicht nicht. Reagiert sie nicht, ist das als Ablehnung zu behandeln. Für die Praxis muss bedacht werden, dass es sodann technisch möglich sein muss, Newsletter mit und ohne Tracking zu versenden.

Was gilt bei der Bestandskundenausnahme?

Nicht jeder Werbe-Newsletter benötigt für den Versand selbst eine Einwilligung. § 7 Abs. 3 UWG erlaubt E-Mail-Werbung an Bestandskundschaft unter engen Voraussetzungen. Erforderlich ist insbesondere, dass

  • das Unternehmen die E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat,
  • die Werbung eigene ähnliche Waren oder Dienstleistungen betrifft,
  • die Kundin oder der Kunde der Verwendung nicht widersprochen hat,
  • bei Erhebung der Adresse und bei jeder Verwendung klar auf die Widerspruchsmöglichkeit hingewiesen wird.

Sind diese Voraussetzungen erfüllt, kann der Versand des Newsletters zulässig sein, ohne dass vorher eine ausdrückliche Werbeeinwilligung eingeholt wurde.

Das bedeutet aber nicht, dass auch Tracking erlaubt ist. Die Bestandskundenausnahme betrifft nur den Versand der E-Mail. Sie ersetzt keine Tracking-Einwilligung. Wird im Newsletter ein Tracking-Pixel eingesetzt oder Klick-Tracking verwendet, ist dieser Vorgang rechtlich nicht abgedeckt. Für Unternehmen ist das ein wichtiger Punkt: Wer Bestandskundschaft ohne ausdrückliche Newsletter-Einwilligung anschreibt, sollte nicht automatisch das gleiche Tracking einsetzen wie bei Empfänger:innen, die eine vollständige Marketing- und Tracking-Einwilligung abgegeben haben. Auch hier ist theoretisch denkbar, die Einwilligung für das Tracking nachträglich einzuholen.

Was Unternehmen prüfen sollten

Unternehmen, die Newsletter-Tracking einsetzen, sollten sich nicht allein auf die Standardeinstellungen ihres Newsletter-Tools verlassen. Nicht alles, was technisch möglich ist, ist rechtlich auch erlaubt. Da die Newsletter-Tools die Daten als Auftragsverarbeiter verarbeiten, bleibt das Unternehmen für die Trackingmaßnahmen verantwortlich. Es ist dabei außerdem irrelevant, ob das Tracking überhaupt ausgewertet wird oder nur Beiwerk ist.

Sinnvoll ist eine kurze, aber gründliche Prüfung:

  • Welche Tracking-Funktionen sind aktiviert?
  • Liegt eine wirksame Einwilligung vor?
  • Werden Bestandskundschaft anders behandelt?
  • Ist die Datenschutzerklärung vollständig?

Sie setzen Newsletter-Tracking ein und sind unsicher, ob eine wirksame Einwilligung vorliegt?  Melden Sie sich gerne hier.

Fazit: Erst einwilligen, dann tracken

Newsletter-Tracking kann für Unternehmen sehr wertvoll sein. Es zeigt, welche Inhalte funktionieren, welche Themen die Zielgruppe interessieren und wo Kommunikation verbessert werden kann.

Rechtlich sollte Tracking aber nicht als bloße technische Standardeinstellung behandelt werden. Wer Öffnungen und Klicks auswertet oder Tracking-Pixel einsetzt, braucht in der Regel eine wirksame Einwilligung. Dabei sind Versand und Tracking rechtlich zwei verschiedene Dinge. Auch wenn ein Newsletter auf Grundlage der Bestandskundenausnahme versendet werden darf, folgt daraus noch keine Erlaubnis für Tracking.

Unternehmen sollten deshalb ihre Newsletter-Prozesse, Einwilligungstexte und technischen Einstellungen prüfen. So lässt sich Tracking sinnvoll nutzen, ohne unnötige rechtliche Risiken einzugehen und ohne das Vertrauen der Empfängerinnen und Empfänger zu verspielen.

Julia Ruhe ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.

Holen Sie die Datenschutzkanzlei an Bord

R

Rechtsberatung für Daten, Tech und Marketing

R

Unterstützung von Unternehmen, Rechtsabteilungen und internen Datenschutzbeauftragten

R

Benennung zum externen Datenschutzbeauftragten

R

Echte Lösungen statt nerviger Hindernisse