retargeting-im-e-mail-marketing-was-erlaubt-der-datenschutzNahezu alle gängigen Newsletter-Tools bieten die Funktion, das Nutzerverhalten beim E-Mail-Marketing nachzuverfolgen. Welche Inhalte sind interessant? Wohin geht der Nutzer nach dem Klick? All dies sind Fragen, die Mailchimp und Co mittlerweile auf den einzelnen Nutzer bezogen beantworten können. Doch kaum ein Unternehmen stellt sich ernsthaft die Frage der rechtlichen Zulässigkeit. Ein kleiner Hinweis in der Datenschutzerklärung sollte genügen, denken viele. Doch stimmt das wirklich?

Der nachfolgende Beitrag untersucht die datenschutzrechtlichen Anforderungen beim Retargeting im E-Mail-Marketing und zeigt was Unternehmen beachten müssen.

 

Erlaubtes Retargeting

Unter dem Begriff Retargeting versteht man ein Verfahren, das es erlaubt einen Nutzer gezielt auf der eigenen Website, im Newsletter oder innerhalb eines Werbenetzwerks zu verfolgen, um ihn anschließend wieder mit gezielter Werbung ansprechen zu können. In der Regel werden hierfür Cookies gesetzt, welche die besuchten Websites und die dazugehörigen Interessen speichern. Der Nutzer hinterlässt quasi einen elektronischen Fingerabdruck, der anschließend ausgewertet wird. Das Sammeln solcher Nutzungsdaten ist grundsätzlich auch ohne Einwilligung rechtlich zulässig (vgl. § 15 Absatz 3 TMG), wenn es sich bei den gespeicherten Informationen um Pseudonyme handelt. Unter Pseudonymen verstehen die Juristen „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren“ (vgl. § 3 Absatz 6a BDSG).

Die Vorschrift des § 15 Absatz 3 TMG gestattet also die systematische Erfassung des Nutzungsverhaltens in Profilen, wenn ein Rückschluss auf eine natürliche Person ausgeschlossen ist und somit ein individuelles Tracking verhindert wird. Im Gegensatz zur Anonymisierung ist bei Pseudonymisierung eine Re-Identifizierung der Betroffenen möglich. Unternehmen müssen aber technisch dafür Sorge tragen, dass eine solche Identifizierung nicht erfolgt (§ 15 Absatz 3 Satz 3 i.V.m. § 13 Absatz 4 Satz 1 Nr. 6 TMG).

Ist eine natürliche Person hingegen durch eine pseudonyme ID ersetzt, erlaubt das Gesetz eine Verknüpfung mit weiteren Nutzungsdaten. So sind Produktvorschläge oder auch gezielte Werbung, basierend auf zuvor ermittelten Seitenaufrufen, möglich, wenn nicht personenbezogen nachvollzogen werden kann, wer sich hinter einer ID konkret verbirgt.

 

Voraussetzung nach § 15 Absatz 3 TMG

Der § 15 Absatz 3 TMG erlaubt also die Erstellung pseudonymisierter Nutzerprofile. Um der individuellen Einwilligung der Nutzer zu entgehen, müssen Unternehmen jedoch folgende Voraussetzungen erfüllen:

  • Pseudonymisierung der Datensätze: Nach dem Gesetz ist der Name oder ein anderes Identifikationsmerkmal durch ein Kennzeichen zu ersetzen, welches die Bestimmung des Betroffenen ausschließt oder wesentlich erschwert;
  • Unterrichtung der Nutzer innerhalb der Datenschutzerklärung;
  • Widerspruchsmöglichkeit (z.B. durch Opt-Out-Link innerhalb der Datenschutzerklärung);

 

Retargeting bei Newslettern

Auch für Versender von Newslettern gilt das TMG, da es sich hierbei um einen Diensteanbieter im Sinne des § 2 Nr. 1 TMG handelt. Im Gegensatz zum herkömmlichen Tracking auf Websites, findet beim Newsletter-Retargeting jedoch in aller Regel eine Verknüpfung zwischen E-Mail-Adresse und Nutzungsverhalten statt. So wird beispielsweise durch den Klick auf ein Angebot oder Produkt innerhalb des Newsletters ein Cookie gesetzt, welches anschließend Informationen über den Abonnenten bezüglich des Surfverhaltens sammelt. Darüber hinaus erlauben moderne Newsletter-Tools die Analyse, welcher Nutzer die Werbemail wann und wie häufig geöffnet hat und welche konkreten Inhalte angesehen wurden.

Diese gesammelten Informationen haben immer dann einen Personenbezug, wenn sie gemeinsam mit der E-Mail innerhalb einer Datenbank gespeichert werden. Es fehlt mithin an einer pseudonymen Nutzung von Profildaten im Sinne von § 15 Absatz 3 TMG. Da es an einer gesetzlichen Rechtfertigung für diese Form der Datenspeicherung regemäßig fehlt, ist eine Einwilligung der Nutzer erforderlich.

Werden die Informationen zum Surfverhalten hingegen nicht mit einer E-Mail-Adresse des Nutzers zusammengeführt, kann auf die Einwilligung verzichtet werden, da durch das Cookie im Regelfall nur pseudonymisierte Daten gesammelt werden. In diesem Fall müssen die Datenbanken sowohl technisch wie auch organisatorisch streng getrennt werden.

 

Wie sieht die Praxis aus?

Der wohl populärste Anbieter Mailchimp bietet verschiedenste Tracking-Produkte an. Beispielsweise ist es möglich nachzuvollziehen, welcher konkrete Empfänger des Newsletters die eigene Website besucht und was er dort veranstaltet hat (z.B. Kauf eines bestimmten Produktes). Diese Information lässt sich anschließend im Mailchimp-Konto hinterlegen, mit der Folge, dass zukünftige Kampagnen auf bestimmte Nutzer angepasst werden. Von einer Pseudonymisierung kann hierbei keine Rede sein, da alle Informationen mit einer (im Regelfall personenbezogenen) E-Mail-Adresse verknüpft werden.

Eine ähnliche Funktion bietet auch der österreichische Anbieter Emarsys, mit einem individuellen Link-Tracking an. Auch hier kann auf Nutzerebene nachvollzogen werden, welche Links geklickt wurden und wo welche Aktionen auf der Zielseite ausgeführt wurden.

 

Umsetzungsempfehlung

Eine gesetzkonforme Lösung ist beim individuellen Tracking nur dann möglich, wenn die Newsletter-Empfänger eine ausdrückliche Einwilligung in diese Form der Erfassung und Auswertung der Nutzungsdaten erteilt haben. Dabei muss die Einwilligung bewusst bereits bei der Anmeldung zum Newsletter erfolgen. Eine bloße Auflistung innerhalb von AGB oder einer Datenschutzerklärung erfüllt hingegen nicht die notwenige Transparenz. Ist eine Einwilligung erteilt, ist diese entsprechend zu protokollieren. Die Einwilligung selbst ist widerrufbar, was bedeutet, das Vorkehrungen geschaffen werden müssen, welche ein nachträgliches Opt-Out ermöglichen (z.B. durch einen Link in der Datenschutzerklärung).

Beispiel für eine Retargeting Einwilligung:
Damit wir unseren Newsletter auf Ihre Bedürfnisse anpassen können, verwenden wir Cookies, welche die von Ihnen gewählten Links speichern und ggf. nachverfolgen (Retargeting). Auf diese Weise erhalten Sie zukünftig vor allem Informationen, die Ihren tatsächlichen Interessen entsprechen. Durch Anmeldung zu unserem Newsletter erklären sie sich mit dieser Vorgehensweise einverstanden. Selbstverständlich haben Sie jederzeit die Möglichkeit dem Retargeting über unsere Datenschutzerklärung (LINK) für die Zukunft zu widersprechen.

 

Fazit

Auch wenn das Problem der fehlenden Einwilligung bisher wenig (bis gar nicht) diskutiert wurde, ändert dies nichts an der grundsätzlichen Erforderlichkeit. Will man als Unternehmen auf der sicheren Seiten stehen, genügt ein bloßer Hinweis innerhalb der Datenschutzerklärung regelmäßig nicht. Vielmehr ist eine ausdrückliche Einwilligung mit Widerspruchshinweis geboten.

 


David OberbeckÜber den Autor:
David Oberbeck ist Rechtsanwalt und Partner der Datenschutzkanzlei. Seine Beratungsschwerpunkte liegen im Datenschutz-, Wettbewerbs- und IT-Recht. Zudem ist er als externer Datenschutzbeauftragter für verschiedene Unternehmen tätig.