I. Newsletter-Tracking – Was ist wann zulässig?
Liebe Leser und Datenschutz-Interessierte,
heute informieren wir Sie über ein aktuelles Thema im Bereich E-Mail-Werbung. Viele von Ihnen betreiben sicher einen Newsletter für Ihre Kunden, Geschäftspartner und/oder Interessenten. Heute möchten wir uns nicht den allgemeinen datenschutzrechtlichen Anforderungen an den Betrieb eines Newsletters (z.B. Einwilligung per Double-Opt-In-Verfahren) widmen, sondern vielmehr einem vermeintlichen Randthema, das jedoch schnell Haftungsrisiken produzieren kann; Datenschutz und Newsletter lassen sich bei genauerer Betrachtung gut miteinander vereinbaren.
1. Messung von Öffnungs- und Klickraten – Datenschutzkonform?
Dieses „Randthema“ ist die Messung von Öffnungs- und Klickraten in Newslettern (und anderen Mailings), die weit verbreitet ist und auch von allen kommerziellen E-Mailversandplattformen angeboten wird. Durch die Messung versprechen sich die Unternehmen oft Informationen über die inhaltliche und visuelle „Akzeptanz“ des Newsletters, die sodann auch in die Gestaltung künftiger Newsletter einfließen.
Ohne Sie nun mit langen rechtlichen Ausführungen (etwa zur E-Privacy-Richtlinie, die rechtliche Aussagen zu diesem Thema enthält) zu langweilen:
- Sie benötigen für die Messung von Öffnungs- und Klickraten sowie (falls zutreffend) für die Profilerstellung eine „zusätzliche“ Einwilligung des jeweiligen Empfängers des Newsletters. Ein separates Kontrollkästchen nur für die Messung ist aber nicht zwingend erforderlich. Allerdings muss der Einwilligungstext deutlich machen, dass Tracking- und Profiling-Technologien im Zusammenhang mit dem Newsletter eingesetzt werden.
2. Einwilligungserklärung Newsletter-Tracking
Einen beispielhafter Einwilligungstext, der direkt in die Anmeldemaske des Newsletters integriert werden kann, finden Sie nachfolgend:
„Mit Ihrem Klick auf „Newsletter abonnieren“ stimmen Sie dem Empfang unseres Newsletters mit Informationen zu [Themen angeben/definieren] und erklären sich in diesem Zusammenhang mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Klick- und Öffnungsraten in entsprechenden Empfängerprofilen zu Zwecken der optimierten Gestaltung künftiger Newsletter einverstanden. Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Ausführlichere Hinweis zu dieser Datenverarbeitung finden Sie in unserer Datenschutzerklärung.“
Achtung: Diese Vorgehensweise ist nur bei „neuen“ Empfängern des Newsletters möglich.
Hintergrund: Für Ihre Direktmailings (per Newsletter) an Bestandskunden für die Sie aus datenschutz- und wettbewerbsrechtlichen Gründen grds. keine Einwilligung benötigen, müssen Sie (leider) anders verfahren. Da bloße Newsletter an Bestandskunden demnach keiner Einwilligung bedürfen, die Messung von Öffnungs- und Klickraten aber schon, müssen Sie eine gesonderte Einwilligung in die damit verbundene Datenverarbeitung einholen. Dies kann – wenn auch umständlich – im Einzelfall per nachträglicher E-Mail an die Betroffenen realisiert werden.
Gleiches gilt auch für Empfänger Ihres Newsletters, die keine Bestandskunden sind. Diese haben zwar (damals) in den Erhalt des Newsletters eingewilligt, nicht aber in die (nun) damit verbundene Messung und Profilerstellung.
II. Wie kann das Newsletter-Tracking datenschutzkonform gestaltet werden
Wir empfehlen, dass Sie Ihre (Newsletter-)Datenbank separieren und in zwei Kategorien gliedern:
- Kategorie = Empfänger mit Einwilligung in die Messung.
- Kategorie = Empfänger ohne Einwilligung in die Messung.
Allen Empfängern, die ihre Einwilligung in die Messung (nachweisbar!) erteilt haben, können Sie den Newsletter mit den technischen Tools zur Messung von Öffnungs- und Klickraten schicken. Allen anderen allerdings nicht. Durch eine solche „Zweiteilung“ können Sie sicherstellen, dass die Öffnungs- und Klickraten nur bei denjenigen Betroffenen erhoben werden, die ihre Einwilligung erteilt haben.
III. Nachweispflicht Einwilligungserklärungen
Denken Sie bei der Einholung von Einwilligungserklärungen auch an Ihre Nachweispflicht gemäß Art. 7 Abs. 1 DSGVO. Jede Einwilligung muss nachweisbar sein und folglich protokolliert werden (systembedingt). Bei etwaigen Auseinandersetzungen mit der Aufsichtsbehörde oder den Betroffenen können Sie so ganz einfach den Nachweis erbringen und sich Kosten und Mühen sparen. Die Löschpflicht bisheriger alter Profile und/oder Mess- und Tracking-Reports muss zudem beachtet werden (Stichwort: Grundsatz der Erforderlichkeit der Aufbewahrung und Grundsatz der Speicherbegrenzung).
Bei der Umsetzung eines datenschutzkonformen Prozesses im Bereich Ihrer Direktmailings- und Newsletteraktionen unterstützen wir Sie gerne – kommen Sie auch bei weiteren (Rück-)Fragen gerne auf uns zu!
Ihre externen Datenschutzbeauftragten der GDPC
Dr. Kevin Marschall und Stephan Blazy