Newsletter Marketing & Datenschutz

Das Versenden von Newslettern ist ein beliebtes Werbemittel und es gibt zahlreiche Dienstleister auf dem Markt, die das Newsletter Marketing erleichtern sollen. Denn sie bieten nicht nur Templates und sorgen für einen professionellen Look der E-Mails, sondern Sie verwalten auch Kundendaten und liefern eine Statistik zu Öffnungsraten, Klickraten und Profilbildung gleich mit. So können Marketeers ihre Kampagnen optimieren und noch gezielter auf ihre Kunden eingehen. Allerdings ist Newsletter Marketing datenschutzrechtlich ein sehr sensibles Thema.

Wir zeigen Ihnen, wie Sie Ihren Newsletter rechtssicher gestalten können.

Warum ist Newsletter Marketing so sensibel?

Im Newsletter Marketing werden einige personenbezogene Daten erhoben. Im besten Fall müssen Kunden und Kundinnen nur ihre E-Mail-Adresse angeben und nicht noch ihren Namen oder andere Daten. E-Mail-Adressen können missbraucht und von Dritten eingegeben werden, ohne dass die Person davon weiß.

Aufgrund der hohen Zahl unerwünschter E-Mails - sogenannte Spam-Mails hat der Gesetzgeber mit dem UWG (Gesetz gegen den unlauteren Wettbewerb), genauer im § 7 festgelegt, dass u. a. Werbung per E-Mail ohne Einwilligung eine unzumutbare Belästigung darstellt. Der betreffende Wortlaut des § 7 UWG:

(2) Eine unzumutbare Belästigung ist stets anzunehmen (...) bei Werbung unter Verwendung (...) elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt, (...)

Zwar ist gemäß Erwägungsgrund 47 der DSGVO die Direktwerbung im Rahmen des Art. 6 Abs. 1 lit. f DSGVO (Direktwerbung als berechtigtes Interesse) grundsätzlich zulässig, allerdings gilt in diesem Fall, dass das UWG – welches eben dies verbietet – schwerer wiegt. Professionelle Newsletter-Tools analysieren zudem das Nutzerverhalten (Öffnungs- und Klickraten sowie Profilbildung), um genaue Statistiken liefern zu können und das Newsletter Marketing zu optimieren.

Tracking und Analyse / Profilingmaßnahmen im Newsletter Marketing:

Öffnungsraten

Eine Öffnungsrate verrät, wie viele der Adressaten den versendeten Newsletter geöffnet haben. Das funktioniert so, dass ein Zählpixel, oder auch Web-Beacon genannt, in Form eines HTML-Codes in der E-Mail eingebunden wird und aufgrund seiner individuellen Empfängerkennung beim Öffnen der E-Mail auf dem Server des Absenders abgerufen wird.

Klickraten

Die Klickraten informieren darüber, welche Links in den E-Mails wie häufig angeklickt wurden. Dafür werden die eigentlichen Links durch Links ersetzt, die auf den Server des Versenders verweisen und eine individuelle Empfängerkennung erhalten. So wird bei einem Klick auf den Link, der Klick auf dem Server registriert und anschließend zur eigentlichen Linkquelle umgeleitet.

Profilbildung

Auf der Basis dieser Daten können Profile erstellt werden.  Es können Inhalte der Mailings besser an die Interessen der Empfänger angepasst werden und erkannt werden, wie/warum Empfänger ein Abonnement beenden. Manche Dienste arbeiten sogar mit der Analyse von Scroll- und Mausbewegungsverhalten.

Cookie Richtlinie für E-Mails

Das Thema Einwilligungspflicht wurde in der ePrivacy-Verordnung als Cookie Richtlinie bekannt. Das kommt daher, dass es sich meist um das Setzen von Cookies handelt. Allerdings betrifft diese Richtlinie das Speichern und Auslesen von Daten auf Endgeräten der NutzerInnen allgemein und gilt daher auch für das E-Mail-Marketing, in dem solche nutzerbasierten Analysen mittels „Web-Beacons“ und Ähnlichem vorgenommen werden.

Einwilligungspflicht beim Tracking & Profiling 

Somit gilt die Einwilligungspflicht zum Einen für das Tracking, durch welches Informationen auf Endgeräten ausgelesen werden, und zum Anderen für das Profiling, durch welches gezielte Nutzerprofile erstellt werden.

Die Einwilligungspflicht wurde zuletzt durch den Europäischen Gerichtshof und den Bundesgerichtshof für die deutsche Umsetzung im § 15 Abs. 3 S. 1 TMG bestätigt.

Die Einwilligungspflicht ist außerdem damit zu begründen, dass weder das Tracking noch das Profiling notwendig sind und das berechtigte Interesse entfällt, auch wenn einige genau damit versuchen zu argumentieren. Das berechtigte Interesse gilt jedoch nur dann, wenn die Interessen der EmpfängerInnen am Schutz ihrer Daten die betriebswirtschaftlichen Interessen der Versendenden nicht überwiegen (Erwägungsgrund 47 DSGVO). Da jedoch die meisten EmpfängerInnen überhaupt nichts von der Datenerhebung im Hintergrund wissen, sieht die Lage für die Versendenden meist schlecht aus.

e-Privacy und DSGVO:

Die Datenschutzgrundverordnung regelt die Verarbeitung personenbezogener Daten. Die ePrivacy Verordnung regelt die elektronische Privatsphäre auf Endgeräten der NutzerInnen und schützt diese vor Zugriffen durch Dritte. Die ePrivacy gilt vorrangig, weswegen sie die Öffnungs- und Klickraten regelt. Die DSGVO gilt bezüglich des geräteunabhängigen Profilings. Letztlich muss in beiden Fällen eine Einwilligung vorliegen, weshalb die Unterscheidung nicht unbedingt notwendig ist.

Anforderungen an eine wirksame Einwilligung 

Den Anforderungen an eine wirksame Einwilligung liegt die Datenschutzgrundverordnung (Art. 4 Nr. 11) zugrunde. Laut DSGVO muss eine Einwilligung aktiv, informiert und freiwillig gegeben werden. Das bedeutet, dass NutzerInnen vorab über die Datenverarbeitung informiert werden müssen, um auf dieser Basis eine aktive Entscheidung treffen zu können, durch Ablehnen dieser sie keine Nachteile erleiden. Denn das sogenannte Kopplungsverbot (Art. 7 Abs. 4 DSGVO) besagt, dass eine Einwilligung nicht als freiwillig gilt, wenn sie zur Bedingung eines Vertragsabschlusses gemacht wird, ohne für den Vertrag notwendig zu sein.

Außerdem muss die Einwilligung unmissverständlich sein und nur für den bestimmten Fall gelten.

Eine Einwilligung ist also nur gültig, wenn

  • der Nutzer/die Nutzerin seine/ihre Einwilligung bewusst und eindeutig erteilt hat (Transparenz),
  • die Einwilligung protokolliert wird,
  • der Nutzer/die Nutzerin den Inhalt der Einwilligung jederzeit abrufen kann und
  • der Nutzer/die Nutzerin die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Extra Häkchen nicht nötig

Im Newsletter Marketing ist das Double-Opt-In bereits ein gängiges Verfahren. Damit bestätigen Newsletter-AbonnentInnen durch einen Klick in einer gesonderten E-Mail, dass sie den Newsletter erhalten wollen. Im Falle des Trackings und Profilings ist nun umstritten, ob NutzerInnen einen extra Haken setzen müssen, um ihr Einverständnis auch diesbezüglich explizit zu geben. Dies ist jedoch unserer Meinung nach nicht notwendig, wenn Sie in dieser E-Mail über die Datenverarbeitung informieren.

Beispieltext für Ihr Newsletter-Anmeldeformular:

Wenn Sie unseren E-Mail-Newsletter abonnieren, erklären Sie Ihr Einverständnis zum Erhalt regelmäßiger Informationen zu aktuellen Meldungen und Neuigkeiten der Muster GmbH (Betreiber von muster-website.de) sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unseren Datenschutzhinweisen.

Versand von Werbemails an Bestandskunden

Wir machen immer wieder die Erfahrung, dass Unternehmen Newsletter verschicken möchten und dabei nicht wissen, wie sie mit Bestandskunden umgehen sollen, deren Daten sie bereits (freiwillig) erhalten haben, aber die explizite Erlaubnis für Newsletter fehlt.

Gut zu wissen ist erstmal, dass Sie grundsätzlich an Bestandskunden Werbemails versenden dürfen, wenn sie diese im Rahmen des Bestellvorgangs auf die Möglichkeit des Versandes der Werbemailings und die Widerspruchsmöglichkeiten hingewiesen haben und sich die Werbemails auf ähnliche Produkte und Dienstleistungen, wie die erworbenen, beschränken.

Tracking bei Werbemails an Bestandskunden 

Der Versand von Werbemails an Bestandskunden ist unter den oben genannten Bedingungen zwar möglich – auch ohne Einwilligungsprozess – aber so konnte auch keine Einwilligung für Tracking- und Profilingmaßnahmen eingeholt werden.

Was also tun? Um hier auf der rechtssicheren Seite zu bleiben, haben Sie zwei Möglichkeiten:

  1. Im Rahmen des nächsten Bestellabschlussverfahrens die explizite Einwilligung holen.
  2. Eine nachträgliche Einwilligungsanfrage per E-Mail versenden. Allerdings ist nicht ganz klar, ob so eine E-Mail noch unter die Kategorie „Werbung für ähnliche Produkte und Waren“ fällt.

Bei bereits bestätigten Newsletter-Abos – ohne die Einwilligung zum Tracking und Profiling – kann dies ohne Zweifel an der Zulässigkeit dieser Anfrage nachgeholt werden.

Wenn die Einwilligung fehlt

Bei Adressaten ohne Einwilligung in die Analysemaßnahmen müssen Tracking- und Profilingoptionen deaktiviert werden.

Nachweis der Einwilligung

Ein weiterer wichtiger Bestandteil des datenschutzkonformen E-Mail-Marketings nach DSGVO ist die Dokumentation der Einwilligung, um im Zweifel nachgewiesen werden zu können.

Die meisten Dienstleister protokollieren dies automatisch. Sie sollten jedoch auch die DOI-Vorlagen (falls sich diese im Laufe der Zeit ändern) mit Zeitraum dokumentieren.

Konsequenzen & Zusammenfassung:

Zu den rechtlichen Konsequenzen bei Missachtung der Datenschutzgesetze zählen Bußgelder gemäß Art. 83 Abs. 5 DSGVO (bis zu 4% des Umsatzes des Vorjahres), Schadensersatzforderungen gemäß Art. 82 Abs. 1 DSGVO und Abmahnungen (Gebühren, Anwaltskosten etc.).

Worauf Sie beim Newsletter-Anmeldeformular achten sollten:

  1. Den Inhalt nicht zu eng und nicht zu weit fassen. Schreiben Sie nicht „Gewinnspiele“, damit schränken Sie sich ein. Angaben wie „Interessante Informationen“ oder „Werbung“ ist zu allgemein und somit unzulässig.
  2. Nach dem Prinzip der Datensparsamkeit sollten Sie nach nicht mehr als der E-Mail-Adresse fragen. Sollten Sie andere Informationen (wie Namen) abfragen, begründen Sie dies.
  3. Vergessen Sie nicht den Hinweis auf die Analysemaßnahmen / Erfolgsmessung wie Klickraten etc., da diese Maßnahmen sonst nicht im DOI inbegriffen sind.
  4. Protokollieren Sie die Anmeldung, um bei Rechtsstreitigkeiten einen Nachweis vorlegen zu können (im besten Fall mit IP-Adresse).
  5. Weisen Sie Ihre Abonnenten und Abonnentinnen auf ihre Widerrufsmöglichkeiten hin.

Am besten reißen Sie die Punkte im Formular oder in der DOI-Mail kurz an und verweisen dann auf weitere Informationen in der Datenschutzerklärung (mit Link), wo Sie die Datenverarbeitung nochmal im Detail beschreiben (Zwei-Ebenen-Modell).

Außerdem sollten Sie Ihren Newsletter Dienstleister gewissenhaft auswählen und mit diesem einen Auftragsverarbeitungsvertrag abschließen (was meistens in den AGBs der Dienstleister bereits enthalten ist). Besonders bei Anbietern aus einem Nicht-EU-Land / Drittland sollten Sie die Angemessenheit des Datenschutzniveaus gewährleisten können.

Ihr Ansprechpartner: Jörg ter Beek

Privatsphäre aus Prinzip

Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.

Titelbild: Markus Winkler @unsplash