Tracking im Web und beim E-Mailmarketing

Tracking im Internet hat – wie so vieles – zwei Seiten. Für Unternehmen ist es ein wertvolles Werkzeug, um das Verhalten ihrer Websitebesucher, Kunden und Interessenten zu verstehen. Für Nutzerinnen und Nutzer stellt es hingegen oft einen Eingriff in ihre Privatsphäre dar. Heute beleuchten wir das Thema aus der Perspektive des Datenschutzes.

Fragen Sie Ihre Marketingabteilung, werden die Mitarbeitenden ausführliche Listen mit den vielen Vorteilen des Trackings auswendig aufsagen. Ihre Datenschutzbeauftragte wird im besten Falle missbilligend eine Augenbraue hochziehen, wenn Sie sie danach fragen. Doch worüber reden wir beim „Tracking“?

Das Wort „to track“ lässt sich am ehesten mit „verfolgen“ oder „nachverfolgen“ übersetzen. Das erklärt bereits, worum es geht. Tracking-Technologien verfolgen Nutzende auf ihrem Weg durch Ihre Web- oder E-Mailangebote. So stellen Sie beispielsweise fest, welche Teile Ihrer Website Nutzende aufrufen oder welche Links in einer E-Mail sie klicken.

Für Ihre Marketingabteilung sind das essenzielle Daten. Basierend auf diesen Informationen werden Newsletter und Websites inhaltlich und strukturell optimiert. Das Ziel ist eine Steigerung von Besucher- und Klickzahlen – und am Ende eine Optimierung des Umsatzes.

Auch Werbetreibende setzen auf Trackingtechnologien. Fragen Sie sich, warum Sie auf beliebigen Websites plötzlich Werbung für Balkonpflanzen oder Gartenmöbel sehen? Das Stichwort lautet „Retargeting“. Wahrscheinlich waren Sie auf der Website eines Möbelhändlers oder einer Gärtnerei unterwegs. Unternehmen haben ein Interesse daran, dass Sie deren Angebote immer wieder zu Gesicht bekommen. Das funktioniert, wenn Ihr Weg durch das Web nachvollziehbar ist. Wie das funktioniert, schauen wir uns im Folgenden an.

Beim Wort „Tracking“ fällt Nutzenden sofort der Begriff „Cookies“ ein. Die Nutzerverfolgung beginnt jedoch früher. Denn allein der Aufruf einer Website hinterlässt Daten, ohne dass Sie auch nur ein Cookie-Banner wegklicken. Jede Webserversoftware erfasst mindestens IP-Adressen, Uhrzeit, Browser und Betriebssystem sowie die aufgerufene Seite. Diese Daten können ausgewertet werden. Logfile-Analysen waren früher DAS Mittel für Marketer und sind es teilweise heute noch. Die Daten sind einerseits recht zuverlässig und deren Sammlung kann andererseits in der Regel nicht unterbunden werden.

Das klassische Werkzeug des Webtrackings sind jedoch Cookies. Dabei handelt es sich um kleine Textdateien, die eine Website auf Ihrem Computer ablegt. Meist enthalten diese Cookies nicht viel mehr als eine Kette aus Zahlen und Buchstaben. Doch über diese „ID“ wird es möglich, Besucher einer Website über längere Zeit zu identifizieren. Stammt das Cookie von Ihrer Website, reden wir über ein „First-Party-Cookie“. Damit können Sie sehen, wenn ein Besucher wiederkehrt.

Für Werbetreibende sind allerdings die „Third-Party-Cookies“ wesentlich interessanter. Diese Form der Cookies wird – wie der Name sagt – von Dritten auf einer Website gesetzt. Das geschieht beispielsweise über Werbeeinblendungen. Mit Hilfe dieser Cookies wird ein Nutzender über viele verschiedene Websites verfolgt. Somit ist es möglich, ein Profil mit Interessen und Vorlieben zu erstellen. Zielgerichtete Werbung folgt dann „frei Haus“.

Werbeanzeigen von Drittanbietern werden zentral von einem Server ausgespielt und setzen ein Cookie. Nutzer werden damit über verschiedene Websites, die diese Werbung anzeigen, verfolgt. So können ausführliche Nutzerprofile erstellt werden.

Daneben kommen noch weitere Techniken zum Einsatz. Tracking-Pixel sind transparente Bilddateien, die lediglich einen Bildpunkt (Pixel) groß sind und einen Aufruf auf dem Server registrieren. Binden viele Websites ein solches Bild ein, wird der Weg über diese Websites nachvollziehbar. Ergänzt wird das durch Fingerprinting, bei dem Browser- und Geräteinformationen kombiniert werden, um einen eindeutigen „digitalen Fingerabdruck“ zu erzeugen. Selbst wer Cookies blockiert, kann so wiedererkannt werden.

Im Bereich E-Mailmarketing kommen ähnliche Techniken zum Einsatz, sind jedoch noch stärker personalisiert. Die einfachste Form ist auch hier ein Tracking-Pixel. Das Mailprogramm lädt beim Öffnen der E-Mail dieses unsichtbare Bild nach. So ist nachvollziehbar, wer eine Mail geöffnet hat.

Die in einer E-Mail enthaltenen Links führen oft nicht direkt zur Zielseite, sondern über einen Tracking-Server. So lässt sich bestimmen, welche Empfänger auf welche Links geklickt haben. Alternativ erhalten die Links individuelle Parameter. Auch damit ist feststellbar, welcher Empfänger welchen Link aufgerufen hat. Auf diese Weise ist es möglich, Newsletter oder Webinhalte noch stärker zu personalisieren. Die Wahrscheinlichkeit, dass es zu einem Kauf kommt, erhöht sich so deutlich.

Die Verbindungsdaten lassen Rückschlüsse auf den Nutzenden zu. Mit der IP-Adresse lässt sich ein ungefährer Standort ermitteln. Und nicht wenige Unternehmen interessiert es, ob Sie eher mit einem Smartphone oder auf dem Laptop unterwegs sind.

In der Regel fließen diese Daten in einem CRM-Systemen zusammen. Auf Basis dieser Informationen werden Newsletter stark personalisiert. Das beginnt mit Namen und Anrede und endet längst nicht bei individuell zugeschnittenen Produktempfehlungen.

Neben den genannten Techniken existieren unzählige weitere. So vielfältig diese technischen Möglichkeiten sind: Der Datenschutz bestimmt, was davon zulässig ist. In Europa ist die Datenschutz-Grundverordnung (DS-GVO) das zentrale Regelwerk.

Ihre Grundprinzipien lauten:

• Sie dürfen Daten nur zu klar definierten Zwecken verarbeiten. Damit ist es praktisch nicht möglich, Daten „auf Vorrat“ zu speichern, um sie vielleicht später einem Zweck zuzuführen.
• Sie müssen Nutzende informieren. Das bringt Sie in die Pflicht, umfassende und leicht auffindbare Informationen über die von Ihnen erhobenen Daten bereitszustellen. Eine ausführliche Datenschutzerklärung auf der Website ist darum verpflichtend.
• Sie dürfen nur so viele Daten erheben, wie zur Erfüllung des konkreten Zwecks unbedingt notwendig. Möchten Sie einen Newsletter versenden? Dann reicht die E-Mailadresse aus. Die Erhebung einer Telefonnummer ist nicht erforderlich und widerspricht diesem Prinzip.

Die Einwilligung spielt dabei eine zentrale Rolle. Sie muss freiwillig, informiert und nachweisbar sein. Doch was bedeutet das?

Cookies sind längst fester Bestandteil des Web. Einige dieser Cookies sind so essenziell, dass auch der Gesetzgeber erkennt an, dass sie unumgänglich sind. Hier ist dann die Rede von „technisch notwendigen Cookies“. Spracheinstellungen, Login-Informationen oder ein Warenkorb sind notwendig, um das Funktionieren einer Website zu gewährleisten. Cookies, die solche Informationen enthalten, benötigen keine Einwilligung.

Für Cookies, die Werbe- oder Analysezwecken dienen, gilt: Eine aktive Einwilligung ist Pflicht. Erst nach einer solchen Einwilligung dürfen Sie technisch nicht notwendige Cookies überhaupt setzen.

Beachten Sie dabei bitte:
Das Cookie-Banner auf der Website muss die Möglichkeit bieten, Cookies anzunehmen, abzulehnen oder gezielt einzustellen. Alle drei Wahlmöglichkeiten müssen Sie gleichberechtigt anbieten. So ist es nicht zulässig, beispielsweise einen grünen „Annehmen-Button“ und einen roten „Ablehnen-Button“ anzuzeigen.

Häufig findet sich auf Websites ein Banner mit dem Hinweis, dass die weitere Nutzung der Site eine Zustimmung darstellt. Daneben findet sich ein „OK-Button“. Das ist nicht rechtskonform. Cookie-Banner müssen echte Wahlmöglichkeiten bieten.

Ihre Besucher müssen sich darüber hinaus informieren können, welchem Zweck jedes einzelne Cookie dient. Diese Informationen sind über den „Einstellungen-Button“ des Cookie Banner abrufbar.

Übrigens: Die Einwilligung (oder Ablehnung) selbst wird ebenfalls in einem Cookie gespeichert. Dieser zählt zu den technisch notwendigen Cookies.

Aus Sicht des Datenschutzes ist das Fingerprinting noch problematischer. Diese Technik benötigt keine Cookies. Die Nutzenden erfahren in der Regel nichts davon und die Datenschutzbehörden sehen es besonders kritisch. Ohne ausdrückliche Einwilligung ist es unzulässig.

Nur wenn Daten vollständig anonymisiert sind, fallen sie nicht mehr unter die DS-GVO. Doch echte Anonymisierung ist in der Praxis schwer zu erreichen.

Mit modernen Tracking-Methoden identifizieren Sie Aktionen einzelner Empfänger sehr präzise. Das macht es so problematisch. Die rechtlichen Vorgaben sind klar: Daten aus Öffnungs- und Klicktracking gelten als personenbezogene Daten. Eine Einwilligung ist unumgänglich. Diese Einwilligung müssen Sie vor dem Versand einholen und protokollieren.

Der bloße Verweis auf die Datenschutzerklärung genügt nicht. Versenden Sie Newsletter, sollten Sie Ihre Empfänger transparent informieren und (idealerweise) eine Option ohne Tracking bereitstellen. Eine reine Textversion des Newsletter genügt hier.

Verlassen Sie sich nicht auf das häufig angebrachte Argument des „berechtigten Interesses“. Dieser Begriff lässt sich zwar in der Regel sehr flexibel auslegen. In den meisten Fällen wiegt das Persönlichkeitsrecht der Empfänger jedoch schwerer.

Die DS-GVO gewährt Nutzerinnen und Nutzer klare Rechte. Auf diese sollten Sie sich vorbereiten.
Nutzende können

• Auskunft darüber verlangen, welche Daten Sie gespeichert haben. Bedenken Sie dies bei allen Systemen, die Sie einsetzen. Sie müssen jederzeit in der Lage sein, für eine bestimmte Person alle gespeicherten Daten bereitzustellen.
• von ihrem Widerspruchsrecht gegen die Nutzung ihrer Daten Gebrauch machen. Das bedeutet, dass Sie technisch in der Lage sein müssen, die gesammelten Daten einer Person von weiteren Maßnahmen auszuschließen.
• eine Löschung der Daten verlangen. Darum müssen Sie die Möglichkeit besitzen, alle Daten zu einer Person jederzeit vollständig und nachvollziehbar löschen zu können. Bedenken Sie bitte ebenfalls, dass Sie Daten löschen müssen, wenn der Zweck ihrer Erhebung entfällt.

Verstehen Sie diese Rechte nicht als theoretische Konstrukte. Sie müssen Sie beachten, einhalten und praktisch umsetzen.

Betrachten wir alles bis hierhin Gesagte, können wir nur zu einem Schluss kommen: Marketing und Datenschutz stehen sich diametral gegenüber. Das stimmt natürlich nicht. Mit ein paar Handgriffen ist es nicht schwer, beides rechtskonform unter einen Hut zu bringen. Um rechtssicher zu agieren, sollten Sie folgende Punkte beherzigen:

• Transparenz: Informieren Sie Ihre Besucher klar und verständlich, welche Daten Sie erheben und zu welchen Zweck Sie dies tun.
• Einwilligung korrekt einholen: Ob im Cookie-Banner oder im Newsletter-Formular: Lassen Sie Ihre Nutzenden freiwillig einer Datenerfassung zustimmen und protokollieren Sie diese Zustimmung. Denken Sie bei Ihrem Newsletter an das Double-Opt-In. Eine Anmeldung zum Newsletter muss nochmals aktiv bestätigt werden, was Sie ebenfalls protokollieren müssen.
• Alternativen prüfen: Benötigen Sie wirklich alle erhobenen Daten? Prüfen Sie, ob statt individuellem Tracking anonymisierte Statistiken oder allgemeine Trends genügen. Meist reichen diese Daten, um inhaltliche oder strukturelle Verbesserungen vorzunehmen.
• Datensicherheit: Erhobene Daten sind konsequent vor fremdem Zugriff zu schützen. Das gilt auch dann, wenn Dritte diese Daten speichern. In der Regel schleßen Sie einen Vertrag zur Auftragsdatenverarbeitung ab. Dieser entbindet Sie nicht von der Verpflichtung, bei Ihrem Anbieter die Datensicherheit zu kontrollieren.
• Regelmäßige Überprüfung: Sowohl Rechtsprechung als auch Trechnik ändern sich. Prüfen Sie regelmäßig, welche Vorgaben sich geändert haben und welche Verfahren angepasst werden müssen.

Auch alternative Produkte sind eine Überlegung wert. Es muss nicht immer Google Analytics sein, um die Aktivitäten auf einer Website zu verfolgen. Produkte wie beispielweise Matomo erfüllen den gleichen Zweck und benötigen bei korrekter Konfiguration nicht einmal eine Einwilligung des Nutzenden.

Technisch ist beim Tracking nahezu alles möglich. Von der einfachen Wiedererkennung im Web über das Fingerprinting bis hin zu detaillierten Analysen im E-Mailmarketing. Rechtlich sind die Spielräume eng. Ohne transparente Information und ausdrückliche Einwilligungen riskieren Sie nicht nur Bußgelder. Sie setzen auch das Vertrauen Ihrer Interessenten und Kunden aufs Spiel. Gehen Sie als Unternehmen offen mit dem Thema um. Wer transparent agiert, gewinnt am Ende.