Wer beim Versenden von Newsletter E-Mail-Adressen in Links einbaut, die zu einer Website eines Dritten führen, sollte darauf achten, dass diese nicht unverschlüsselt in der URL zu sehen sind. Dies ist ohne eine zusätzliche Einwilligung des Betroffenen rechtswidrig und kann sogar mit einem Bußgeld geahndet werden.

In manchen Newslettern werden weiterführende Links zu Internetseiten Dritter integriert und die E-Mail-Adresse des Empfängers im Klartext in den Link integriert. Klickt der Empfänger auf den Link, wird seine E-Mail-Adresse in der URL angezeigt und dem Dritten übermittelt.

Haben E-Mail-Adressen Personenbezug?

Eine E-Mail-Adresse ist ein personenbezogenes Datum, sobald sie einem Namen einer natürlichen Person zugeordnet werden kann. Im Zweifel sollte bei E-Mail-Adressen immer von einem Personenbezug ausgegangen und darauf geachtet werden, dass die Erhebung, Verarbeitung und Nutzung nur bei Vorliegen einer Einwilligung zulässig ist.

Liegt eine Übermittlung vor?

Die Frage, ob das Einsetzen der E-Mail-Adresse in einen Link, der zu einer Website eines Dritten führt und diesem unverschlüsselt anzeigt wird, eine Einwilligungsbedürftige Übermittlung ist, kann nicht so einfach beantwortet werden. Denn die Übermittlung von personenbezogenen Daten setzt ein aktives Tätigwerden der verantwortlichen Stelle, hier also des Versender, voraus.

Gegen ein aktives Tätigwerden des Versenders der E-Mail spricht, dass nicht sie selbst sondern der Empfänger des Newsletters tätig wird, um seine E-Mail-Adresse an den Dritten zu übermitteln. Nur wenn der Empfänger den Link tatsächlich anklickt, findet die Übermittlung tatsächlich statt.

Andererseits kann man schon in der Einbettung der E-Mail-Adresse in den Link eine Übermittlung sehen. Schließlich weiß der Nutzer im Zweifel gar nicht, dass seine E-Mail-Adresse in den Link integriert ist. Wird der Empfänger nicht ausreichend darüber informiert, dass beim Anklicken des Links seine E-Mail-Adresse übermittelt wird, kann er sein Selbstbestimmungsrecht auch nicht ausüben.

Letztlich nutzt der E-Mail-Versender den Empfänger für die Übermittlung. Weiß dieser nichts davon, dass personenbezogene Daten in dem Link enthalten sind, kann man ihm das Klicken auch nicht als eigene Übermittlungshandlung zurechnen. Es spricht daher mehr für eine weite Auslegung des aktiven Tätigwerdens seitens der verantwortlichen Stelle und somit für eine einwilligungsbedürftige Übermittlung.

Datenschutzwidrige Nutzung der E-Mail-Adresse?

Unabhängig von der Übermittlung kann schon das Nutzen der E-Mail-Adresse zum Einbetten in einen Link einwilligungsbedürftig sein.

Das BDSG versteht unter der Nutzung jede Verwendung personenbezogener Daten, soweit es sich nicht um eine Erhebung oder Verarbeitung handelt. Dabei ist die Nutzung des Informationsgehalt entscheidend, nicht aber wer die Daten nutzt, zu welchem Zweck es geschieht und ob genutzte Daten zur Kenntnis genommen werden.

Die reine Handlung, die E-Mail-Adresse in einen Link einzubetten, ohne diesen zunächst einmal zu verschicken oder zu veröffentlichen, stellt eine Nutzung personenbezogener Daten dar. Die Nutzung ist wie auch die Übermittlung rechtfertigungsbedürftig. Eine Einwilligung liegt nicht vor, denkbar ist aber eine Rechtfertigung nach den Grundsätzen von § 28 Bundesdatenschutzgesetz (BDSG).

Doch auch hier überwiegen die Interessen des Adressinhabers, dass seine Adresse nicht in dieser Weise in die Links eingebettet wird. Eine gesetzliche Grundlage steht daher ebenfalls auf sehr wackeligen Füßen.

Wie wird es richtig gemacht?

Es ist denkbar, dass für die Nutzung und Übermittlung eine Einwilligung der Betroffenen vom Versender der Newsletter eingeholt wird. Dabei ist darauf zu achten, dass an Einwilligung spezielle Anforderungen geknüpft sind. Eine solche Einwilligung ist nur dann wirksam, wenn der Betroffene durch deutliche Hervorhebung (Fettdruck, Unterstreichung, Umrandung, Farbe etc.) auf die Erteilung der Einwilligung aufmerksam gemacht wird. Dies gilt besonders für Einwilligungen, die über die erwarteten Werbezwecke des Betroffenen hinausgehen.

Auch die Nutzung von Pseudonymen wäre eine Alternative. Die Nutzung muss den Voraussetzungen des § 15 TMG entsprechen, wonach der Anbieter für Zwecke der (personalisierten) Werbung Nutzungsprofile erstellen darf, wenn

• der Nutzer nicht widerspricht (Opt-out muss also möglich sein),
• der Anbieter den Nutzer auf sein Widerspruchsrecht hingewiesen hat (die Datenschutzerklärung muss angepasst werden) und
• die Nutzungsprofile nicht mit der E-Mail-Adresse oder anderen Daten über den Träger des Pseudonyms zusammengeführt werden.

Für den Dritten, der ansonsten die E-Mail-Adresse übermittelt bekommt, macht das insofern immer noch Sinn, dass er für statistische Zwecke anonym tracken kann, welcher Newsletter-Abonnent von welcher Seite wie oft auf die Seite zugreift. Darauf basierend kann der Dynamisierungsprozess der Marketingautomation angepasst und verbessert werden.

Für den Versender des Newsletters macht in diesem Zusammenhang auch eine Marketing-Automation Sinn. Dabei wird der Inhalt der Newsletter in Abhängigkeit vom Klick- und Surfverhalten für den Empfänger zusammengestellt. Dabei können die Links zu Dritten, auf die aus dem Newsletter verlinkt wird, so dynamisiert werden, dass sich der angezeigte Inhalt trotz gleichbleibenden Links mit der Zeit anpassen lässt.

Verbindung mit Marketing-Automation?

Damit zusammenhängend kann auch eine Marketing-Automation eingesetzt werden. Dabei wird der Inhalt der Newsletter in Abhängigkeit vom Klick- und Surfverhalten für den Empfänger zusammengestellt. Dabei können die Links zu Dritten, auf die aus dem Newsletter verlinkt wird, so dynamisiert werden, dass sich der angezeigte Inhalt trotz gleichbleibenden Links mit der Zeit anpassen lässt.

Bei der Marketingautomation muss darauf geachtet werden, dass eine gesonderte Einwilligung eingeholt wird. Für die Pseudonymisierung bedarf nur dann einer Einwilligung, wenn das Pseudonym mit personenbezogenen Daten zusammengeführt wird.

Fazit

Sowohl die Nutzung von E-Mail-Adressen zum Einbinden in links als auch die Übermittlung dadurch an Dritte sind Einwilligungsbedürftige Handlungen. Das Einfügen einer erweiterten Newsletter-Einwilligung auf der Website ist leicht umzusetzen. Jedoch ist die Pseudonymisierung von Nutzerprofilen und deren Verschlüsselung sowie die Marketing-Automation für das eine oder andere Unternehmen eine Herausforderung und sollte nicht unterschätzt werden.