Wer einen Newsletter verschickt, der möchte gerne auch wissen, ob er gut ankommt – und zwar nicht nur technisch (also ob er übermittelt wurde), sondern auch inhaltlich (ob es interessant ist). Dahinter steckt natürlich der häufig gesehene und gern unternommene Versuch, die Wirksamkeit einer Werbekampagne zu messen (und sie der Chefetage im Unternehmen schmackhaft zu machen). Da hier zwangsläufig messbar wird, wie eine bestimmte einzelne Person reagiert oder wie sie sich verhalten hat, gilt es auch dieses Vorhaben datenschutzrechtlich zu würdigen.
Tracking = Werbung = Erfordernis von Einwilligung
Zunächst mal gilt es festzuhalten, dass hier die gleichen Grundregeln gelten wie für den Versand des Newsletters „an sich“, mithin handelt es sich um Werbung. Deshalb bedürfen integrierte Tracking-Funktionen, um die Öffnung, das Schließen und den Klick auf ein Werbemittel (z. B. ein Anzeigenbild) bei E-Mails auszuwerten, stets einer ausdrücklichen Einwilligung. Die praktische Herausforderung liegt darin, dass die Einwilligung vorab (d. h. vor Zusenden einer entsprechenden Mail) einzuholen ist. Dabei spielt es auch keine Rolle, ob das Tracking über Cookies, Zählpixel oder individualisierte (= personalisierte) Links erfolgt. Doch das ist leichter gesagt als getan.
Möchte man also eine personalisierte Einladung zu einer Veranstaltung (z. B. einem Webinar) per E-Mail versenden, muss die Einholung der Erlaubnis irgendwo passend im Vorhinein „untergebracht“ werden. Ob auf der Homepage, auf einem Anmeldeformular (vielleicht sogar – Achtung, Anachronismus-Gefahr – in Papierform) oder per individueller Abfrage in einer (ansonsten bereits als zulässig bewerteten) E-Mail; die zur Debatte stehenden Optionen sind untereinander rechtlich gleich gut geeignet.
Freiwillig, freiwillig, freiwillig …
Dabei gilt es besonders zu beachten, dass der Empfang des Newsletters oder die Anmeldung zum Webinar nach Möglichkeit nicht an die Einwilligung in die Datenverarbeitung zum Zwecke des Trackings gekoppelt wird. Anders formuliert: Es muss möglich sein, die gewünschten Dienste auch ohne entsprechendes Tracking in Anspruch zu nehmen; nur dann ist von einer echten Freiwilligkeit im Sinne von Art. 7 DSGVO auszugehen.
Wenn übrigens dazu noch ein Dienstleister eingesetzt wird und die Datenverarbeitung dabei (auch) außerhalb der EU stattfindet, sind zusätzlich die Anforderungen aus dem sog. Schrems II-Urteil vom EuGH (C‑311/18) zu beachten. Diese Darstellung kennt man bereits von den allseits beliebten Tracking-Bannern auf Webseiten.