Newsletter-Tool CleverReach datenschutzkonform verwenden

Dennis Morgenstern LL.M.
Geschäftsführer
Wirtschaftsjurist

Newsletter sind ein etabliertes Marketing-Tool. Allerdings muss auch eine rechtskonforme Verwendung gewährleistet sein. Der deutsche Newsletter-Anbieter CleverReach erfreut sich hier einer sehr großen Beliebtheit, was für uns Anlass war, den Anbieter zu testen und Ihnen nachfolgend unsere Tipps vorzustellen, wie Sie den CleverReach Newsletter DSGVO-konform verwenden.

1. Welche Pakete gibt es bei CleverReach?

Wie fast bei jedem Newsletter-Anbieter gibt es eine kostenfreie Version. Bei CleverReach handelt es sich hierbei um die Variante „Lite“. Bei dem nächsthöheren, kostenpflichtigen Paket „Essential“ (welches wir getestet haben), gibt es die sogenannten „Premium-Funktionen“. Bei diesen Funktionen liegt auch „der Hase im Pfeffer“, jedenfalls aus datenschutzrechtlicher Sicht.

2. Anmeldeformular erstellen

Um neue Leads zu generieren, benötigt man aber natürlich zunächst eine Newsletter-Anmeldung auf seiner Website. Nachfolgend haben wir ein aus unserer Sicht optimales Anmeldeformular für einen CleverReach-Newsletter, bei dem kein Tracking stattfindet, innerhalb des Formular-Generators erstellt:

An der Überschrift erkennt man direkt, wer der Versender der Newsletter ist, da es sich nicht zwangsläufig um den Seitenbetreiber handeln muss. Idealerweise erklären Sie auch kurz, welche Themen innerhalb des Newsletters behandelt werden und geben eine Orientierung zu den Zeitintervallen, in denen der Newsletter erscheint.

Das Wort „Datenschutzerklärung“ soll auf diese verlinken, sowie „Ziffer XY“ auf die entsprechende Stelle der Datenschutzerklärung als Anker-Link.

Leider war es bei unserem Test nicht möglich im Backend von Clever Reach nicht in dem Textfeld für den Text neben der Checkbox auch Links zu setzen. Diese muss man bei Implementierung auf der Website separat im HTML-Code einfügen:

z.B. <a href=“www.frame-for-business.de/datenschutz“>Datenschutzerklärung</a>

Idealerweise gibt es in der Anmeldemaske nur ein einziges Eingabefeld (E-Mail-Adresse), da gemäß dem datenschutzrechtlichen Gebot der Datensparsamkeit, nur solche Nutzerdaten erfasst werden sollen, die unbedingt benötigt werden. Wobei es sich im Falle eines Newsletters eben nur um die E-Mail-Adresse handelt.

Sollen weitere Angaben erfasst werden, wie zum Beispiel der Name, um den Newsletter mit personalisierter Anrede zu gestalten, müssen diese Felder als „freiwillig“ gekennzeichnet werden. Zudem sollte dann auch der Grund, warum diese Daten abgefragt werden, in der Anmeldemaske erläutert werden (z.B. „Um unseren Newsletter personalisiert zu gestalten, würden wir uns freuen, wenn Sie und Ihren Namen mitteilen. Diese Angabe ist selbstverständlich freiwillig“)

Bei Einbindung auf der Website haben wir diese Optionen gewählt (Ein aggressives Pop-Up sollte vermieden werden):

3. Double-Opt-In-Verfahren

Wenn das Anmeldeformular abgesendet wurde, muss sodann verpflichtend das sogenannte Double-Opt-In angestoßen werden. Ohne rechtskonfome Double-Opt-In-Lösung gibt es auch keine wirksame Einwilligung. An dem Douple-Opt-In Verfahren führt daher kein Weg vorbei.

Double-Opt-In bedeutet, dass der Nutzer nach Absenden der Newsletter-Anmeldung eine E-Mail mit einem Bestätigungslink, an die angegebe E-Mail-Adresse erhält, um die Newsletter-Anmeldung nochmals ausdrücklich durch Klick auf den Link zu bestätigen.

Zunächst sollten Sie die Option „Automatische Löschung von nicht bestätigten Empfängern“ aktivieren und die geringst mögliche Zeitdauer (1 Woche) auswählen:

Wir haben den aus unserer Sicht rechtskonformsten CleverReach-„Anmeldehinweis“, innerhalb des Formular-Generators erstellt:

Bei der Gestaltung der Opt-In-Mail müssen einige Anforderungen unbedingt beachtet werden, um zu vermeiden, dass diese E-Mail selbst eine unzulässige Werbung darstellt bzw. so eingestuft werden kann. Wir haben eine entsprechende Lösung der Opt-In-Mail bei CleverReach nachfolgend abgebildet:

4. Tracking

Erstellt man einen neuen Newsletter hat man ab dem Paket „Essential“ verschiedene Tracking-Optionen. Bei dem kostenfreien Pakt ist die Funktion „Klicks messen“ gesperrt:

Wählt man die Funktion „Öffnungen messen“ aus, wird eine 1×1 Pixel Grafik in den Newsletter integriert. Wird der Newsletter geöffnet, ermöglicht das eine entsprechende Messung (allerdings nur bei HTML-Mails). Durch den Wert kann man einzelne und alle Öffnungen nachvollziehen (also auch Mehrfachöffnungen).

Aktiviert man die Funktion „Klicks messen“, wird jeder Hyperlink innerhalb des Newsletters in einen Tracking-Link umgewandelt. Klickt ein Nutzer auf einen Link, erfolgt eine Weiterleitung über die CleverReach-Server wodurch die Messung der Klicks durchgeführt wird. Auch durch diesen Wert kann man einzelne und alle Klicks nachvollziehen (also auch Mehrfachklicks). Die Tracking-URL (über die die Messung der Klicks erfolgt) ist eine CleverReach-Domain, Sie können hier jedoch auch Ihre eigene Domain verwenden.

Wir haben das Tracking der Öffnungs- und Klickrate natürlich selbst getestet und stellen Ihnen die Erkenntnisse nachfolgend dar.

Zunächst kann man sich folgende Übersicht bzgl. der entsprechenden Kampagne ansehen:

Zudem steht Ihnen eine 24-Stunden Perfomance Übersicht zur Verfügung:

Sie sehen welche Links und wie oft diese angeklickt wurden;

sowie von welcher Art von Gerät die Aufrufe getätigt wurden:

Des Weiteren erhalten Sie eine Übersicht über die Herkunftsländer der Nutzer:

Diese Daten können bis dato (außer Sie haben die Mail wie in unserem Test nur einer einzigen Person gesendet) keiner bestimmten Person zugeordnet werden (das ist beim Newsletterversand normalerweise nicht zu fürchten, sollte aber jdf. immer vermieden werden).

Allerdings ist es (unabhängig von der Empfängerzahl) in unserem Test möglich gewesne, sich anzeigen zu lassen, wer den Newsletter geöffnet und wer auf einen Link geklick hat:

 Den einzelnen Abbonenten werden zudem (so sieht es das System im Grundsatz vor) Qualitätsmerkmale zugewiesen und mit einem Sterne-System ausgewertet. Hierbei wird durch die Aktivität (Öffnungen & Klicks) die Qualität jedes einzelnen Abbonnenten berechnet. Außerdem wird der letzte ermittlete Standort zugeordnet:

Diese Option empfehlen wir aus datenschutzrechtlicher Sicht abzustellen, da eine Pseudonymisierung oder Anonymisierung im Sinne des Art. 25 DS-GVO zu einer Absicherung beiträgt. Wir empfehlen insofern die Einstellung Datenschutzkonformität zu aktivieren, welche Sie unter Mein Account > Einstellungen > Datenschutz finden:

Man kann zudem jedem Nutzer verschiedene „Tags“ zuweisen, die man wiederum in der Analyse der Öffnungsrate verwenden kann, um so Newsletter individuell zu gestalten. Die Zuordnung zur Mailadresse gespeichert wird, befinden wir uns unserer Meinung nach im Bereich der Personendatenverarbeitung. Wenn man dies dann mit den Öffnungsraten korrelieren kann kann man eine Nutzerprofilbildung, annehmen, weswegen wir von dieser Option abraten.

Das Tracking (mit oder ohne die Einstellung „Datenschutzkonformität“) sowie die Erstellung eines Nutzer-Profils sind einwilligungsbedürftig.

Auch das sogenannte „anonyme“ Tracking, welches CleverReach zur Verfügung stellt, ist einwilligungsbedürftig, da eine Personendatenverarbeitung auch hier nicht ausgeschlossen werden kann (z.B. wenn der Newsletter nur einen Empfänger hat – was für die Möglichkeit einer Re-Identifizierbarkeit spricht, so dass auch die Rechtsprechung des EuG nicht angewendet werden kann) und weil CleverReach die IP-Adresse der Nutzer trackt, somit wird entsprechend auf Informationen, die auf Endgeräten von Nutzern gespeichert sind, zugegriffen werden, um den Standort (wenn auch nur das Land) und das Gerät von welchem zugegriffen wird (Desktop oder Mobil) zu tracken. Zudem besteht keine Möglichkeit eines Opt-Out aus der Tracking-Funktion (außer den Newsletter zu deabonnieren) und in der Regel kann davon ausgegangen werden, dass die Newsletterabonnenten zwar an den Newsletter-Mails, nicht aber dem Tracking interessiert sind. Die Erforderlichkeit solcher Tracking-Methoden muss sich nämlich auch aus Sicht der Newsletterabonnenten ergeben.

Bedeutet: Sie müssen den Nutzer über das Tracking informieren und dieser muss aktiv und frewillig zustimmen.

Rechtlicher Hintergrund bzgl. des Trackings ist (auch wenn es anonym erfolgt) die Einwilligungspflicht in der ePrivacy-Richtlinie vom 25.11.2009 (Richtlinie 2009/136/EG) welche nun in § 25 TTDSG umgesetzt wurde und neben Cookies auch Web-Beacons und Link-Tracking, also allgemein Informationen, die auf Endgeräten von Nutzern gespeichert werden, umfasst. Wenn aus Marketing-Sicht auf ein nicht anonymes Tracking inklusive Profilbildung (diese Profilbildung ist ebenfalls einwilligungsbedüftig, Art. 6 Abs. 1 S. 1 lit a. DSGVO) gesetzt wird, so muss dies entsprechend in der Einwilligung wie auch der Datenschutzerklärung abgebildet werden.

In Teilen wird die Meinung vertreten, dass die Einwilligung in das Tracking / die Profilerstellung mit der Einwiligung über den Newsletterbezug und der entsprechenden Kenntnisnahme der Datenschutzerklärung zusammen erfolgen kann. Diese Ansicht teilen wir nicht. Aus unserer Sicht erfordern diese Maßnahmen je eine separate Einwilligung. Die Auffassung, dass alles in einer Einwilligung „erledigt“ werden kann, widerspricht nach unserem Verständnis der Rechtsprechung des Europäischen Gerichtshofes (vgl. EuGH-Urteil vom 11. 11.2020 – C-61/19), nach welcher eine Kopplung einer Einwilligung an einen Vertrag zu mangelnder Freiwilligkeit führt.

Allerdings ist dies (also das Einholen getrennter Einwilligung für Newsletter und/oder Tracking) bei dem Anbeiter CleverReach nicht (jedenfalls nicht in einer empfehlenswerten Art und Weise) umsetzbar, da man faktisch keine, im täglichen Leben sicher verwendbare, technische Option hat, bei der der Nutzer auswählen kann, ob ein Tracking stattfindet oder nicht, hier gibt es im Ergebnis nur „ganz oder garnicht“.

Hinweis: Das Problem ist, dass man das Tracking automatisiert nur für eine gesamte Mailingliste ein- oder ausschalten kann. Es ist zwar möglich Segmente für „Tracking“ und „kein Tracking“ zu bilden und dann insoweit ein Mailing zu teilen. Das muss aber – nach unserer Kenntnis – dann für jede einzelne (!) an den Verteiler versandte E-Mail neu ausgewählt werden und ist daher für die Praxis nicht sicher genug. Hier werden erfahrungsgemäß Fehler passieren (was menschlich ist, aber dennoch bestraft wird) und Haftungsrisiken entstehen.

Folgt man unserer Auffassung, so muss als rechtssichere Lösung bei CleverReach faktisch auf ein Tracking verzichtet werden, will man rechtssicher agieren.

Es wird nun teilweise durchaus die gegenteilige Auffassung vertreten, dass nämlich eine Kopplung der Einwilligungen für Newsletter und Tracking nicht (!) zu deren Unfreiwilligkeit und damit Unwirksamkeit führen soll. Das würde es dann erlauben, die Einwilligungen gemeinsam „abzufragen“. Wollte man sich – wobei wir betonen, dass diese Auffassung, wie dargestellt, von uns als falsch angesehen wird – dieser Auffassung anschließen, dann würde man konsequenter Weise mit nur einer einzigen Checkbox agieren, die beide Einwilligungen kombiniert.

Nachfolgend haben wir für diese Gestaltung eine mögliche Darstellung des Anmeldeformulars eingeblendet, die dann mit Tracking im Datenschutzkonformitätsmodus verwendet werden könnte:

Die Funktion „Google Analctics URL Tracking“ ermöglicht, dass Parameter für Google Analytics an Ihre Links innerhalb des Newsletters angehängt werden, sodass – wenn auf der verlinkten Webseite Google Analytics eingebunden ist – in der Google Analytics Auswertung der CleverReach-Newsletter als Besucherquelle angezeigt werden kann.

Mit der Funktion „Connect Linkerweiterung“ kann ein schnittstellenbasiertes Tracking zu z. B. Magento oder Veyton durchgeführt werden. Somit können Sie, sollte über den Newsletter ein Kauf in Ihrem Online-Shop getätigt werden, dies entsprechend nachvollziehen.

5. Google reCAPTCHA im Anmeldefomular? Keine gute Idee!

Der Einsatz des Google reCAPTCHA ist aus datenschutzrechtlicher Sicht auch nach Einführung des EU/US-Date-Privacy-Framework noch problematisch, auch wenn die Verbindung zu Servern des US-amerikanischen Unternehmens Google LLC und die damit verbundene  Übermittlung von Daten in die USA nun von diesem Angemessenheitsbeschluss abgedeckt wäre. Denn im Sinne der nach Art.5 DSGVO verordneten Datensparsamkeit ist eine Variante zu bevorzugen, die ohne jede Datenübertragung an Dritte auskommt, egal ob diese nun in der EU oder in einem Drittland sitzen. Im Idealfall wird eine Variante gewählt, die die Captcha-Funktion erfüllt aber lokal auf der Webseite (bzw. dem Server auf dem diese gehostet ist) abläuft. Wenn Sie Probleme mit Spam haben, also ein Captcha brauchen, weichen Sie lieber auf eine Alternative aus: Google reCAPTCHA – DSGVO-konforme Alternativen

6. Mustertexte von CleverReach? Auch keine gute Idee!

Die von CleverReach zur Verfügung gestellten Muster-Texte, wie z.B. bzgl. Google reCAPTCHA

können wir nicht empfehlen, da rechtlich leider falsch. Insofern empfehlen wir Ihnen dringend die Klauseln für Ihre Datenschutzerklärung individuell und von Experten auf diesem Gebiet erstellen zu lassen.

7. Weitere Einstellungen

Schließen Sie einen AVV mit CleverReach ab:

Aktivieren Sie nicht die Option „Abgemeldete Empfänger auf Blacklist setzen“:

Die abgemeldelten Empfänger sollte man direkt „sauber“ löschen und nicht archivieren. Ex- und Importe von Kontaktlisten sollten man davon abgesehen ohnehin niemals vornehmen, da ganz selten rechtskonform umsetzbar.

Aktivieren Sie die Option „Automatische Löschung von abgemeldeten Empfängern“ und stellen Sie die Dauer auf 1 Woche:

8. Aufpassen bei Integrationen!

CleverReach bietet eine Reihe von Integrationsmöglichkeiten an. Nicht alle können aus datenschutzrechtlicher Sicht bedenkenlos verwendet werden. Um nur ein paar Beispiele herauszugreifen:

Es findet sich die Integrationsmöglichkeit zu dem deutschen Buchhaltungssoftware-Anbieter Lexoffice. Hierbei ermöglicht die Schnittstelle die Synchronisation der lexoffice Kontakte mit den CleverReach-Empfängerlisten. Aus datenschutzrechtlicher Sicht ist dies nicht zu empfehlen, da Ihre Kunden, welche Sie in Ihrer Buchhaltung anlegen, in der Regel nicht eingewilligt haben, in Ihren Newesletter aufgenommen zu werden. Eine Integration mittels PlugIn in Ihre WordPress-Seite um ist wiederum aus datenschutzrechtlicher Sicht möglich. Man muss jede mögliche Integration separat prüfen und entsprechend transparent gegenüber dem Nutzer darlegen.