Jeder Empfänger von E-Mails hinterlässt, entsprechendes Tracking vorausgesetzt, Spuren in Form von Newsletter-Öffnungen und Link-Klicks. Bei Webseiten ist dies schon länger bekannt und üblich, hier werden Datenspuren wie die eigene IP-Adresse, der verwendete Browser und so weiter erfasst und gespeichert. Versender von Werbe-E-Mails möchten verständlicherweise die Empfänger ihrer E-Mails gut genug kennen, um die Inhalte der E-Mails möglichst relevant und damit den Absatz fördernd gestalten zu können. Gleichzeitig sollen unnötige Ausgaben bei der Erstellung und Versendung verringert werden.

Spätestens seit vor 5 Jahren die Datenschutz-Grundverordnung (DSGVO) in Kraft trat, ist jedem klar: Ohne explizite Einwilligung in die Erstellung solcher Nutzerprofile, darf eine Datenspeicherung und Datenverarbeitung für andere Zwecke als die wesentliche Zustellung der E-Mail-Nachricht nicht stattfinden.

Personenbezogene Daten anonym speichern

Satz 5 des Erwägungsgrunds 26 der DSGVO besagt, dass es sich bei anonymisierten Informationen um Informationen handelt, „die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“

Personenbezogene Daten werden also unumkehrbar so verändert oder gelöscht, dass die Zuordnung zu einer Person ausgeschlossen oder nur mit einem unverhältnismäßig großen Aufwand möglich ist.

Unumkehrbar bedeutet hier, dass weder Dritte noch die verantwortliche Stelle – das sind Sie, wenn Sie Werbe-E-Mails verschicken – die Daten jemals wieder der betroffenen Person zuordnen können. Damit fallen diese Daten dann auch nicht mehr unter das Datenschutzgesetz und können mehr oder weniger beliebig verwendet werden.

Trennt man aber beispielsweise personenbezogene Daten in zwei Listen, eine mit Namen und Adresse, und eine mit den Nutzungsdaten, liegt keine Anonymisierung vor.  Da der Aufwand der Zusammenführung vergleichsweise gering ist. Auch wenn eine der Listen unter besonderem Verschluss ist, reicht das nicht aus, den Aufwand als unverhältnismäßig hoch anzuerkennen.

Daten löschen oder verfremden

Die Löschung von Daten ist eine mögliche und effektive Form der Anonymisierung. Dagegen ist das irreversible Verfremden (aus 27.120.66.1 z.B. **.***.**.1 machen) aufwändig und bietet kaum erkennbaren Nutzen, eher mehr Risiken. So ist es deutlich aufwändiger IPv6 Adressen so unkenntlich zu machen, dass sie als anonym durchgehen.

Oft reicht bei Datensätzen beziehungsweise Nutzerprofilen eine Löschung der direkten Identifikationsmerkmale wie beispielsweise Name oder Adresse nicht aus für eine Anonymisierung. Sind im Nutzungsprofil beispielsweise Angaben wie Inhaber der größten Kaufhauskette Deutschlands oder Schriftführer des Sportvereins TuS Meierhausen enthalten, muss man aktiv werden. Auch diese Daten müssen gelöscht oder hinreichend verfremdet werden, wenn es keine weitere Rechtsgrundlage für ihre Verarbeitung gibt. Die verändernden Maßnahmen sind ggf. schwer dahingehend zu kontrollieren, ob sie denn tatsächlich ausreichend waren.  Daher ist eine Löschung in solchen Fällen anzuraten.

Nutzungsdaten, die aus reinen Zahlenwerten bestehen, kann man gut durch eingestreute Zufallszahlen anonymisieren, ohne dabei die Auswertbarkeit aller Datensätze entscheidend zu verringern.

Was bedeutet Pseudonymisierung von personenbezogenen Daten?

In Artikel 4 DSGVO Satz 5 wird die Pseudonymisierung definiert als:

Pseudonymisierung ist „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;“

Bei der Pseudonymisierung werden also Identifikationsmerkmale wie der Name oder Personenkennzahlen durch ein Kennzeichen – Pseudonym – ersetzt. Es müssen alle direkten Identifikationsmerkmale ersetzt werden, bis die Zuordnung nicht mehr möglich ist. Anders als bei der Anonymisierung ist es hier möglich, den Bezug zwischen den Daten und der Person wieder herzustellen.

Ein bekanntes Beispiel hierfür sind Benutzernamen in Onlineforen. Ein Forennutzer legt in seinem Benutzerkonto einen Benutzernamen an, der für alle anderen Forennutzer sichtbar ist, um nicht seinen echten Namen verwenden zu müssen und seine Identität nicht preiszugeben. Der Betreiber des Forums, als verantwortliche Stelle, hat als einziger anhand des Benutzernamens Einsicht in die personenbezogenen Daten des Benutzerkontos.

Welche Unterschiede haben Anonymisierung und Pseudonymisierung?

Beide Verfahren sollen die Zuordnung des Betroffenen zu den vorliegenden Daten verhindern. Die Pseudonymisierung lässt als Verfahren eine Zuordnung durch die verantwortliche Stelle unter vorher festgelegten Bedingungen zu, jedoch niemals durch Dritte. Anonymisierung liegt nur dann vor, wenn niemand mehr die Zuordnung vornehmen kann.

Pseudonymisierung ist immer dann das geeignete Verfahren, wenn ein eindeutiger Bedarf besteht, die Daten zu einem bestimmten Zweck zu zuordnen. Beispielsweise sollten Patientendaten im medizinischen Bereich pseudonymisiert gespeichert werden, damit der Patient über Ergebnisse informiert werden kann. In der Marktforschung dagegen reicht es Umfragedaten anonymisiert zu speichern.

Zu beachten ist, dass verschlüsselte Daten nicht als hinreichend anonymisierte Daten gelten. Dies ist insbesondere bei der Verwendung von Cloud Computing relevant. Auch verschlüsselte Daten fallen unter das Datenschutzgesetz, sodass die Voraussetzungen für Übermittlung an Dritte, Übermittlung ins Ausland oder die Auftragsdatenverarbeitung vorliegen müssen.

Wie ist der Nutzen im E-Mail-Marketing?

Die Verwertbarkeit von anonymen Nutzungsdaten ist für das E-Mail-Marketing insgesamt eher gering bzw. eher in der Anfangsphase relevant. Im späteren Verlauf nimmt die Auswertbarkeit des personenbezogenen Nutzerverhaltens beziehungsweise der Interessen an Wichtigkeit zu. Trotzdem kann man sie natürlich verwenden um zum Beispiel den allgemeinen Erfolg der eigenen Marketingmaßnahmen, Anstieg von Bounce-Zahlen, Abmeldungen usw. im Zeitverlauf zu messen und zu kontrollieren.

Pseudonymisierte Nutzerprofile enthalten entscheidende Informationen, um das eigene E-Mail-Marketing auf die Bedürfnisse der Nutzer hin zu optimieren. So können zum Beispiel relevante Inhalte besser ausgewählt werden, die Versandhäufigkeit individuell eingestellt und die beste Form der Ansprache gewählt werden. Viele dieser Maßnahmen können automatisiert erfolgen.

Welche Widerspruchsmöglichkeit hat ein Nutzer?

Zu beachten ist aber, dass die Verarbeitung pseudonymisierter Daten nach TMG §15 nur so lange ohne vorherige Einwilligung zulässig ist, solange kein schriftlicher Widerspruch des Betroffenen vorliegt. Außerdem muss eine geeignete Rechtsgrundlage aus der DSGVO vorhanden sein, damit die Verarbeitung zulässig ist.

In Maileon gibt es die Möglichkeit, für eine gegebene E-Mail-Adresse automatisch ein DSGVO-Auskunftsersuchen bearbeiten zu lassen. Dabei werden für alle Konten des aktiven Kundenkontos alle personenbezogenen Daten erfasst und für eine Übergabe an den Auskunftsantragssteller bereit gestellt.

Erklärt ein Nutzer dennoch, dass er nicht möchte, dass seine Daten pseudonymisiert gespeichert und verarbeitet werden, sind seine Daten zu anonymisieren (alle Daten, nicht nur diejenigen, die nach Eingang des Widerspruchs erhoben werden). Im E-Mail-Marketing bedeutet dies praktisch unweigerlich, dass keine Versendung von Werbe-E-Mails mehr möglich ist.

Welche Zusammenführung von pseudonymisierten Daten ist zulässig?

Die Pseudonymisierung hat im E-Mail-Marketing den Vorteil, dass die verantwortliche Stelle die notwendigen Informationen herausgeben kann, wenn eine zivilrechtliche Klage, strafrechtliche Ermittlungen oder ein simples Datenauskunftsbegehren des Betroffenen dies auf Basis der geltenden Gesetze erforderlich macht. Auch für Abrechnungszwecke und zur Wahrung von Aufbewahrungsfristen ist es sinnvoll, zulässig oder sogar erforderlich, die Daten nicht immer gleich alle zu löschen. Die verantwortliche Stelle ist z.B. verpflichtet jederzeit auf Verlangen den Nachweis einer erteilten Einwilligung in die Zusendung von Werbung zu erbringen. Wurden alle Nutzungsdaten bereits gelöscht/anonymisiert, lässt sich dies nicht mehr erfüllen. Hierbei sind jedoch immer die gesetzlichen Rahmenbedingungen zu beachten.

Wie verhält es sich bei E-Mail- und IP-Adressen?

E-Mail-Adressen gelten als personenbezogene Daten, wenn sie beispielsweise Namen enthalten, so z.B. hans.mueller@web.de, selbst wenn es hunderte Hans Müller in Deutschland geben sollte. Oder als personenbeziehbare Daten, wenn sie ohne größeren Aufwand einer Person zugeordnet werden können, z.B. ceo@bekannter-autohersteller.de.

Bei IP-Adressen wurde lange diskutiert, ob sie personenbezogen sind oder nicht. 2017 entschied der BGH in seinem  Urteil vom 16.05.2017 – VI ZR 135/13, dass IP-Adressen personenbezogene Daten sind. Für alle personenbezogenen Daten, die  über eine Webseite erhoben, übertragen und verarbeitet werden, muss dem Nutzern eine entsprechende Datenschutzerklärung zugänglich gemacht werden. Um eine IP-Adresse zu anonymisieren, kann beispielsweise das endgültige Löschen des letzten Oktetts einer IP-Adresse erfolgen. Etwa durch den Einsatz von Google Analytics durch die Einbindung von AnonymizeIP.  Doch auch hier ist wieder darauf zu achten, dass der verbleibende Teil der IP-Adresse keine Daten mit eindeutigen Merkmalen zur Identifikation beinhalten.