Jeder Versender von Werbe E-Mails kommt eher früher als später mit der Frage der datenschutzrechtlich unbedenklichen Speicherung von Nutzungsdaten in Berührung. Jeder Empfänger von E-Mails hinterlässt, entsprechendes Tracking vorausgesetzt, Spuren in Form von Newsletter-Öffnungen und Link-Klicks. Bei Webseiten ist dies ja schon länger bekannt und üblich, hier werden Datenspuren wie die eigene IP-Adresse, der verwendete Browser usw. erfasst und gespeichert. Versender von Werbe E-Mails möchten verständlicherweise die Empfänger ihrer E-Mails gut genug kennen, um die Inhalte der E-Mails möglichst relevant und damit den Absatz fördernd gestalten zu können. Gleichzeitig sollen unnötige Ausgaben bei der Erstellung und Versendung verringert werden.

Ohne explizite Einwilligung in die Erstellung solcher Nutzerprofile, darf dies nur erfolgen, wenn die Daten entweder anonym oder pseudonym gespeichert werden. Umgangssprachlich werden die beiden Begriffe gerne deckungsgleich verwendet, aus datenschutzrechtlicher Sicht gibt es aber erhebliche Unterschiede.

Anonymisierung

Das Bundesdatenschutzgesetz hat eine klar festgelegte Definition für beide Begriffe in § 3 BDSG. So beschreibt der § 3 Abs. 6 BDSG die Anonymisierung wie folgt:

„Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“

Personenbezogene Daten werden also unumkehrbar so verändert oder gelöscht, dass die Zuordnung zu einer Person ausgeschlossen oder nur mit einem unverhältnismäßig großen Aufwand möglich ist.

Unumkehrbar bedeutet hier, dass weder Dritte noch die verantwortliche Stelle (das sind Sie, wenn Sie Werbe E-Mails verschicken) die Daten jemals wieder der betroffenen Person zuordnen können. Damit fallen diese Daten dann auch nicht mehr unter das Datenschutzgesetz und können beliebig verwendet werden.

Trennt man aber beispielsweise personenbezogene Daten in zwei Listen (eine mit Namen und Adresse, eine mit den Nutzungsdaten), liegt keine Anonymisierung vor, da der Aufwand der Zusammenführung vergleichsweise gering ist. Auch wenn eine der Listen unter „besonderem Verschluss“ ist, reicht das nicht aus, den Aufwand als unverhältnismäßig hoch anzuerkennen.

Die Löschung von Daten ist eine mögliche und effektive Form der Anonymisierung. Dagegen ist das irreversible Verfremden (aus 27.120.66.1 z.B. **.***.**.1 machen) aufwändig und bietet kaum erkennbaren Nutzen, eher mehr Risiken (so ist es deutlich aufwändiger IPv6 Adressen so unkenntlich zu machen, dass sie als anonym durchgehen).

Oft reicht bei Datensätzen bzw. Nutzerprofilen eine Löschung allein der direkten Identifikationsmerkmale wie z.B. Name oder Adresse aber nicht aus für eine Anonymisierung. Sind im Nutzungsprofil beispielsweise Angaben wie „Inhaber der größten Kaufhauskette Deutschlands“ oder „Schriftführer des Sportvereins TuS Meierhausen“ enthalten, müssen auch diese Daten gelöscht, hinreichend verfremdet oder zufällig in andere anonyme Datensätze verschoben werden. Die verändernden Maßnahmen sind ggf. schwer dahingehend zu kontrollieren, ob sie denn tatsächlich ausreichend waren, daher ist eine Löschung in solchen Fällen anzuraten.

Nutzungsdaten die aus reinen Zahlenwerten bestehen, kann man gut durch eingestreute Zufallszahlen anonymisieren, ohne dabei die Auswertbarkeit aller Datensätze entscheidend zu verringern.

Pseudonymisierung

In § 3 Abs. 6a BDSG wird die Pseudonymisierung definiert als „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“

Bei der Pseudonymisierung werden also Identifikationsmerkmale wie der Name oder Personenkennzahlen, durch ein Kennzeichen (Pseudonym) ersetzt. Es müssen alle direkten Identifikationsmerkmale ersetzt werden, bis die Zuordnung nicht mehr möglich ist. Anders als bei der Anonymisierung ist es hier möglich den Bezug zwischen den Daten und der Person wieder herzustellen.

Ein bekanntes Beispiel hierfür sind Nicknames in Online Foren. Ein Forennutzer legt in seinem Benutzerkonto einen Nickname an, der für alle anderen Forennutzer sichtbar ist, um nicht seinen echten Namen verwenden zu müssen und seine Identität nicht preis zugeben. Der Betreiber des Forums (als verantwortliche Stelle) hat als einziger anhand des Nicknames Einsicht in die personenbezogenen Daten des Benutzerkontos.

Die Unterschiede

Beide Verfahren sollen die Zuordnung des Betroffenen zu den vorliegenden Daten verhindern. Die Pseudonymisierung lässt als Verfahren eine Zuordnung durch die verantwortliche Stelle unter vorher festgelegten Bedingungen zu, jedoch niemals durch Dritte. Anonymisierung liegt nur dann vor, wenn niemand mehr die Zuordnung vornehmen kann.

Pseudonymisierung ist immer dann das geeignete Verfahren, wenn ein eindeutiger Bedarf besteht, die Daten zu einem bestimmten Zweck zu zuordnen. Beispielsweise sollten Patientendaten im medizinischen Bereich pseudonymisiert gespeichert werden, damit der Patient über Ergebnisse informiert werden kann. In der Marktforschung dagegen reicht es Umfragedaten anonymisiert zu speichern.

Zu beachten ist, dass verschlüsselte Daten nicht als hinreichend anonymisierte Daten gelten. Dies ist insbesondere bei der Verwendung von Cloud Computing relevant. Auch verschlüsselte Daten fallen unter das Datenschutzgesetz, sodass die Voraussetzungen für Übermittlung an Dritte, Übermittlung ins Ausland oder die Auftragsdatenverarbeitung vorliegen müssen.

Nutzung im E-Mail Marketing

Die Verwertbarkeit von anonymen Nutzungsdaten ist für das E-Mail Marketing insgesamt eher gering bzw. eher in der Anfangsphase relevant. Im späteren Verlauf nimmt die Auswertbarkeit des personenbezogenen Nutzerverhaltens bzw. der Interessen an Wichtigkeit zu. Trotzdem kann man sie natürlich verwenden um zum Beispiel den allgemeinen Erfolg der eigenen Marketing Maßnahmen, Anstieg von Bounce-Zahlen, Abmeldungen usw. im Zeitverlauf zu messen und zu kontrollieren.

Pseudonymisierte Nutzerprofile enthalten entscheidende Informationen um das eigene E-Mail Marketing auf die Bedürfnisse der Nutzer hin zu optimieren. So können zum Beispiel relevante Inhalte besser ausgewählt werden, Versendehäufigkeit individuell eingestellt und die beste Form der Ansprache gewählt werden. Viele dieser Maßnahmen können heute automatisiert erfolgen.

Widerspruchsmöglichkeit

Zu beachten ist aber, dass die Verarbeitung pseudonymisierter Daten nach TMG §15 nur solange ohne vorherige Einwilligung zulässig ist, solange kein schriftlicher Widerspruch des Betroffenen vorliegt. Erklärt ein Nutzer also, dass er nicht möchte, dass seine Daten pseudonymisiert gespeichert und verarbeitet werden, sind seine Daten zu anonymisieren (alle Daten, nicht nur diejenigen, die nach Eingang des Widerspruchs erhoben werden). Im E-Mail Marketing bedeutet dies praktisch unweigerlich, dass keine auch Versendung von Werbe E-Mails mehr möglich ist, da dies mit anonymen Daten (E-Mail Adresse) nicht durchführbar ist.

Zulässige Zusammenführung von pseudonymisierten Daten

Die Pseudonymisierung hat im E-Mail Marketing den Vorteil, dass die verantwortliche Stelle die notwendigen Informationen herausgeben kann, wenn eine zivilrechtliche Klage, strafrechtliche Ermittlungen oder ein simples Datenauskunftsbegehren des Betroffenen dies auf Basis der geltenden Gesetze erforderlich macht. Auch für Abrechnungszwecke und zur Wahrung von Aufbewahrungsfristen ist es sinnvoll, zulässig oder sogar erforderlich, die Daten nicht immer gleich alle zu löschen. Die verantwortliche Stelle ist z.B. verpflichtet jederzeit auf Verlangen den Nachweis einer erteilten Einwilligung in die Zusendung von Werbung zu erbringen. Wurden alle Nutzungsdaten bereits gelöscht/anonymisiert, lässt sich dies nicht mehr erfüllen. Hierbei sind jedoch immer die gesetzlichen Rahmenbedingungen zu beachten.

Übrigens

E-Mail Adressen gelten als personenbezogene Daten, wenn sie Namen enthalten (z.B. hans.mueller@web.de, selbst wenn es hunderte Hans Müller in Deutschland geben sollte) oder als personenbeziehbare Daten, wenn sie ohne größeren Aufwand einer Person zugeordnet werden können (z.B. ceo@bekannter-autohersteller.de).

IP Adressen werden nach wie vor heiß diskutiert (ob sie personenbezogen sind oder nicht), müssen aber immer mindestens als Pseudonym betrachtet werden.