Jusletter IT

E-Mails bieten werbenden Unternehmen, abgesehen vom kosteneffizienten Versand an eine große Anzahl an Personen, viele Möglichkeiten die bei herkömmlichen Werbesendungen im Postweg nicht zur Verfügung stehen. Genannt sei beispielsweise die Nachverfolgung des Öffnens einer E-Mail durch den Kunden oder des Besuchs (oder Nicht-Besuchs) von Links. So können Unternehmen ihre Marketingstrategien anpassen und die Gestaltung zukünftiger E-Mails kontinuierlich verfeinern. Um Konsumenten vor Missbrauch der technischen Möglichkeiten zumindest rechtlich zu schützen, legte der Gesetzgeber für den Versand von Massen-E-Mails mehrere Bedingungen fest. So ist beispielsweise die Zustimmung des Empfängers (Opt-in), die Bereitstellung einer Möglichkeit zum Widerruf (Opt-out), sowie eine Reihe von Informationspflichten (Impressum, Offenlegung) weitestgehend bindend.

Um zu überprüfen, ob und bis zu welchem Grad sich (österreichische) Unternehmen, Vereine und Verbände an diese rechtlichen Vorgaben halten, haben wir unter Zuhilfenahme eines hochgradig automatisierten Softwaretools deren E-Mail-Newsletter analysiert. Das Tool ist in der Lage, eingehende E-Mails kontinuierlich zu analysieren und auf ihre Gesetzeskonformität hin zu überprüfen. Zudem werden ebenfalls automatisiert versteckte Trackingmechanismen extrahiert und überprüft, ob die E-Mail-Adresse (ohne Zustimmung des Empfängers) an Dritte weitergegeben wird.

Die wichtigsten Ergebnisse können zusammengefasst folgendermaßen vorweggenommen werden: Unsere laufende Analyse von ca. 400 Unternehmen und über 6‘500 erhaltenen E-Mails hat gezeigt, dass mehr als 80% aller Unternehmen Trackingmechanismen in ihren Newsletter-E-Mails verwenden. Zudem verzichten 6% aller Unternehmen auf das vorgeschriebene Impressum bzw. die Offenlegung des Medieninhabers in der E-Mail. 97% aller Unternehmen bieten eine Möglichkeit zur Abbestellung des Newsletters via Hyperlink direkt in der E-Mail an. Unsere Langzeituntersuchung hat erfreulicherweise ergeben, dass bis zum Tag der Einreichung keine der Organisationen die E-Mail-Adresse an offensichtlich unbefugte Dritte weitergegeben hat bzw. es zu keiner missbräuchlichen Verwendung der personenbezogenen Daten gekommen ist. 65% der Unternehmen verwenden externe E-Mail-Marketing Dienste, wobei 26% der Unternehmen mit Dienstleistern aus dem EU-Ausland zusammenarbeiten. Die E-Mail-Adresse wird dabei von 20% der Unternehmen an externe Dienstleister – zumeist in den USA – übermittelt. Inwieweit diese Einbindung externer Dienstleister rechtskonform erfolgt ist, ließe sich nur mit weitergehenden Überprüfungen feststellen, die noch nicht voll automatisiert sind.

Kapitel 2 fasst die rechtliche Ausgangslage zusammen. Das entwickelte Framework für automatisierte Compliance-Checks wird in Kapitel 3 präsentiert. Erste statistische Ergebnisse unserer Analyse werden in Kapitel 4 dargestellt und Kapitel 5 fasst die Publikation zusammen und gibt einen Ausblick auf zukünftige Entwicklungen.

Eine Reihe rechtlicher Regelungen sind für E-Mail-Newsletter relevant. Neben der bekanntesten Bestimmung des § 107 Telekommunikationsgesetz (TKG 2003) seien hier das E-Commerce-Gesetz (ECG), das Mediengesetz oder auch das Fern- und Auswärtsgeschäfte-Gesetz (FAGG) genannt. Ziel des vorliegenden Beitrags ist allerdings nicht, die Rechtslage erschöpfend darzustellen, da dies den Rahmen bei weitem sprengen würde. Auf grenzüberschreitende Kommunikationsvorgänge mittels E-Mail-Newsletters und die resultierenden Sonderfälle und Kollisionsnormen kann erst recht nicht eingegangen werden. Es werden im Folgenden nur jene Normen kurz angeführt, deren Einhaltung mit dem eingesetzten Software-Tool bei kostenlos erhältlichen Newsletters überprüft wurde.

Der österreichische Gesetzgeber hat an mehreren Stellen Informations- und Impressumspflichten für elektronische Kommunikation geschaffen:

• § 5 E-Commerce-Gesetz regelt über § 14 Unternehmensgesetzbuch (UGB) und § 63 Gewerbeordnung hinausgehend Informationspflichten für alle kommerziellen Dienste i.S.d. § 3 Z. 1 ECG. Angegeben werden muss daher u.a. die volle, ladungsfähige Anschrift der Niederlassung, eine E-Mail-Adresse, Telefon und Faxnummer, ggf. auch Kammerzugehörigkeit und Berufsbezeichnung, UstID, Firmenbuchnummer und Firmenbuchgericht sowie zuständige Aufsichtsbehörde(n). § 6 ECG enthält zusätzliche Pflichtangaben für elektronische Kommunikation, die insbesondere als solche erkennbar sein muss, auch hinsichtlich des Auftraggebers.
• Jedes periodische elektronische Medium i.S.d. § 1 Abs. 1 Z. 5a Mediengesetz (MedienG) und damit jeder mindestens viermal jährlich erscheinende Newsletter unterliegt den Impressumspflichten nach § 24 Mediengesetz sowie den Offenlegungspflichten nach § 25 MedienG: anzugeben sind Name und Anschrift des Medieninhabers und des Herausgebers sowie der Unternehmensgegenstand (auch im Wege der Verlinkung zu den Pflichtangaben gemäß § 5 ECG).
• Für «große» periodische Newsletter mit meinungsbeeinflussendem, redaktionellem Inhalt ist nach § 25 MedienG insbesondere auch eine Erklärung über die grundlegende Richtung («Blattlinie») abzugeben, darüber hinaus die weitergehenden Angaben zum Medieninhaber aus Abs. 2 leg. cit. Die Bestimmung ist weit auszulegen, d.h. als «kleine» Newsletter gelten nur solche, die keinen über die Darstellung des persönlichen Lebensbereichs oder die Präsentation des Medieninhabers hinausgehenden Informationsgehalt aufweisen, also auch keinerlei Produktempfehlungen oder Wertungen.
• Die Nichteinhaltung der Impressumspflicht stellt eine Verwaltungsübertretung dar und kann mit einer Geldstrafe bis zu 20‘000 Euro belegt werden.
• Schließlich sei auch an die «Pflicht zur Offenlegung der Identität des Auftraggebers» in § 25 Datenschutzgesetz (DSG 2000) erinnert und die noch bis Mai 2018 geltende Pflichtangabe der DVR-Nummer, soweit eine meldepflichtige Datenanwendung besteht.

Aus der Sicht der Endkunden mögen im Regelfall vor allem die Bestimmungen des Telekommunikationsgesetzes von Bedeutung sein, die den rechtskonformen Erhalt und Widerruf von Newsletters regeln; die Praxis zeigt aber, dass sowohl verärgerte Kunden als auch Konkurrenten im B2B-Bereich gerne bei Verletzung der weniger bekannten Normen (Impressums- und Offenlegungspflicht, DVR-Angabe) Anzeigen erstatten oder klagen.

Eine manuelle Überprüfung auf rechtskonforme Gestaltung von allen E-Mail-Newslettern eines Unternehmens ist meist ein langwieriger Prozess. Dies ist auf drei Faktoren zurückzuführen: (1) Manuelle Dateneingabe, (2) langer Beobachtungszeitraum, (3) mehrstufiger Datenabgleich.

Um den Inhalt von E-Mail-Newslettern analysieren zu können, ist zunächst eine Anmeldung für diesen über die Webseite des Unternehmens erforderlich. Dazu müssen in den meisten Fällen mehrere personenbezogene Daten angegeben werden. Da eine Impressums- und Offenlegungspflicht erst bei mindestens viermal im Jahr verschickten E-Mail-Newslettern zum Tragen kommt, kann der Beobachtungszeitraum im Extremfall 365 Tage lang sein. In der Zwischenzeit versandte E-Mail Nachrichten müssen dementsprechend zur Analyse vorrätig gehalten werden. Da die Offenlegung bzw. Angabe des Impressums auch indirekt – via in die E-Mail eingebettete URL – erfolgen kann, erfordert die Bewertung der Rechtskonformität oft auch einen Besuch der verlinkten Webseite.

Somit ist eine manuelle Überprüfung in den meisten Fällen nur stichprobenartig möglich und eine kontinuierliche Überprüfung aller von einem Unternehmen versandten E-Mails nahezu ausgeschlossen.

Das von uns entwickelte Framework für automatisierte Compliance-Checks minimiert den manuellen Aufwand und erlaubt es, flächendeckend (z.B. landesweit) alle Unternehmen bzw. alle von ihnen versandten E-Mail-Newsletter zu überprüfen.

Anhand des oben skizzierten Ablaufes lässt sich das Analyseproblem in mehrere Teilschritte zerlegen: (1) Relevante E-Mail-Newsletter von Unternehmen identifizieren, (2) E-Mail-Newsletter abonnieren, (3) eingehende E-Mail-Newsletter sammeln, (4) eingegangene E-Mail-Newsletter analysieren, (4a) Impressum identifizieren und extrahieren, (4b) eingebetteten Tracking-Code identifizieren und extrahieren, (4c) die Weitergabe von personenbezogenen Daten erkennen und (5) Analyseergebnisse darstellen. Im Folgenden wird die Umsetzung dieser Teilschritte in unserem Analyseframework beschrieben.

Die Identifikation von österreichischen Unternehmen, die einen öffentlich zugänglichen E-Mail-Newsletter anbieten erfolgte in zwei Schritten. Zunächst sucht unser Analyseframework über Google nach allen auffindbaren Webseiten österreichischer Unternehmen. Alle gefundenen Webseiten werden besucht und das Analyseframework durchsucht die Website nach Anmeldeformularen für E-Mail-Newsletter. Dazu werden im ersten Schritt alle Formulare der Website extrahiert und es wird überprüft, ob das Wort «Newsletter» im HTML-Code des Formulars vorhanden ist. Zur Sicherheit wird zusätzlich noch überprüft, ob ein Eingabefeld für eine E-Mail-Adresse im Formular vorhanden ist. Wird kein Formular, welches das Wort «Newsletter» beinhaltet auf der Webseite gefunden, wird die gesamte Website gerendert und es wird in der Umgebung aller Formulare das Wort «Newsletter» gesucht. Durch das Rendern der Website kann auch sichergestellt werden, dass Formulare, welche mit JavaScript nachgeladen werden, erkannt werden.

Nachdem das Analysetool eine Unternehmenswebseite mit einer Möglichkeit zur Anmeldung für einen E-Mail-Newsletter gefunden hat, wird zur Dokumentation ein Screenshot der Webseite erstellt und das Formular zur Anmeldung automatisch befüllt. Dazu wird eine neue, dem Unternehmen eindeutig zuordenbare Identität (Vorname, Nachname, Stadt, E-Mail-Adresse etc.) zufällig generiert und das Formular mit den entsprechenden Daten befüllt. Im Anschluss wird das Formular ausgefüllt und abgeschickt. Da manche Webseiten durch sogenannte CAPTCHAs eine automatisierte Anmeldung erschweren, werden diese Webseiten für eine spätere, manuelle Anmeldung vorgemerkt.

Die einzelnen Schritte unseres Analysetools sind schematisch in Abbildung 1 dargestellt. Alle eingehenden Newsletter E-Mails werden von einem externen E-Mail-Server entgegengenommen und zwischengespeichert. Das Analysetool lädt beim Start alle neu eingegangenen, bzw. noch nicht analysierten E-Mails vom Server und extrahiert typische E-Mail-bezogene Daten wie z.B. Versanddatum, Informationen zu Sender und Empfänger, Betreff und Inhalt (E-Mail-Body).

Über die Adresse des Empfängers der E-Mail kann jede eingehende E-Mail jenem Unternehmen zugeordnet werden, bei dem diese E-Mail-Adresse für die Newsletter-Anmeldung hinterlegt wurde. Abbildung 2 zeigt eine originale Newsletter-E-Mail und die daraus automatisch extrahierten Daten.

Um Anmeldungen durch Dritte zu vermeiden, verwenden einige Unternehmen ein sogenanntes «Double-Opt-in Registrierungsverfahren». Hierbei muss die Registrierung zum Newsletter in einem zweiten Schritt bestätigt werden. Das erfolgt durch Öffnen eines, in der ersten E-Mail zugestellten, Bestätigungslinks. Um diesen Fall zu erkennen, wertet unser Tool den Betreff bzw. den Inhalt der ersten eingegangen E-Mail aus. Mittels bekannter Muster, wie z.B. «Anmeldung abschließen», «Registrierung bestätigen», wird erkannt ob es sich um ein potentielles Bestätigungs-E-Mail handelt. Zusätzlich wird noch überprüft ob die Anzahl der Links im Inhalt unter einem empirisch ermittelten Schwellenwert liegt. Ein weiterer Parameter zur Klassifizierung der E-Mail ist die Form des Inhalts. Handelt es sich um eine Text-E-Mail, kann mit erhöhter Wahrscheinlichkeit davon ausgegangen werden, dass es sich um eine Bestätigungs-E-Mail handelt.

Wird eine E-Mail als «Bestätigungsmail» klassifiziert, wird der in der E-Mail enthaltene Bestätigungslink extrahiert und die Webseite aufgerufen – somit wurde der Newsletter «abonniert».

Um herauszufinden, ob die versandten E-Mails den Besuch von verlinkten Webseiten durch personenbezogene Tracking-Links nachverfolgen, werden im nächsten Schritt sämtliche in der E-Mail vorhandenen Links analysiert. Falls Tracking-Links in einer E-Mail vorhanden sind, wäre dies ein Indiz für einen potenziellen Verstoß gegen Datenschutzvorschriften, welche eine Zustimmung des Betroffenen voraussetzen. Dafür reicht u.U. schon die Verletzung allgemeiner Datenschutzgrundsätze aus § 6 Abs. 1 Z. 1–5 DSG 2000 oder einer Reihe von Bestimmungen der EU-DSGVO, insbesondere auch § 13 Abs. 2 lit. f. Allerdings lässt sich dies nicht mehr automatisiert überprüfen, sondern setzt eine genaue Kenntnis der Zustimmungserklärung voraus, die beim Abonnieren akzeptiert wurde, sowie der Erhebungsvorgänge und der Weiterverarbeitung der Daten beim Empfänger. So werden unter Tracking-Links meist personenbezogene Links verstanden, gleichermaßen können dies aber auch Links sein, welche lediglich zur Bestimmung einer aggregierten, anonymisierten Klickrate erzeugt wurden (gleiche URL in allen gesendeten Exemplaren desselben Newsletters). Die Unterscheidung zwischen einem herkömmlichen Link und einem Tracking-Link erfolgt anhand einer manuell gepflegten Musterdatenbank.

Um sogenannte «Tracking Pixel», die das Öffnen einer empfangenen E-Mail nachverfolgbar machen, erkennen zu können, werden in die E-Mail eingebettete Bilder einer bestimmten Größe überprüft und ggf. als Tracking Pixel klassifiziert. 

Mithilfe einer eingebetteten Musterdatenbank ist unser Analysetool auch in der Lage, URLs von externen Marketing-Service-Providern zu erkennen. Somit ist es möglich herauszufinden, ob zu Vermarktungszwecken personenbezogene Daten an einen Marketing-Service-Provider in Österreich, dem EU-Ausland oder z.B. in den USA weitergegeben wurden. Auch dies erlaubt beispielsweise Aufsichtsbehörden nachfolgend, die Compliance des Newsletter-Anbieters eingehender zu untersuchen – etwa, ob ein ausländischer Provider Privacy Shield-zertifiziert ist, eine behördliche Genehmigung vorliegt oder andere rechtliche Vorschriften wie Informationspflichten oder die Einholung einer Zustimmung durch den Newsletter-Anbieter eingehalten wurden.

Im nächsten Schritt überprüft unser Analysetool, ob in der Newsletter-E-Mail eine Möglichkeit zur Abmeldung besteht. Dazu werden die Links im Newsletter und der Text in der Umgebung der Links auf «Abmelde-Muster» hin durchsucht. Abmelde-Links liegen meist in zwei Varianten vor: «Klassische», personifizierte Abmelde-Links, die alle für die Abmeldung erforderlichen Daten in der URL übergeben, sowie «Bearbeitungs-Links», bei welchen der Benutzer auf eine Webseite mit einem Formular zur Abmeldung weiterverwiesen wird.

Ob sich das versendende Unternehmen an die Impressums- bzw. Offenlegungspflicht hält, wird im nächsten Analyseschritt bewertet. In den untersuchten E-Mails kann das geforderte Impressum entweder mittels Link auf das Impressum der Website des Unternehmens hinterlegt, oder direkt als Text in der E-Mail angegeben sein. Beide Möglichkeiten werden automatisiert erkannt. Wenn in einer zu analysierenden E-Mail kein typisches Impressums-Muster gefunden wird (z.B. Textblock, der mit «Impressum:» beginnt), wird die E-Mail auf vorhandene Adress- bzw. Kontaktdaten hin untersucht (z.B. Städte, Postleitzahlen). Identifizierte Impressumsdaten werden anschließend zur weiteren Analyse aufbereitet. Eine Bewertung, ob sämtliche für die jeweilige Organisationsform erforderlichen Angaben im Impressum vorhanden sind, erfolgt in einem darauffolgenden, manuellen Schritt.

Durch Analyse aller eingehenden E-Mails und durch die Auswertung, welches Unternehmen die jeweilige E-Mail verschickt hat, ist unser Analysetool auch in der Lage automatisch zu erkennen, ob die hinterlegte E-Mail-Adresse und personenbezogene Daten (potentiell unberechtigterweise) an Dritte weitergegeben wurden. Ein solcher Gesetzesverstoß läge insbesondere vor, wenn die Zustimmungserklärung zum Erhalt des Newsletters nicht auf potentielle Übermittlungsempfänger hinweisen würde (§ 8 Abs. 1 Z. 2 DSG 2000, Art. 13 Abs. 1 lit. e, f EU-DSGVO). Dazu vergleicht das Analysetool die Domäne aller Absender-E-Mail-Adressen mit den Domains des versendenden Unternehmens. Falls mehrere unterschiedliche Domains verwendet werden, wird dieser Sachverhalt zur manuellen Analyse und Entscheidung markiert. Eine automatische Entscheidung gestaltet sich hier oft schwierig, da eine Organisation mehrere unterschiedliche Domains registriert haben kann, oder auch Daten zwischen verbunden Unternehmen (Mutter-/Tochtergesellschaft) ausgetauscht werden können.

Um eine statistische Auswertung und vollständige Dokumentation aller Analyseschritte zu ermöglichen, werden alle E-Mails sowie die Zwischenergebnisse in einer SQL-Datenbank gespeichert.

Das Analysetool ist zum größten Teil in Python und unter Verwendung von Open Source Software entwickelt worden. Die Screenshots der Webseiten und E-Mails werden mit PhantomJS, einem programmierbaren Browser erzeugt. Zudem wird PhantomJS für automatisierte Anmeldungen zu den jeweiligen Newslettern verwendet. Dies ermöglicht eine unkomplizierte Anmeldung zu Newslettern, deren Webseiten Cookies, versteckte Input-Elemente oder komplexen JavaScript-Code verwenden. Als Datenbank-Backend ist MySQL in Verwendung.

Im Beobachtungszeitraum von Juni 2016 bis Januar 2017 sind 6‘592 E-Mails von mehr als 200 bestätigten Newsletter-Anmeldungen eingegangen. Es wurden E-Mails von insgesamt fast 400 österreichischen Unternehmen empfangen. Von den erfolgten und bestätigten Anmeldungen zu einem Newsletter, bei denen zumindest eine E-Mail eingegangen ist, hatten 94% aller Unternehmen ein Impressum angegeben. Knapp 97% aller Unternehmen bieten in ihren Newsletter-E-Mails eine direkte oder indirekte Möglichkeit sich abzumelden.

Von den untersuchten Unternehmen griffen 65% auf einen externen Marketing-Service-Provider zum Versand der E-Mails zurück. Von den verwendeten Marketing-Service-Providern hatten 23% ihren Hauptsitz in Österreich, 41% im EU-Ausland und 30% im Nicht-EU Ausland (zumeist in den USA). Die verbleibenden 6% konnten nicht eindeutig zugeordnet werden. Eine manuelle, stichprobenartige Untersuchung jener 20% (bezogen auf die Gesamtanzahl) aller Unternehmen, die E-Mail-Adressen und personenbezogene Daten ins Nicht-EU-Ausland übermitteln, hat gezeigt, dass eine Aufklärung über diesen Umstand vor der Anmeldung zum Newsletter meist nicht erfolgt.

83% aller Unternehmen verwenden Tracking-Links in den E-Mails um das Öffnen von verlinkten Webseiten nachzuverfolgen. In 79% aller von Unternehmen verschickten E-Mails befinden sich außerdem Tracking-Pixels, um das Lesen der Inhalte durch die Empfänger nachverfolgen zu können.

Unsere Langzeituntersuchung hat zudem gezeigt, dass keine E-Mail-Adressen an offensichtlich unbefugte Dritte weitergegeben wurden (abgesehen von Marketing-Dienstleistern), bzw. es zu keiner missbräuchlichen Verwendung der personenbezogenen Daten gekommen ist.

Mit dem von uns entwickelten Analysewerkzeug konnten wir innerhalb eines halben Jahres knapp 6‘600 Newsletter-E-Mails von ca. 400 österreichischen Unternehmen sammeln und analysieren. Die gesammelten Newsletter-E-Mails wurden in mehreren Schritten analysiert und eine automatische Compliance-Bewertung durchgeführt. Primäres Augenmerk lag dabei auf der Frage, ob die versendenden Unternehmen ihrer Impressums- bzw. Offenlegungspflicht nachgekommen sind. 6% aller untersuchten Unternehmen führten kein Impressum in den versandten E-Mails an. Die gegenwärtig noch manuell durchgeführte Bewertung, ob das in den restlichen 94% aller E-Mails angegebene Impressum alle vom Gesetzgeber geforderten Angaben beinhaltet, wird in einem nächsten Schritt automatisiert. Zudem werden wir das Analysewerkzeug auf weitere Rechtsräume ausdehnen und die Überprüfung, ob bei der Anmeldung hinterlegte personenbezogene Daten von Unternehmen unberechtigterweise an Dritte im Nicht-EU-Ausland weitergegeben werden, verbessern. Da unser Projekt gezeigt hat, dass sich Compliance-Monitoring sehr gut automatisieren lässt (sofern der rechtliche Rahmen ausreichend klar definiert ist), möchten wir unser Werkzeug langfristig zur automatisierten, flächendeckenden E-Commerce-Compliance-Monitoring-Plattform ausbauen und auf andere Rechtsnormen ausweiten (z.B. FAGG).