Gehashte E-Mail-Adressen für Online-Tracking

Geschrieben von Luise Riemer, veröffentlicht am 10.10.2022

Viele Unternehmen verwenden für ihre Onlineauftritte Trackingdienste, um das Nutzungsverhalten der Webseitenbesucher und Kunden verfolgen zu können. Es liefert ihnen beispielsweise wertvolle Informationen über die Leistung der Domain oder die Wirkung ihrer Werbekampagnen. Gängigstes Tracking-Mittel hierfür war bisher das Setzen von Cookies. Bis 2023 werden jedoch viele Internetbrowser Cookies von Drittanbietern nicht mehr unterstützen, sodass immer mehr Webseitenbetreiber nun vermehrt auf das sogenannte E-Mail-Hashing zurückgreifen (wollen).  

Was das E-Mail-Hashing genau ist und warum die E-Mail-Adresse für Vermarkter so wertvoll ist, soll in diesem Beitrag beleuchtet werden.  

Was ist E-Mail-Hashing? 

E-Mail-Hashing stellt einen Vorgang dar, bei dem eine E-Mail-Adresse in eine hexadezimale Zeichenfolge konvertiert wird. Dabei entsteht in der Regel ein Code aus 32-Zeichen, der sogenannte Hashwert, der für jede E-Mail-Adresse eindeutig und einzigartig ist.  Dieser Wert bleibt so bestehen, unabhängig davon, wo die E-Mail-Adresse für Login-Dienste verwendet wird.  

Verschiedene Onlinedienste können die E-Mail-Adressen ihrer Kunden hashen und zu den gleichen Hashwerten für die jeweilige Person gelangen. Wo immer sich der Nutzer dann mit seiner E-Mail-Adresse anmeldet, wird er als Hash erkannt. Diese Hashwerte können sie dann untereinander austauschen und somit das Nutzerverhalten ihrer Kunden verfolgen. Durch gehashte E-Mail-Adressen ist es auf diese Art daher grundsätzlich möglich, jede eingeloggte Aktion einer Person über alle Kanäle, Plattformen und Geräte für die gesamte Lebensdauer der Adresse zu verfolgen. Ein Austausch der E-Mail-Adressen in Klartextform findet dabei in der Regel aber nicht statt.  

Die E-Mail-Adresse als virtueller Pass 

Es gibt viele Gründe, warum die E-Mail-Adresse aus Sicht der Vermarkter das Trackingobjekt der Zukunft sein könnte. Denn die private E-Mail-Adresse stellt in der Online-Welt eine Art digitalen Reisepass dar. Sie ist ständig und zu unterschiedlichsten Zwecken im Einsatz, da viele Dienste im Internet eine Anmeldung verlangen, bevor der Service genutzt werden kann. Sie findet unter anderem Verwendung beim Online-Shopping, beim Anmelden von Newslettern oder bei der Verwendung von sozialen Netzwerken oder Streaming-Diensten. E-Mail-Adressen können somit die Interessen und Vorlieben der Verwender sehr eindeutig widerspiegeln. Zudem behalten die meisten Personen ihre persönliche E-Mail-Adresse ein ganzes Leben lang. Anhand der E-Mail-Adresse ist somit eine zielgenaue und geräteübergreifende Verfolgung von Personen möglich – ganz ohne Cookies. Und genau aus diesen Gründen sehen viele den Schlüssel fürs digitale Marketing der Zukunft in der E-Mail-Adresse. 

Im Gegensatz zu Cookies 

Cookies sowie gehashte E-Mail-Adressen dienen dem Tracking von Nutzeraktivitäten. Dennoch sind diese beiden Formen stets voneinander zu unterscheiden. Bisher erhielten datenverarbeitende Stellen die meisten Informationen Ihrer Kunden/ Webseitenbesucher mittels Cookies. Cookies funktionieren aber nicht geräteübergreifend und können geblockt werden. Zudem stellen diese keine Verbindungen zu mobilen Aktivitäten dar. Eine gehashte E-Mail-Adresse ist hingegen dem Grunde nach ein einzigartiger Code, der auf allen Geräten, Apps und Browsers getrackt werden kann. Durch immer stärkere Regulierung von Cookies und anderen technischen Möglichkeiten eine Person digital zu tracken, gewinnt das E-Mail-Hashing somit rasant an Bedeutung. 

E-Mail-Hashing und Datenschutz  

Die Erstellung von Hashwerten aus E-Mail-Adressen gilt grundsätzlich aufgrund der Komplexität der erstellten Codes als sicher. Dennoch gibt es inzwischen auch schon einige Methoden, die es ermöglichen, den Hashwert wieder umzukehren und die ursprüngliche E-Mail-Adresse in Klartextform zu extrahieren. Das Hashen von E-Mail-Adressen führt somit nicht zu einer vollständigen Anonymisierung der Daten, sondern bei genauerer Betrachtung lediglich zu einer Pseudonymisierung. Auch wenn das Wiederherstellen der ursprünglichen E-Mail-Adresse schwierig sein kann, können die Informationen, die auf Grundlage der gehashten E-Mail-Adresse über eine Person gesammelt werden, dazu genutzt werden, diese dennoch eindeutig zu identifizieren. Somit können auch gehashte E-Mail-Adressen als personenbezogene Daten gem. Art. 4 Abs. 1 DSGVO klassifiziert werden. Die Zulässigkeit der Erhebung und Nutzung von gehashten E-Mail-Adressen für Tracking-Dienste richtet sich folglich grundsätzlich nach den Grundsätzen der DSGVO. Für die rechtmäßige Nutzung von gehashten E-Mail-Adressen muss somit einer der Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO einschlägig sein.  

Denkbare Rechtsgrundlage für die Nutzung von gehashten E-Mail-Adressen zu Trackingdiensten könnte ein berechtigtes Interesse seitens des Webseitenbetreiber gem. Art. 6 Abs. 1 lit. f DSGVO sein. Das berechtigte Interesse liegt in der Nachverfolgung der Wirksamkeit von Werbung oder anderer Parameter um das Angebot für die Nutzer optimieren zu können. Um sich auf das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO stützen zu können, verlangt diese Rechtsgrundlage aber auch eine Interessenabwägung hinsichtlich der Grundrechte und Grundfreiheiten der betroffenen Personen, deren Daten verarbeitet werden. Gem. Art. 2 GG hat jede Person ein Recht auf freie Persönlichkeitsentfaltung.  

Relevant für diese Interessenabwägung ist vor allem, dass durch das Tracking der gehashten E-Mail-Adressen jegliche Internetaktivitäten der Webseitenbesucher nachvollzogen werden können. Die daraus resultierenden Informationen werden für den einzelnen Webseitenbetreiber aber nicht immer notwendig sein. Demnach dürften die Interessen der Webseitennutzer hinsichtlich der Wahrung ihrer Persönlichkeitsrechte regelmäßig überwiegen. Das Tracking der gehashten E-Mail-Adressen wird folglich nicht auf ein berechtigtes Interesse der Webseitenbetreiber gestützt werden können. 

Die einschlägige Rechtsgrundlage für die Datenverarbeitung wird demnach ähnlich wie bei der Nutzung von Cookies die freiwillige Einwilligung von Webseitennutzer gem. Art. 6 Abs. 1 lit. a) DSGVO sein. Diese müssen zuvor über das E-Mail-Hashing und deren Auswirkungen informiert werden. Zudem muss die einmal erklärte Einwilligung der Webseitenbesucher jederzeit widerrufbar sein. Die Webseitenbetreiber müssen somit gewährleisten, dass die E-Mail-Adressen der Webseitenbesucher erst beim Vorliegen einer Einwilligung gehasht und folglich auch getrackt werden. Dafür sollte das Tracking durch gehashte E-Mail-Adresse in das jeweilige Consent-Management-Tool der Webseiten mit aufgenommen werden. Über dies können die Nutzer dann in das Verfahren aktiv einwilligen oder eben ablehnen. Zudem muss technisch gewährleistet sein, dass bei einem etwaigen Widerruf der Einwilligung das Tracking der gehashten E-Mail-Adresse nicht weiter fortgesetzt wird.  

Fazit 

Immer mehr Unternehmen greifen auf das Tracking mittels gehashter E-Mail-Adressen zurück. Es ist effizient und bedarf kein Setzen von Cookies. Aufgrund der immer größeren Abkehr vom Tracking durch Cookies, könnte der Einsatz von gehashten E-Mail-Adressen das Tracking der Zukunft werden. Aber auch durch das Hashing von E-Mail-Adressen und der Nutzung der Hashwerte werden personenbezogene Daten verarbeitet, sodass sich dessen Zulässigkeit nach den Vorschriften der DSGVO richtet. Die Verarbeitung ist demnach nur beim Vorliegen einer Rechtsgrundlage erlaubt. Einzig in Betracht kommende Rechtsgrundlage ist dabei die Einwilligung der Webseitenbesucher gem. Art. 6 Abs. 1 lit. a) DSGVO. Webseitenbesucher sollten daher aufpassen, dass Webseitenbetreiber für das Tracking von gehashten E-Mail-Adressen nicht auf ihr berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO berufen. Um sicherzugehen, dass das Tracking nicht eventuell auch ohne eine Einwilligung erfolgt, gibt es für Apple-Nutzer einen Tipp: Apple hat zur Abwehr des Trackings durch E-Mail-Hashing eine Funktion eingebaut, durch die es möglich ist, die eigene E-Mail-Adresse zuverbergen. Durch die Funktion „E-Mail-Adresse verbergen“ wird durch Apple bei jeder Neuanmeldung eine einzigartige, zufällige E-Mail-Adresse erzeugt, welche automatisch mit dem persönlichen Postfach verknüpft ist. Da für jede Anmeldung eine neue E-Mail-Adresse durch Apple erzeugt wird, ist das Tracking dieser E-Mail-Adresse nicht mehr möglich bzw. nicht zielführend.