Nachricht an Ex-(Abonnenten)

Warum sich nicht jeder über Ihr Valentinstags-Mailing freut

| Autor / Redakteur: Alexander Zeh * / Georgina Bott

Verliebten die Chance auf ein romantisches Geschenk zu geben ist ein toller Werbeanlass – oder? Aber wie in der Liebe, kann auch beim Valentinstags-Werbe-Mailing so einiges schief gehen.
Verliebten die Chance auf ein romantisches Geschenk zu geben ist ein toller Werbeanlass – oder? Aber wie in der Liebe, kann auch beim Valentinstags-Werbe-Mailing so einiges schief gehen. (Bild: gemeinfrei / CC0)

Kompliziert ist es nicht nur mit der Liebe, sondern auch mit dem Versenden von Massen-Mailings – insbesondere durch das Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO). Denn die regelt auch die Verarbeitung von E-Mail-Sperrlisten neu.

Nachricht vom Ex bekommt bekanntlich niemand gern. Das bekam jüngst auch ein Onlineshop zu spüren. Eigentlich sollte die Kampagne im Vorfeld des Valentinstags, Verliebte zum Geschenkeshoppen animieren. Stattdessen stieß das Mailing bei einigen Empfängern auf wenig Gegenliebe. Denn es landete nicht nur im Postfach von Fans, treuen Kunden und lieb-gewonnenen Newsletter-Abonnenten, sondern auch bei jenen, die gar kein Mailing mehr haben wollten.

Was war passiert? Zwar hatte der Onlineshop-Betreiber die eigenen Verteilerlisten vorbildlich gepflegt, ehemalige Abonnenten nach Austragung entsprechend gelöscht, beim Re-Import jedoch war die ein oder andere E-Mail-Adresse erneut in den Empfängerkreis gerutscht. Zwar bieten Newsletter-Versand-Tools und die dahinter angeschlossenen E-Mail Service Provider in der Regel sogenannte Sperrlisten. Sie sind sozusagen die „Verteiler-Ordnungshüter“ und sorgen dafür, dass wer sich einmal vom Newsletter und Co. abgemeldet hat, auch nicht mehr angeschrieben wird. Derartige Sperrlisten aber setzen die Speicherung personenbezogener Daten voraus: das wiederum ist aufgrund der im Mai 2018 in Kraft getretenen DSGVO nicht ohne Weiteres möglich. Massen-Mail-Versender stürzt dieser Umstand in folgendes Dilemma: Einerseits dürfen sie eine Mailadresse nach Löschersuchen nicht mehr anmailen, andererseits dürfen sie die Mailadresse ebenso wenig speichern, um genau das zu gewährleisten.

Hash-Werte verhindern Reimport gesperrter Adressen

Die Lösung: sogenannte Hash-Algorithmen. Diese generieren aus E-Mail-Adressen Hash-Werte, die sich nicht ohne Weiteres wieder in die Mailadresse zurückführen lassen. In der Sperrliste werden wiederum nur die Hash-Werte gespeichert und mit dem Hash-Wert jeder zu importierenden Mailadresse abgeglichen. Gibt es eine Übereinstimmung, ist die entsprechende Mailadresse gesperrt und darf nicht angemailt werden.

Das System funktioniert, hat aber Tücken: Erstens werden die Algorithmen, die die Hashs erzeugen, von der technischen Entwicklung eingeholt und gelten irgendwann als nicht mehr sicher. Zweite Schwachstelle sind die sogenannten Rainbow Tables: Findige Geister erzeugen mit Hilfe gängiger Hash-Algorithmen riesige Listen von Eingabewerten mit den daraus erzeugten Hash-Werten. In diesen Listen kann man dann Hash-Werte wie in einem Lexikon nachschlagen und die dahinter liegenden Eingaben, sprich Maildressen rekonstruieren.

Für beide Probleme gibt es Abhilfe: Hashes, die mit einem nicht mehr sicheren Algorithmus generiert wurden, kann man mit einem modernen, sicheren Algorithmus erneut hashen. Und gegen die Rainbow Tables hilft ein „salt“: ein Wert, der dem zu verschlüsselnden Wert, also der Mailadresse, angehängt wird, bevor der Hash erzeugt wird. Dann müsste zu jedem möglichen Salt ein eigener Rainbow Table erzeugt werden, um die Mailadressen zu knacken, theoretisch möglich, aber praktisch nicht einmal ansatzweise praktikabel.

Chiffrierte Daten unterliegen nicht der DSGVO

So viel zur technischen Praxis. Wie sieht es mit der juristischen Theorie aus? Die EU-Datenschutzgrundverordnung (DSGVO) ist nur auf personenbezogene Daten anzuwenden. E-Mail-Adressen zählen zu den personenbezogenen Daten, aber was ist mit gehashten E-Mail-Adressen? Kommt drauf an, sagt der Gesetzgeber. Und zwar darauf, ob es sich bei der Verschlüsselung von (personenbezogenen) E-Mail-Adressen mittels Hash-Algorithmen um eine Pseudonymisierung oder eine Anonymisierung handelt.

Bei der erstgenannten Methode mit einfachen Hashes ist die Rückführung in die personenbezogene Mailadresse relativ einfach und ohne erheblichen Aufwand möglich. Daher handelt es sich bei diesem Verfahren lediglich um eine Pseudonymisierung, die so generierten Hashes gelten deshalb weiterhin als personenbezogene Daten und unterliegen damit auch der DSGVO.

Anders bei Methode zwei: Personenbezogene Daten, die mit modernen, sicheren Algorithmen im besten Fall mehrfach gehasht und mit einem „salt“ versehen wurden sind, wenn überhaupt, nur mit einem erheblichen Aufwand einer Mailadresse zuzuordnen. Auf diese Art chiffrierte Daten gelten deshalb als anonymisiert und sie unterliegen nicht der DSGVO.

Die Mail-Experten der Certified Senders Alliance (CSA) empfehlen daher bei der Implementierung von Sperrlisten das zweite, etwas aufwändigere Verfahren, damit die EU-DSGVO nicht zum Tragen kommt. Weitere Informationen der CSA zum Thema Sperrlisten finden Sie hier.

* Alexander Zeh ist Engineering Manager bei der Certified Senders Alliance (CSA).

** Die Certified Senders Alliance (CSA) ist ein gemeinsames Whitelisting Projekt des Internetverbandes eco e.V. und des Deutschen Dialogmarketing Verbandes (DDV).

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45731980 / Lead Management)