Checkliste: Datenschutzkonforme Marketing-Tools
Datenschutzgrundverordnung (DSGVO), Cookie- und Schrems-II-Urteil – immer wieder müssen sich Unternehmen auf neue Anforderungen in Sachen Datenschutz einstellen. Insbesondere in Marketing und Vertrieb, wo die Erhebung und Verarbeitung von personenbezogenen Daten Dreh- und Angelpunkt ist, um Kunden zu gewinnen und Umsätze zu generieren, herrscht Unsicherheit: Wann dürfen Daten überhaupt noch verwertet werden? Wie lassen sich Marketing- und Vertriebsprozesse rechtskonform digitalisieren? Welche Tools können dabei bedenkenlos zum Einsatz kommen?
Ausgangslage: Die Krux mit den US-Anbietern
Die Situation in den Marketing- und Vertriebsabteilungen ist vielerorts eine ähnliche: Systeme für die Verwaltung von Kontaktdaten potenzieller Kunden müssen leistungsfähig sein und die Kommunikations- und Verkaufsprozesse optimal unterstützen. Da braucht es praxiserprobte Tools, die bereits einer großen Nutzerschaft wertvolle Dienste leisten – Tools wie die der Marktgiganten aus den USA. Doch hier beginnt für viele Unternehmen das Dilemma: Die USA weisen laut Privacy-Shield- bzw. Schrems-II-Urteil, das der Europäische Gerichtshof (EuGH) im Juli 2020 fällte, kein EU-angemessenes Datenschutzniveau mehr auf. Grund sind US-Gesetze wie CLOUD Act und FISA, die US-Behörden Zugang zu jedweden Daten gewähren, die sich im Besitz, unter Kontrolle oder in Obhut von US-Unternehmen befinden – und das sogar ohne richterlichen Beschluss. Folglich sind sowohl der Transfer personenbezogener Daten in die USA als auch die Beauftragung eines US-Unternehmens oder dessen Tochtergesellschaft nicht mehr ohne Weiteres DSGVO- konform.
Lösung: Checkliste für die Tool-Auswahl
Für Marketing und Vertrieb stellt sich die Herausforderung, eine passende Softwarelösung zu finden, die einen rechtskonformen Umgang mit personenbezogenen Daten gewährleistet. Dabei gilt es auf die folgenden Punkte besonders zu achten:
- Serverstandort: Aufgrund der Gesetzeslage sollten Unternehmen keine personen- bezogenen Daten in die USA transferieren (lassen). Der Serverstandort der eingesetzten Software sollte daher unbedingt in der Europäischen Union (EU) oder im Europäischen Wirtschaftraum (EWR) liegen.
- Unternehmensstruktur: Auch in den USA ansässige Unternehmen müssen personenbezogene Daten von EU-Bürgern beispielsweise an Strafverfolgungsbehörden Aufgrund des CLOUD Acts steht fest, dass sich die Ermächtigung von US-Behörden ebenso auf europäische Tochtergesellschaften ausweitet – selbst wenn die Server in Europa stehen.
- Standardvertragsklauseln: Grundsätzlich ist der Einsatz von US-Tools auf Basis von Standardvertragsklauseln möglich, jedoch müssen sie mit jedem Verarbeiter einzeln und inhaltlich unverändert abgeschlossen werden. Zudem sind sie mit zusätzlichen Schutzmaßnahmen – wie etwa Verschlüsselung bis auf Feldebene oder Anonymisierung – zu kombinieren, um ein EU-konformes Datenschutzniveau herzustellen.
- Privacy by Design und Privacy by Default: Um die von der DSGVO geforderten technischen und organisatorischen Maßnahmen in einem Tool wiederzufinden, sollte ein Softwareanbieter zwei Prinzipien umsetzen: „Privacy by Design“, indem die Software von Grund auf datenschutzkonform arbeitet, eingesetzt und entwickelt wird; und „Privacy by Default“, das datenschutzfreundliche Voreinstellungen meint, wie etwa nur für den Verarbeitungszweck erforderliche Datenfelder und nicht vorab angeklickte Checkboxen, um die Einwilligung zur Datenverarbeitung (zum Beispiel Tracking) gemäß 6 DSGVO einzuholen.
- Zertifikate: Als Orientierungshilfe, um die Datenschutzkonformität einer Softwarelösung einzuschätzen, dienen Zertifikate wie nach ISO 27001, die unabhängige Prüfstellen wie der TÜV vergeben.
Fazit
Wirklich rechtssicher sind Unternehmen nur mit einer europäischen Software, die neben den genannten Aspekten auch einen rechtskonformen Einwilligungsprozess für die Datenerhebung und -verarbeitung – und zwar als Double-Opt-in – abbildet. Auf diese Weise können Unternehmen ihren Datenschatz wahren und weiterhin nutzen. Und nur so lassen sich Abmahnungen, Bußgelder und auch Imageschäden vermeiden. Das kostenfreie E-Book „E-Mail-Marketing und Lead Management rechtskonform gestalten“ beinhaltet eine ausführliche Checkliste zur Anbieterauswahl sowie viele weitere praktische Tipps für Marketing und Vertrieb.