Alle Welt spricht von Datenschutz, aber keiner traut sich, die wirklich wichtigen Fragen zu stellen. Das gilt auch oder sogar im Besonderen für Online-Marketer.
Denn die Vorgaben der Datenschutzgrundverordnung (DSGVO) sind hierzulande zwar festverankert, aber ihre Umsetzung – vor allem, wenn auch noch eine Marketing-Software zum Einsatz kommt – wirft immer wieder dieselben, aber auch neue Fragen auf.
Gerichtsurteile zu Cookies und dem Privacy Shield sowie jüngere Stellungnahmen von Datenschutzbehörden wie im Fall Mailchimp sorgen regelmäßig für Zündstoff in der Datenschutz-Debatte. Kein Wunder, dass auch bei Online-Marketern die Unsicherheit groß ist. Soll dann auch noch eine Software eingesetzt werden, um Marketingprozesse professionell zu digitalisieren und zu automatisieren, wissen die wenigsten, worauf sie datenschutzrechtlich alles achten müssen. Hier finden Sie daher klare Antworten auf die Frequently Asked Questions (FAQ) aus dem digitalen Marketing.
1. Wer trägt jetzt eigentlich die Verantwortung bei der Datenverarbeitung?
Noch immer herrscht bei Marketern Unsicherheit, wer nun dafür verantwortlich ist, dass insbesondere personenbezogene Daten rechtskonform verarbeitet werden. Fakt ist, dass Ihnen als Auftraggeber der Datenverarbeitung praktisch dieselben Verantwortlichkeiten obliegen wie dem beauftragten Unternehmen, also dem Software-Anbieter. Ganz wichtig: Nur wenn Sie den passenden Anbieter auswählen, können Sie Ihrer Verantwortung gerecht werden. So sind Sie gemäß Art. 28 Abs. 1 dazu verpflichtet, ausschließlich jene Anbieter zu beauftragen, die hinreichende Garantien dafür bieten, dass die Verarbeitung rechtskonform erfolgt und die Rechte der Betroffenen gewahrt sind. Am sichersten ist es deshalb, einem nach ISO 27001 zertifizierten Software-Hersteller oder Cloud-Dienstleister zu vertrauen. Ein Auftragsverarbeitungsvertrag mit dem Anbieter ist zwar ein essenzieller Schritt, aber kein Freibrief für Sie. Denn: Sie als Unternehmen müssen dafür sorgen, dass der Anbieter die schriftlich vereinbarten Vorgaben auch umsetzt.
2. Was ist denn immer mit Privacy by Design und Privacy by Default gemeint?
Bei der Verarbeitung personenbezogener Daten fordert die DSGVO den Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default). Privacy by Design meint, dass eine Software – etwa für E-Mail-Marketing und Lead Management – von Grund auf datenschutzkonform arbeiten sowie eingesetzt und entwickelt werden soll, wie zum Beispiel durch Pseudonymisierung. Privacy by Default sorgt zusätzlich zur Technikgestaltung dafür, dass alle Voreinstellungen datenschutzkonform und so restriktiv wie möglich sind, zum Beispiel wenige Pflichtfelder in Datenformularen und keine vorab angeklickten Checkboxen. Sie als Verantwortlicher haben zu prüfen, ob Ihr Vertragspartner und seine Lösung nach diesen Prinzipien arbeiten.
3. Was war nochmal das Problem mit US-Anbietern?
Die Kritik an US-Software-Lösungen und -Anbietern ist ein Dauerthema in den Medien. Aber nicht jeder versteht die Zusammenhänge. Hier eine kleine Zusammenfassung: Seit der Europäische Gerichtshof (EuGH) das Privacy- Shield-Abkommen 2020 für ungültig erklärte, ist die Zusammenarbeit mit US-amerikanischen Softwareanbietern problematisch. Denn seitdem wird das Datenschutzniveau in den USA nicht mehr als ausreichend eingestuft. Grund dafür sind die dortigen Gesetze wie der US-CLOUD Act, der US-Behörden den Zugang zu jeglichen Daten ermöglicht, die sich in Besitz, in der Obhut oder unter der Kontrolle eines US-Unternehmens befinden. Das heißt, es geht nicht allein um den Serverstandort. Auch Tochterunternehmen von US-Firmen fallen unter den CLOUD Act, sodass in einem solchen Fall der Serverstandort Deutschland beispielsweise nicht ausreicht, um eine Software datenschutzkonform nennen zu dürfen.
4. Was mache ich bloß, wenn kein ausreichendes Datenschutz-Niveau gegeben ist?
Die sicherste Lösung ist, von vornherein auf die Software eines Anbieters zu vertrauen, der ausschließlich in der EU sitzt und dort seine und Ihre Daten hostet. Wenn Ihr bestehendes Tool nicht DSGVO-konform sein sollte, bietet sich der Umstieg auf eine datenschutzkonforme Lösung eines europäischen Unternehmens an. Zwar gibt es Alternativen, um auch US-Tools weiternutzen zu können, jedoch sind diese teils schwer umsetzbar. Dazu gehören etwa
- die Standardvertragsklauseln der EU-Kommission, die unverändert mit jedem Dienstleister einzeln zu schließen und durch zusätzliche Maßnahmen zum Datenschutz wie Verschlüsselung bis auf Feldebene oder einer Anonymisierung von Daten zu ergänzen sind;
- eigene verbindliche Datenschutzvorschriften (nach Art. 47 DSGVO) sowie
- ein Prozess, der für jede Form der Verarbeitung eine ausdrückliche Einwilligung einholt, wobei eine rechtssichere Formulierung schier unmöglich ist.
5. Was bedeutet eigentlich digitale Souveränität (speziell für mein Unternehmen)?
Digitale Souveränität ist vielen Marketern ein zu mächtiger und schwer greifbarer Begriff. Dabei geht es vor allem um einen zentralen Aspekt im digitalen Marketing: Ihre Kundendaten sind im digitalen Zeitalter besonders wertvoll. Daher ist es von immenser Bedeutung, dass Sie als Unternehmen allein die Entscheidung fällen, was mit diesen Daten passiert und wer darauf (und sei es nur lesenden) Zugriff hat.