Thought Leadership
Das Thema Datenschutz bringt US-Tools wie Mailchimp und Hubspot zunehmend in Verruf. Das sorgt für Verunsicherung bei B2B-Unternehmen: Dürfen US-Tools überhaupt noch zum Einsatz kommen?
Wie ist E-Mail-Marketing und Marketing Automation datenschutzkonform möglich? Was rechtlich gilt und worauf Marketer im Einzelnen achten müssen, verraten Sabine Heukrodt-Bauer und Martin Philipp im Fachbeitrag.
Gerade als B2B-Unternehmen dachten, die EU-Datenschutzgrundverordnung (DSGVO) verdaut zu haben, mussten sie die nächste bittere Pille schlucken: Denn wie einst das Safe-Harbour-Abkommen wurde im Juli 2020 auch das Privacy-Shield-Abkommen vom Europäischen Gerichtshof (EuGH) gekippt. Daraus ergibt sich jedoch eine verschärfte Bewertung der USA hinsichtlich des Datenschutzniveaus: Weder der Transfer personenbezogener Daten in die USA noch die Beauftragung eines US-Unternehmens oder dessen Tochtergesellschaft sind demnach mit der DSGVO vereinbar.
Die Krux mit den US-Tools
Ursache des Datenschutz-Dilemmas zwischen der EU und den Vereinigten Staaten sind die dortigen Gesetze wie CLOUD Act und FISA, die US-Behörden Zugang zu jedweden Daten gewähren, die sich im Besitz, unter Kontrolle oder in Obhut von US-Unternehmen befinden – sogar ohne richterlichen Beschluss. Dass sich dieses Risiko auch durch die Verwendung von Standardvertragsklauseln der EU-Kommission nicht gänzlich ausschließen lässt, bestätigte im März 2021 das Bayerische Landesamt für Datenschutz, als es auf eine Beschwerde gegen den Einsatz der E-Mail-Marketing-Lösung Mailchimp antwortete. Datenschützer gehen davon aus, dass Aufsichtsbehörden bald schon vermehrt aktiv werden (müssen) und in naher Zukunft mit ersten Bußgeldern zu rechnen ist. B2B-Unternehmen bleibt daher nichts anderes übrig, als aktiv zu werden und ihre Marketing-Tools auf den Prüfstand zu stellen.
Weder Daten in die USA transferieren noch US-Unternehmen beauftragen
Gemäß Urteil des EuGHs (Privacy Shield / Schrems II) besteht in den USA aufgrund der dort geltenden Gesetze kein angemessenes Datenschutzniveau, wie es nach DSGVO erforderlich wäre. Das heißt, B2B-Unternehmen sollten überprüfen, dass sie selbst keine personenbezogenen Daten in die USA (etwa an dortige Server) übermitteln, noch einen Auftragsverarbeiter (Tool-Anbieter) ins Boot holen, der Daten in die USA transferiert. Die geltenden US-Gesetze machen nicht an Ländergrenzen halt: Sie verpflichten in den USA-ansässige Unternehmen, auch personenbezogene Daten von EU-Bürgern, beispielsweise an Strafverfolgungsbehörden im Falle eines Terrorverdachts, herauszugeben. Aufgrund des CLOUD Acts steht fest, dass sich die Ermächtigung von US-Behörden auch auf europäische Tochtergesellschaften von US-Firmen ausweitet. Selbst wenn sich die Server physisch innerhalb der EU befinden, macht das faktisch keinen Unterschied. Aber sind nicht Standardvertragsklauseln laut EuGH-Urteil zulässig, um ein angemessenes Datenschutzniveau zu gewährleisten?
Standardvertragsklauseln nur mit ergänzenden Maßnahmen einsetzen
Die Übermittlung von Daten in die USA und der Einsatz von US-Tools wäre auf Basis von Standardvertragsklauseln der EU-Kommission zwar grundsätzlich denkbar, aber:
- Diese müssen mit jedem Verarbeiter (eventuell auch Subunternehmen) einzeln abgeschlossen werden.
- Sie dürfen inhaltlich nicht verändert werden.
- Die Standardvertragsklauseln allein erfüllen nicht die Anforderungen an ein DSGVO-konformes Datenschutzniveau, weshalb zusätzliche Garantien erforderlich sind, um personenbezogene Daten zu schützen.
- Folglich sind ergänzende Schutzmaßnahmen – wie etwa Verschlüsselung bis auf Feldebene oder Anonymisierung – erforderlich, die US-Dienste nicht umgehen können und deren Schlüssel bzw. Zuordnungsmöglichkeit nur das datenexportierende Unternehmen besitzt.
Schon hier wird ersichtlich, dass es schier unmöglich ist, dies zu einhundert Prozent rechtssicher zu gestalten.
Aufwand und Restrisiko alternativer Lösungen abwägen
Oftmals werden B2B-Unternehmen noch weitere Alternativen genannt, um das Dilemma mit den US-Tools zu umgehen. So können die Unternehmen gemeinsam mit den Aufsichtsbehörden eigene verbindliche Datenschutzrichtlinien gemäß Art. 47 DSGVO aufstellen – eine sichere Lösung, die jedoch erheblichen bürokratischen und wirtschaftlichen Aufwand verursacht. Möglich wäre ebenso, sich auf eine Ausnahme gemäß Art. 49 DSGVO zu berufen. Hierunter zählen unter anderem notwendige Übermittlungen, etwa zur Erfüllung eines Vertrages. Dies beinhaltet allerdings keine Analyse- und Marketingzwecke. Ebenfalls würde auch eine Einwilligung des Betroffenen zur Datenverarbeitung ohne angemessenes Datenschutzniveau gelten – jedoch nach vorheriger (!) Aufklärung dieser Person über die möglichen Risiken. Für B2B-Unternehmen bestünde hier die Herausforderung, einen rechtlich wasserdichten Einwilligungstext zu formulieren. Zudem müssten sie jederzeit mit dem Widerruf dieser Einwilligung rechnen. Daher ist bei vermeintlichen Schlupflöchern Vorsicht geboten.
Auf Nummer (rechts-)sicher: Anbieter aus Deutschland oder der EU
Um die Problematik mit US-Tools gänzlich zu umgehen, ist es ratsam sich nach einer Alternative aus Deutschland oder der EU umzusehen. Denn es gibt durchaus Software-Lösungen, die es mit den Hyperscalern sowie ihren prominenten Produkten aufnehmen können und ihnen in Funktionen und Komfort keineswegs nachstehen. In jedem Fall lohnt sich ein Vergleich. Darüber hinaus ist es jedoch wichtig zu beachten, dass auch eine europäische Software-Lösung nicht per se datenschutzkonform ist. Wer im B2B-Marketing personenbezogene Daten erheben und verarbeiten möchte, sollte weitere Punkte genauso beherzigen: Dazu gehört zum Beispiel ein rechtskonformer Einwilligungsprozess via zweistufigem Double-Opt-in-Verfahren. Hierbei muss die Person die erteilte Einwilligung durch Klicken eines per E-Mail zugesandten Bestätigungslinks verifizieren.
Nicht ohne explizite Einwilligungen für Datenerhebung und -verwendung
Nur mit einer Einwilligung der Personen, um deren Daten es geht, ist es überhaupt gestattet, diese personenbezogenen Daten zu erheben, zu speichern, zu analysieren und zu werblichen Zwecken im Rahmen von E-Mail-Marketing oder Marketing-Automation-Kampagnen zu nutzen. Grundlage bilden zum einen Art. 6 DSGVO für die Rechtmäßigkeit der Datenverarbeitung zum genannten Zweck und zum anderen § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) bezüglich der Einwilligung in den Erhalt werblicher E-Mails. Der Betroffene ist vorab zwingend über die Art und Weise der Datenverarbeitung sowie deren Zweck aufzuklären, für den die Daten ausschließlich zu verwenden sind. Dies gilt auch für das Anlegen von Nutzerprofilen sowie für das Tracking auf Websites, in Mailings und Newslettern. Unabhängig von der Technologie, zum Beispiel Cookies oder anderen Formen des personenbezogenen Trackings, ist ein B2B-Unternehmen nur dann auf der sicheren Seite, wenn für jede Form der Datenerhebung und -verarbeitung eine rechtsgültige Einwilligung vorliegt. Diese sollte zwingend eine aktive und damit ausdrückliche Handlung des Betroffenen sein, etwa das Setzen eines Häkchens in einer nicht vorab angeklickten Checkbox. Zudem müssen auch weitere technologische Aspekte den Ansprüchen der DSGVO genügen.
Privacy by Design & Privacy by Default bei der genutzten Software prüfen
Insbesondere, wenn es um die passende Marketing-Software geht, stehen zwei Prinzipien für das, was die DGSVO als geeignete technische und organisatorische Maßnahmen bezeichnet, um eine sichere und datenschutzkonforme Verarbeitung zu gewährleisten. Bei „Privacy by Design“ geht es um die Technikgestaltung, sodass eine Software von Grund auf datenschutzkonform arbeitet sowie eingesetzt und entwickelt wird. Ob dabei höchste IT-Sicherheitsstandards eingehalten werden, belegt bei einem Software-Anbieter beispielsweise die Zertifizierung nach ISO 27001 durch unabhängige Prüfstellen wie dem TÜV. Die Norm stellt die Integrität betrieblicher Daten sicher und gewährleistet, dass vertrauliche Daten geschützt sind. Mit Privacy by Default garantiert eine Software hingegen datenschutzfreundliche Voreinstellungen. Dazu gehört, dass nur jene personenbezogenen Daten erhoben werden, die für den Verarbeitungszweck erforderlich sind. In der Praxis des E-Mail-Marketings bedeutet das zum Beispiel, dass in der Newsletter-Anmeldung ausschließlich ein Pflichtfeld voreingestellt ist, um die E-Mail-Adresse einzutragen. Zugleich darf das Häkchen zum Erteilen der Zustimmung für das Newsletter-Tracking nicht bereits vorab gesetzt sein.
Fazit
Aufgrund der aktuellen Rechtslage und den zu erwartenden Aktivitäten von Aufsichtsbehörden, dürfen B2B-Unternehmen nicht länger untätig bleiben. Zwar sind US-Tools nicht grundsätzlich verboten, jedoch gestaltet sich der datenschutzkonforme Einsatz nahezu aussichtslos. Mit rechtlichen Lockerungen ist hier nicht zu rechnen. Daher sind Marketer gut beraten, wenn sie sich jetzt nach einer Alternative umsehen.
Martin Philipp, Geschäftsführer bei Evalanche | SC-Networks GmbH (www.sc-networks.de) & Sabine Heukrodt-Bauer, Fachanwältin für IT-Recht und für gewerblichen Rechtsschutz bei RESMEDIA Mainz (www.res-media.net)
