Anzeige

FAQ

Alle Welt spricht von Datenschutz, aber keiner traut sich, die wirklich wichtigen Fragen zu stellen. Das gilt auch oder sogar im Besonderen für Online-Marketer.

Denn die Vorgaben der Datenschutzgrundverordnung (DSGVO) sind hierzulande zwar festverankert, aber ihre Umsetzung – vor allem, wenn auch noch eine Marketing-Software zum Einsatz kommt – wirft immer wieder dieselben, aber auch neue Fragen auf.

Gerichtsurteile zu Cookies und dem Privacy Shield sowie jüngere Stellungnahmen von Datenschutzbehörden wie im Fall Mailchimp sorgen regelmäßig für Zündstoff in der Datenschutz-Debatte. Kein Wunder, dass auch bei Online-Marketern die Unsicherheit groß ist. Soll dann auch noch eine Software eingesetzt werden, um Marketingprozesse professionell zu digitalisieren und zu automatisieren, wissen die wenigsten, worauf sie datenschutzrechtlich alles achten müssen. Hier finden Sie daher klare Antworten auf die Frequently Asked Questions (FAQ) aus dem digitalen Marketing.

Noch immer herrscht bei Marketern Unsicherheit, wer nun dafür verantwortlich ist, dass insbesondere personenbezogene Daten rechtskonform verarbeitet werden. Fakt ist, dass Ihnen als Auftraggeber der Datenverarbeitung praktisch dieselben Verantwortlichkeiten obliegen wie dem beauftragten Unternehmen, also dem Software-Anbieter. Ganz wichtig: Nur wenn Sie den passenden Anbieter auswählen, können Sie Ihrer Verantwortung gerecht werden. So sind Sie gemäß Art. 28 Abs. 1 dazu verpflichtet, ausschließlich jene Anbieter zu beauftragen, die hinreichende Garantien dafür bieten, dass die Verarbeitung rechtskonform erfolgt und die Rechte der Betroffenen gewahrt sind. Am sichersten ist es deshalb, einem nach ISO 27001 zertifizierten Software-Hersteller oder Cloud-Dienstleister zu vertrauen. Ein Auftragsverarbeitungsvertrag mit dem Anbieter ist zwar ein essenzieller Schritt, aber kein Freibrief für Sie. Denn: Sie als Unternehmen müssen dafür sorgen, dass der Anbieter die schriftlich vereinbarten Vorgaben auch umsetzt. 

Bei der Verarbeitung personenbezogener Daten fordert die DSGVO den Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default). Privacy by Design meint, dass eine Software – etwa für E-Mail-Marketing und Lead Management – von Grund auf datenschutzkonform arbeiten sowie eingesetzt und entwickelt werden soll, wie zum Beispiel durch Pseudonymisierung. Privacy by Default sorgt zusätzlich zur Technikgestaltung dafür, dass alle Voreinstellungen datenschutzkonform und so restriktiv wie möglich sind, zum Beispiel wenige Pflichtfelder in Datenformularen und keine vorab angeklickten Checkboxen. Sie als Verantwortlicher haben zu prüfen, ob Ihr Vertragspartner und seine Lösung nach diesen Prinzipien arbeiten.

Die Kritik an US-Software-Lösungen und -Anbietern ist ein Dauerthema in den Medien. Aber nicht jeder versteht die Zusammenhänge. Hier eine kleine Zusammenfassung: Seit der Europäische Gerichtshof (EuGH) das Privacy- Shield-Abkommen 2020 für ungültig erklärte, ist die Zusammenarbeit mit US-amerikanischen Softwareanbietern problematisch. Denn seitdem wird das Datenschutzniveau in den USA nicht mehr als ausreichend eingestuft. Grund dafür sind die dortigen Gesetze wie der US-CLOUD Act, der US-Behörden den Zugang zu jeglichen Daten ermöglicht, die sich in Besitz, in der Obhut oder unter der Kontrolle eines US-Unternehmens befinden. Das heißt, es geht nicht allein um den Serverstandort. Auch Tochterunternehmen von US-Firmen fallen unter den CLOUD Act, sodass in einem solchen Fall der Serverstandort Deutschland beispielsweise nicht ausreicht, um eine Software datenschutzkonform nennen zu dürfen.

Die sicherste Lösung ist, von vornherein auf die Software eines Anbieters zu vertrauen, der ausschließlich in der EU sitzt und dort seine und Ihre Daten hostet. Wenn Ihr bestehendes Tool nicht DSGVO-konform sein sollte, bietet sich der Umstieg auf eine datenschutzkonforme Lösung eines europäischen Unternehmens an. Zwar gibt es Alternativen, um auch US-Tools weiternutzen zu können, jedoch sind diese teils schwer umsetzbar. Dazu gehören etwa

  • die Standardvertragsklauseln der EU-Kommission, die unverändert mit jedem Dienstleister einzeln zu schließen und durch zusätzliche Maßnahmen zum Datenschutz wie Verschlüsselung bis auf Feldebene oder einer Anonymisierung von Daten zu ergänzen sind;
     
  • eigene verbindliche Datenschutzvorschriften (nach Art. 47 DSGVO) sowie
     
  • ein Prozess, der für jede Form der Verarbeitung eine ausdrückliche Einwilligung einholt, wobei eine rechtssichere Formulierung schier unmöglich ist.

Digitale Souveränität ist vielen Marketern ein zu mächtiger und schwer greifbarer Begriff. Dabei geht es vor allem um einen zentralen Aspekt im digitalen Marketing: Ihre Kundendaten sind im digitalen Zeitalter besonders wertvoll. Daher ist es von immenser Bedeutung, dass Sie als Unternehmen allein die Entscheidung fällen, was mit diesen Daten passiert und wer darauf (und sei es nur lesenden) Zugriff hat.

Martin Philipp, Geschäftsführer
Martin Philipp
Geschäftsführer, SC-Networks GmbH

Artikel zu diesem Thema

Cookieless
Okt 25, 2021

Die Cookieless Future beginnt

Der Einsatzspielraum und die Nutzungsmöglichkeiten von Cookies hat sich in den letzten…
Kunden
Sep 17, 2021

6 Tipps für die datenschutzkonforme Lead-Generierung

Online-Marketing per E-Mail oder Newsletter wird immer mehr von der Kür zur Pflicht. Ein…
DSGVO
Jul 02, 2021

DSGVO in der Praxis - die wichtigsten Datenschutz-Regelungen im Überblick

Wer ein Unternehmen gründet, hat den Kopf voller wichtiger Aufgaben und selten den Kopf…

Weitere Artikel

Cookie-Banner

Cookie-Banner – was ab 1.Dezember 2021 zu beachten ist

Jeder kennt das nervige Cookie-Banner. Mit dem Öffnen einer Webseite ploppt sofort ein Fenster auf, bevor es zu den eigentlichen Informationen weiter geht. Es gibt einen fetten Button, um in die Speicherung von Cookies einzuwilligen. Das Ablehnen wird…
Data Breach

Die 5 häufigsten Datenschutzverletzungen

Meldungen von Unternehmen, die von Datenschutzverletzungen und Daten-Leaks betroffen sind, haben in letzter Zeit stark zugenommen. Im Durchschnitt kosten solche Datenschutzverletzungen deutsche Unternehmen stolze 4,11 Millionen Euro – damit liegt Deutschland…
Cookies

Das Aus der Third-Party-Cookies – die Chance für den Neuanfang

Das bevorstehende Ende der Third-Party-Cookies verändert die Spielregeln im Internet. Wir müssen uns von gewohnten Handlungsmustern verabschieden, dürfen uns im Gegenzug aber auf erweiterte Möglichkeiten freuen – von denen nicht zuletzt auch die Nutzer…
Whistleblower

Eine Einordnung zur Whistleblower-Richtlinie

Die EU-Richtlinie zum Schutz von Hinweisgebern kommt zum 17.12.2021 - und bemerkenswert wenige Unternehmen sind darauf vorbereitet. Natürlich ist das wieder eine Regelung, die umgesetzt werden muss. Wir meinen: Diese Richtlinie bietet vor allem Chancen!

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.