WIEN. Ob Datenschutzgrundverordnung (DSGVO), Cookie- oder Privacy-Shield-Urteil – immer dann, wenn Unternehmen meinen, die neuesten Meldungen zum Thema Datenschutz verdaut zu haben, müssen sie sich auf neue gesetzliche Anforderungen einstellen. Diese gelten aber nicht bloß auf dem Papier, sondern müssen zunehmend praktische Umsetzung finden – in der Gestaltung von Marketing- und Vertriebsprozessen sowie bei der Auswahl geeigneter Software-Lösungen. Dabei bewirken die permanenten gesetzlichen Neuerungen zum Datenschutz bei B2B- wie bei B2C-Unternehmen vor allem eins: Unsicherheit. Wie lassen sich Marketing- und Vertriebsprozesse überhaupt rechtskonform digitalisieren? Und welche Tools dürfen dabei ohne Bedenken zum Einsatz kommen?
Im aktuellen Diskurs geraten gängige US-Marketingtools wie beispielsweise Google Analytics, Mailchimp oder Hubspot vermehrt unter Beschuss. Der Grund: Diese Unternehmen haben ihren Sitz in den USA, die laut Privacy-Shield- bzw. Schrems II-Urteil, das der Europäische Gerichtshof (EuGH) im Juli 2020 fällte, kein EU-angemessenes Datenschutzniveau mehr aufweisen. Diese Einschätzung ergibt sich notwendigerweise aus US-Gesetzen wie CLOUD Act und FISA, die US-Behörden Zugang zu jedweden Daten gewähren, die sich im Besitz, unter Kontrolle oder in Obhut von US-Unternehmen befinden – sogar ohne richterlichen Beschluss. Folglich sind sowohl der Transfer personenbezogener Daten in die USA als auch die Beauftragung eines US-Unternehmens oder dessen Tochtergesellschaft nicht mit der DSGVO und dem Datenschutzverständnis hierzulande vereinbar.
Checkliste für die Tool-Auswahl in Marketing und Vertrieb
Besonders für Marketing und Vertrieb, die sich zunehmend digitalisieren (müssen), um effizienter zu arbeiten und dem veränderten Kaufverhalten ihrer Kundschaft Rechnung zu tragen, stellt sich die Herausforderung: Welche Software-Lösung ist die passende und obendrein noch rechtskonform? Folgende Kriterien gilt es bei der Auswahl zu beachten:
• Serverstandort: Aufgrund der Gesetzeslage sollten B2B-Unternehmen keine personenbezogenen Daten in die USA transferieren (lassen). Der Serverstandort der eingesetzten Software sollte daher unbedingt in der EU oder im Europäischen Wirtschaftsraum (EWR) liegen.
• Unternehmensstruktur: In den USA ansässige Unternehmen müssen personenbezogene Daten von EU-Bürgern beispielsweise an Strafverfolgungsbehörden herausgeben. Aufgrund des CLOUD Acts steht fest, dass sich die Ermächtigung von US-Behörden ebenso auf europäische Tochtergesellschaften ausweitet – selbst wenn die Server in Europa stehen.
• Standardvertragsklauseln: Grundsätzlich ist der Einsatz von US-Tools auf Basis von Standardvertragsklauseln möglich, jedoch müssen sie mit jedem datenverarbeitenden Anbieter einzeln und inhaltlich unverändert abgeschlossen werden. Zudem sind sie mit zusätzlichen Schutzmaßnahmen – wie etwa Verschlüsselung bis auf Feldebene oder Anonymisierung – zu kombinieren, um ein EU-konformes Datenschutzniveau herzustellen.
• Privacy by Design und Privacy by Default: Um die von der DSGVO geforderten technischen und organisatorischen Maßnahmen in einem Tool wiederzufinden, sollte ein Software-Anbieter zwei Prinzipien umsetzen: „Privacy by Design“, indem die Software von Grund auf datenschutzkonform arbeitet, eingesetzt und entwickelt wird; und „Privacy by Default“, das datenschutzfreundliche Voreinstellungen meint, wie etwa nur für den Verarbeitungszweck erforderliche Datenfelder und nicht vorab angeklickte Checkboxen, um die Einwilligung zur Datenverarbeitung (z.B. Tracking) gemäß Art. 6 DSGVO einzuholen.
• Zertifikate: Als Orientierungshilfe, um die Datenschutzkonformität einer Software-Lösung einzuschätzen, dienen Zertifikate durch unabhängige Prüfstellen wie den TÜV. Eine Zertifizierung nach der international führenden Norm für Informationssicherheit ISO 27001 etwa steht für die Einhaltung höchster IT-Sicherheitsstandards im gesamten Unternehmen, um die Integrität betrieblicher Daten zu gewährleisten und vertrauliche Daten zu schützen.
Ist das das Aus für US-Tools?
Nicht zwangsläufig, denn es gibt rechtliche Mittel, um weiterhin mit US-Tools arbeiten zu können:
• das Aufstellen eigener verbindlicher Datenschutzrichtlinien gemäß Art. 47 DSGVO,
• die Berufung auf Art. 49 DSGVO und damit der Verzicht auf Datenerhebung zu Analyse- und Marketingzwecken oder
• das Einholen einer Einwilligung des Betroffenen nach vorheriger Aufklärung und mit rechtlich wasserdichtem Einwilligungstext.
Doch insbesondere bei der Datenerhebung zur Neukundengewinnung und Umsatzsteigerung sind diese Maßnahmen für die wenigsten Unternehmen eine Option: zu kompliziert, zu aufwändig, zu restriktiv. Daher ist bei vermeintlichen Schlupflöchern stets Vorsicht geboten.
Die sichere Alternative aus Europa
Wirklich rechtssicher sind Unternehmen nur mit einer Software-Lösung von einem Anbieter mit Sitz und Servern in der EU. Denn es gibt hier durchaus Hersteller, die es mit den Marktführern und ihren prominenten US-Produkten aufnehmen können. In jedem Fall lohnt sich ein Vergleich. Nur so lassen sich Abmahnungen, Bußgelder und auch Imageschäden sicher vermeiden. Trotzdem gilt: Auch eine europäische Software-Lösung ist nicht per se datenschutzkonform. Wer in Marketing und Vertrieb personenbezogene Daten erheben und verarbeiten möchte, sollte weitere Punkte beherzigen. Dazu gehört zum Beispiel ein rechtskonformer Einwilligungsprozess via zweistufigem Double-Opt-in-Verfahren.
Das kostenfreie E-Book „E-Mail-Marketing und Lead Management rechtskonform gestalten“ beinhaltet eine ausführliche Checkliste zur Anbieter-Auswahl sowie viele weitere praktische Tipps für Marketing und Vertrieb: https://www.sc-networks.at/download/?dl_id=347291
Disclaimer
Dieser Text ersetzt keine Rechtsberatung und erhebt keinen Anspruch auf Richtigkeit, Vollständigkeit und Aktualität.
Autoreninfo
Sabine Heukrodt-Bauer ist Fachanwältin für IT-Recht und für gewerblichen Rechtsschutz sowie Gründerin der auf IT-Recht spezialisierten Kanzlei Resmedia Mainz. Sie ist Sprecherin auf diversen Events und Kongressen und hat seit 2015 einen Lehrauftrag für IT-Recht an der Johannes Gutenberg-Universität Mainz. Zudem veröffentlicht sie regelmäßig Artikel zu aktuellen Themen rund um IT-, Online-Marketing- und E-Commerce-Recht sowie Datenschutz.
www.res-media.net
Martin Philipp hat über 20 Jahre Erfahrung im Online-Marketing und dem digitalen Vertrieb von erklärungsbedürftigen, anspruchsvollen Produkten und Lösungen. Er ist Mitgeschäftsführer der SC-Networks GmbH, Hersteller der „Made in Germany“ Marketing-Automation-Plattform Evalanche, und verantwortlich für die Neukundengewinnung und Kundenbegeisterung.
www.sc-networks.at
