Alle Welt spricht von Datenschutz, aber keiner traut sich, die wirklich wichtigen Fragen zu stellen. Das gilt auch oder sogar im Besonderen für Online-Marketer. Denn die Vorgaben der Datenschutzgrundverordnung (DSGVO) sind hierzulande zwar festverankert, aber ihre Umsetzung – vor allem, wenn auch noch eine Marketing-Software zum Einsatz kommt – wirft immer wieder dieselben, aber auch neue Fragen auf.

Gerichtsurteile zu Cookies und dem Privacy Shield sowie jüngere Stellungnahmen von Datenschutzbehörden wie im Fall Mailchimp sorgen regelmäßig für Zündstoff in der Datenschutz-Debatte. Kein Wunder, dass auch bei Online-Marketern die Unsicherheit groß ist. Soll dann auch noch eine Software eingesetzt werden, um Marketingprozesse professionell zu digitalisieren und zu automatisieren, wissen die wenigsten, worauf sie datenschutzrechtlich alles achten müssen. Hier finden Sie daher klare Antworten auf die Frequently Asked Questions (FAQ) aus dem digitalen Marketing.

1. Wer trägt jetzt eigentlich die Verantwortung bei der Datenverarbeitung?

Noch immer herrscht bei Marketern Unsicherheit, wer nun dafür verantwortlich ist, dass insbesondere personenbezogene Daten rechtskonform verarbeitet werden. Fakt ist, dass Ihnen als Auftraggeber der Datenverarbeitung praktisch dieselben Verantwortlichkeiten obliegen wie dem beauftragten Unternehmen, also dem Software-Anbieter. Ganz wichtig: Nur wenn Sie den passenden Anbieter auswählen, können Sie Ihrer Verantwortung gerecht werden. So sind Sie gemäß Art. 28 Abs. 1 dazu verpflichtet, ausschließlich jene Anbieter zu beauftragen, die hinreichende Garantien dafür bieten, dass die Verarbeitung rechtskonform erfolgt und die Rechte der Betroffenen gewahrt sind. Am sichersten ist es deshalb, einem nach ISO 27001 zertifizierten Software-Hersteller oder Cloud-Dienstleister zu vertrauen. Ein Auftragsverarbeitungsvertrag mit dem Anbieter ist zwar ein essenzieller Schritt, aber kein Freibrief für Sie. Denn: Sie als Unternehmen müssen dafür sorgen, dass der Anbieter die schriftlich vereinbarten Vorgaben auch umsetzt.

2. Was ist denn immer mit Privacy by Design und Privacy by Default gemeint?

Bei der Verarbeitung personenbezogener Daten fordert die DSGVO den Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default). Privacy by Design meint, dass eine Software – etwa für E-Mail-Marketing und Lead Management – von Grund auf datenschutzkonform arbeiten sowie eingesetzt und entwickelt werden soll, wie zum Beispiel durch Pseudonymisierung. Privacy by Default sorgt zusätzlich zur Technikgestaltung dafür, dass alle Voreinstellungen datenschutzkonform und so restriktiv wie möglich sind, zum Beispiel wenige Pflichtfelder in Datenformularen und keine vorab angeklickten Checkboxen. Sie als Verantwortlicher haben zu prüfen, ob Ihr Vertragspartner und seine Lösung nach diesen Prinzipien arbeiten.

3. Was war nochmal das Problem mit US-Anbietern?

Die Kritik an US-Software-Lösungen und -Anbietern ist ein Dauerthema in den Medien. Aber nicht jeder versteht die Zusammenhänge. Hier eine kleine Zusammenfassung: Seit der Europäische Gerichtshof (EuGH) das Privacy- Shield-Abkommen 2020 für ungültig erklärte, ist die Zusammenarbeit mit US-amerikanischen Softwareanbietern problematisch. Denn seitdem wird das Datenschutzniveau in den USA nicht mehr als ausreichend eingestuft. Grund dafür sind die dortigen Gesetze wie der US-CLOUD Act, der US-Behörden den Zugang zu jeglichen Daten ermöglicht, die sich in Besitz, in der Obhut oder unter der Kontrolle eines US-Unternehmens befinden. Das heißt, es geht nicht allein um den Serverstandort. Auch Tochterunternehmen von US-Firmen fallen unter den CLOUD Act, sodass in einem solchen Fall der Serverstandort Deutschland beispielsweise nicht ausreicht, um eine Software datenschutzkonform nennen zu dürfen.

4. Was mache ich bloß, wenn kein ausreichendes Datenschutz-Niveau gegeben ist?

Die sicherste Lösung ist, von vornherein auf die Software eines Anbieters zu vertrauen, der ausschließlich in der EU sitzt und dort seine und Ihre Daten hostet. Wenn Ihr bestehendes Tool nicht DSGVO-konform sein sollte, bietet sich der Umstieg auf eine datenschutzkonforme Lösung eines europäischen Unternehmens an. Zwar gibt es Alternativen, um auch US-Tools weiternutzen zu können, jedoch sind diese teils schwer umsetzbar. Dazu gehören etwa

  • die Standardvertragsklauseln der EU-Kommission, die unverändert mit jedem Dienstleister einzeln zu schließen und durch zusätzliche Maßnahmen zum Datenschutz wie Verschlüsselung bis auf Feldebene oder einer Anonymisierung von Daten zu ergänzen sind;
  • eigene verbindliche Datenschutzvorschriften (nach Art. 47 DSGVO) sowie
  • ein Prozess, der für jede Form der Verarbeitung eine ausdrückliche Einwilligung einholt, wobei eine rechtssichere Formulierung schier unmöglich ist.

5. Was bedeutet eigentlich digitale Souveränität (speziell für mein Unternehmen)?

Digitale Souveränität ist vielen Marketern ein zu mächtiger und schwer greifbarer Begriff. Dabei geht es vor allem um einen zentralen Aspekt im digitalen Marketing: Ihre Kundendaten sind im digitalen Zeitalter besonders wertvoll. Daher ist es von immenser Bedeutung, dass Sie als Unternehmen allein die Entscheidung fällen, was mit diesen Daten passiert und wer darauf (und sei es nur lesenden) Zugriff hat. Nur so können Sie auch eine unter Umständen nicht datenschutzkonforme Verwertung Ihrer Kundendaten zu Analyse- oder gar Werbezwecken vermeiden. Eine Rolle neben der Datenhoheit spielt auch die Unabhängigkeit Ihres Unternehmens von etwaigen Vorgaben, Rechten oder Aktionen Ihres Software- oder Cloud-Dienstleisters, wie beispielsweise unbeugsamen Lizenzvereinbarungen. Digitale Souveränität ist ein hohes Gut, das es ebenso wie Datenschutz zu wahren gilt.

6. Woran erkenne ich möglichst schnell einen passenden Anbieter beziehungsweise eine datenschutzkonforme Software?

Eine schnelle Lösung, um dem Thema Datenschutz ausreichend Rechnung zu tragen, ist kaum möglich. Die folgende Checkliste hilft Ihnen dabei, die wichtigsten Aspekte zu prüfen. Wenn Sie alle Fragen mit einem klaren „Ja“ beantworten können, dürften Sie datenschutzrechtlich auf der sicheren Seite sein:

  • Misst der Anbieter Datenschutz einen hohen Stellenwert bei?
  • Werden Daten ausschließlich in einem Rechenzentrum in der EU gehostet?
  • Findet kein Metadaten-Austausch mit den USA oder anderen Drittstaaten ohne ausreichendes Datenschutz-Niveau statt?
  • Läuft das Rechenzentrum autark von US-Systemen, auch Wartung, Backups und Administration erfolgen nur innerhalb der EU?
  • Sind andere bestehende Risiken, wie etwa die Wirksamkeit des US-CLOUD-Acts, durch entsprechende Maßnahmen ausgeschlossen?
  • Sind Standardvertragsklauseln für den Datenschutz nach DSGVO durch weitere Maßnahmen ausreichend ergänzt?
  • Finden Privacy by Design und Privacy by Default Anwendung?

7. Was ist ein Double Opt-in und wozu benötige ich ihn?

Ohne Zustimmung der betroffenen Personen dürfen Sie deren Daten nicht verarbeiten, so die DSGVO. Im digitalen Marketing benötigen Sie – etwa zum Versand von Werbemails – auch gemäß Gesetz gegen den unlauteren Wettbewerb (UWG) eine Werbeeinwilligung dieser Personen. Dabei ist es wichtig, dass Ihre Nutzer freiwillig der Verarbeitung ihrer personenbezogenen Daten zu Werbezwecken zustimmen. Sie als Marketer müssen das nachweisen können. Wenn ein Nutzer dafür einmalig eine Checkbox anklickt, reicht das nicht aus. Lassen Sie sich eine online erteilte Einwilligung nochmal verifizieren, indem Sie dem Betroffenen per E-Mail einen Bestätigungslink zusenden. Dies ist auch für Sie ein automatischer Check, ob die korrekte E-Mail-Adresse von der dazu berechtigten Person angegeben wurde. Mit einem durch Ihre Marketing-Automation-Software abgebildeten Double-Opt-in-Prozess haben Sie auch keinerlei Aufwand.

8. Wann darf ich tracken und Cookies setzen?

Auch Tracking-Cookies und pseudonymisierte Nutzerprofile basieren auf personenbezogenen Daten. Deshalb hat der Bundesgerichtshof (BGH) in seinem „Cookie-Urteil“ vom Mai 2020 entschieden, dass Werbetreibende die Einwilligung des Nutzers für jede Form von Tracking – ob Website-Cookies oder Zählpixel im E-Mail- und Newsletter-Marketing – einholen müssen. Zudem muss auch das E-Mail-Tracking DSGVO-konform sein. Klären Sie über Ihr Tracking auf: Welche Daten holen Sie ein und warum möchten Sie tracken? Holen Sie dann die Einwilligung der Nutzer via Double Opt-in ein. Ihre Chancen auf Einwilligung werden steigen, wenn Sie dem Nutzer die Vorteile des E-Mail-Tracking näherbringen. Denn er profitiert davon, dass Sie ihm individuellere und relevantere Inhalte bieten können.

9. Wie muss ich meine Datenformulare gestalten?

Natürlich dürfen Sie Ihre Formulare gestalten, wie Sie es möchten. Wichtig ist nur, dass Sie den gesetzlich vorgeschriebenen Grundsatz der Datenvermeidung und -sparsamkeit beachten: Die Pflichtfelder in Ihren Online-Formularen sollten also nur die nötigsten Daten abfragen. In der Regel reicht die E-Mail-Adresse, um den automatisierten Kundendialog zu starten. Zudem können Sie dem Nutzer die Angabe von Zusatzdaten wie etwa Adresse oder Tätigkeitsbereich im Unternehmen mit optional auszufüllenden Feldern freistellen. Auch hier gilt: Eine Erklärung, warum Sie gern zusätzliche Daten erheben möchten – weil es dem Nutzer Vorteile bringt – kombiniert mit Freiwilligkeit schafft Vertrauen und wird sich am Ende positiv auf Ihre Konversionsrate auswirken.

Fazit: Machen Sie Datenschutz zu Ihrem Projekt!

Datenschutz ist und bleibt ein unumgängliches Thema im digitalen Marketing. Aber es ist auch eine Chance. Der Respekt vor dem Nutzer und seiner Privatsphäre schafft Vertrauen, das sich positiv auf die Generierung neuer Leads und die Bindung von Bestandskunden auswirkt sowie Ihnen sogar einen Wettbewerbsvorteil verschaffen kann. Worauf warten Sie also noch? Machen Sie Datenschutz zu Ihrem Projekt und sorgen Sie dafür, dass Sie die Einhaltung der DSGVO jederzeit belegen können. Sollten Sie dies nicht können, drohen empfindliche Bußgelder.

Im kostenfreien E-Book „E-Mail-Marketing und Lead Management rechtskonform gestalten“ erfahren Sie alles, was Sie wissen müssen – inklusive praktischer Checklisten für die Anbieterwahl und die Umsetzung datenschutzkonformer Kampagnen. Danach bleibt keine Frage mehr unbeantwortet!

Disclaimer: Dieser Text ersetzt keine Rechtsberatung und erhebt keinen Anspruch auf Richtigkeit, Vollständigkeit und Aktualität.