Nach unserem Bericht über die Problematik rund um Mailchimp & Co. („Es ist amtlich: Mailchimp & Co. sind unzulässig“) werden wir mit Fragen bombardiert. Eine der häufigsten Fragen ist dabei: Welche Kriterien sollte ein E-Mail Marketing Anbieter aus Datenschutz-Sicht erfüllen?
Vorab: Das ist deswegen so wichtig, weil für eventuelle Datenschutzverstöße Ihres Dienstleisters im ersten Schritt Sie (!) Ihren Kunden gegenüber haftbar sind. Und Sie als Verantwortlicher sind auch für die Entscheidung verantwortlich, welcher Dienstleister gewählt wird (Auswahl-Verschulden). Das kann negative Konsequenzen nach sich ziehen, wenn bekannt ist, dass etwa das Land, in dem die Daten verarbeitet werden, z.B. die USA, kein sicheres Drittland ist (wie seit Schrems II und dem Ende des Privacy Shields eigentlich jedem Unternehmen bewusst sein müsste).
Natürlich könnte man mit diesem Thema ein halbes Buch füllen und natürlich kommt es immer auf den Einzelfall an. Dennoch lassen sich die wichtigsten Kriterien aus unserer Erfahrung heraus wie folgt zusammenfassen:
Besser ein Anbieter aus der EU
Angesichts der Entscheidung des bayrischen Landesamts für Datenschutz-Aufsicht sollte klar sein, dass einem Anbieter aus der Europäischen Union der Vorzug gegeben werden sollte. Dabei spielt es kaum eine Rolle, in welchem Land der Anbieter seinen Sitz hat, da die DSGVO in allen Ländern der EU gilt.
Achtung: Dabei ist jedoch wichtig, dass Sie auch einen europäischen Anbieter hinterfragen müssen: Wenn dieser beispielsweise einen amerikanischen Sub-Dienstleister einsetzt (wie Amazon Web Services) und über diesen „Umweg“ erst recht wieder personenbezogene Daten ohne Rechtsgrundlage in die USA transferiert werden, dann nützt Ihnen der Firmensitz des Anbieters in der EU wenig. Das gleiche gilt für Töchterfirmen von amerikanischen Mutter-Konzernen und ähnliche Konstruktionen.
Achtung bei personenbezogenen Verhaltensdaten
Wenn Ihr Anbieter lediglich aggregierte Statistiken anbietet (Öffnungsrate, Klickrate usw.), dann können Sie gleich weiter zum nächsten Punkt springen.
Doch die allermeisten Systeme erlauben es, solche Verhaltensdaten auch auf Empfänger-Ebene zu analysieren; d.h. man kann sich dann nicht nur allgemein ansehen, auf welchen Artikel am häufigsten geklickt wurde – sondern auch welche Empfänger das konkret waren.
Solche personenbezogenen Verhaltensdaten bedürfen einer Rechtsgrundlage. In den meisten Fällen wird dafür eine Zustimmung durch die Betroffenen erforderlich sein (man könnte auch mit einem „berechtigten Interesse“ argumentieren, doch das ist nicht unproblematisch und würde den Rahmen dieses Artikels sprengen).
Falls diese Zustimmung (oder eine andere Rechtsgrundlage) nicht vorliegt, gibt es zwei Optionen:
- Ihr Anbieter stellt ausschließlich aggregierte Statistiken zur Verfügung (also ohne Personenbezug). Dabei ist allerdings wichtig, dass von dem Anbieter auch tatsächlich (!) keine personenbezogenen Daten erfasst und gespeichert werden! Es reicht also nicht aus, wenn sie Ihnen einfach nur nicht angezeigt werden.
- Ihr Anbieter bietet die Möglichkeit, die Verhaltensdaten (bei den Stammdaten ist das nicht notwendig) von einzelnen Empfängern (oder Gruppen von Empfängern) zu anonymisieren. Damit sehen Sie nur die Daten, die Sie auch sehen dürfen. Aus Marketing-Sicht ist das natürlich die – mit Abstand – beste Variante.
Für beide Fälle gilt: Die Gesamtstatistik sollte nicht verfälscht werden, egal ob manche Verhaltensdaten anonymisiert werden oder nicht.
Optionale Deaktivierung des Trackings
Je nach Situation kann es auch wünschenswert sein, dass Sie jegliches Tracking unterbinden, dennoch aber ein professionelles Newsletter-Versand Tool einsetzen möchten (z.B. weil Sie ein Datenschutz-NGO sind oder weil einfach keinerlei datenschutzrechtlichen Zustimmungen vorliegen).
In diesem Fall sollte der Anbieter in der Lage sein, jegliches Tracking (sowohl von Öffnungen als auch von Links) für Sie zu deaktivieren.
Double Opt-in Anmeldungen
Mittlerweile ist es eine Selbstverständlichkeit, daher nur der Vollständigkeit halber: Natürlich müssen Double-Opt-In Bestätigungen im Zuge einer Anmeldung automatisch eingeholt werden können, wobei sämtliche Bestätigungen genau protokolliert werden sollten (denn die Nachweispflicht liegt bei Ihnen).
Dabei sollte der Anbieter jedoch auch Anmeldungen ohne double Opt-in möglich machen (z.B. für Anmeldungen von Empfängern, die bereits verifiziert wurden).
Speicherung der Datenschutz-Zustimmung(en)
Im Zuge einer Anmeldung sollte der Empfänger Ihrer Datenschutz-Erklärung zustimmen (in der Sie u.a. beschreiben, wozu Sie welche Daten verarbeiten, wie lange sie aufbewahrt werden, usw). Diese Zustimmung muss lückenlos protokolliert werden, denn im Fall einer Beschwerde müssen Sie den Nachweis für die Zustimmung erbringen.
Dabei sollte unbedingt nicht nur der Zeitstempel gespeichert werden, sondern auch der gesamte Wortlaut der Zustimmung samt des Inhalts der Datenschutz-Erklärung! Denn ihre Datenschutz-Erklärung wird sich manchmal ändern – und dann können Sie nicht mehr den Nachweis erbringen, welchen Inhalten der Betroffene damals zugestimmt hat.
Tipp: Wenn Sie den Wortlaut einer Datenschutz-Erklärung ändern, sollten Sie alle früheren Versionen unbedingt archivieren (falls das nicht automatisch geschieht), damit Sie im Fall des Falles den damaligen Wortlaut einer Zustimmung auch nachweisen können. (Danke an Philipp Zöld von mailculture.de für den Tipp!)
Verwaltung von Datenschutz-Erklärungen
Im Zusammenhang mit der Speicherung der Datenschutz-Zustimmungen wäre eine grundlegende Verwaltung sämtlicher Ihrer Datenschutz-Erklärungen natürlich praktisch (wenn auch nicht zwingend notwendig).
Damit können Sie alle oder viele Ihrer Datenschutz-Erklärungen (für die Website, Seminar-Teilnahmen, Gewinnspiele usw.) an einer zentralen Stelle verwalten.
Beantwortung von Auskunftsbegehren
Wenn Sie ein Auskunftsbegehren eines Empfängers erhalten, müssen Sie natürlich auch alle Daten Ihres Newsletter-Systems beauskunften. Das sollte möglichst einfach durchführbar sein und natürlich alle relevanten Daten enthalten.
Da mit Auskunfts-, Datenänderungs- oder Löschbegehren auch Fristen verbunden sind, sollten Sie jedenfalls darauf achten (gegebenenfalls auch vertraglich), dass Sie diese Fristen auch einhalten können. Das gilt insbesondere, wenn Sie auf die Zusammenarbeit mit dem Dienstleister angewiesen sind, um Auskunfts- und andere Begehren erfüllen zu können.
Tipp: Idealerweise generiert Ihnen das System alle notwendigen Daten nicht nur als Liste, sondern auch als Datei. Damit können Sie im Bedarfsfall auch das Recht des Empfängers auf Daten-Portabilität wahren.
Automatische Löschung
Wenn sich ein Empfänger abmeldet, dann fällt der Grund für die Speicherung weg (es sei denn, es gibt weitere Aufbewahrungsgründe, zum Beispiel für bestehende Kunden).
Das bedeutet, dass die Daten in vielen Fällen gelöscht werden müssen. Idealerweise sollte das automatisch passieren, damit die Notwendigkeit für die Löschung nicht übersehen werden kann.
Tipp 1: Bei einer Löschung sollte unbedingt sichergestellt sein, dass dadurch die Daten der Mailing-Statistik nicht verfälscht werden! Denn bei vielen Löschungen könnten die Analysen sonst nach und nach unbrauchbar werden.
Tipp 2: Eine Löschung sollte Ihnen bestätigt werden (meist in einem sog. „Löschbericht“). So können Sie später im Streitfall die Löschung auch nachweisen.
Aufbewahrungsfristen pro Empfänger
Eventuell haben Sie ganz unterschiedliche Arten von Empfängern in Ihrer Datenbank. Dann könnte es wünschenswert sein, für einzelne Empfänger (oder Gruppen von Empfängern) verschiedene Aufbewahrungsfristen zu definieren.
Reine Newsletter-Leser würden dann automatisch sofort nach einer Abmeldung gelöscht werden (weil der Grund für die Speicherung weggefallen ist), Kunden allerdings erst nach 2 Jahren (oder einem anderen Zeitraum, je nach Situation).
Vertrag zur Auftragsdatenverarbeitung
Da der Anbieter für Sie personenbezogene Daten verarbeitet und damit Ihr Auftragsdatenverarbeiter ist, müssen Sie mit ihm einen Auftragsdatenverarbeitungs-Vertrag abschließen. Die gute Nachricht: Ein solches Dokument stellen Ihnen die meisten europäischen Anbieter automatisch zur Verfügung.
Sie sollten es natürlich dennoch aufmerksam lesen, etwa die Passagen über die Verpflichtung zur Zusammenarbeit bei Data Breaches.
Sicherheit auf dem aktuellen Stand der Technik
Selbstverständlich müssen alle technischen und organisatorischen Prozesse des Anbieters auf dem aktuellen Stand der Technik sein, das verlangt auch die DSGVO. Dazu gehört eine durchgängige SSL-Verschlüsselung der Applikation und viele weitere Maßnahmen zur Datensicherheit und Datenschutz.
Diese Maßnahmen sind auch für die TOMs („Technisch-Organisatorische Maßnahmen“) im Rahmen des Auftragsdatenverarbeitungs-Vertrages erforderlich und sind normalerweise dort beschrieben.
Denken Sie an das Verarbeitungs-Verzeichnis
Sowohl Sie als auch der Dienstleister müssen laut DSGVO ein Verzeichnis der Verarbeitungstätigkeiten führen. Darin muss der Dienstleister neben den Kontaktdaten zum Beispiel auch die Kategorien der Verarbeitungen anführen, die für Sie als Kunde erbracht werden.
Das ist zwar eine reine Formalität, in der Praxis wird aber immer wieder darauf vergessen.
FAZIT: Ja, es kommt auf viele Details an
Wie heißt es so schön: Der Teufel liegt im Detail. Gerade beim Thema Datenschutz kommt es auf relativ viele einzelne Maßnahmen und Anforderungen an, damit in Summe alle Vorschriften der DSGVO eingehalten werden können. Dieses Zusammenspiel erfordert Wissen und Können, damit beim Drehen an den Rädchen nachher noch alles funktioniert.
Das mag nach recht viel Aufwand klingen, doch in der Praxis ist das alles nicht so schlimm. Man muss nur den richtigen Anbieter auswählen und dabei sicherstellen, dass dem Anbieter auch das Thema Datenschutz ein echtes Anliegen ist und nicht nur Marketing-Bla-Bla.
Mit der kleinen Checkliste dieses Blog-Artikels können Sie schnell herausfinden, wie durchdacht der Anbieter das Thema angegangen ist. Gottseidank gibt es ja durchaus Anbieter, die sich professionell dieses Themas angenommen haben.
Lesetipp: Weitere Empfehlungen und Tipps zur Auswahl eines geeigneten Dienstleisters (über das Thema Datenschutz hinaus) finden Sie in unserem Blog-Artikel „Tipps für die Anbieter-Auswahl“.
Hinweis: Wie immer gilt: Eine solche Zusammenstellung kann niemals die Beratung im Einzelfall ersetzen. Aber das wussten Sie natürlich ohnehin. :-)
Gefällt Ihnen dieser Artikel?
Dann verpassen Sie keinen mehr! Die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.
