Suchen

Expertenbeitrag

 Martin Philipp

Martin Philipp

Geschäftsführer bei SC-Networks, SC-Networks GmbH (Evalanche Marketing Automation Plattform)

Serie: Rechtskonformes E-Mail-Marketing und Lead-Management – Teil 1 8 Gebote zur Datensicherheit, die jeder kennen sollte

Autor / Redakteur: Martin Philipp / Dr. Gesine Herzberger

Nur wer die geltenden Rechtsvorschriften zu Datenschutz und Datensicherheit berücksichtigt, kann beim Lead-Management und E-Mail-Marketing im Wettbewerb auftrumpfen! Hier gilt: Safety first!

Firma zum Thema

Unternehmen sollten die geltenden Rechtsvorschriften zu Datenschutz und Datensicherheit unbedingt kennen. Andernfalls ziehen sie nicht nur gegenüber dem Wettbewerb den kürzeren, sondern es drohen auch Probleme mit dem Gesetz!
Unternehmen sollten die geltenden Rechtsvorschriften zu Datenschutz und Datensicherheit unbedingt kennen. Andernfalls ziehen sie nicht nur gegenüber dem Wettbewerb den kürzeren, sondern es drohen auch Probleme mit dem Gesetz!
(Bildquelle: Pixabay, CCO Creative Commons)

Das Internet spielt heutzutage eine entscheidende Rolle bei Kaufprozessen. Für ein Unternehmen heißt das: es muss potenziellen und bestehenden Kunden frühzeitig die für sie relevanten Informationen bieten, um sich im Wettbewerb behaupten zu können. Daher setzen viele Firmen auf ein Personendaten-basiertes E-Mail- und Inbound-Marketing in Verbindung mit einem professionellen Lead Management. Die persönlichen Daten sind hierbei der Schlüssel, um Interessenten und Kunden die richtigen Inhalte zum richtigen Zeitpunkt zur Verfügung zu stellen. Zugleich stellt die Verwertung dieser Daten Unternehmen vor die Herausforderung, dem gestiegenen Datenschutz- und Datensicherheitsbedürfnis ihrer (potenziellen) Kunden gerecht zu werden. Die dahingehenden gesetzlichen Vorgaben zu berücksichtigen, verhindert nicht nur lästige Abmahnungen und hohe Geldbußen, sondern kann sogar einen echten Wettbewerbsvorteil darstellen.

Diese dreiteilige Artikelserie befasst sich mit den wichtigsten rechtlichen Aspekten im E-Mail-Marketing und Lead Management – von Datenschutz und Datensicherheit im eigenen Unternehmen über die Auswahl des richtigen Software-Anbieters bis hin zur rechtskonformen Umsetzung von Kampagnen.

Ist Datenschutz gleich Datensicherheit?

Datenschutz stützt sich auf das „Grundrecht auf informationelle Selbstbestimmung“. Demzufolge soll jeder Mensch selbst entscheiden können, welche persönlichen Daten er wem wann preisgibt und wie diese weiterverarbeitet werden dürfen. Datenschutz soll den Einzelnen vor dem Missbrauch seiner personenbezogenen Daten bewahren. Die Basis bildet unter anderem das Bundesdatenschutzgesetz (BDSG). Datensicherheit, auch IT- oder Informationssicherheit, hingegen bezieht sich auf die Art und Weise, wie technische oder nicht-technische Systeme Informationen verarbeiten und speichern. Ziel ist der Schutz der Vertraulichkeit, Verfügbarkeit und Integrität jedweder schützenswerten Daten im Unternehmen mit der Absicht, eigene Haftung zu vermeiden und wirtschaftlichen Schäden vorzubeugen.

Acht Gebote zur Datensicherheit

Unternehmen, die ihr E-Mail-Marketing automatisieren und zu einem professionellen Lead Management ausbauen möchten, kommen nicht um eine unterstützende Software herum. Bei der Auswahl des Dienstleister sollte Datenschutzkonformität oberstes Kriterium sein. Was in diesem Zusammenhang häufig übersehen wird: nicht der Software-Anbieter, sondern das Unternehmen selbst steht in der vollen Verantwortung und muss Datenschutz und Datensicherheit im eigenen Unternehmen gewährleisten. Wer personenbezogene Daten verarbeitet oder nutzt, muss nach dem Bundesdatenschutzgesetz (BDSG) für ein angemessenes Datensicherheitsniveau sorgen, indem die Mindestanforderungen erfüllt werden. Dazu gehören auch die folgenden acht Datensicherheitsgebote:

1. Gebot: Zutrittskontrolle

Alle Arten von IT-Systemen und Anlagen zur Datenverarbeitung müssen vor dem Zutritt Unbefugter geschützt sein. Herausforderung hierbei ist es, die entsprechenden Schutzbereiche im Unternehmen zu identifizieren und angemessene Barrieren zu errichten.

2. Gebot: Zugangskontrolle

Anders als beim räumlich-physischen Schutz im Sinne der Zutrittskontrolle gilt es bei der Zugangskontrolle zu verhindern, dass unbefugte Dritte Datenverarbeitungsanlagen in Betrieb nehmen oder diese im laufenden Betrieb verwenden können. Das gilt auch für mobile Geräte und Datenträger, wie etwa Smartphones und USB-Sticks.

3. Gebot: Zugriffskontrolle

Nur konkret berechtigte Personen dürfen Einblick in Daten erhalten und diese auch nur ihrer individuellen Berechtigung entsprechend nutzen. Ein schriftliches Berechtigungskonzept hilft dabei, den Überblick zu behalten, wer worauf Zugriff haben darf.

4. Gebot: Weitergabekontrolle

Es müssen Vorschriften definiert werden, welche Daten an wen und unter welchen Voraussetzungen über welche zulässigen Übertragungswege weitergegeben werden dürfen.

5. Gebot: Eingabekontrolle

Die Eingabekontrolle – zum Beispiel über eine individuelle Kennung, die den Berechtigten identifiziert – dient dem Nachvollzug, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

6. Gebot: Auftragskontrolle

Ob Software-Anbieter, Marketing- oder PR-Agentur: jeder externe Dienstleister, der personenbezogene Daten „im Auftrag“ verarbeitet, muss verpflichtet, kontrolliert und regelmäßig überwacht werden. Der Grund: Auch die Verantwortung für ausgelagerte Aufgaben obliegt vollständig dem Auftraggeber.

7. Gebot: Verfügbarkeitskontrolle

Daten müssen vor unbeabsichtigter oder unbefugter Zerstörung und vor Verlust geschützt werden. Zudem muss gewährleistet sein, dass Daten an den Orten und zu den Zeiten, an denen eine Nutzung vorgesehen ist, tatsächlich zur Verfügung stehen.

8. Gebot: Trennungsgebot

Gemäß dem Zweckbindungsgrundsatz dürfen Daten ausschließlich zu dem Zweck, zu dem ein Unternehmen sie ursprünglich erhoben hat und für den die Einwilligung der betroffenen Person vorliegt, verarbeitet und genutzt werden.

Ausblick auf Teil 2

Neben einem angemessenen Datensicherheitsniveau, das der Auftraggeber primär im eigenen Unternehmen gewährleisten muss, gilt es bei der Auswahl des Software-Anbieters auf weitere Aspekte zu achten. In Teil 2 dieser Serie erfahren Sie mehr über Zertifizierungen für Datensicherheit und Softwarequalität sowie über Datenschutz in der Cloud. Teil 3 verrät, was Sie bei der konkreten Umsetzung von E-Mail-Marketing- und Lead Management-Kampagnen aus rechtlicher Sicht unbedingt beachten sollten. Ausführlichere Informationen bietet das kostenfreie E-Book „E-Mail-Marketing und Lead Management rechtskonform gestalten“.

Ergänzendes zum Thema
Über SC-Networks:

Die SC-Networks GmbH mit Sitz in Starnberg, Hersteller der E-Mail-Marketing-Automation-Lösung Evalanche, wurde 1999 gegründet und unterhält je eine Vertretung in der Schweiz und Österreich. Evalanche ist eine der modernsten webbasierten E-Mail-Marketing-Automation-Lösungen auf dem europäischen Markt. Evalanche wurde speziell für Agenturen und Marketing-Abteilungen größerer Unternehmen entwickelt und bietet eine Vielzahl von Marketing-Automation-Funktionalitäten für ein wirkungsvolles Lead Management. Evalanche wird in einem TÜV-zertifizierten Rechenzentrum in Deutschland gehostet und ist selbst seit 2011 in den Bereichen Funktionalität und Datensicherheit vom TÜV Süd zertifiziert. 2015 wurde SC-Networks vom TÜV Hessen nach ISO/IEC 27001 zertifiziert. Mehr als 2.000 Unternehmen setzen Evalanche international ein. Dazu zählen namhafte Firmen und Organisationen wie Avery Zweckform, Deutsche Messe, Hansgrohe, KUKA Roboter, KYOCERA Document Solutions , ÖKO-TEST, Michael Page, swissMilk, SWR, UNIQA Versicherungen sowie etliche Tourismusregionen, mehrere Hundert Hotels und über 250 Top-Agenturen.

(ID:44004366)

Über den Autor

 Martin Philipp

Martin Philipp

Geschäftsführer bei SC-Networks, SC-Networks GmbH (Evalanche Marketing Automation Plattform)