E-Mail-Marketing Achtung vor Datenschutz-Fallen beim B2B-Newsletter-Versand

Autor / Redakteur: Astrid Braken* / Alicia Weigel

Viele Unternehmen arbeiten mit Partnern zusammen, um den B2B-Newsletterversand einfach und nachvollziehbar zu machen. Doch bei der Einbindung von Partnern außerhalb der EU – etwa in die USA – gilt es den Datenschutz zu beachten, um Bußgelder zu vermeiden.

Firmen zum Thema

Auch im B2B-Newsletter-Versand müssen einige datenschutzrechtliche Vorgaben beachtet werden.
Auch im B2B-Newsletter-Versand müssen einige datenschutzrechtliche Vorgaben beachtet werden.
(Bild: gemeinfrei / Unsplash)

Newsletter zwischen Unternehmen sollen im gewünschten Design in der Inbox ankommen und die Aufmerksamkeit des Empfängers wecken. E-Mail Service Provider (ESPs) und andere Partner helfen Unternehmen dabei, erfolgreiche Newsletter-Kampagnen zu fahren. Sie stellen die Mails zu und geben einen detaillierten Überblick, wie gut eine B2B-Mail-Kampagne gelaufen ist. Das wird anhand von Öffnungsraten und Zahlen zum Engagement gemessen. Diese Zahlen sagen dem E-Mail-Marketing-Experten im Unternehmen, wie stark die eigenen Kontakte mit den versandten E-Mails der Kampagnen interagiert haben. Messen lässt sich das etwa mit Öffnungs- und Klick-Raten und anderen Parametern.

Viele der ESPs, die diese komfortablen Services zur Verfügung stellen, haben ihren Firmensitz außerhalb der EU, etwa in England oder den USA. Wenn diesen Firmen personenbezogene Daten einer E-Mail-Marketing-Kampagne nutzen sollen, gilt es datenschutzrechtliche Fragen zu beachten: Dürfen die Namen und E-Mail Adressen überhaupt an Dritte übermittelt werden und ist das angemessene Datenschutzniveau gewart, sprich sind die Daten auch nach dem Transfer geschützt?

Angemessenheitsbeschluss erleichtert den Datenaustausch mit England

Die EU hat für viele Fälle eine Brücke gebaut: Mit einem Angemessenheitsbeschluss hat die Kommission für viele Länder festgestellt, dass diese ein vergleichbares Schutzniveau für personenbezogene Daten bieten wie die Länder der Europäischen Union – etwa durch nationale Gesetzgebung oder internationale Verpflichtungen. Dazu gehören Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und seit kurzem auch das Vereinigte Königreich. Bald wird wohl Südkorea in die Liste aufgenommen. Datenübermittlungen, die auf einem Angemessenheitsbeschluss basieren, sind privilegiert: Sie werden genauso behandelt wie solche innerhalb der EU.

USA: Datenübertragungen nur auf Basis von Standardvertragsklauseln

Liegt für Länder ein solcher Angemessenheitsbeschluss nicht vor, etwa für die USA, muss die verarbeitende Stelle aktiv werden und eine der geeigneten Garantien nach Art. 46 DSGVO ergreifen. In der Regel wird dann auf den Abschluss von EU-Standardvertragsklauseln i. S. v. Art. 46 Abs. 2 lit. c DSGVO zurückgegriffen.

Der EU/US Privacy Shield, das letzte von Washington und Brüssel abgeschlossene Datentransferabkommen, wurde im Sommer 2020 vom höchsten europäischen Gericht gekippt, weil die US-Geheimdienste nach Ansicht des Gerichts zu weitreichende Überwachungsmöglichkeiten haben. Die Europäische Union hat nun neue Standardvertragsklauseln (SCCs) für die Übermittlung personenbezogener Daten in Drittstaaten wie die USA erarbeitet und im Juni 2021 veröffentlicht.

Standardvertragsklauseln überprüfen lassen

Doch auch bei der Verwendung der neuen Klauseln können im konkreten Einzelfall ergänzende Maßnahmen erforderlich sein, um die übermittelten Daten angemessen zu schützen. Daher sollte auch bei Verwendung der neuen Standardvertragsklauseln im Vorfeld künftiger Datentransfers in die USA ein entsprechendes Konzept mit den Datenschutzbehörden abgestimmt werden. Es empfielt sich, strenge Standardvertragsklauseln zu setzen und diese den zuständigen Daten-Aufsichtsbehörden zur Begutachtung und Stellungnahme zuzusenden.

*Astrid Braken ist Datenschutz-Expertin und Syndikusrechtsanwältin der Certified Senders Alliance (CSA).

(ID:47637639)