Expertenbeitrag

 Martin Philipp

Martin Philipp

Geschäftsführer bei SC-Networks, SC-Networks GmbH (Evalanche Marketing Automation Plattform)

Datenschutz im B2B Checkliste: Wann zeigen Sie Ihrem Marketing-Tool die rote Karte?

Autor / Redakteur: Martin Philipp / Antonia Röper

„Never change a winning team” dürften sich zahlreiche Fußball-Fans denken, wenn es um die Startaufstellung ihres Lieblingsteams geht. Für Marketer gilt für die nächste Kampagne das gleiche hinsichtlich der eingesetzten Tools. Doch wann sollten Sie Ihrem Marketing-Tool die rote Karte zeigen?

Firmen zum Thema

Ungenügender Leistungsumfang? Fehlender Datenschutz? - Dann geben Sie Ihrem Marketing-Tool einen Platzverweis.
Ungenügender Leistungsumfang? Fehlender Datenschutz? - Dann geben Sie Ihrem Marketing-Tool einen Platzverweis.
(Bild: gemeinfrei / Unsplash)

Sie wissen doch: Personenbezogene Daten sind für ein zeitgemäßes Marketing unverzichtbar – auch im B2B. Schließlich wollen Entscheider genau die Informationen, die sie benötigen, zu dem Zeitpunkt, in dem sie diese benötigen. Um das dazu erforderliche Verständnis für den Entscheidungsprozess zu entwickeln sowie das entsprechende Maß an Personalisierung zu gewährleisten, führt kein Weg daran vorbei, personenbezogene Daten – etwa im Rahmen einer Lead Nurturing-Kampagne – zu erheben, zu verarbeiten und in passgenaue Marketingmaßnahmen zu transformieren. Ohne technologische Unterstützung ist die Komplexität aus Datenerhebung und zielgerichteter Verwertung im Sinne einer optimalen Customer Experience kaum handelbar. Umso wichtiger ist, dass Sie sich auf Ihr Marketing-Tool hundertprozentig verlassen können. Und das gilt nicht nur für den Leistungsumfang, sondern auch für die zunehmend strengeren Anforderungen hinsichtlich des Datenschutzes.

Checkliste für Ihr Marketing-Tool

Die Checkliste hilft Ihnen dabei, zu überprüfen, ob Sie Ihr Tool weiterhin ruhigen Gewissens aufstellen können. Einen Platzverweis sollten Sie allerdings in Betracht ziehen, wenn einer oder mehrere der folgenden Aspekte zutreffen:

  • 1. Wenn Datenschutz kein Thema ist
    Aufgrund der aktuellen Rechtslage stehen vor allem Tools aus den USA in der Kritik, weil die Vereinigten Staaten laut Privacy Shield- bzw. Schrems II-Urteil kein angemessenes Datenschutzniveau mehr bieten. Grund sind US-Gesetze wie CLOUD Act und FISA, die US-Behörden Zugang zu jedweden Daten gewähren, die sich im Besitz, unter Kontrolle oder in Obhut von US-Unternehmen befinden – und das sogar ohne richterlichen Beschluss. Dabei ist hierzulande Datenschutz ein sehr wichtiges Thema, auch für Ihre Interessenten und Bestandskunden, deren persönliche Daten Sie verarbeiten. Dem sollten Sie unbedingt Rechnung tragen und dadurch ebenso Respekt vor der Privatsphäre Ihrer (potenziellen) Kunden zeigen – auch im B2B.
  • 2. Wenn Daten in die USA transferiert werden
    Für eine rechtskonforme Datenverarbeitung ist der Serverstandort entscheidend: Die Gesetzeslage untersagt es, personenbezogene Daten – selbst, wenn es sich „nur“ um E-Mail-Adressen handelt – ohne Weiteres in die USA zu transferieren. Der Serverstandort Ihrer Marketing-Software sollte daher unbedingt in der Europäischen Union (EU) oder im Europäischen Wirtschaftraum (EWR) liegen.
  • 3. Wenn US-Unternehmen oder deren Tochtergesellschaften die Daten verarbeiten
    Der Serverstandort allein ist jedoch keine Garantie für DSGVO-konforme Datenverarbeitung. Auch in den USA ansässige Unternehmen müssen beispielsweise personenbezogene Daten von EU-Bürgern an Strafverfolgungsbehörden herausgeben. Diese Ermächtigung von US-Behörden weitet sich wegen des US-CLOUD Acts ebenso auf europäische Tochtergesellschaften aus – auch dann, wenn die Server in Europa stehen.
  • 4. Wenn keine anerkannten Zertifizierungen vorliegen
    Ihr Tool-Anbieter sollte daher transparent machen, welche Daten wie und wo verarbeitet werden und ob dabei die hiesigen Datenschutzvorgaben Einhaltung finden. Als Orientierungshilfe, um die Datenschutzkonformität einer Software-Lösung einzuschätzen, dienen Zertifizierungen wie nach ISO 27001. Die Umsetzung der Norm stellt sicher, dass die Integrität betrieblicher Daten gewährleistet ist und vertrauliche Daten geschützt sind. Anders als beispielsweise in den USA, wo Unternehmen oder Branchen selbstentwickelte Datenschutzvorschriften nutzen, sind derartige Zertifizierungen in Deutschland durch unabhängige Prüfstellen wie den TÜV legitimiert.
  • 5. Wenn sich nur auf Standardvertragsklauseln berufen wird
    Grundsätzlich ist der Einsatz von amerikanischen Tools und ausländischen Servern auf Basis von Standardvertragsklauseln gestattet. Jedoch müssen sie mit jedem Datenverarbeiter einzeln und wie von der EU-Kommission vorgegeben – das heißt inhaltlich unverändert – abgeschlossen werden. Zudem sind sie mit zusätzlichen Schutzmaßnahmen, etwa der Verschlüsselung bis auf Feldebene oder einer Anonymisierung, zu kombinieren, um ein EU-konformes Datenschutzniveau zu gewährleisten.
  • 6. Wenn die Software nicht „Privacy by Design“ beinhaltet
    Um die von der DSGVO geforderten technischen und organisatorischen Maßnahmen mit Ihrem Marketing-Tool umzusetzen, sollte der Software-Anbieter das Prinzip „Privacy by Design“ verfolgen. Durch eine entsprechende Technikgestaltung gewährleistet er, dass die Software von Grund auf datenschutzkonform arbeitet, eingesetzt und entwickelt wird.
  • 7. Wenn die Software nicht „Privacy by Default“ bietet
    Neben „Privacy by Design“ sollte der Software-Anbieter sich auch dem Prinzip von „Privacy by Default“ verschrieben haben. Hierbei geht es um datenschutzfreundliche Voreinstellungen: Beispielswiese sind in einem Datenformular nur die für den Verarbeitungszweck erforderliche Datenfelder aktiviert und das Formular beinhaltet Checkboxen, die nicht vorab angeklickt sind. Dadurch lässt sich die Einwilligung zur Datenverarbeitung (z. B. Tracking) gemäß Art. 6 DSGVO einholen. Der Einwilligungsprozess sollte zudem als Double-Opt-in gestaltet sein, um die geforderte Nachweisbarkeit der Einwilligung sicherzustellen.

Fazit: „Never change a running system“ – wenn es datenschutzkonform ist

Zweifelsohne ist es eine Herausforderung für B2B-Unternehmen, ein funktionierendes System kritisch zu überprüfen und unter Umständen eine Entscheidung treffen zu müssen, die weitreichende Folgen hat. Doch die Augen (un)bewusst davor zu verschließen, ist keine Option. Immerhin werden Aufsichtsbehörden zunehmend aktiv. Wenn Sie ein Tool, zum Beispiel für E-Mail-Marketing, Marketing Automation oder Lead Management, einsetzen, das nicht den hiesigen Datenschutzvorschriften entspricht, riskieren Sie unbequeme Abmahnungen, schmerzliche Bußgelder und irreparable Imageschäden. Dabei gibt es durchaus rechtskonforme Alternativen aus Europa, die den US-Marktgiganten in Sachen Funktionalität durchaus das Wasser reichen können. Vergleichen lohnt sich!

>> Disclaimer: Dieser Text ersetzt keine Rechtsberatung und erhebt keinen Anspruch auf Richtigkeit, Vollständigkeit und Aktualität. <<

(ID:47549978)

Über den Autor

 Martin Philipp

Martin Philipp

Geschäftsführer bei SC-Networks, SC-Networks GmbH (Evalanche Marketing Automation Plattform)