Startseite » Management »

Rechtskonforme Tool-Auswahl

bvik-Experten informieren über Datenschutz
Rechtskonforme Tool-Auswahl

DSGVO,_GDPR_General_data_protection_regulation_european_law_cyber_security_personal_information_privacy_concept_on_virtual_screen.
Datenschutz ist spätestens seit der Einführung der DSGVO 2019 sehr ernst zu nehmen. Bild: WrightStudio/stock.adobe.com
Anzeige
Die permanenten gesetzlichen Neuerungen zum Datenschutz bewirken bei B2B-Unternehmen vor allem eins: Unsicherheit. Wie können sie Marketing- und Vertriebsprozesse noch rechtskonform digitalisieren? Und welche Tools dürfen sie dabei bedenkenlos einsetzen?

» Martin Philipp, Geschäftsführer bei Evalanche, SC-Networks

Datenschutzgrundverordnung (DSGVO), Cookie- und Schrems II-Urteil – immer wieder müssen sich B2B-Unternehmen auf neue Anforderungen in Sachen Datenschutz einstellen. Diese gesetzlichen Vorgaben gelten aber nicht bloß auf dem Papier, sondern müssen praktische Umsetzung finden – etwa in Marketing und Vertrieb.

US-Tools unter Beschuss – aber warum?

Besonders scharf kritisieren Datenschützer den Einsatz von US-Marketingtools wie beispielsweise Google Analytics, Mailchimp oder Hubspot. Diese Unternehmen haben ihren Sitz in den USA, die laut Privacy-Shield- bzw. Schrems II-Urteil, das der Europäischen Gerichtshof (EuGH) im Juli 2020 fällte, kein EU-angemessenes Datenschutzniveau mehr aufweisen. Grund für die Einschätzung des EuGHs sind US-Gesetze wie Cloud Act und FISA, die US-Behörden Zugang zu jedweden Daten gewähren, die sich im Besitz, unter Kontrolle oder in Obhut von US-Unternehmen befinden – sogar ohne richterlichen Beschluss. Folglich sind sowohl der Transfer personenbezogener Daten in die USA als auch die Beauftragung eines US-Unternehmens oder dessen Tochtergesellschaft nicht länger mit der DSGVO vereinbar.

Checkliste „Tool-Auswahl“ für B2B-Marketing und -Vertrieb

1. Serverstandort

Aufgrund der Gesetzeslage sollten B2B-Unternehmen keine personenbezogenen Daten in die USA transferieren (lassen). Der Serverstandort der eingesetzten Software sollte daher unbedingt in der EU oder im Europäischen Wirtschaftraum (EWR) liegen.

2. Unternehmensstruktur

Auch in den USA-ansässige Unternehmen müssen personenbezogene Daten von EU-Bürgern beispielsweise an Strafverfolgungsbehörden herausgeben. Aufgrund des CLOUD Acts steht fest, dass sich die Ermächtigung von US-Behörden ebenso auf europäische Tochtergesellschaften ausweitet – selbst wenn die Server in Europa stehen.

3. Standardvertragsklauseln

Grundsätzlich ist der Einsatz von US-Tools auf Basis von Standardvertragsklauseln möglich, jedoch müssen sie erstens mit jedem Verarbeiter einzeln abgeschlossen werden und zweitens inhaltlich unverändert sein. Zudem reichen Standardvertragsklauseln allein nicht aus, sondern sind mit zusätzlichen Maßnahmen – wie etwa Verschlüsselung, Anonymisierung oder Pseudonymisierung – zu kombinieren, um ein EU-konformes Datenschutzniveau herzustellen.

4. Privacy by Design und Privacy by Default

Um die von der DSGVO geforderten technischen und organisatorischen Maßnahmen in einem Tool wiederzufinden, gibt es zwei Prinzipien, denen sich ein Software-Anbieter verschrieben haben sollte: „Privacy by Design“ (Technikgestaltung) bedeutet, dass eine Software von Grund auf datenschutzkonform arbeiten, eingesetzt und entwickelt werden solle. Mit „Privacy by Default“ bezeichnet man datenschutzfreundliche Voreinstellungen, wie etwa nur für den Verarbeitungszweck erforderliche Datenfelder und nicht vorab angeklickte Checkboxen, um die Einwilligung zur Datenverarbeitung (z.B. Tracking) gemäß Art. 6 DSGVO einzuholen.

Zertifikate

Als Orientierungshilfe, um die Datenschutzkonformität einer Software-Lösung einzuschätzen, dienen Zertifikate durch unabhängige Prüfstellen wie den TÜV. Eine Zertifizierung nach der international führenden Norm für Informationssicherheit ISO 27001 etwa steht für die Einhaltung höchster IT-Sicherheitsstandards im gesamten Unternehmen, um die Integrität betrieblicher Daten zu gewährleisten und vertrauliche Daten zu schützen.

Das Aus für US-Tools?

Zwar gibt es rechtliche Mittel, um weiterhin mit US-Tools arbeiten zu können. So können die Unternehmen gemeinsam mit den Aufsichtsbehörden eigene verbindliche Datenschutzrichtlinien gemäß Art. 47 DSGVO aufstellen – eine sichere Lösung, die jedoch erheblichen bürokratischen und wirtschaftlichen Aufwand verursacht. Möglich wäre ebenso, sich auf eine Ausnahme gemäß Art. 49 DSGVO zu berufen. Hierunter zählen unter anderem notwendige Übermittlungen, etwa zur Erfüllung eines Vertrages. Dies beinhaltet allerdings keine Analyse- und Marketingzwecke. Ebenfalls würde auch eine Einwilligung des Betroffenen zur Datenverarbeitung ohne angemessenes Datenschutzniveau gelten – jedoch nach vorheriger Aufklärung dieser Person über die möglichen Risiken. Für B2B-Unternehmen bestünde hier die Herausforderung, einen rechtlich wasserdichten Einwilligungstext zu formulieren. Zudem müssten sie jederzeit mit dem Widerruf dieser Einwilligung rechnen. Daher ist bei vermeintlichen Schlupflöchern Vorsicht geboten.

Auf Nummer sicher mit europäischen Anbietern

Wirklich rechtssicher sind Unternehmen nur mit einer europäischen Software-Lösung. Denn es gibt durchaus Alternativen, die es mit den Hyperscalern sowie ihren prominenten Produkten aufnehmen können und ihnen in Funktionen sowie Komfort keineswegs nachstehen. In jedem Fall lohnt sich ein Vergleich. Darüber hinaus ist es jedoch wichtig zu beachten, dass auch eine europäische Software-Lösung nicht per se datenschutzkonform ist. Wer im B2B-Marketing personenbezogene Daten erheben und verarbeiten möchte, sollte weitere Punkte genauso beherzigen: Dazu gehört zum Beispiel ein rechtskonformer Einwilligungsprozess via zweistufigem Double-Opt-in-Verfahren. Nur so lassen sich Abmahnungen, Bußgelder und auch Imageschäden vermeiden. Also Augen auf bei der Tool-Auswahl!

Mehr Informationen, wie B2B-Unternehmen die passende Marketing-Software finden – inklusive praktischer Checkliste –, gibt es im E-Book „E-Mail-Marketing und Lead Management rechtskonform gestalten“, das als dritte, überarbeitete und aktualisierte Auflage zum kostenfreien Download bereitsteht: https://www.sc-networks.de/download/?dl_id=347291

Anzeige
Industrieanzeiger
Titelbild Industrieanzeiger 11
Ausgabe
11.2021
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Tipps der Redaktion

Unsere Technik-Empfehlungen für Sie

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Unsere Partner

Starke Zeitschrift – starke Partner

Anzeige
Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de