Datenschutzgrundverordnung (DSGVO), Cookie- und Schrems II-Urteil – immer wieder müssen sich B2B-Unternehmen auf neue Anforderungen in Sachen Datenschutz einstellen. Diese gesetzlichen Vorgaben gelten aber nicht bloß auf dem Papier, sondern müssen praktische Umsetzung finden – etwa in Marketing und Vertrieb.
US-Tools unter Beschuss – aber warum?
Besonders scharf kritisieren Datenschützer den Einsatz von US-Marketingtools wie beispielsweise Google Analytics, Mailchimp oder Hubspot. Diese Unternehmen haben ihren Sitz in den USA, die laut Privacy-Shield- bzw. Schrems II-Urteil, das der Europäischen Gerichtshof (EuGH) im Juli 2020 fällte, kein EU-angemessenes Datenschutzniveau mehr aufweisen. Grund für die Einschätzung des EuGHs sind US-Gesetze wie Cloud Act und FISA, die US-Behörden Zugang zu jedweden Daten gewähren, die sich im Besitz, unter Kontrolle oder in Obhut von US-Unternehmen befinden – sogar ohne richterlichen Beschluss. Folglich sind sowohl der Transfer personenbezogener Daten in die USA als auch die Beauftragung eines US-Unternehmens oder dessen Tochtergesellschaft nicht länger mit der DSGVO vereinbar.
Checkliste „Tool-Auswahl“ für B2B-Marketing und -Vertrieb
1. Serverstandort
Aufgrund der Gesetzeslage sollten B2B-Unternehmen keine personenbezogenen Daten in die USA transferieren (lassen). Der Serverstandort der eingesetzten Software sollte daher unbedingt in der EU oder im Europäischen Wirtschaftraum (EWR) liegen.
2. Unternehmensstruktur
Auch in den USA-ansässige Unternehmen müssen personenbezogene Daten von EU-Bürgern beispielsweise an Strafverfolgungsbehörden herausgeben. Aufgrund des CLOUD Acts steht fest, dass sich die Ermächtigung von US-Behörden ebenso auf europäische Tochtergesellschaften ausweitet – selbst wenn die Server in Europa stehen.
3. Standardvertragsklauseln
Grundsätzlich ist der Einsatz von US-Tools auf Basis von Standardvertragsklauseln möglich, jedoch müssen sie erstens mit jedem Verarbeiter einzeln abgeschlossen werden und zweitens inhaltlich unverändert sein. Zudem reichen Standardvertragsklauseln allein nicht aus, sondern sind mit zusätzlichen Maßnahmen – wie etwa Verschlüsselung, Anonymisierung oder Pseudonymisierung – zu kombinieren, um ein EU-konformes Datenschutzniveau herzustellen.
4. Privacy by Design und Privacy by Default
Um die von der DSGVO geforderten technischen und organisatorischen Maßnahmen in einem Tool wiederzufinden, gibt es zwei Prinzipien, denen sich ein Software-Anbieter verschrieben haben sollte: „Privacy by Design“ (Technikgestaltung) bedeutet, dass eine Software von Grund auf datenschutzkonform arbeiten, eingesetzt und entwickelt werden solle. Mit „Privacy by Default“ bezeichnet man datenschutzfreundliche Voreinstellungen, wie etwa nur für den Verarbeitungszweck erforderliche Datenfelder und nicht vorab angeklickte Checkboxen, um die Einwilligung zur Datenverarbeitung (z.B. Tracking) gemäß Art. 6 DSGVO einzuholen.
Zertifikate
Als Orientierungshilfe, um die Datenschutzkonformität einer Software-Lösung einzuschätzen, dienen Zertifikate durch unabhängige Prüfstellen wie den TÜV. Eine Zertifizierung nach der international führenden Norm für Informationssicherheit ISO 27001 etwa steht für die Einhaltung höchster IT-Sicherheitsstandards im gesamten Unternehmen, um die Integrität betrieblicher Daten zu gewährleisten und vertrauliche Daten zu schützen.
Das Aus für US-Tools?
Zwar gibt es rechtliche Mittel, um weiterhin mit US-Tools arbeiten zu können. So können die Unternehmen gemeinsam mit den Aufsichtsbehörden eigene verbindliche Datenschutzrichtlinien gemäß Art. 47 DSGVO aufstellen – eine sichere Lösung, die jedoch erheblichen bürokratischen und wirtschaftlichen Aufwand verursacht. Möglich wäre ebenso, sich auf eine Ausnahme gemäß Art. 49 DSGVO zu berufen. Hierunter zählen unter anderem notwendige Übermittlungen, etwa zur Erfüllung eines Vertrages. Dies beinhaltet allerdings keine Analyse- und Marketingzwecke. Ebenfalls würde auch eine Einwilligung des Betroffenen zur Datenverarbeitung ohne angemessenes Datenschutzniveau gelten – jedoch nach vorheriger Aufklärung dieser Person über die möglichen Risiken. Für B2B-Unternehmen bestünde hier die Herausforderung, einen rechtlich wasserdichten Einwilligungstext zu formulieren. Zudem müssten sie jederzeit mit dem Widerruf dieser Einwilligung rechnen. Daher ist bei vermeintlichen Schlupflöchern Vorsicht geboten.
Auf Nummer sicher mit europäischen Anbietern
Wirklich rechtssicher sind Unternehmen nur mit einer europäischen Software-Lösung. Denn es gibt durchaus Alternativen, die es mit den Hyperscalern sowie ihren prominenten Produkten aufnehmen können und ihnen in Funktionen sowie Komfort keineswegs nachstehen. In jedem Fall lohnt sich ein Vergleich. Darüber hinaus ist es jedoch wichtig zu beachten, dass auch eine europäische Software-Lösung nicht per se datenschutzkonform ist. Wer im B2B-Marketing personenbezogene Daten erheben und verarbeiten möchte, sollte weitere Punkte genauso beherzigen: Dazu gehört zum Beispiel ein rechtskonformer Einwilligungsprozess via zweistufigem Double-Opt-in-Verfahren. Nur so lassen sich Abmahnungen, Bußgelder und auch Imageschäden vermeiden. Also Augen auf bei der Tool-Auswahl!
Mehr Informationen, wie B2B-Unternehmen die passende Marketing-Software finden – inklusive praktischer Checkliste –, gibt es im E-Book „E-Mail-Marketing und Lead Management rechtskonform gestalten“, das als dritte, überarbeitete und aktualisierte Auflage zum kostenfreien Download bereitsteht: https://www.sc-networks.de/download/?dl_id=347291
