Checkliste: Ist dein Marketing Tool datenschutzkonform?

Im Online Marketing sind persönliche Daten – wie etwa die E-Mail-Adresse oder individuelle Interessen – essenziell, um relevante und passgenaue Inhalte an deine Zielgruppe zu übermitteln. Dabei solltest du jedoch deren Privatsphäre respektieren. Denn nicht nur die Ansprüche deiner (potenziellen) Kundschaft hinsichtlich des verantwortungsvollen Umgangs mit sensiblen Daten steigt. Auch die gesetzlichen Anforderungen zu Datenschutz und -sicherheit haben sich verschärft.

Datenschutz – ein Überblick über die Rechtslage

Ob Datenschutzgrundverordnung (DSGVO), Cookie-Urteil oder das Kippen des Privacy-Shield-Abkommens – in den vergangenen Jahren kamen immer wieder neue datenschutzrechtliche Vorgaben hinzu. Diese betreffen nicht allein den Umgang mit personenbezogenen Daten, sondern auch die Technologien, mit denen sie erhoben und verarbeitet werden. Dabei gerieten bewährte Marketing Tools wie die der US-Marktgiganten zunehmend unter Beschuss. Der Grund: Die Software-Unternehmen haben ihren Sitz in den USA, die laut Urteil des Europäischen Gerichtshofs (EuGH) über kein angemessenes Datenschutzniveau verfügen. Dies begründet sich in Gesetzen wie dem US CLOUD Act und FISA. Dadurch erhalten US-Behörden – auch ohne richterlichen Beschluss – Zugang zu jedweden Daten, die in Besitz, in Obhut oder unter Kontrolle eines US-Unternehmens bestehen. Daraus ergibt sich die Problematik, dass es grundsätzlich nicht DSGVO-konform ist, personenbezogene Daten in die USA, zum Beispiel auf dortige Server, zu transferieren, oder auch nur ein US-Unternehmen mit der Datenverarbeitung zu beauftragen. Eine komplizierte Ausnahme bilden die Standardvertragsklauseln.

Checkliste für die Tool-Auswahl und -Überprüfung

Wenn du ein Marketing Tool im Einsatz hast oder aktuell nach einer Software-Lösung suchst, gibt es ein paar zentrale Punkte, auf die du achten solltest. Die nachfolgende Checkliste hilft dir dabei.

1. Unternehmensstruktur der Software-Unternehmen

Aufgrund der Gesetzeslage in den USA sind auch US-Unternehmen dazu verpflichtet, personenbezogene Daten von EU-Bürger:innen beispielsweise an Strafverfolgungsbehörden herauszugeben. Dabei machen die Zugriffsmöglichkeiten von US-Behörden nicht an Ländergrenzen halt. Damit sind auch europäische Tochtergesellschaften, selbst wenn deren Server in Europa stehen, aufgrund ihrer Unternehmensstruktur von der Pflicht betroffen, US-Behörden Zugang zu den Daten zu gewähren. Europäische Software-Unternehmen sind dazu in der EU nicht verpflichtet.

2. Serverstandort

Auf der sicheren Seite bist du außerdem, wenn sich dein Server oder der Server, auf dem deine Marketing Software die erhobenen Daten verarbeitet, innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) befindet. Denn hier ist ein angemessenes Datenschutzniveau gemäß DGSVO gewährleistet. Im Umkehrschluss heißt das, dass ein Datentransfer in Länder, die dieses nicht aufweisen, wie beispielsweise die USA, möglichst zu unterlassen ist. Das bedeutet auch, dass dein Marketing Tool das Daten-Hosting nicht über einen US-Server durchführen sollte. Wenn sich ein Datentransfer in ein Drittland ohne angemessenes Datenschutzniveau nicht vermeiden lässt, musst du zwingend weitere Maßnahmen ergreifen, um eine DSGVO-konforme Datenverarbeitung sicherzustellen.

3. Standardvertragsklauseln

Standardvertragsklauseln, welche die Europäischen Kommission erarbeitet und veröffentlicht hat, allein sind keine Garantie für eine rechtskonforme Verarbeitung von Daten. Auf Basis dieser Klauseln ist es zwar per se möglich, personenbezogene Daten über Tools von US-Software-Unternehmen zu erheben und zu verarbeiten. Allerdings ist es dabei zwingend erforderlich, die Standardvertragsklauseln mit jedem datenverarbeitenden Unternehmen einzeln und vor allem inhaltlich unverändert nach Vorlage der EU-Kommission abzuschließen. Und auch hier musst du zusätzliche Maßnahmen, wie beispielsweise Verschlüsselung, Pseudonymisierung und Anonymisierung, für die Sicherung der DSGVO-konformen Verarbeitung ergreifen.

4. Privacy by Design und Privacy by Default

Um einschätzen zu können, wie datenschutzkonform ein Marketing Tool arbeitet, kannst du anhand zweier Prinzipien genau das überprüfen: Privacy by Design – wie es die DSGVO als Technikgestaltung fordert – stellt sicher, dass deine Software von Grund auf datenschutzkonform arbeitet, eingesetzt und entwickelt wird. Ergänzend dazu gewährleistet Privacy by Default, dass die Software auch bereits DSGVO-konform voreingestellt ist und nicht erst konfiguriert werden muss. Beispielsweise sind in einem Datenformular nur notwendige Felder als Pflichtangabe markiert. Für den Erhalt eines Newsletters wäre das etwa das Feld „E-Mail-Adresse“. Weitere Felder wären dann optional. Auch Checkboxen, um die Einwilligung der Nutzer:innen zur Datenverarbeitung (zum Beispiel Tracking) gemäß Art. 6 DSGVO einzuholen, wären dem Privacy by Default-Prinzip nach nicht vorab ausgewählt. Prüfe bei deiner Marketing Software daher, inwieweit das Software-Unternehmen diesen beiden Prinzipien gerecht wird.

5. Zertifikate

Ein zentrales Gütesiegel für ein rechtskonformes Marketing Tool sind Zertifizierungen. So belegt ein Zertifikat nach der international führenden Norm für Informationssicherheit ISO 27001, dass das Software-Unternehmen höchste IT-Sicherheitsstandards einhält. Wer die Norm umsetzt, stellt damit die Integrität betrieblicher Daten sicher und sorgt für ausreichend Schutz vertraulicher Daten. In Deutschland sind diese Zertifikate durch unabhängige Prüfstellen wie den TÜV legitimiert. Zum Vergleich: In den USA mit ihrem nicht EU-entsprechenden Datenschutzniveau gibt es, wenn überhaupt, nur branchen- oder unternehmenseigene Datenschutzvorschriften. Eine externe Überprüfung deren Einhaltung durch neutrale Instanzen findet nicht statt.

Marketing Software aus den USA kann weiterhin genutzt werden – mit Einschränkungen

Sind US Tools jetzt per se verboten? Nein, denn es gibt rechtliche Mittel, sie weiterhin einzusetzen. Neben Standardvertragsklauseln plus ergänzende Maßnahmen kannst du für dein Unternehmen gemeinsam mit den Aufsichtsbehörden Datenschutzrichtlinien gemäß Art. 47 DSGVO erarbeiten. Das ist zwar mit Zeitaufwand und Kosten verbunden, aber möglich.

Des Weiteren kannst du US Tools nutzen, wenn du die Einwilligung deiner Nutzer:innen einholst, dass sie mit der Datenverarbeitung ohne angemessenes Datenschutzniveau einverstanden sind. Dazu musst du diese Personen jedoch im Vorfeld über die möglichen Risiken aufklären und einen juristisch einwandfreien Einwilligungstext formulieren. Hier besteht dennoch stets ein Risiko, dass ein Teil deiner Zielgruppe nicht mit einer derartigen Datenverarbeitung einverstanden ist oder die Einwilligung widerruft.

Alternativen aus Europa

Um die genannten Herausforderungen und Legitimierungsaufwände in Bezug auf nicht DSGVO-konforme und speziell US Tools zu vermeiden, kann es sich lohnen nach Alternativen – etwa aus Deutschland und der EU – zu suchen. Doch auch eine EU-Software ist nicht automatisch datenschutzkonform, daher wird dir diese Checkliste stets helfen, die Anbieter:innen kritisch zu überprüfen.

---

Dieser Text ersetzt keine Rechtsberatung und erhebt keinen Anspruch auf Widerspruchslosigkeit, Vollständigkeit und ständige Aktualität.