Back to Top

In Marketingabteilungen herrscht Verunsicherung, denn nach dem Kippen des Safe Harbor Abkommens fragen sich viele Marketers, was das für sie bedeutet und wie sie reagieren sollen. Im sicheren Hafen der Daten „Safe Harbor“ sind nun alle Schiffe versenkt. Das Abkommen, welches die Datensicherheit beim großen Bruder in Amerika sichern sollte, wurde gekippt. Sind Sie sich sicher, wie Sie nun mit Ihren Kundendaten umgehen müssen? Was bedeutet das für Ihr E-Mail-Marketing und den Newsletter-Versand?

Safe Harbor

Was ist/war Safe Harbor?

Die Europäische Datenschutzrichtlinie gibt vor, dass ein Datentransfer an Drittstaaten verboten ist, wenn diese über kein Datenschutzniveau verfügen, welches vergleichbar mit dem des EU-Rechtes ist. Das trifft beispielsweise auf die USA zu. Die gesetzlichen Regelungen zum Thema Datenschutz stehen hier weit hinter dem europäischen Standard. Damit wäre es gesetzlich untersagt, Daten in den USA – also auf amerikanischen Servern – zu speichern.

Um diese Lücke zu schließen und einen legalen Weg der Datenspeicherung zu finden, immerhin handelt es sich um einen wichtigen Handelspartner, schlossen die EU und die USA eine Vereinbarung: „Safe Harbor“. Diese Vereinbarung beinhaltete 7 Prinzipien und 15 häufig gestellte Fragen (FAQ). Erklärten sich in den USA tätige Organisation öffentlich gegenüber der Federal Trade Commission (FTC) bereit, diese einzuhalten, wurde ihnen ein „angemessenes Datenschutzniveau“ zugesprochen und damit der Datentransfer erlaubt. Gelistet wurden diese Unternehmen in einem Verzeichnis des US-Handelsministeriums. Doch diese Listen sind jetzt leer.

Safe Harbor gekippt

Der Europäische Gerichtshof hat nun bereits am 06.10.2015 diese Vereinbarung für ungültig erklärt. Hintergrund ist, dass die Daten nicht ausreichend vor amerikanischen Behörden geschützt sind. Ein Transfer der Daten in die USA auf Grundlage von Safe Harbor ist damit nicht mehr möglich. Betroffene Unternehmen müssen nun prüfen, ob sie vom Datentransfer nun generell absehen oder aber auf andere Verträge und Vereinbarungen zurückgreifen können (EU-Standardverträge, Binding Corporate Rules etc.). Allerdings steht auch hier noch die Prüfung aus, inwieweit von diesen Regelungen Gebrauch gemacht werden kann.

Warum ist E-Mail-Marketing davon überhaupt berührt?

Persönliche Daten, die fürs E-Mail-Marketing erfasst wurden und werden, sind von der Entscheidung des Europäischen Gerichtshofes genauso betroffen. Liegen Kundendaten auf amerikanischen Servern oder laufen Prozesse des Newsletter-Versandes über diese, sollten Sie nun den Datenschutz prüfen. Betroffen sind dabei z. B. amerikanische CRM-Systeme oder Versandlösungen wie bspw. Mailchimp, iContact oder CakeMail.

Generell gibt es natürlich kein Verbot, weiterhin amerikanische Dienste zum Newsletter-Versand zu nutzen. Der bisher sichere Weg über das Safe Harbor Abkommen ist jedoch rechtlich unwirksam und es muss auf andere Datenschutzregeln, die von den zuständigen Behörden genehmigt sind, zurückgegriffen werden. Wie lange dies von Bestand ist und wie sicher die Daten am Ende dann aber wirklich sind, ist jedoch völlig unklar. Nicht ganz unwichtig dabei ist der Fakt, dass nach § 7 BDSG das Unternehmen dafür haftet, wenn personenbezogene Daten in unzulässiger Weise verwendet werden. Gerade diesen Punkt sollten Unternehmen nicht vernachlässigen. Sie tragen die Haftung!

Momentan ist eines ganz sicher:  Nach aktueller Rechtslage gibt es keinen dauerhaft sicheren Weg, personenbezogene Daten in Drittländern wie den USA datenschutzkonform zu speichern. Bereits Safe Harbor konnte die Lücke zwischen Überwachung und Datenschutz nicht schließen. Es bedarf daher im Grunde keiner Diskussion, inwieweit andere vertragliche Vereinbarungen dies je tun können. Man bewegt sich in einer Grauzone, die man mit sensiblen Kundendaten besser schnellst möglichst wieder verlassen sollte, um nicht mit auf dem nächsten sinkenden Schiff zu sitzen.

Lösungsansätze

Die einfachste und sicherste Lösung liegt darin, auf amerikanische Server zu verzichten, interne Lösungen zu schaffen oder Newsletter über europäische/deutsche Anbieter zu versenden. Hier unterliegt der Datenschutz den nationalen Anforderungen. Sie als Unternehmer sollten auch aus eigenem Interesse dafür Sorge tragen, dass Ihre Kundendaten sicher sind. Abgesehen von gesetzlichen Vorschriften sollte es ein unternehmerisches Anliegen sein, das Vertrauen vom Kunden nicht beim Thema Datenschutz zu verlieren. Hier können Sie als Unternehmen dem Kunden gegenüber eher punkten und Sicherheit garantieren. Sicherlich ein großer Fakt, um das Kundenvertrauen zu stärken und in Zukunft zu behalten. Bereits viele nationale Unternehmen werben damit, ihre Kundendaten auf deutschen Servern zu speichern. „Made in Germany“ wird ein mal mehr zum Aufhänger!

Gerade bei deutschen Cloud-Lösungen ohne amerikanischen Bezug können Unternehmen eine zusätzliche Vereinbarung zur Auftragsdatenverarbeitung mit dem Anbieter (ADV) gem. § 11 BDSG abschließen. Vorteil hier ist, dass die Unternehmen keine weitere rechtliche Grundlage für die Übertragung der Daten benötigen und dennoch Herr der Daten bleiben.

Die mailingwork Serverarchitektur befindet sich in einem der modernsten High-Tech Rechenzentren in Deutschland. Damit ist höchste Datensicherheit ist gewährleistet. Ein Punkt, der für mailingwork eine sehr wichtige Rolle spielt. Opt-In, Profilierungs- und Trackingprozesse orientieren sich an den Anforderungen des Bundesdatenschutzgesetz (BDSG) und des Telemediengesetzes (TMG). Zur weiteren Sicherheit bieten wir unseren Nutzern den Abschluss eines zusätzlichen Vertrages über die Datenverarbeitung an.

Sind weitere Marketingmaßnahmen betroffen?

Die zentrale Frage lautet: Haben Sie personenbezogene Daten auf amerikanischen Servern gespeichert und bildete das Safe Harbor Abkommen die rechtliche Grundlage? Wenn ja, müssen Sie nun die Einhaltung des Datenschutzes nach europäischen Standard prüfen.

Bereiche, die betroffen sein können, sind jene, bei denen mit personenbezogenen Daten gearbeitet wird.

Beispiele:

  • die eigene Unternehmens-Webseite
  • Online-Shop-Systeme
  • Web-Analysetools
  • Online-Tools
  • Cloud Dienste
  • die Nutzung der Dropbox zur Speicherung personenbezogener Daten

Tipps und Empfehlungen von mailingwork

Wir empfehlen Ihnen zu prüfen, welche Online-Dienste Sie nutzen. Ziehen Sie dabei alle Dienste in Betracht, bei denen Daten gespeichert werden. Denken Sie an Ihre eigene Webseite, Ihren eigenen Online-Shop, Speicherdienste und Online-Tools. Geraten Sie jedoch nicht in Panik und halten Sie sich vor Augen, dass es um „personenbezogene Daten“ geht. Falls Sie diese auf amerikanischen Servern speichern oder mit amerikanischen Diensten arbeiten, um diese Daten zu verarbeiten, schauen Sie in den rechtlichen Vereinbarungen nach, auf welcher Grundlage die Daten gespeichert werden.

Autor

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Menü