Marketing Automation sicher im Datenschutz-Dschungel nutzen
Datenschutz und Datensicherheit werden für Online Marketer zu einer unausweichlichen Herausforderung, um digitale und automatisierte Maßnahmen rechtskonform durchzuführen. Hinzu kommen wachsende Ansprüche der Zielgruppen bezüglich des sorgsamen Umgangs mit ihren Daten und einer passgenauen, personalisierten Kommunikation.
Ein Beispiel: Nur 25% aller Deutschen vertrauen Unternehmen, dass diese verantwortungsvoll mit Ihren Daten umgehen (EOS Group, 2020).
Aber was genau ist rechtlich erlaubt und was nicht? Wofür brauchst Du die Einwilligung des Adressaten? Und wie lassen sich Deine Marketing-Prozesse korrekt und dennoch effizient umsetzen? Dieser Blogbeitrag ist Dein Guide, um sicher durch den Datenschutz-Dschungel zu kommen.
Inhaltsverzeichnis:
Marketing Automation ist heute ein beliebtes Werkzeug, um den eigenen Zielgruppen automatisiert und personalisiert die passenden Botschaften über ihren gesamten Kundenlebenszyklus hinweg auszuspielen. So lassen sich Kunden langfristig an das Unternehmen binden, Umsatzpotenziale erschließen und der Kundenwert effizient steigern. Ein in die Marketing Automation Software integriertes Tracking des Lese- und Klickverhaltens ermöglicht aufschlussreiche Einblicke in die einzelnen Empfänger. Hier jonglieren Marketer mit wertvollen und schützenswerten Daten von Interessenten und Kunden, weshalb sie nicht umhinkommen, sich mit Datenschutz und Datensicherheit auseinanderzusetzen.
1. Was bedeuten Datenschutz und Datensicherheit?
Sind Deine Daten sicher oder geschützt? Im alltäglichen Sprachgebrauch werden die Begriffe Datenschutz und Datensicherheit fast synonym verwendet. Juristisch gesehen sind es jedoch zwei unterschiedliche Sachverhalte. Hier erfährst Du zunächst, was es mit diesen Begrifflichkeiten auf sich hat.
Definition Datenschutz
Datenschutz basiert in Deutschland auf dem Grundrecht auf informationelle Selbstbestimmung. Das heißt, jeder Mensch hat das Recht, selbst über seine personenbezogenen Daten zu verfügen und zu entscheiden, wer diese wie erheben und verarbeiten darf. Personenbezogene Daten sind alle Informationen, die eine lebende natürliche Person identifizieren oder identifizierbar machen, wie etwa Kontakt- und Kontodaten, aber auch IP-Adressen. Im Grunde soll Datenschutz also den Einzelnen vor dem Missbrauch seiner personenbezogenen Daten bewahren.
Rund jede:r dritte Deutsche ist bereit gegen eine konkrete Gegenleistung die eigenen Daten einzutauschen (EOS Group, 2020).
Verankert ist der Datenschutz hierzulande in der EU-Datenschutzgrundverordnung (DGSVO) beziehungsweise im Bundesdatenschutzgesetz (BDSG). In den USA dagegen herrscht ein gänzliches anderes Datenschutzverständnis: Dort wird nicht von einem Grundrecht ausgegangen, sondern argumentiert mit wirtschaftlichen Interessen und dem Verbraucherschutz. Folglich gibt es in den USA keine allgemeingültige Rechtsgrundlage, die personenbezogene Daten schützt.
Definition Datensicherheit
Datensicherheit (oder auch Informations- oder IT-Sicherheit) hingegen meint alle, insbesondere technische Maßnahmen, die dem Schutz jedweder Daten dienen. Darunter fallen natürlich auch die oben genannten Personendaten, aber eben nicht ausschließlich.
Während Datenschutz dem Datenmissbrauch entgegenwirken soll, zielt Datensicherheit darauf ab, wirtschaftliche Schäden zu verhindern. Dies geschieht durch die Gewährleistung der Vertraulichkeit, Verfügbarkeit und Integrität aller schützenswerten Daten. Aus Unternehmenssicht dient Datenschutz also dazu, die Interessen und Grundrechte der Zielgruppen zu wahren, wohingegen Datensicherheit eine mögliche Haftung des Unternehmens zu vermeiden sucht.
Und was ist mit den TOM?
Die technischen und organisatorischen Maßnahmen (TOM) stellen die Einhaltung der DSGVO sicher. Zudem machen diese Maßnahmen die Einhaltung nachweisbar. Die TOM sind jedoch auch dafür geeignet, die Datensicherheit – also die Vertraulichkeit, Integrität und Verfügbarkeit von Daten – in einem Unternehmen zu gewährleisten.
Zu den technischen Maßnahmen, die auch die Funktion der IT-Systeme betreffen, gehören unter anderem Verschlüsselungen, Firewalls und Backups. Als organisatorische Maßnahmen, welche die Rahmenbedingungen der technischen Verarbeitung bilden, sind beispielsweise Datenschutz-Schulungen, das Vier-Augen-Prinzip oder Rollen- und Rechtekonzepte für den Datenzugriff zu nennen.
Kostenloses Webinar: HubSpot & KI
Verbessere Deine Arbeit mit HubSpot mit KI! Wie Du mit ChatGPT & Co effizienter arbeitest erfährst Du hier!
Was denn nun: Daten sichern oder schützen und vor allem wie?
Für Dich als Marketer geht es darum, Marketing Automation datenschutzkonform umzusetzen. Das bedeutet, dass Du bei der Erhebung und Verarbeitung personenbezogener Daten das Grundrecht zur informationellen Selbstbestimmung Deiner Zielgruppe beachten musst. Zudem musst Du alle Vorgaben der aktuellen Rechtsprechung zum Thema Datenschutz einhalten.
Dazu zählt unter anderem, stets die betroffene Person über alle Aspekte der Datenverarbeitung ausführlich aufzuklären und deren Einwilligung nachweislich einzuholen. Bei digitaler Einwilligung, etwa im Rahmen von E-Mail-Marketing und Marketing Automation, ist ein zweistufiges Double-Opt-in-Verfahren Pflicht und stets zu empfehlen. Die datenschutzkonforme Nutzung von Marketing Automation gehört unter anderem zu einer laufenden Marketing-Automation-Beratung.
Datenschutz dank, nicht trotz Software
Willst Du Dein Marketing und womöglich auch die Vertriebsprozesse in Deinem Unternehmen digitalisieren und automatisieren, brauchst Du eine moderne Software-Lösung, die Dich dabei unterstützt.Dieses Tool muss es Dir ermöglichen, Datenschutzgesetze, relevante TOM und Datensicherheitsvorkehrungen problemlos umzusetzen. Noch besser wäre es, wenn Dir alle dafür notwendigen Funktionen auf dem Silbertablett serviert werden. Dazu später mehr unter Punkt 3!
Damit Du überhaupt in der Lage bist, Datenschutzkonformität zu fördern und zu überprüfen, ist es besonders wichtig, dass Du die AKTUELLEN rechtlichen Vorgaben kennst. Doch gerade, weil sich dahingehend in den letzten Jahren immer wieder Veränderungen ergeben, erhältst Du hier einen kleinen Überblick.
Du willst mehr zum Thema Marketing Automation? Dann haben wir hier den passenden Ratgeber!
2. Marketing Automation & Datenschutz: Diese Rechtsvorschriften solltest Du kennen
Wo genau kommen die rechtlichen Herausforderungen her? Einen Hinweis hast Du bereits bei der Definition von Datenschutz erhalten. Doch neben den Datenschutzgesetzen gibt es weitere Gesetze und Aspekte der Rechtsprechung, die Du kennen solltest.
Die DSGVO
Die DSGVO hat seit ihrem Inkrafttreten 2018 den wohl größten Einfluss auf alles, was im Umgang mit personenbezogenen Daten zu beachten ist, unter anderem
- wann und wie die Einwilligung einzuholen und nachzuweisen ist;
- welche Grundsätze der Datenerhebung und -verarbeitung, wie Datensparsamkeit und Zweckbindung einzuhalten sind;
- wie Nutzer auf das Thema Datenschutz hinzuweisen sind;
- welche vertraglichen Voraussetzungen zu schaffen sind;
- wie der Datenverarbeitungsprozess zu gestalten ist;
- welche behördlichen Stellen unterstützen und sanktionieren dürfen u.v.m.
Im gleichen Zuge sollte die ePrivacy-Verordnung (ePVO) ergänzend die Themen Nutzer-Tracking und Cookie-Verwendung regeln. Ziel war es, einen Kompromiss zwischen dem Recht der Nutzer und den wirtschaftlichen Interessen von Unternehmen zu finden. Die ePVO scheiterte jedoch bislang. Einzelne Aspekte, wie das Setzen von Cookies, sind durch Urteile des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH) rechtlich bindend.
Das Cookie-Urteil
Am 28. Mai 2020 urteilte der BGH, dass Nutzer dem Setzen von Tracking Cookies zur Sammlung personenbezogener Daten aktiv zustimmen müssten. Diese Zustimmung durch ein vorab gesetztes Häkchen einzuholen, ist unzulässig. Damit folgt der BGH dem EuGH-Urteil vom 11. Oktober 2019. Einfache Cookie-Banner, die nur darüber informieren, dass Cookies gesetzt werden, sind nur noch für technisch notwendige Cookies gestattet. Diese Cookies sind für die Funktionalität einer Website unverzichtbar. Für alle anderen Cookies, die der Nutzerereinwilligung bedürfen, müssen sogenannte Cookie-Consent-Banner zum Einsatz kommen.
US-Gesetze
Während sich in Europa die DSGVO durchgesetzt hat, wurde in den USA fast zeitgleich der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) erlassen. Beide Gesetze zielen darauf ab, den Umgang mit Daten zu regulieren, unterscheiden sich jedoch in ihrer Herangehensweise. Dieser regelt seither den Umgang mit personenbezogenen und anderweitigen Unternehmensdaten, die sich innerhalb wie außerhalb der USA befinden, gleichermaßen. Der CLOUD Act verpflichtet US-Unternehmen und deren Tochterunternehmen, Daten in ihrer Kontrolle, ihrem Besitz oder ihrer Obhut auf Verlangen von US-Behörden offenzulegen.
Damit entstand schon 2018 ein unüberwindbarer Widerspruch zur DSGVO, die den USA kein ausreichendes Datenschutzniveau per se zugestand. Stattdessen wurde dies nur über bilaterale Abkommen und Standardvertragsklauseln als akzeptabel eingestuft.
Das gekippte Privacy Shield
Fast folgerichtig zu Gesetzen wie dem CLOUD Act und dem anderen Datenschutzverständnis in den USA kippte der EuGH im Juli 2020 das Privacy Shield. Dieses bilaterale Abkommen sollte den Datentransfer in die USA datenschutzrechtlich legitimieren. Das Privacy Shield war im Sommer 2016 als Nachfolger zum 2015 gekippten Safe Harbor-Abkommen angetreten.
Das vernichtende Urteil lautete erneut: Das Datenschutzniveau in den USA ist unzureichend. Jetzt bleiben nur noch Standardvertragsklauseln, die an bestimmte Voraussetzungen gekoppelt sind, und individuelle Datenschutzvereinbarungen gemäß Artikel 47 DSGVO. Zusätzlich ist die ausdrückliche Einwilligung der Nutzer erforderlich, um eine marketinggetriebene Datenverarbeitung in den USA oder durch US-Unternehmen zu ermöglichen.
Die aktuelle Rechtslage bildet einen klaren Rahmen, um Marketing Automation und Datenschutz zu vereinen. Dieser reicht von der erforderlichen Aufklärung und Einwilligung bis hin zur Problematik mit Marketing-Tools von US-Anbietern, die auch hierzulande weitverbreitet sind.
3. So findest Du das passende Tool für rechtskonforme Marketing Automation
Wenn es darum geht, eine moderne Software auszuwählen, die Marketing Automation datenschutzkonform möglich macht, sind die folgenden fünf Kriterien ausschlaggebend:
1 Datenverarbeitung – durch wen und wo
Gemäß DSGVO dürfen personenbezogene Daten nur erhoben, gespeichert und verarbeitet werden, wenn der Prozess selbst und das Unternehmen den gesetzlichen Vorgaben entspricht. Die Übermittlung und Verarbeitung von personenbezogenen Daten außerhalb der Europäischen Union ist nur zulässig, wenn in dem betreffenden Land ein angemessenes Datenschutzniveau besteht. Ohne dieses Datenschutzniveau dürfen solche Daten nicht weitergegeben werden.
Mit dem Kippen des Privacy-Shield-Abkommens gilt dies nicht mehr für die USA und damit weder für dort ansässige Unternehmen noch US-amerikanische Serverstandorte. Mit einem Anbieter, der die Daten in Deutschland speichert und verarbeitet, bist Du stets auf der sicheren Seite. So bringst Du Marketing Automation und Datenschutz in Einklang.
2 Technische Umsetzung des Einwilligungsprozesses
Das Einholen der Einwilligung, die Du brauchst, um personenbezogene Daten rechtskonform erheben, speichern und verarbeiten zu dürfen, muss nachweislich erfolgen. Technologisch eignet sich hier das bereits erwähnte Double-Opt-in-Verfahren, den eine Marketing-Automation-Lösung standardmäßig bieten sollte. Achte darauf, dass der Double-Opt-in durch einen Eintrag in die entsprechende Datenbank der Software mit Zeitstempel, wann die Einwilligung erteilt wurde, abgebildet ist.
Und dass auch der Widerruf automatisiert und nachweislich zur Deaktivierung des Kontakts führt. So wird sichergestellt, dass kein Versand an diese Adresse mehr erfolgt, wenn die betroffene Person einen Abmeldelink klickt.
3 Tracking-Optionen
Nach dem Cookie-Urteil ist es nun zwingend notwendig, die Einwilligung des Nutzers über ein Consent-Banner einzuholen, auch zum Setzen von Tracking-Cookies. Diese Einwilligung darf nicht mit einem voreingestellten Häkchen erfolgen. Nur rein informierende Cookie-Banner für technisch unabdingbare Cookies sind weiterhin erlaubt. Generell solltest Du Dich also fragen, inwiefern Tracking für Dein Marketing erforderlich ist und ob es beispielsweise personenbezogen oder pseudonymisiert erfolgen soll.
Prüfe zudem, ob es Konfigurationsmöglichkeiten zu Tracking Opt-in und Opt-out in der Software gibt. Denn nur so kann jeder Nutzer selbst entscheiden, ob ein persönliches Profil erstellt werden darf.
4 Privacy-by-Design und Privacy-by-Default
Wenn ein Tool für Marketing Automation Datenschutzkonformität von Haus aus bietet, ist es umso einfacher für Dich, Dein Marketing professionell und rechtskonform zu digitalisieren. Dabei solltest Du vor allem auf zwei Prinzipien achten: Privacy-by-Design und Privacy-by-Default. Achte darauf, wie ein Software-Anbieter zu diesen Prinzipien steht, wie es die DSGVO fordert.
Privacy-by-Design bedeutet, die Software und alle Funktionen sind von Grund auf datenschutzkonform entwickelt.
Privacy-by-Default sorgt zusätzlich dafür, dass bereits alle Voreinstellungen datenschutzkonform und so restriktiv wie möglich sind. Ein Beispiel sind Datenabfragen via Web-Formularen, die eine Marketing-Automation-Software am besten sparsam und zweckmäßig voreinstellt, in dem etwa nur die E-Mail-Adresse als Pflichtfeld auszufüllen ist. Checkboxen sind gemäß Privacy-by-Default auch nicht vorab angeklickt, sondern vom Nutzer aktiv auszuwählen.
5 Zertifikate
Wie gut ein Software-Anbieter und sein Produkt in Sachen Datenschutz und -sicherheit aufgestellt sind, zeigen Dir seine Zertifikate an. Eine Zertifizierung nach der international führenden Norm für Informationssicherheit ISO 27001 belegt die Einhaltung höchster IT-Sicherheitsstandards im gesamten Unternehmen. Diese Zertifizierung stellt sicher, dass die Integrität und Vertraulichkeit aller Daten gewährleistet sind. Mit einem derartig zertifizierten Software-Anbieter schaffst Du im Hinblick auf die durch die DSGVO geforderten TOM eine solide Basis.
Anders als beispielsweise in den USA, wo sich Unternehmen oder Branchen selbstentwickelte Datenschutzvorschriften auferlegen, sind derartige Zertifikate in Deutschland durch unabhängige Prüfstellen legitimiert. Prüfstellen wie der TÜV sorgen dafür, dass diese Zertifikate zuverlässig und anerkannt sind.
Kostenloses E-Book: In 4 Schritten zu Deinem Marketing Automation Tool
So wählst Du das richtige Marketing Automation Tool, um Dein Online Marketing voranzubringen
4. Fazit
Bei all den rechtlichen Aspekten, die zu beachten sind, um Marketing Automation und Datenschutz zu vereinen, könntest Du den Gedanken haben, die Automatisierung eventuell vollständig zu überdenken. Doch bedenke, dass eine gut umgesetzte Automatisierung viele Vorteile bietet. Eine Marketing-Automation-Lösung ist ein wirkungsvolles Werkzeug, um die Kundenkommunikation effizient und personalisiert zu gestalten. Dadurch kannst Du den Customer Lifetime Value für Dein Unternehmen nachhaltig erhöhen. Ohne Marketing-Automation-Lösung ist das schon heute kaum noch und zukünftig gar nicht mehr möglich. Wenn es Dir gelingt, Marketing Automation datenschutzkonform umzusetzen, gewinnst Du nicht nur das Vertrauen Deiner Zielgruppe, sondern machst Dein digitales Marketing schon jetzt zukunftsfähig.