Autor: Martin Philipp, Geschäftsführer von Evalanche | SC-Networks
„Never change a winning team” dürften sich derzeit zahlreiche Fussball-Fans denken, wenn es um die Startaufstellung für das kommende Spiel geht. Für Marketer gilt für die nächste Kampagne das gleiche hinsichtlich der eingesetzten Tools, wie etwa E-Mail-Marketing- oder Marketing Automation-Lösungen. Doch zielführende Funktionalitäten allein sind heute nicht mehr ausreichend. Wann sollten Sie Ihrem Marketing-Tool die rote Karte zeigen?
Sie wissen doch: Personenbezogene Daten sind für ein zeitgemässes Marketing unverzichtbar – auch im B2B. Schliesslich wollen Entscheider genau die Informationen, die sie benötigen, zu dem Zeitpunkt, in dem sie diese benötigen. Um das dazu erforderliche Verständnis für den Entscheidungsprozess zu entwickeln sowie das entsprechende Mass an Personalisierung zu gewährleisten, führt kein Weg daran vorbei, personenbezogene Daten – etwa im Rahmen einer Lead Nurturing-Kampagne – zu erheben, zu verarbeiten und in passgenaue Marketingmassnahmen zu transformieren. Ohne technologische Unterstützung ist die Komplexität aus Datenerhebung und zielgerichteter Verwertung im Sinne einer optimalen Customer Experience kaum handelbar. Umso wichtiger ist, dass Sie sich auf Ihr Marketing-Tool hundertprozentig verlassen können. Und das gilt nicht nur für den Leistungsumfang, sondern auch für die zunehmend strengeren Anforderungen hinsichtlich des Datenschutzes.
Checkliste für Ihr Marketing-Tool
Die Checkliste hilft Ihnen dabei, zu überprüfen, ob Sie Ihr Tool weiterhin ruhigen Gewissens aufstellen können. Einen Platzverweis sollten Sie allerdings in Betracht ziehen, wenn einer oder mehrere der folgenden Aspekte zutreffen:
Wenn Datenschutz kein Thema ist
Aufgrund der aktuellen Rechtslage stehen vor allem Tools aus den USA in der Kritik, weil die Vereinigten Staaten laut Privacy Shield- bzw. Schrems II-Urteil kein angemessenes Datenschutzniveau mehr bieten. Grund sind US-Gesetze wie CLOUD Act und FISA, die US-Behörden Zugang zu jedweden Daten gewähren, die sich im Besitz, unter Kontrolle oder in Obhut von US-Unternehmen befinden – und das sogar ohne richterlichen Beschluss. Dabei ist hierzulande Datenschutz ein sehr wichtiges Thema, auch für Ihre Interessenten und Bestandskunden, deren persönliche Daten Sie verarbeiten. Dem sollten Sie unbedingt Rechnung tragen und dadurch ebenso Respekt vor der Privatsphäre Ihrer (potenziellen) Kunden zeigen – auch im B2B.
Wenn Daten in die USA transferiert werden
Für eine rechtskonforme Datenverarbeitung ist der Serverstandort entscheidend: Die Gesetzeslage untersagt es, personenbezogenen Daten – selbst, wenn es sich „nur“ um E-Mail-Adressen handelt – ohne Weiteres in die USA zu transferieren. Der Serverstandort Ihrer Marketing-Software sollte daher unbedingt in der Europäischen Union (EU) oder im Europäischen Wirtschaftraum (EWR) liegen.
Wenn US-Unternehmen oder deren Tochtergesellschaften die Daten verarbeiten
Der Serverstandort allein ist jedoch keine Garantie für DSGVO-konforme Datenverarbeitung. Auch in den USA ansässige Unternehmen müssen beispielsweise personenbezogene Daten von EU-Bürgern an Strafverfolgungsbehörden herausgeben. Diese Ermächtigung von US-Behörden weitet sich wegen des US-CLOUD Acts ebenso auf europäische Tochtergesellschaften aus – auch dann, wenn die Server in Europa stehen.
Wenn keine anerkannten Zertifizierungen vorliegen
Ihr Tool-Anbieter sollte daher transparent machen, welche Daten wie und wo verarbeitet werden und ob dabei die hiesigen Datenschutzvorgaben Einhaltung finden. Als Orientierungshilfe, um die Datenschutzkonformität einer Software-Lösung einzuschätzen, dienen Zertifizierungen wie nach ISO 27001. Die Umsetzung der Norm stellt sicher, dass die Integrität betrieblicher Daten gewährleistet ist und vertrauliche Daten geschützt sind. Anders als beispielsweise in den USA, wo Unternehmen oder Branchen selbstentwickelte Datenschutzvorschriften nutzen, sind derartige Zertifizierungen in Deutschland durch unabhängige Prüfstellen wie den TÜV legitimiert.
Wenn sich nur auf Standardvertragsklauseln berufen wird
Grundsätzlich ist der Einsatz von amerikanischen Tools und ausländischen Servern auf Basis von Standardvertragsklauseln gestattet. Jedoch müssen sie mit jedem Datenverarbeiter einzeln und wie von der EU-Kommission vorgegeben – das heisst inhaltlich unverändert – abgeschlossen werden. Zudem sind sie mit zusätzlichen Schutzmassnahmen, etwa der Verschlüsselung bis auf Feldebene oder einer Anonymisierung, zu kombinieren, um ein EU-konformes Datenschutzniveau zu gewährleisten.
Wenn die Software nicht „Privacy by Design“ beinhaltet
Um die von der DSGVO geforderten technischen und organisatorischen Massnahmen mit Ihrem Marketing-Tool umzusetzen, sollte der Software-Anbieter das Prinzip „Privacy by Design“ verfolgen. Durch eine entsprechende Technikgestaltung gewährleistet er, dass die Software von Grund auf datenschutzkonform arbeitet, eingesetzt und entwickelt wird.
Wenn die Software nicht „Privacy by Default“ bietet
Neben „Privacy by Design“ sollte der Software-Anbieter sich auch dem Prinzip von „Privacy by Default“ verschrieben haben. Hierbei geht es um datenschutzfreundliche Voreinstellungen: Beispielswiese sind in einem Datenformular nur die für den Verarbeitungszweck erforderliche Datenfelder aktiviert und das Formular beinhaltet Checkboxen, die nicht vorab angeklickt sind. Dadurch lässt sich die Einwilligung zur Datenverarbeitung (z. B. Tracking) gemäss Art. 6 DSGVO einholen. Der Einwilligungsprozess sollte zudem als Double-Opt-in gestaltet sein, um die geforderte Nachweisbarkeit der Einwilligung sicherzustellen.
Fazit: „Never change a running system“ – wenn es datenschutzkonform ist
Zweifelsohne ist es eine Herausforderung für B2B-Unternehmen, ein funktionierendes System kritisch zu überprüfen und unter Umständen eine Entscheidung treffen zu müssen, die weitreichende Folgen hat. Doch die Augen (un)bewusst davor zu verschliessen, ist keine Option. Immerhin werden Aufsichtsbehörden zunehmend aktiv. Wenn Sie ein Tool, zum Beispiel für E-Mail-Marketing, Marketing Automation oder Lead Management, einsetzen, das nicht den hiesigen Datenschutzvorschriften entspricht, riskieren Sie unbequeme Abmahnungen, schmerzliche Bussgelder und irreparable Imageschäden. Dabei gibt es durchaus rechtskonforme Alternativen aus Europa, die den US-Marktgiganten in Sachen Funktionalität durchaus das Wasser reichen können. Vergleichen lohnt sich!
Weitere Tipps sowie eine ausführliche Checkliste zur Anbieter-Auswahl finden Sie im kostenfreien E-Book „E-Mail-Marketing und Lead Management rechtskonform gestalten“.
Über den Autor
Martin Philipp hat über 20 Jahre Erfahrung im Online-Marketing und dem digitalen Vertrieb von erklärungsbedürftigen, anspruchsvollen Produkten und Lösungen. Er ist Mitgeschäftsführer der SC-Networks GmbH, Hersteller der „Made in Germany“ Marketing-Automation-Plattform Evalanche, und verantwortlich für die Neukundengewinnung und Kundenbegeisterung.
