morefire
MENÜ

Marketing Automation sicher im Datenschutz-Dschungel nutzen

Datenschutz und Datensicherheit werden mehr und mehr zu einer unausweichlichen Challenge für Online Marketer, um insbesondere ihre digitalen und automatisierten Maßnahmen rechtskonform durchführen zu können. Hinzu kommen die wachsenden Ansprüche seitens der Zielgruppen – sowohl hinsichtlich des sorgsamen Umgangs mit ihren Daten als auch in Bezug auf eine passgenaue, personalisierte Kommunikation. Aber was genau ist rechtlich erlaubt und was nicht? Wofür brauchst Du die Einwilligung des Adressaten? Und wie lassen sich Deine Marketing-Prozesse korrekt und dennoch effizient umsetzen? Dieser Blogbeitrag ist Dein Guide, um sicher durch den Datenschutz-Dschungel zu kommen.

Marketing Automation ist heute ein beliebtes Werkzeug, um den eigenen Zielgruppen automatisiert und personalisiert die passenden Botschaften auszuspielen – und das über ihren gesamten Kundenlebenszyklus hinweg. So lassen sich Kunden langfristig an das Unternehmen binden, Umsatzpotenziale erschließen und der Kundenwert effizient steigern. Ein in die Marketing Automation Software integriertes Tracking des Lese- und Klickverhaltens ermöglicht aufschlussreiche Einblicke in die einzelnen Empfänger. Hier jonglieren Marketer mit wertvollen und schützenswerten Daten von Interessenten und Kunden, weshalb sie nicht umhin kommen, sich mit Datenschutz und Datensicherheit auseinanderzusetzen.

  1. Was bedeuten Datenschutz und Datensicherheit?
  2. Marketing Automation & Datenschutz: Diese Rechtsvorschriften solltest Du kennen
  3. So findest Du das passende Tool für rechtskonforme Marketing Automation
  4. Fazit

1. Was bedeuten Datenschutz und Datensicherheit?

Sind Deine Daten sicher oder geschützt? Im alltäglichen Sprachgebrauch werden die Begriffe Datenschutz und Datensicherheit fast synonym verwendet. Juristisch gesehen sind es jedoch zwei unterschiedliche Sachverhalte. Hier erfährst Du zunächst, was es mit diesen Begrifflichkeiten auf sich hat.

Definition Datenschutz

Datenschutz basiert in Deutschland auf dem Grundrecht auf informationelle Selbstbestimmung. Das heißt, jeder Mensch hat das Recht, selbst über seine personenbezogenen Daten zu verfügen und zu entscheiden, wer diese wie erheben und verarbeiten darf. Personenbezogene Daten sind alle Informationen, die eine lebende natürliche Person identifizieren oder identifizierbar machen, wie etwa Kontakt- und Kontodaten, aber auch IP-Adressen. Im Grunde soll Datenschutz also den Einzelnen vor dem Missbrauch seiner personenbezogenen Daten bewahren.

Verankert ist der Datenschutz hierzulande in der EU-Datenschutzgrundverordnung (DGSVO) beziehungsweise im Bundesdatenschutzgesetz (BDSG). In den USA dagegen herrscht ein gänzliches anderes Datenschutzverständnis: Dort wird nicht von einem Grundrecht ausgegangen, sondern argumentiert mit wirtschaftlichen Interessen und dem Verbraucherschutz. Folglich gibt es in den USA keine allgemeingültige Rechtsgrundlage, die personenbezogene Daten schützt. 

Definition Datensicherheit

Datensicherheit (oder auch Informations- oder IT-Sicherheit) hingegen meint alle, insbesondere technische Maßnahmen, die dem Schutz jedweder Daten dienen. Darunter fallen natürlich auch die oben genannten Personendaten, aber eben nicht ausschließlich.

Während Datenschutz dem Datenmissbrauch entgegenwirken soll, ist es das Ziel der Datensicherheit wirtschaftlichen Schäden vorzubeugen, indem die Vertraulichkeit, Verfügbarkeit und Integrität aller schützenswerter Daten gewährleistet wird. Aus Unternehmenssicht dient Datenschutz also dazu, die Interessen und Grundrechte der Zielgruppen zu wahren, wohingegen Datensicherheit eine mögliche Haftung des Unternehmens zu vermeiden sucht. 

Und was ist mit den TOM?

In der DSGVO ist allerdings auch von Maßnahmen die Rede: Diese technischen und organisatorischen Maßnahmen (TOM) stellen die Einhaltung der DGSVO sicher und machen dies auch nachweisbar. Die TOM sind aber von Natur aus auch dafür geeignet, die Datensicherheit – sprich die Vertraulichkeit, Integrität und Verfügbarkeit von Daten – in einem Unternehmen zu gewährleisten.

Zu den technischen Maßnahmen, die auch die Funktion der IT-Systeme betreffen, gehören unter anderem Verschlüsselungen, Firewalls und Backups. Als organisatorische Maßnahmen, welche die Rahmenbedingungen der technischen Verarbeitung bilden, sind beispielsweise Datenschutz-Schulungen, das Vier-Augen-Prinzip oder Rollen- und Rechtekonzepte für den Datenzugriff zu nennen.


Welche Potenziale im automatisierten Online-Marketing für Dein Marketing und Deinen Vertrieb schlummern, verrät Dir folgendes Webinar:

In 7 Schritten vom Interessenten zum Kunden – Mit Online-Marketing und Marketing Automation zum wirkungsvollen Sales-Enabler

Webinar_Marketing Automation Webinar - In 7 Schritten vom Interessenten zum Kunden_morefire

Unser Geschäftsführer Robin Heintze und Martin Phillip, Geschäftsführer von SC-Networks, Hersteller der Marketing-Automation-Plattform Evalanche, zeigen Dir, wie Du Schritt für Schritt entlang der Customer Journey Traffic aufbauen, Leads gewinnen und für Deinen Vertrieb qualifizieren kannst. Das Webinar findet am 10. Dezember um 14 Uhr statt.

Jetzt anmelden! 


Was denn nun: Daten sichern oder schützen und vor allem wie?

Für Dich als Marketer geht es darum, Marketing Automation datenschutzkonform umzusetzen: Das heißt, wenn Du personenbezogene Daten erheben und verarbeiten möchtest, musst Du das Grundrecht zur informationellen Selbstbestimmung Deiner Zielgruppe berücksichtigen und dahingehend alle Vorgaben einhalten, welche die aktuelle Rechtsprechung zum Thema Datenschutz macht.

Dazu zählt unter anderem, stets die betroffene Person über alle Aspekte der Datenverarbeitung ausführlich aufzuklären und deren Einwilligung nachweislich einzuholen. Bei digitaler Einwilligung – etwa im Rahmen von E-Mail-Marketing und Marketing Automation – ist dabei ein zweistufiges Double-Opt-in-Verfahren Pflicht, aber auch ansonsten stets zu empfehlen. 

Datenschutz dank, nicht trotz Software

Willst Du Dein Marketing und womöglich (vielleicht perspektivisch) auch die Vertriebsprozesse in Deinem Unternehmen digitalisieren und automatisieren, brauchst Du eine moderne Software-Lösung, die Dich dabei unterstützt. Dieses Tool muss es Dir ermöglichen, Datenschutzgesetze, relevante TOM und Datensicherheitsvorkehrungen problemlos umzusetzen – oder besser noch: Dir alle dafür notwendigen Funktionen auf dem Silbertablett servieren. Dazu später mehr unter Punkt 3!

Damit Du aber überhaupt in der Lage bist, Datenschutzkonformität zu fördern und zu überprüfen, ist es besonders wichtig, dass Du die AKTUELLEN rechtlichen Vorgaben kennst. Doch gerade, weil sich dahingehend in den letzten Jahren immer wieder Veränderungen ergeben, erhältst Du hier einen kleinen Überblick.

2. Marketing Automation & Datenschutz: Diese Rechtsvorschriften solltest Du kennen

Wo genau kommen die rechtlichen Herausforderungen her? Einen Hinweis hast Du bereits bei der Definition von Datenschutz erhalten. Doch neben den Datenschutzgesetzen gibt es weitere Gesetze und Aspekte der Rechtsprechung, die Du kennen solltest. 

Die DSGVO

Die DSGVO hat seit ihrem Inkrafttreten 2018 den wohl größten Einfluss auf alles, was im Umgang mit personenbezogenen Daten zu beachten ist, unter anderem

  • wann und wie die Einwilligung einzuholen und nachzuweisen ist;
  • welche Grundsätze der Datenerhebung und -verarbeitung, wie Datensparsamkeit und Zweckbindung einzuhalten sind;
  • wie Nutzer auf das Thema Datenschutz hinzuweisen sind;
  • welche vertraglichen Voraussetzungen zu schaffen sind;
  • wie der Datenverarbeitungsprozess zu gestalten ist;
  • welche behördlichen Stellen unterstützen und sanktionieren dürfen u.v.m.

Im gleichen Zuge sollte die ePrivacy-Verordnung (ePVO) ergänzend die Themen Nutzer-Tracking und Cookie-Verwendung regeln, um einen Kompromiss zwischen dem Recht der Nutzer und den wirtschaftlichen Interessen von Unternehmen zu finden. Die ePVO scheiterte jedoch bislang, während einzelne Aspekte wie beim Setzen von Cookies durch Urteile des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH) rechtlich bindend sind. 

Das Cookie-Urteil

Am 28. Mai 2020 urteilte der BGH, dass Nutzer dem Setzen von Tracking Cookies zur Sammlung personenbezogener Daten aktiv zustimmen müssten. Diese Zustimmung durch ein vorab gesetztes Häkchen einzuholen, ist unzulässig. Damit folgt der BGH dem EuGH-Urteil vom 11. Oktober 2019. Zudem sind einfache Cookie Banner, die nur darüber informieren, dass Cookies gesetzt werden, nur noch für technisch unabdingbare Cookies gestattet, die für die Funktionalität einer Website unverzichtbar sind. Für alle anderen Cookies, die der Nutzerereinwilligung bedürfen, müssen sogenannte Cookie-Consent-Banner zum Einsatz kommen. 

US-Gesetze

Während sich in Europa die DSGVO durchgesetzt hat, wurde in den USA fast zeitgleich der US CLOUD Act (kurz für Clarifying Lawful Overseas Use of Data Act) erlassen. Dieser regelt seither den Umgang mit personenbezogenen und anderweitigen Unternehmensdaten, die sich innerhalb wie außerhalb der USA befinden, gleichermaßen. Der CLOUD Act verpflichtet US-Unternehmen und damit auch deren Tochterunternehmen, jedwede in ihrer Kontrolle, ihrem Besitz oder ihrer Obhut befindlichen Daten – auf Verlangen von US-Behörden – diesen Stellen auch offenzulegen.

Damit entstand schon 2018 ein unüberwindbarer Widerspruch zur DSGVO, die den USA kein ausreichendes Datenschutzniveau per se zugestand, sondern dies nur über bilaterale Abkommen und Standardvertragsklauseln als akzeptabel einstufen ließ.

Das gekippte Privacy Shield

Fast folgerichtig zu Gesetzen wie dem CLOUD Act und dem ohnehin gänzlich anderen Datenschutzverständnis in den USA kippte der EuGH im Juli 2020 das Privacy Shield als bilaterales Abkommen, das den Datentransfer in die USA datenschutzrechtlich legitimieren sollte. Das Privacy Shield war im Sommer 2016 als Nachfolger zum 2015 gekippten Safe Harbor-Abkommen angetreten.

Das vernichtende Urteil lautete erneut: Das Datenschutzniveau in den USA ist unzureichend. Jetzt bleiben nur noch Standardvertragsklauseln, die an bestimmte Voraussetzungen gekoppelt sind; individuelle Datenschutzvereinbarungen gemäß Artikel 47 DSGVO sowie die ausdrückliche Einwilligung der Nutzer, um eine marketinggetriebene Datenverarbeitung in den USA oder durch US-Unternehmen zu ermöglichen. 

Die aktuelle Rechtslage bildet damit einen klaren Rahmen, um Marketing Automation und Datenschutz zu vereinen – von der erforderlichen Aufklärung und Einwilligung bis hin zur Problematik mit Marketing-Tools von US-Anbietern, die jedoch auch hierzulande weitverbreitet sind.

3. So findest Du das passende Tool für rechtskonforme Marketing Automation

Wenn es darum geht, eine moderne Software auszuwählen, die Marketing Automation datenschutzkonform möglich macht, sind die folgenden fünf Kriterien ausschlaggebend: 

1 Datenverarbeitung – durch wen und wo

Gemäß DSGVO dürfen personenbezogene Daten nur erhoben, gespeichert und verarbeitet werden, wenn der Prozess selbst und das Unternehmen den gesetzlichen Vorgaben entspricht. So ist beispielsweise auch die Übermittlung und Verarbeitung von personenbezogenen Daten außerhalb der Europäischen Union nur zulässig, wenn in dem betreffenden Land ein angemessenes Datenschutzniveau besteht.

Mit dem Kippen des Privacy-Shield-Abkommens gilt dies nicht mehr für die USA und damit weder für dort ansässige Unternehmen noch US-amerikanische Serverstandorte. Mit einem Anbieter, der die Daten jedoch in Deutschland speichert und verarbeitet, bist Du stets auf der sicheren Seite und bringst Marketing Automation und Datenschutz in Einklang.

2 Technische Umsetzung des Einwilligungsprozesses

Das Einholen der Einwilligung, die Du brauchst, um personenbezogene Daten rechtskonform erheben, speichern und verarbeiten zu dürfen, muss nachweislich erfolgen. Technologisch eignet sich hier das bereits erwähnte Double-Opt-in-Verfahren, den eine Marketing-Automation-Lösung standardmäßig bieten sollte. Achte darauf, dass der Double-Opt-in durch einen Eintrag in die entsprechende Datenbank der Software mit Zeitstempel, wann die Einwilligung erteilt wurde, abgebildet ist.

Und das auch der Widerruf, etwa wenn die betroffene Person einen Abmeldelink klickt, automatisiert und nachweislich zur Deaktivierung des Kontakts führt, sodass kein Versand an diese Adresse mehr erfolgen kann.

3 Tracking-Optionen

Nach dem Cookie-Urteil ist es nun zwingend notwendig, auch zum Setzen von Tracking-Cookies die Einwilligung des Nutzers via Consent-Banner einzuholen – und das ohne voreingestelltes Häkchen. Nur rein informierende Cookie-Banner für technisch unabdingbare Cookies sind weiterhin erlaubt. Generell solltest Du dich also fragen, inwiefern Tracking für Dein Marketing erforderlich ist und ob es beispielsweise personenbezogen oder pseudonymisiert erfolgen soll.

Prüfe zudem, ob es Konfigurationsmöglichkeiten zu Tracking Opt-in und Opt-out in der Software gibt. Denn nur so kann jeder Nutzer selbst entscheiden, ob ein persönliches Profil erstellt werden darf.

4 Privacy-by-Design und Privacy-by-Default

Wenn ein Tool für Marketing Automation Datenschutzkonformität von Haus aus bietet, ist es umso einfacher für Dich, Dein Marketing professionell und rechtskonform zu digitalisieren. Dabei solltest Du vor allem auf zwei Prinzipien achten und wie ein Software-Anbieter zu diesen steht: Privacy-by-Design und Privacy-by-Default – wie es die DSGVO fordert. Privacy-by-Design bedeutet, die Software und alle Funktionen sind von Grund auf datenschutzkonform entwickelt.

Privacy-by-Default sorgt zusätzlich dafür, dass bereits alle Voreinstellungen datenschutzkonform und so restriktiv wie möglich sind. Ein Beispiel sind Datenabfragen via Web-Formularen, die eine Marketing-Automation-Software am besten sparsam und zweckmäßig voreinstellt, in dem etwa nur die E-Mail-Adresse als Pflichtfeld auszufüllen ist. Checkboxen sind gemäß Privacy-by-Default auch nicht vorab angeklickt, sondern vom Nutzer aktiv auszuwählen. 

5 Zertifikate

Wie gut ein Software-Anbieter und sein Produkt in Sachen Datenschutz und -sicherheit aufgestellt sind, zeigen Dir seine Zertifikate an. Eine Zertifizierung nach der international führenden Norm für Informationssicherheit ISO 27001 belegt die Einhaltung höchster IT-Sicherheitsstandards im gesamten Unternehmen, etwa dass die Integrität und Vertraulichkeit aller Daten gewährleistet sind. Mit einem derartig zertifizierten Software-Anbieter schaffst Du im Hinblick auf die durch die DSGVO geforderten TOM eine solide Basis.

Anders als beispielsweise in den USA, wo sich Unternehmen oder Branchen selbstentwickelte Datenschutzvorschriften auferlegen, sind derartige Zertifikate in Deutschland durch unabhängige Prüfstellen wie den TÜV legitimiert.

4. Fazit

Bei all den Dingen, die es rechtlich zu beachten gilt, um Marketing Automation und Datenschutz zu vereinen, kommt Dir unter Umständen der Gedanke, das mit der Automatisierung eventuell gänzlich zu überdenken. Doch bedenke: Eine Marketing-Automation-Lösung ist ein wirkungsvolles Werkzeug, um die Kundenkommunikation effizient und personalisiert zu gestalten und damit den Customer Lifetime Value für Dein Unternehmen nachhaltig zu erhöhen. Ohne Marketing-Automation-Lösung ist das schon heute kaum noch und zukünftig gar nicht mehr möglich. Wenn es Dir gelingt, Marketing Automation datenschutzkonform umzusetzen, gewinnst Du nicht nur das Vertrauen Deiner Zielgruppe, sondern machst Dein digitales Marketing schon jetzt zukunftsfähig. 

Martin Philipp

Geschrieben von

Martin Philipp hat über 20 Jahre Erfahrung im Online Marketing und dem digitalen Vertrieb von erklärungsbedürftigen, anspruchsvollen Produkten und Lösungen. Er ist Mitgeschäftsführer der SC-Networks GmbH, Hersteller der „Made in Germany“ Marketing-Automation-Plattform Evalanche, und verantwortlich für die Neukundengewinnung und Kundenbegeisterung.

3 / 5 (2 votes)

2 Kommentare

Tobias schrieb am 10. Juni, 2021 @ 10:49

Hallo Martin, vielen Dank für die super Erklärung und dass du es so einfach zum Lesen gemacht hast, insbesondere zum Thema Datenschutz. Ich hätte jedoch noch eine Verständnisfrage bzgl. Privacy Shield. Ich habe eine Cookie Consent Lösung (https://www.consentmanager.de/) und benutze Analytics. Damit alles DSGVO konform ist, muss ich diesen Standardvertrag haben und dann eine aktive Einwilligung vom Besucher, richtig? Oder sollte ich auch nach eine Google Analytics Alternative suchen?

Martin Philipp

Martin Philipp schrieb am 14. Juni, 2021 @ 8:23

Hallo Tobias, Bevor das Privacy Shield gekippt wurde, war es ausreichend mit Google einen AVV zu schließen, in der Datenschutzerklärung die jeweiligen Verfahren zu beschreiben und die IP Adresse zu anonymisieren. Nach dem gekippten Privacy Shield ist das jetzt nicht mehr ausreichend, d.h. wenn du jetzt ganz sicher gehen möchtest, suchst du dir eine Alternative zu Google Analytics oder nutzt das Google Server Side Tagging mit einem eigenen Server (was mMn nur Sinn macht für sehr hoch frequentierten Seiten).
https://www.more-fire.com/blog/server-side-tagging/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.