Durch die jüngst vom Europäischen Gerichtshof (EuGH) getroffene Entscheidung, das Safe-Harbor-Abkommen aufzuheben und damit der Datenspeicherung durch US-amerikanischen Clouddienste die Rechtsgrundlage zu entziehen, wird die Bedeutung des Datenschutzes in Europa noch verstärkt. Unternehmen und andere Institutionen müssen sich daher umso dringlicher der Herausforderung stellen, dem gestiegenen Datenschutz- und Datensicherheitsbedürfnis ihrer Kunden gerecht zu werden.
Datenschutz versus Datensicherheit
Datenschutz basiert auf dem „Grundrecht auf informationelle Selbstbestimmung“: Jeder Mensch soll selbst entscheiden können, wem er wann welche seiner persönlichen Daten zugänglich macht und wie diese weiterverarbeitet werden dürfen. Den rechtlichen Rahmen hierfür bildet unter anderem das Bundesdatenschutzgesetz (BDSG). Unter Datensicherheit beziehungsweise IT- oder Informationssicherheit hingegen versteht man Eigenschaften von technischen oder nichttechnischen Systemen, die Informationen verarbeiten oder vorhalten.
Datensicherheit soll wirtschaftlichen Schäden vorbeugen und Risiken minimieren. Während Datenschutz dem Schutz des Einzelnen vor dem Missbrauch seiner personenbezogenen Daten dient – aus Unternehmenssicht also die Wahrung fremder Interessen beinhaltet –, ist das Ziel von Datensicherheit der Schutz der Vertraulichkeit, Verfügbarkeit und Integrität jedweder schützenswerter Daten mit der Absicht, eigene Haftung zu vermeiden.
Schritt 1: Den richtigen Anbieter finden
Unternehmen, die ihr E-Mail-Marketing professionalisieren, automatisieren und zu einem ganzheitlichen Leadmanagement ausbauen möchten, sollten bei der Wahl der Software unbedingt auf Datenschutzkonformität achten. Sie ist eine Grundvoraussetzung für eine rechtssichere digitale Kommunikation.
Was in diesem Zusammenhang häufig übersehen wird: Nicht der Software-Anbieter, sondern die Unternehmen selbst stehen als Auftraggeber in der vollen Verantwortung. Datenschutz und Datensicherheit müssen primär im eigenen Unternehmen gewährleistet sein und entsprechend auf den Anbieter übertragen werden. Eine Organisation, die personenbezogene Daten verarbeitet oder nutzt – also auch jedes Unternehmen, das Kunden- und Interessentenkontakte erhebt und verwertet –, muss nach dem Bundesdatenschutzgesetz (BDSG) für ein angemessenes Datensicherheitsniveau sorgen.
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
Die Mindestanforderungen hierfür sind:
die Gewährleistung von Zutritts-, Zugangs- und Zugriffskontrolle,
Ein- und Weitergabekontrolle,
Auftrags- und Verfügbarkeitskontrolle sowie
das Trennungsgebot.
Unternehmen, die sich für eine Software-Lösung in Form eines Software-as-a-Service-Angebots, das vom Anbieter gehostet wird, entscheiden, sollten einige Dinge beachten. Neben möglichen Kostenvorteilen haben zugriffsberechtigte Mitarbeiter die Möglichkeit, orts- und zeitungebunden browsergestützt auf Daten und Anwendungen zuzugreifen.
Im Hinblick auf datenschutzrechtliche Aspekte ergeben sich hier aber auch einige Herausforderungen:
Fragen der Vertragsgestaltung und des Urheberrechts,
gesetzliche Anforderungen an den Datenschutz sowie
Fragen zur grenzüberschreitenden Rechtsanwendung.
Im Hinblick auf die aktuelle Rechtssprechung des Europäischen Gerichtshofs empfiehlt es sich zudem, einen Anbieter aus Deutschland beziehungsweise der EU zu beauftragen. Grundsätzlich gilt: Je besser Unternehmen informiert sind und wissen, was sie bei der Nutzung von Cloud-Anwendungen aus rechtlicher Sicht beachten müssen, desto mehr hilft ihnen dieses Wissen dabei, den passenden Anbieter zu finden.
Schritt 2: Leadmanagement-Kampagnen planen und vorbereiten
Nur wenn Zielgruppen passgenauen Content zum richtigen Zeitpunkt erhalten, lassen sich neue Interessenten (Leads) gewinnen und bestehende Kontakte und Kunden dauerhaft binden. Doch zuvor gilt es, die Zielgruppe – also im Grunde den Wunschkunden – genau zu definieren. Auf Basis sogenannter Persona-Profile lässt sich für den Interessenten passender und vor allem nutzwertiger Content erstellen.
Um Leads durch Inbound-Marketing generieren zu können, muss ein Unternehmen zunächst von potenziellen Kunden gefunden werden, zum Beispiel über die Unternehmenswebsite. Im zweiten Schritt gilt es, den anonymen Webseitenbesucher zu einem Lead zu entwickeln. Dies gelingt, indem man relevante, attraktive Inhalte – beispielsweise E-Books oder Checklisten – im Tausch gegen Daten wie die E-Mail-Adresse und die Erlaubnis, den Interessenten per E-Mail kontaktieren zu dürfen (Opt-in), anbietet.
- Risiko Programmierschnittstelle
Programmierschnittstellen werden ein neues beliebtes Ziel von Hackern. Ein erfolgreicher Angriff kann den Angreifern Zugriff zu riesigen Mengen an sensiblen Daten verschaffen. Wird eine unternehmenskritische Anwendung kompromittiert, sind Daten von allen Nutzern betroffen. Eine erfolgreich angegriffene Programmierschnittstelle, auch wenn sie verschlüsselt ist, öffnet Hackern die Türen zu sensiblen Informationen – ihnen steht dann der gesamte Anwendungsverkehr zur Verfügung. - Angriffe auf Datenintegrität
Manipulierte Daten werden die neue Cash Cow für Hacker. Mit der zunehmend vernetzten Welt entstehen große Datenmengen. Unternehmen nutzen diese, um Entscheidungen und Vorhersagen zu treffen. Um diese Entscheidungen zu beeinflussen, verändern Hacker über einen längeren Zeitraum hinweg die Daten – ohne sich bemerkbar zu machen. Sind Daten erst einmal verändert, handeln Unternehmen basierend auf falschen Informationen. Möglicherweise manipulieren Cyberkriminelle die Daten gar so, dass der Effekt ihrer Attacke erst nach mehreren Jahren zu spüren ist. - Krieg mit anderen Mitteln
Der Cyberkrieg wird weitergehen. Aggressive Akte dieser Art werden zwischen immer mehr Nationen stattfinden, nicht nur zwischen den USA und China, aber auch. Von der Mehrzahl solcher Angriffe gegen Regierungs-infrastrukturen oder als Teil großangelegter Wirtschaftsspionage werden wir vermutlich nicht ein Mal etwas erfahren. Aber ganz offensichtlich ist das Internet auch aus Politik und strategischer Kriegführung nicht mehr weg zu denken. Diese Taktik der „boots at home” wird erwartungsgemäß einer der ersten Schritte innerhalb der Kriegsführung sein. Sei es um zusätzliche Erkenntnisse zu gewinnen oder sei es um vorab Infrastrukturen und Kommunikationssysteme außer Gefecht zu setzen. - Angriffe auf Mitarbeitersysteme
Organisationen müssen ihre Sicherheitsstrategien deutlich verbessern. Daher werden Angreifer voraussichtlich ihren Schwerpunkt verlagern und Unternehmen über Mitarbeiter angreifen, indem sie sich über deren relativ unsichere Heimnetzwerke Zugang zum Unternehmen verschaffen. - Lagerung von gestohlenen Daten
Gestohlene persönliche Daten-Sets werden zusammen in großen „Data Warehouses“ verbunden, so dass diese Datensätze für Angreifer noch wertvoller werden. Im kommenden Jahr wird der Schwarzmarkt für gestohlene Daten wie Benutzernamen und Passwörter weiter wachsen.
Im anschließenden Lead Nurturing-Prozess wird der Interessent dann mit werbefreiem und nutzwertigem Content bis zur Kaufreife entwickelt, wobei sich sein Profil bei jedem Schritt mit weiteren Daten anreichern lässt. Um einschätzen zu können, wie interessant ein Lead für ein Verkaufsziel ist, sollten Marketing und Vertrieb zudem gemeinsam ein Lead Scoring-System definieren und entscheiden, wie und ab welchem Schwellenwert der Interessent von der Marketing- in die Vertriebs-Betreuung übergeben wird.
Schritt 3: Leads rechtskonform generieren und qualifizieren
Nachdem die oben genannten Punkte abgearbeitet sind und die einzelnen Schritte der Kampagne geplant wurden, müssen sich Unternehmen erneut mit dem Thema Datenschutz beschäftigen.
Neben dem Bundesdatenschutzgesetz (BDSG) sind bei der tatsächlichen Umsetzung nämlich noch eine Reihe weiterer gesetzlicher Vorgaben zu beachten:
das Telemediengesetz (TMG),
das Bürgerliche Gesetzbuch (BGB) sowie
das Gesetz gegen den unlauteren Wettbewerb (UWG).
Da hier bei Nichtbeachtung unter Umständen empfindliche Geldbußen und teure Abmahnungen drohen, empfiehlt es sich in jedem Fall, die sich aus den Gesetzen ergebenden Anforderungen zu erfüllen. Impressum, Datenschutzhinweis und Widerrufsmöglichkeit sind Elemente, die für ein rechtskonformes E-Mail-Marketing und Leadmanagement unverzichtbar sind. Zudem benötigen Unternehmen die aktive, ausdrückliche, bewusste und freiwillige Einwilligung des Empfängers, wenn sie Newsletter, sonstige Marketing-Mails oder Mailings im Rahmen einer Leadmanagement-Kampagne verschicken wollen.
Ganz wesentlich ist, dass der Betroffene, um dessen Einwilligung es geht, im Vorfeld vollständig und verständlich über alle Aspekte und Zwecke der Datenerhebung und -verarbeitung aufgeklärt wird und in Kenntnis dieser Umstände eine formwirksame, aktive Erklärung abgibt, dass er mit diesen Vorhaben einverstanden ist. Ohne Einwilligung des Nutzers dürfen Unternehmen grundsätzlich keine personenbezogenen Daten erheben und speichern – auch nicht beim Tracking und bei der Web-Analyse. Beides ist allerdings notwendig, um den Erfolg von Kampagnen zu messen und diese auch kontinuierlich zu optimieren, daher muss auch hierfür eine Einwilligung eingeholt werden.
Fazit
Die Umsetzung rechtskonformer E-Mail-Marketing- und Leadmanagement-Projekte ist alles andere als banal. Nur wer bei allen drei Schritten – von der Anbieterauswahl über die Planung und Vorbereitung bis hin zur konkreten Umsetzung einer Kampagne – die geltenden Rechtsvorschriften zu Datenschutz und Datensicherheit berücksichtigt, ist beim Leadmanagement auf der (rechts)sicheren Seite. (bw)