print logo

Safe Harbor und rechtssicheres E-Mail-Marketing

Entscheidung des EuGH macht außereuropäische Server für E-Mail-Marketing nicht mehr tragbar; Alternativen zur Senkung von Haftungsrisiken müssen her.
Mailjet | 16.10.2015
Safe Harbor: Was Unternehmen über rechtssicheres E-Mail-Marketing wissen müssen

Bekenntnis von Vertragspartnern wie E-Mail-Service-Providern zu den bisher gültigen Safe Harbor Principles ist nunmehr hinfällig
Wer etwaige Haftungsrisiken minimieren will, setzt auf Service-Provider mit Sitz und Rechenzentren in der EU, wie zum Beispiel Mailjet

Berlin, 15. Oktober 2015 – Was sich bereits seit längerer Zeit anbahnte, ist nun mit der aktuellen Entscheidung des EuGH zugunsten des Datenschutz Gewissheit geworden und erfordert ein schnelles Handeln insbesondere online-agierender Unternehmen: Newsletter, Marketing-Mails & Co. bewegen sich in einer rechtlichen Grauzone, die es nicht nur mit Blick auf das Vertrauen der Verbraucher zu sichern gilt. Die neue Rechtsgrundlage macht es kaum noch vertretbar, die CRM-relevanten Kundendaten einem E-Mail-Service-Provider zur Verfügung zu stellen, dessen Sitz und Rechenzentren sich außerhalb der EU befinden. Insbesondere für Online- und E-Mail-Marketing-Verantwortliche gilt es folgendes für rechtssicheres E-Mailing zu beachten:

Personalisierung, ja – aber nicht um jeden Preis!
Wie erfolgreich E-Mail-Kampagnen sind, hängt stark davon ab, wie sehr die Inhalte auf die Interessen und Bedürfnisse der Empfänger zugeschnitten sind und zu Handlungen motivieren. Die dafür im Laufe der Kundenbeziehungen gesammelten, zum Teil höchst persönlichen Daten, wie zum Beispiel Alter, Geschlecht, Zugehörigkeit zu Vereinen, wurden bis dato gerne in die Datenbanken der E-Mail-Service-Provider übertragen und weiterverwendet. Was sich bisher in einer rechtlichen Grauzone befand, ist nun zu einem großen Risiko geworden, das es zu umgehen gilt! Achten Sie darauf, dass Sie die ausdrückliche Erlaubnis der Empfänger haben, nicht nur für die Erhebung, Verarbeitung und Nutzung der E-Mail-Adresse für Mailing- und Newsletter-Listen, sondern auch alle anderen personenbezogenen Daten zum spezifischen Einkaufsverhalten. Zeigen Sie sich Ihren Kunden gegenüber derzeit transparent – das schafft Vertrauen!

Zusätzliche Absicherung durch Rahmenverträge!
Zu den bisher am häufigsten diskutierten Lösungen gehören die sogenannten Binding Corporate Rules als unter verbundenen Unternehmen rechtsverbindlicher Rahmen über den „internen“ Umgang mit personenbezogenen Daten, denen die gültigen europäischen Richtlinien zugrunde liegen. Speziell große bzw. international agierende Konzerne sollten dies besonders überdenken, da im Grunde amerikanische Anbieter die Möglichkeiten bieten können, mit dem Kunden einen gesonderten "Vertrag über die Auftragsdatenverarbeitung" abzuschließen. Allerdings ist es nun aus rechtlicher Sicht zwingend erforderlich, sich hier ausreichend abzusichern. Ein gutes Vorbild sind hier eine Reihe von Web Analytics Anbieter und sind damit den aktuellen Entwicklungen schon einen erheblichen Schritt voraus sind: Bereits seit einigen Jahren arbeiten sie innerhalb Europas mit ihren Enterprise-Kunden auf Basis gesonderter Verträge zur Auftragsdatenverarbeitung als ein Agreement zum fairen Umgang mit den gesammelten Daten des Kunden.

Haftungsrisiken ausschließen!
Über die Konsequenzen, wenn es tatsächlich zu einem Missbrauch der Daten zum Beispiel durch Hacking der Server kommt, sollten Unternehmen unbedingt nachdenken. Liegt das Datenleck beim E-Mail-Server-Provider in Übersee, ist die Aussicht auf gerichtlichen Erfolg und Schadenersatz nicht nur mit viel Zeit, sondern auch erheblichen Kosten verbunden ist. Für klein- und mittelständische Unternehmen ist dieses Szenario kaum tragbar. „Bei der Wahl des richtigen Partners ist daher unbedingt darauf zu achten, wo sich der Ort der Datenspeicherung befindet. Idealerweise befinden sich der dauerhafte Sitz und die Rechenzentren in der EU“, erklärt Alexis Renard, CEO des französischen Providers Mailjet. Wer hier noch einen Schritt weiter gehen möchte, setzt auf Anbieter, die auch mit einer eigenen Rechtseinheit in Deutschland vertreten sind, so dass im Falle des Falles Rechtsstand und etwaige Haftungsrisiken sich deutlich besser kalkulieren lassen.

Fazit
1. Für alle gespeicherten, personenbezogenen Daten müssen die Einwilligungen der Empfänger vorliegen und dürfen jederzeit von diesen widerrufen werden. Für eine vertrauensvolle Kundenbeziehung ist außerdem ein transparenter Informationsfluss notwendig.
2. Von Datentransfers zu Anbietern mit außereuropäischen Servern ist unbedingt Abstand zu nehmen.
3. Laufende Vertragsbeziehungen zu Service-Providern als auch bei der Auswahl neuer Partner sollte unbedingt auf Sitz und Standort der Rechenzentren geachtet werden. Auch hier ist die gezielte Nachfrage, ob „Umzüge“ der Server außerhalb der EU geplant sind, unbedingt empfehlenswert.