Dass Bürger des Europäischen Wirtschaftsraums (EWR) ab 25. Mai 2018 eine sehr viel bessere Ausgangslage bzgl. dem Schutz über sie erhobener Daten haben, ist mittlerweile den meisten geläufig. Da drohende Sanktionen mit bis zu 4% des globalen Umsatzes ein Unternehmen sehr empfindlich treffen können, entstand in jüngster Zeit eine regelrechte Konformitäts-Euphorie. Die Datenschutz-Grundverordnung (DSGVO, engl. GDPR) im Unternehmen umzusetzen ist dabei gar nicht so einfach, gibt es ja noch keinerlei Rechtsprechung zur Interpretation einiger nicht eindeutig formulierter Klauseln.
Für Software-Hersteller von Lösungen, welche personenbezogene Daten verarbeiten, ist es Ehrensache die neuen Gesetze bereits implementiert zu haben. Schliesslich geht es um nichts weniger als den guten Ruf. Man hört und liest davon, wie lange diese Lösungen bereits «DSGVO ready» sind und vertraut den klingenden Worten des netten Vertreters. Beschäftigt man sich mit dem neuen Gesetz und sieht man den Lösungen genauer unter die Haube, sieht es leider oft nicht ganz so rosig aus.
Amerikanische Anbieter lassen ein Bewusstsein für Datenschutz (aka Schutz der Privatsphäre) oft gänzlich vermissen. Europäische Hersteller scheitern dagegen zwar nicht an ihrer Gewissenhaftigkeit, dafür aber eher an der rechtzeitigen und vollumfänglichn Umsetzung der sehr umfangreichen, jedoch zwingend notwendigen, Anpassungen. Cloud-Anbieter sind im Vorteil, da sie jederzeit zusätzliche oder angepasste Funktionalitäten nachreichen können.
Achtung: Die EU-DSGVO gilt auch extraterritorial. Sobald das Angebot eines Schweizer Unternehmens auch für EWR-Bürger zugänglich ist, wird somit die Einhaltung der DSGVO unmittelbar zur Pflicht. (mehr dazu hier)
Die wichtigsten Neuerungen lassen sich wie folgt zusammenfassen:
- Rechenschafts-, Informations- und Dokumentationspflichten
- Schulungspflicht der Mitarbeiter
- Verzeichnispflicht der Verarbeitungstätigkeiten
- Meldepflicht bei Datenschutzverletzungen
- Pflicht zur Ernennung eines Datenschutzbeauftragten und Vertreter in der EU
- Recht auf Vergessen
- Widerspruchsrecht
- Recht auf Datenübertragbarkeit
- „Privacy by design“ (Informationssicherheit)
- „Privacy by default“ (Voreinstellungen)
Ohne Aktien zu besitzen, bietet Inxmail – im E-Mail-Marketing Umfeld – aus meiner Sicht mit der kürzlich erschienen v4.7.0 die ausgereiftesten funktionalen Antworten auf die gestellten Anforderungen. Dies sowohl für Transaktions-E-Mailings (Cloud-Lösung: Inxmail Commerce) wie auch für Verteiler- (Newsletter) und Trigger-E-Mailings (Inxmail Professional, erhältlich als ASP oder On-Premise Lizenz).
Auch wenn der Datenschutz nicht beim System beginnt, sondern hauptsächlich im Unternehmen stattfinden muss, möchte ich hier einige E-Mail-Marketing Beispiele mitsamt meiner empfohlenen Lösungsstrategie aufführen:
Online-Anmeldung «Opt-In»
Online prozessierte Newsletter-Anmeldungen müssen ab dem 25. Mai 2018 das sogenannte Double-Opt-In Verfahren implementieren. Nach erfolgter Online-Anmeldung muss also ein Link in einer Bestätigungs-E-Mail geklickt werden, um die Anmeldung durch den Empfänger eindeutig zu bestätigen.
Personenbezogenes Tracking
Professionelle E-Mail-Marketing Systeme erkennen und speichern jede Öffnung und jeden Klick in einer Marketing-E-Mail. Dabei werden nicht nur der Empfänger und Zeitpunkt gespeichert, auch beispielsweise Informationen über das verwendete Gerät und installierte Software. Kombiniert mit dem Klickverhalten auf der Website, können so unter Umständen schnell Rückschlüsse auf Interessen etc. getroffen werden.
Ein solches Tracking darf neu nur noch nach expliziter Einwilligung der jeweiligen Person erfolgen und muss auch später widerrufbar sein. Eine zusätzliche Checkbox im Anmeldeformular – welche standardmässig auch nicht aktiviert sein darf (Grundsatz „privacy by default“) – sowie ein zusätzlicher Link in den Marketing-E-Mailings («personenbezogene Messungen deaktivieren») muss also her.
Kopplungsverbot
Ist die Erhebung personenbezogener Daten für die Erfüllung der Vereinbarung («regelmässige Zustellung von Marketing-Inhalten per E-Mail») nicht erforderlich, darf dies auch nicht mit der Anmeldung gekoppelt werden (Art. 7 Abs. 4). Heisst: eine Newsletter-Anmeldung muss auch möglich sein, ohne dabei zum personenbezogenen Tracking einzuwilligen.
Hieran scheitern viele Systeme, da sie dies schlicht nicht ermöglichen. Möchte jemand kein personalisiertes Tracking, hiesse dies in vielen Systemen sich vom Newsletter zwangsläufig abmelden zu müssen. Inxmail Professional ab v4.7.0 ist ohne Anpassung in der Lage diese Tracking-Permission zu verwalten und jeden Empfänger individuell auf Basis dieser Einstellung unterschiedlich zu behandeln. Der Clou: die Statistiken bleiben dabei unverändert vollständig und aussagekräftig.
Vorratsdatenspeicherung
Selbst wenn eine Einwilligung bzgl. personenbezogenen Tracking von einem Empfänger vorhanden ist, dürfen nur Informationen gesammelt werden, welche auch benötigt werden. Sieht man keine Verwendung der detaillierten Klickdaten vor, würde die Speicherung dieser den Umstand der Vorratsdatenspeicherung erfüllen und somit eine Rechtswidrigkeit bedeuten.
Da es kaum denkbar ist, im Voraus zukünftige Kampagnen und deren Selektionskriterien zu kennen, sollten mindestens diese fraglichen Daten in regelmässigen Zyklen geprüft und bei Nichtbedarf vernichtet werden.
Für das Anmeldeformular hat dies ausserdem zur Konsequenz, dass nur noch für den Prozess notwendige Informationen als Pflichtfelder deklariert werden dürfen (bspw. die E-Mail-Adresse).
DSGVO Fazit
DSGVO ist bereits heute für 99% der Schweizer Unternehmen relevant. Spätestens jedoch mit der für 2020 vorgesehenen Überarbeitung des Datenschutzgesetzes. Auch wenn sich noch zeigen muss, wie viel von DSGVO zum Papiertieger wird, so stellt DSGVO eine riesige Chance dar, der heutigen Intransparenz (endlich) die Stirn zu bieten. Firmen sollten sich über die Sensibilität der gesammelten Daten bewusst werden und diese besser gegen Missbrauch und Diebstahl schützen.
In vielen Fällen ist noch unklar, wie die Verordnung interpretiert werden wird. Somit ist es zum jetzigen Zeitpunkt kaum möglich, mit Sicherheit allen Bestimmungen vollumfänglich Rechnung tragen zu können. Voreiliger Aktionismus sollte deshalb nicht den Alltag bevorstehender Monate bestimmen. Beschäftigt man sich mit den relevanten Fragestellungen, sorgt man sich um den Umgang mit den Empfängerdaten und kommt man im Zweifel seinen Pflichten bestmöglich nach, ist man bestimmt auf der guten Seite.
Datenschutz ist in unserer zunehmend digitalen Gesellschaft immer wichtiger und sollte entsprechend in den Prozessen der Unternehmen verankert werden («privacy by design»). Dem Kunden sollte es darüber hinaus mittels sinnvoller Voreinstellungen einfach gemacht werden den Grad seiner Exposition selbst bestimmen zu können («privacy by default»).
Tut man sich die ganzen Überlegungen an, hat vieles am Ende mit gesundem Menschenverstand zu tun. Und das hat meines Wissens bisher noch keinem geschadet.