Datenschutz und Mautic - was es zu tun gibt

Datenschutz und Mautic: Wie Sie den Deutschen Datenschutz beachten können.

Dominik Belca

5min Lesedauer

Datenschutz und Mautic

Was ist das erstaunlichste am deutschen Datenschutz?

Vielleicht, dass Sie keinerlei personenbezogenen Daten verarbeiten dürfen?

Sie haben richtig gelesen, in Deutschland gilt ein generelles Verbot der Datenverarbeitung - allerdings mit Erlaubnisvorbehalt. Es gibt nur zwei legale Wege: Entweder erlaubt ein Gesetz es Ihnen ausnahmsweise doch oder der Betroffene willigt ein. Um diesen Fall dreht sich dieser Artikel.

Sie erfahren die wesentlichen Grundzüge der gesetzlichen Regelungen, die Sie beim Marketing im Internet beachten müssen. Mit der Checkliste können Sie selber prüfen, welche Punkte Sie bereits umgesetzt haben und wo noch Handlungsbedarf besteht.

Welche Daten sind geschützt?

Nicht alle Arten von Daten sind vom Gesetz her geschützt. Wir können praktisch vier Arten unterscheiden.

  • Klasse 0: Anonyme Daten und Firmendaten
  • Klasse 1: Pseudonyme Daten
  • Klasse 2: Personenbezogene Daten
  • Klasse 3: Besondere personenbezogene Daten

Immer wenn wir in diesem Artikel von Daten sprechen, meinen wir ausschließlich die personenbezogenen Daten (Klasse 2 und 3). Zwar gibt es auch für die Daten der Klasse 1 Regelungen zu beachten, in der Praxis interessieren diese uns aber weniger.

Und anonymisierte Daten und reine Firmendaten sind im Prinzip gar nicht besonders geschützt. Es gibt kein Datenschutzrecht für Firmen!

Ihre Datenschutzerklärung

Damit der Nutzer sich ein Bild der verarbeiteten Daten machen kann, müssen Sie eine Datenschutzerklärung vorhalten. Daraus sollten alle verwendeten Plugins, Dienste von Drittanbietern (zum Beispiel Facebook) und eben auch die Verwendung von Mautic hervorgehen.

Die Werbe-Einwilligung

Direkt bei dem Formular muss eine Erklärung zur Einwilligung in die Datenverarbeitung zu finden sein. Diese muss klar erklären, in welche Datenverarbeitung der Besucher eingewilligt und muss auf Einsicht-, Widerspruchs- und Berichtigungsmöglichkeit hinweisen.

Die wichtigsten Punkte:

  • Umfang der Einwilligung
  • Zweck der Datenverarbeitung
  • Hinweis auf Widerspruchsmöglichkeit
  • Angabe zur verantwortlichen Stelle
  • Dauerhafte Einsicht in die Einwilligung ermöglichen

Double-Opt-In für E-Mails

Der Sinn des Double-Opt-Ins liegt darin, vor Missbrauch durch Dritte zu schützen, indem nur mit der Einwilligung des Empfängers werbliche E-Mails versendet werden. Damit Sie Ihrer Verantwortung gerecht werden, sind bestimmte Prüfpunkte zu erfüllen.

Wichtig ist hier zu unterscheiden in einen Werbe-Opt-In und den allgemeinen Hinweis auf die Datenverarbeitung (zum Beispiel beim Absenden eines Formulars). Hier geht es quasi um die Erweiterung Ihrer Befugnisse - willigt der Empfänger ein, dürfen Sie zukünftig auch Werbung verschicken.

Die Anforderungen an das Double-Opt-In:

  • Eine Datenschutzerklärung muss vorhanden sein
  • Nach der Speicherung der Anmeldung muss eine E-Mail mit dem Bestätigungslink versendet werden.
  • Diese E-Mail darf keine werblichen Inhalten haben (nicht einmal ein Impressum!)
  • Der Link muss deutlich den Zweck der Bestätigung hervorheben
  • Reagiert der Empfänger nicht auf die erste E-Mail, dürfen keine weiteren gesendet werden!
  • Jeder Schritt muss protokolliert werden! Also auch bereits der erste Schritt mit dem Versand der Bestätigungs-E-Mail.
  • Bestätigt der Empfänger seine Einwilligung, muss auch dieses protokolliert werden, mit IP-Adresse, Zeitstempel und Ereignis.

Sie als verantwortliche Stelle

Wer personenbezogene Daten verarbeitet, wird im Bundesdatenschutzgesetz (BDSG) “verantwortliche Stelle” genannt. Das macht schon deutlich, dass der Gesetzgeber Sie in der Verantwortung sieht.

Wer ist die verantwortliche Stelle?

Nach der Rechtslage bleiben Sie als Verarbeiter von personenbezogenen Daten komplett verantwortlich. Deswegen werden Sie bzw. Ihr Unternehmen im Zusammenhang mit Datenschutzfragen als “verantwortliche Stelle” bezeichnet.

Dadurch sind Sie für die Betroffenen, also die Personen deren Daten Sie speichern und verarbeiten, der offizielle Ansprechpartner. Aber auch für Gerichte und die Aufsichtsbehörden der Länder.

Ihr Verhältnis zu uns als Dienstleister

Wenn Sie Daten auf unseren Servern speichern, sind wir in gewisser Weise an der Verarbeitung beteiligt. Wir erwerben zwar keinerlei eigene Rechte an den gespeicherten Daten und würden diese niemals für eigene Zwecke nutzen. Aber trotzdem bleiben Sie rechtlich für die Datenverarbeitung verantwortlich. Deswegen unterstützen wir Sie bestmöglich durch eine datenschutzfreundliche Gestaltung unserer Angebote und Leistungen.

Verpflichtung auf das Datengeheimnis

Das Mindeste was Sie im ersten Schritt tun sollten, ist, alle Dienstleister und dessen Mitarbeiter auf das Datengeheimnis zu verpflichten. Damit sichern wir Ihnen verbindlich zu, die Daten Ihrer Kunden als Geheimnis zu behandeln und besondere Sorgfalt walten zu lassen.

Ohne diese Verpflichtung dürfen Sie uns gar keine personenbezogenen Daten übermitteln!

Auftragsdatenverarbeitung

Den größeren Rahmen bildet dann die Auftragsdatenverarbeitung. Dabei handelt es sich um einen Vertrag, in dem wir mit Ihnen vereinbaren bestimmte Schutzmaßnahmen zu treffen und Ihnen auch besondere Prüfrechte einräumen, die Ihnen eine Überprüfung ermöglichen.

Dieser Vertrag kommt übrigens immer dann zum Einsatz, wenn Sie unsere gehosteten Mautic-Instanzen nutzen.

Rechtlich bleiben die Daten dann in Ihrem Betrieb und es findet keine Übermittlung an Dritte statt. Für diese bräuchten Sie nämlich in der Regel eine Einwilligung der Betroffenen - das ist nicht nur unpraktikabel sondern würde sicherlich auch eine Menge Irritationen hervorrufen.

Mautic spezifische Datenschutzprobleme

Da Mautic auf amerikanische Verhältnisse ausgelegt ist, sind einige Anpassungen für den deutschen Markt notwendig.

Da wären zum einen eine Widerspruchsmöglichkeit bezüglich des Trackings an sich, die fehlende Erlaubnis zur Verarbeitung der IP-Adresse, das Fehlen eines vollwertigen Double-Opt-In-Verfahrens, die Benutzung von Fingerprinting beim Tracking sowie das ignorieren des Do-Not-Track-Headers.

Diese Probleme lassen sich auf technischer Ebene durch ein von uns entwickeltes Bundle lösen. Sobald das Bundle installiert ist, ändert es die Verhaltensweise auf ein datenschutzfreundliches Verhalten.

Vorteile von Mautic bei richtigem Einsatz

Wenn Sie sich nach Möglichkeiten umsehen Marketing Automatisierung in Ihrem Unternehmen zu nutzen, werden Sie eine Reihe von amerikanischen Anbietern finden, die in der Regel in der Cloud betrieben werden. Dabei bleibt der Speicherort der Daten ebenfalls oft nebulös.

Auch wenn diese Angebote auf den ersten Blick verlockend erscheinen, versteckt sich darin oft ein vollkommen unkalkulierbares Risiko für Sie und Ihre Kunden. Sie haben keine echte Möglichkeit den Zugriff auf die Daten einzuschränken oder auch nur zu prüfen. Falls Daten verloren gehen oder von Hackern veröffentlicht werden, haben Sie nichts in der Hand um Ihren sorgfältigen Umgang mit Ihren Kundendaten zu dokumentieren.

Die Alternative zu diesem Szenario ist ein professionell betriebenes Managed-Hosting bei einem deutschen Provider. Sie kennen nicht nur den Standort Ihrer Daten, Sie können sich auch innerhalb des Ihnen vertrauten Rechtsrahmens davon überzeugen, dass Sie alles in Ihrer Macht stehende getan haben, um Datenverlust, Missbrauch und anderen Gefahren vorzubeugen.

comments powered by Disqus