Datenschutz und Mautic: Wie Sie den deutschen Datenschutz beachten können
Update – Wir haben einen neueren Artikel zum Thema Mautic mit Blick auf die DSGVO geschrieben: Mautic DSGVO Checkliste.
Was ist das Erstaunlichste am deutschen Datenschutz?
Vielleicht, dass Sie keinerlei personenbezogenen Daten verarbeiten dürfen?
Sie haben richtig gelesen, in Deutschland gilt ein generelles Verbot der Datenverarbeitung – allerdings mit Erlaubnisvorbehalt. Es gibt nur zwei legale Wege: Entweder erlaubt ein Gesetz es Ihnen ausnahmsweise doch oder der Betroffene willigt ein. Um diesen Fall dreht sich dieser Artikel.
Sie erfahren die wesentlichen Grundzüge der gesetzlichen Regelungen, die Sie beim Marketing im Internet beachten müssen. Mit der Checkliste können Sie selber prüfen, welche Punkte Sie bereits umgesetzt haben und wo noch Handlungsbedarf besteht.
Welche Daten sind geschützt?
Nicht alle Arten von Daten sind vom Gesetz her geschützt. Wir können praktisch vier Arten unterscheiden.
- Klasse 0: Anonyme Daten und Firmendaten
- Klasse 1: Pseudonyme Daten
- Klasse 2: Personenbezogene Daten
- Klasse 3: Besondere personenbezogene Daten
Immer, wenn wir in diesem Artikel von Daten sprechen, meinen wir ausschließlich die personenbezogenen Daten (Klasse 2 und 3). Zwar gibt es auch für die Daten der Klasse 1 Regelungen zu beachten, in der Praxis interessieren diese uns aber weniger.
Und anonymisierte Daten und reine Firmendaten sind im Prinzip gar nicht besonders geschützt. Es gibt kein Datenschutzrecht für Firmen!
Ihre Datenschutzerklärung
Damit der Nutzer sich ein Bild der verarbeiteten Daten machen kann, müssen Sie eine Datenschutzerklärung vorhalten. Daraus sollten alle verwendeten Plugins, Dienste von Drittanbietern (zum Beispiel Facebook) und eben auch die Verwendung von Mautic hervorgehen.
Die Werbe-Einwilligung
Direkt bei einem Formular muss eine Erklärung zur Einwilligung in die Datenverarbeitung zu finden sein. Diese muss klar erklären, in welche Datenverarbeitung der Besucher einwilligt und muss auf Einsicht-, Widerspruchs- und Berichtigungsmöglichkeit hinweisen.
Die wichtigsten Punkte:
- Umfang der Einwilligung
- Zweck der Datenverarbeitung
- Hinweis auf Widerspruchsmöglichkeit
- Angabe zur verantwortlichen Stelle
- Dauerhafte Einsicht in die Einwilligung ermöglichen
Double Opt-In für Emails
Der Sinn des Double-Opt-In liegt darin, vor Missbrauch durch Dritte zu schützen, indem nur mit der Einwilligung des Empfängers werbliche E-Mails versendet werden. Damit Sie Ihrer Verantwortung gerecht werden, sind bestimmte Prüfpunkte zu erfüllen.
Wichtig ist hier zu unterscheiden zwischen einem Werbe Opt-In und den allgemeinen Hinweis auf die Datenverarbeitung (zum Beispiel beim Absenden eines Formulars). Hier geht es quasi um die Erweiterung Ihrer Befugnisse – willigt der Empfänger ein, dürfen Sie zukünftig auch Werbung verschicken.
Die Anforderungen an das Double-Opt-In:
- Eine Datenschutzerklärung muss vorhanden sein.
- Nach der Speicherung der Anmeldung muss eine E-Mail mit dem Bestätigungslink versendet werden.
- Diese E-Mail darf keine werblichen Inhalte haben (nicht einmal ein Impressum).
- Der Link muss deutlich den Zweck der Bestätigung hervorheben.
- Reagiert der Empfänger nicht auf die erste Opt-In Email, dürfen keine weiteren gesendet werden!
- Jeder Schritt muss protokolliert werden! (Also auch bereits der erste Schritt mit dem Versand der Bestätigungs-Email.)
- Bestätigt der Empfänger seine Einwilligung, muss auch dieses protokolliert werden – mit IP-Adresse, Zeitstempel und Ereignis.
Sie als verantwortliche Stelle
Wer personenbezogene Daten verarbeitet, wird im Bundesdatenschutzgesetz (BDSG) “verantwortliche Stelle” genannt. Das macht schon deutlich, dass der Gesetzgeber Sie in der Verantwortung sieht
Wer ist datenschutzrechtlich die verantwortliche Stelle?
Nach der Rechtslage bleiben Sie als Verarbeiter von personenbezogenen Daten komplett verantwortlich. Deswegen werden Sie bzw. Ihr Unternehmen im Zusammenhang mit Datenschutzfragen als “verantwortliche Stelle” bezeichnet.
Dadurch sind Sie für die Betroffenen – also die Personen, deren Daten Sie speichern und verarbeiten – der offizielle Ansprechpartner. Aber auch für Gerichte und die Aufsichtsbehörden der Länder.
Ihr Verhältnis zu uns als Dienstleister
Wenn Sie Daten auf unseren Servern speichern, sind wir als Dienstleister in gewisser Weise an der Verarbeitung beteiligt. Wir erwerben zwar keinerlei eigene Rechte an den gespeicherten Daten und würden diese niemals für eigene Zwecke nutzen. Aber trotzdem bleiben Sie rechtlich für die Datenverarbeitung verantwortlich. Deswegen unterstützen wir Sie bestmöglich durch eine datenschutzfreundliche Gestaltung unserer Angebote und Leistungen.
Verpflichtung auf das Datengeheimnis
Das Mindeste was Sie im ersten Schritt tun sollten, ist, alle Dienstleister und deren Mitarbeiter auf das Datengeheimnis zu verpflichten. Damit sichern wir Ihnen verbindlich zu, die Daten Ihrer Kunden als Geheimnis zu behandeln und besondere Sorgfalt walten zu lassen.
Ohne diese Verpflichtung dürfen Sie uns gar keine personenbezogenen Daten übermitteln!
Auftragsdatenverarbeitung
Den größeren Rahmen bildet dann die Auftragsdatenverarbeitung. Dabei handelt es sich um einen Vertrag, in dem wir mit Ihnen vereinbaren, bestimmte Schutzmaßnahmen zu treffen und Ihnen auch besondere Prüfrechte einräumen, die Ihnen eine Überprüfung ermöglichen.
Dieser Vertrag kommt übrigens immer dann zum Einsatz, wenn Sie unsere gehosteten Mautic-Instanzen nutzen.
Rechtlich bleiben die Daten dann in Ihrem Betrieb und es findet keine Übermittlung an Dritte statt. Für diese bräuchten Sie nämlich in der Regel eine Einwilligung der Betroffenen – das ist nicht nur unpraktikabel, sondern würde sicherlich auch eine Menge Irritationen hervorrufen.
Mautic-spezifische Datenschutzprobleme
Vorteile von Mautic bei richtigem Einsatz
Wenn Sie sich nach Möglichkeiten umsehen, Marketingautomatisierung in Ihrem Unternehmen zu nutzen, werden Sie eine Reihe von amerikanischen Anbietern finden, die in der Regel in der Cloud betrieben werden. Dabei bleibt der Speicherort der Daten ebenfalls oft nebulös.
Auch wenn diese Angebote auf den ersten Blick verlockend erscheinen, versteckt sich darin oft ein vollkommen unkalkulierbares Risiko für Sie und Ihre Kunden. Sie haben keine echte Möglichkeit, den Zugriff auf die Daten einzuschränken oder auch nur zu prüfen. Falls Daten verloren gehen oder von Hackern veröffentlicht werden, haben Sie nichts in der Hand, um Ihren sorgfältigen Umgang mit Ihren Kundendaten zu dokumentieren.
Die Alternative zu diesem Szenario ist ein professionell betriebenes Managed Hosting bei einem deutschen Provider. Sie kennen dann nicht nur den Standort Ihrer Daten – Sie können sich auch innerhalb des Ihnen vertrauten Rechtsrahmens davon überzeugen, dass Sie alles in Ihrer Macht stehende getan haben, um Datenverlust, Missbrauch und anderen Gefahren vorzubeugen.