Datenschutz und Datensicherheit stellen Organisationen, die personenbezogene Daten verarbeiten oder nutzen, zunehmend vor neue Herausforderungen. Davon betroffen sind auch Unternehmen, die Kunden- und Interessentenkontakte erheben und verwerten.
Die Aufhebung des Safe-Harbor-Abkommens, womit der Europäische Gerichtshof (EuGH) die Datenspeicherung durch US-amerikanische Cloud-Dienste für grundsätzlich unzulässig erklärt hat, sorgte bereits im vergangenen Jahr für Aufruhr. Noch gibt es hier keine eindeutig rechtskonforme Lösung. Klar ist jedoch: Beim automatisierten E-Mail-Marketing und Leadmanagement ist es für europäische Unternehmen unverzichtbar, eine Software zu benutzen, die den aktuell geltenden gesetzlichen Vorgaben hinsichtlich Datenschutz und -sicherheit entspricht. Die folgende Checkliste von SC-Networks, Hersteller der E-Mail-Marketing-Automation-Lösung Evalanche, zeigt, worauf Unternehmen bei der Auswahl eines entsprechenden Software-Anbieters achten sollten.
Checkliste für die Anbieter-Auswahl:
- Halten sowohl das Anwenderunternehmen als auch der Lösungsanbieter bestimmte Datensicherheitsgebote, wie etwa Zutritts-, Zugangs- und Zugriffskontrolle, Ein- und Weitergabekontrolle, Auftrags- und Verfügbarkeitskontrolle sowie ein Trennungsgebot, ein?
- Liegt ein schriftlicher Vertrag zur Auftragsdatenverarbeitung (ADV) vor?
- Umfasst der ADV-Vertrag alle vorgeschriebenen Elemente?
- Sind konkrete technische und organisatorische Maßnahmen vereinbart?
- Ist ein Verantwortlicher im Unternehmen benannt, der die Kontrollpflicht übernimmt und sicherstellt, dass der Anbieter die im ADV-Vertrag festgehaltenen Vorgaben umsetzt?
- Bei Anbietern von gehosteten Lösungen: Handelt es sich um einen deutschen Anbieter, der Software und Daten in Deutschland, im Europäischen Wirtschaftsraum (EWR) oder in einem als sicher geltenden Drittland hostet und verarbeitet?
- Falls nein: Liegt eine Rechtsgrundlage für die Übermittlung der relevanten personenbezogenen Daten an den Dienstleister vor?
- Falls nein: Gibt es ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der damit verbundenen Rechte.
- Bei US-amerikanischen Anbietern: Besteht mit dem Anbieter ein schriftlicher Auftragsdatenverarbeitungsvertrag, der mindestens die Anforderungen der Standardvertragsklauseln gemäß Kommissionsbeschluss 2010/87/EU für Auftragsverarbeitung vom 05.05.2010 erfüllt?
- Lässt der US-Anbieter angemessene Kontrollen zu? Gewährt der US-amerikanische Cloud-Anbieter insbesondere den Zugriff auf die Protokolldaten zu Prüfzwecken, stellt er eine auswertbare Protokollierung zur Verfügung und ermöglicht er die Konfiguration der Aufbewahrungszeit der Protokolldaten?
Kostenfreies E-Book zum Download
Die Checkliste ist ein Auszug aus dem E-Book „E-Mail-Marketing und Leadmanagement rechtskonform gestalten“, das einen Überblick bietet, welche Datensicherheits- und Datenschutz-Vorgaben beim E-Mail-Marketing und Leadmanagement zu berücksichtigen sind – von der Auswahl des Software-Anbieters über die Vorbereitung und Planung von Kampagnen bis hin zur konkreten Gestaltung von E-Mails und Formularen. Das E-Book steht unter http://www.sc-networks.com/de/download?n5=1 zum kostenfreien Download bereit.
No Comment