Inxmail Blog

20 Jahre Inxmail

Auftragsdatenvereinbarung im E-Mail-Marketing (Teil 3)

  • 25.11.2013 von Frank Stiegler (Gastautor)
  • Rubrik: Fachwissen

Im dritten Teil der Serie „Rechtliche Hürden im E-Mail-Marketing – und wie man sie meistert“ erkläre ich Ihnen nicht nur, was eine Auftragsdatenverarbeitung ist, sondern auch in welchen Fällen Sie sie benötigen. Dabei zeige ich Ihnen konkret, welche Inhalte in dieser Vereinbarung stehen müssen.

Was ist Auftragsdatenverarbeitung (ADV), und wann brauche ich sie?

Dieses kompliziert aussehende Wort ist neben dem Einholen von Opt-Ins der Klassiker im E-Mail-Marketing. Der Hintergrund der ADV ist eigentlich simpel: Sie bedienen sich (nicht zwingend, aber sehr wahrscheinlich) anderer Unternehmer, um Ihr professionelles E-Mail-Marketing zu betreiben. Vielleicht beauftragen Sie eine Agentur, einen Hersteller einer Software-Lösung (ja, wie z. B. Inxmail), einen Server Hoster oder weitere Unternehmen. Outsourcing eben. Wenn Sie das tun, geben Sie sehr wahrscheinlich dem einen oder anderen auch Empfängerlisten, oder er hat schlicht bei seiner Tätigkeit Zugriff darauf.

Wenn Sie eine solche Situation haben und keinen offensichtlichen Datenschutzverstoß begehen wollen, haben Sie zwei Möglichkeiten: Entweder Sie holen von jedem Betroffenen (also von jedem Newsletter-Abonnenten!) die Einwilligung ein, dass Sie seine Daten an Dritte weitergeben dürfen (oft steht ja sogar in Einwilligungserklärungen explizit drin, dass das nicht getan wird), oder Sie schließen mit allen Ihren Externen mit Zugriff auf personenbezogene Daten eine ADV-Vereinbarung ab. Es dürfte klar sein: Die erste Variante ist nicht nur kompliziert, sondern schreckt auch Anmelder ab. Es bleibt Ihnen beim Outsourcing im E-Mail-Marketing also praktisch nur die ADV. Rechtlich verankert ist die ADV übrigens in § 11 BDSG.

Was steht in einer ADV-Vereinbarung?

Im zweiten Fall müssen Sie eine schriftliche Vereinbarung über ADV mit dem beauftragten externen Unternehmen abschließen. In dieser Vereinbarung muss grob gesagt stehen:

  • wen Sie beauftragen, und was der Auftragnehmer für Sie tut;
    auf welche Daten der Auftragnehmer anlässlich seiner Tätigkeit Zugriff hat und welche Personen(gruppen) betroffen sind;
  • dass Sie als „Herr der Daten“ (juristisch: „verantwortliche Stelle“) sich das Weisungsrecht vorbehalten und der Auftragnehmer sich Ihren Weisungen unterwirft, also selbst in Bezug auf die Daten nichts entscheiden darf. Er muss sozusagen bereit sein, nur „verlängerte Werkbank“ zu spielen;
  • wie er Ihre Daten schützt. Im Datenschutz spricht man von „Technischen und Organisatorischen Maßnahmen“, die konkreter in der Anlage zu § 9 BDSG geregelt sind;
  • gegebenenfalls welcher Subunternehmer sich der Auftragnehmer zur Erfüllung seiner Pflichten gegenüber bedient. Mit jedem dieser Subunternehmer muss der Auftragnehmer wiederum eine ADV-Vereinbarung geschlossen haben, und die sollen Sie sich vor Abschluss Ihrer ADV-Vereinbarung mit ihm auch zeigen lassen.

Seriöse Service Provider haben Vertragsvorlagen für ihre Dienste, aber es ist unterm Strich Ihre Verantwortung als verantwortliche Stelle, diese Daten sorgfältig zu schützen. Da Sie sich das Weisungsrecht vorbehalten müssen und der Auftragnehmer inhaltlich nichts entscheiden darf, kann er jedenfalls im ersten Schritt auch nicht dafür haften, wenn sich jemand wegen eines Datenschutzverstoßes gegen Sie wendet.

ADV-Vereinbarungen können je nach Konstellation und Zahl und Aufgaben der Subunternehmer recht komplex werden und sollten von einem Rechtsanwalt vorbereitet bzw. geprüft werden.

Ohne dass mich Inxmail hierzu aufgefordert hätte, kann ich in aller Offenheit sagen: Inxmail legt auch im Vergleich mit manch anderem deutschen Anbieter extrem hohen Wert auf Datenschutz und bietet eine m. E. vernünftige und umfassende Vorlage für ADV-Vereinbarungen an. Wenn Sie mehr wissen möchten, sprechen Sie Ihre Inxmail-Sales-Mitarbeiter an.

Fazit

Schließen Sie mit jedem externen Unternehmen, das Ihnen bei Ihrem E-Mail-Marketing hilft und auf Ihre Empfängerdaten zugreifen kann (egal ob der Zugriff Gegenstand des Auftrages ist), eine Vereinbarung über Auftragsdatenvereinbarung nach § 11 BDSG ab. Seriöse Anbieter bieten Ihnen auf Anfrage regelmäßig Vertragsvorlagen dafür, sodass Sie nicht „das Rad neu erfinden“ müssen.

Viel Erfolg im E-Mail-Marketing!

Weitere Beiträge der Serie:

Über den Autor

Frank Stiegler (Gastautor)

Frank Stieglers Kanzlei Stiegler Legal ist auf Recht in IT und neuen Medien inkl. Gewerblichem Rechtsschutz und Datenschutz ausgerichtet. Die Kanzlei unterstützt und vertritt hauptsächlich Unternehmen im Hard- und Software-Bereich, E-Commerce-Händler, Agenturen und Berater, vom Einzelunternehmer bis zum Großkonzern. Frank Stiegler arbeitet auf Deutsch und Englisch und gibt von Herzen gern Seminare und Workshops.

Zur Übersicht

Wissen

Ob Studien, Whitepaper, Webinare oder Case Studies – hier haben wir noch mehr E-Mail-Marketing-Wissen für Sie zusammengestellt:

Produkte & Services

Sie interessieren sich für unsere leistungsstarken Produkte oder unsere Services? Hier erfahren Sie mehr:

Inxmail Newsletter

Bleiben Sie mit unserem Newsletter auf dem Laufenden: Melden Sie sich gleich an und bekommen Sie Neuigkeiten rund ums E-Mail-Marketing direkt in Ihr Postfach.

Jetzt anmelden