Inxmail Blog

20 Jahre Inxmail

Safe Harbor und E-Mail-Marketing

  • 15.10.2015 von Michael Waßmer
  • Rubrik: Fachwissen

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) zum Safe-Harbor-Abkommen fragen sich viele E-Mail-Marketer, ob und wie sie reagieren sollten: Die Entscheidung des EuGH betrifft alle Unternehmen, die personenbezogene Daten in den USA verarbeiten lassen – beispielsweise von dort ansässigen E-Mail-Marketingdienstleistern. Unternehmen, die Lösungen europäischer und insbesondere deutscher Anbieter wie Inxmail nutzen, können hingegen beruhigt sein. Die wichtigsten Informationen rund um Safe Harbor und E-Mail-Marketing lesen Sie in diesem Blogbeitrag.

[nbsp]

Update vom 26.10.2015:

Die Artikel-29-Datenschutzgruppe hat einen Stellungnahme zum Umgang mit den Folgen des Safe-Harbour-Urteils abgebeben: Link

Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder: Link

Stellungname des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB): Link

Was ist Safe Harbor?

Safe Harbor ist ein Abkommen zwischen der EU-Kommission und den USA aus dem Jahr 2000, das es Unternehmen ermöglichen sollte, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der EU in die USA zu übermitteln. US-Unternehmen konnten durch eine Selbstverpflichtung zur Einhaltung europäischer Datenschutzstandards ein Safe-Harbor-Zertifikat erlangen. Am 6. Oktober hat der EuGH das Safe-Harbor-Abkommen für ungültig erklärt. Eine wesentliche Rolle spielte dabei die NSA-Affäre: Da das Abkommen nur für US-Unternehmen, nicht aber für US-Behörden gilt, könne mit Safe Harbor kein Datenschutz auf europäischem Niveau gewährleistet werden.

Bedeutung für E-Mail-Marketing

Seitdem der EuGH entschieden hat, dass auf Basis des Safe-Harbor-Abkommens keine personenbezogenen Daten in die USA übertragen werden dürfen, sind viele Marketer verunsichert:

Wer bisher auf in den USA gehostete Marketingsoftwarelösungen gesetzt hat, läuft Gefahr, personenbezogene Daten ohne gültige Rechtsgrundlage zu übermitteln und sich dadurch den Groll der Datenschutzaufsicht (und derjenigen, deren Daten betroffen sind) auszusetzen. In den meisten Fällen wird der Datentransfer jedoch schon seit jeher rechtswidrig gewesen sein. Was also tun?

Die Entscheidung bedeutet zunächst lediglich, dass für die Übermittlung der Daten in die USA eine andere Rechtsgrundlage herangezogen werden muss als eine möglicherweise vorhandene Safe-Harbor-Zertifizierung der amerikanischen Softwareanbieter. Aktuell gibt es für Werbetreibende drei Möglichkeiten, die Datenverarbeitung in den USA zu legalisieren:

  • Die Vereinbarung der sogenannten EU-Standardvertragsklauseln mit dem Anbieter.
  • Die Genehmigung sogenannter „Binding Corporate Rules“ durch die zuständige europäische Datenschutzbehörde.
  • Die (explizite und dokumentierte) Einwilligung der „Betroffenen“, also derjenigen, deren Daten in die USA übermittelt werden sollen.

Diese Möglichkeiten bergen allerdings nicht zu vernachlässigende Nachteile bzw. Risiken:

Zwar hat der EuGH in seinem Safe-Harbor-Urteil nicht über die Wirksamkeit der EU-Standardvertragsklauseln entschieden, jedoch treffen die Argumente, mit denen er die Unwirksamkeit des Safe-Harbor-Abkommens begründet hat (NSA-Spionage, kein wirksamer Rechtschutz etc.) im Prinzip genauso auf eine Datenübertragung unter dem Regime der Standardvertragsklauseln zu. Möglicherweise werden die Standardvertragsklauseln deshalb in absehbarer Zeit das gleiche Schicksal ereilen wie das Safe-Harbor-Abkommen.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat bereits eine Überprüfung angekündigt. Gleiches gilt für individuell vereinbarte „Binding Corporate Rules“ mit US-Unternehmen. Die Einwilligung der Betroffenen in eine Datenübermittlung in die USA für Werbemaßnahmen (nunmehr) nachträglich und rechtswirksam einzuholen, ist theoretisch zwar möglich. In der Praxis dürfte dies allerdings nur schwer bis gar nicht umzusetzen sein.

Sichere Alternativen

Ein Ende der Rechtsunsicherheit ist somit kurz bis mittelfristig nicht zu erwarten. Verantwortungsbewusste Werbetreibende werden es ohnehin schon vermeiden, ihre Daten der Gefahr eines Zugriffs durch US-Behörden auszusetzen.

Der Einsatz von Marketinglösungen europäischer Anbieter ist daher die beste Alternative. Mit europäischen Cloud-Anbietern können Auftragsdatenverarbeitungsvereinbarungen (ADV-Vereinbarungen) gemäß § 11 BDSG abgeschlossen werden, sodass personenbezogene Daten beim Einsatz der Software nicht als im Rechtssinne an Dritte übermittelt gelten. Europäische und insbesondere deutsche Datenschutzstandards bieten Sicherheit für Werbetreibende und Umworbene. Nutzen Unternehmen eine E-Mail-Marketinglösung von Anbietern wie Inxmail, die ihre Lösung in Deutschland hosten, liegen sie damit auf der sicheren Seite.

Über den Autor

Michael Waßmer

Michael Waßmer ist fachlicher Leiter Online- und Performance-Marketing bei Inxmail. Als Experte für E-Mail-Marketing und "irgendwas mit Computern" ist der ehemalige Trainer und Consultant zudem Autor zahlreicher Fachbeiträge und Blogartikel.

Zur Übersicht

Wissen

Ob Studien, Whitepaper, Webinare oder Case Studies – hier haben wir noch mehr E-Mail-Marketing-Wissen für Sie zusammengestellt:

Produkte & Services

Sie interessieren sich für unsere leistungsstarken Produkte oder unsere Services? Hier erfahren Sie mehr:

Inxmail Newsletter

Bleiben Sie mit unserem Newsletter auf dem Laufenden: Melden Sie sich gleich an und bekommen Sie Neuigkeiten rund ums E-Mail-Marketing direkt in Ihr Postfach.

Jetzt anmelden