CleverReach versus Mailchimp: Wo sind Daten wirklich sicher?

Am 16.07.2020 erklärten Richter des Europäischen Gerichtshofs (EuGH) im sogenannten Schrems-II-Urteil den „Privacy Shield“ für ungültig, das heißt, das Abkommen zwischen Europa und den USA, in dem das Thema Datenschutz geregelt war.

Seitdem herrscht große Rechtsunsicherheit, da die Rechtsgrundlage für den Transfer von personenbezogenen Daten von europäischen Bürgern in die USA für nichtig erklärt wurde.

Das heißt, aktuell befinden wir uns einer Grauzone, getreu dem Motto: Wo kein Kläger, da auch kein Richter. Allerdings gab im März 2021 das Bayerische Landesamt für Datenschutzaufsicht in einer Stellungnahme bekannt, dass die Übermittlung einer E-Mail-Adresse an MailChimp

“[…] datenschutzrechtlich unzulässig [ist], weil […] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch ‘zusätzliche Maßnahmen’ im Sinne der EuGH-Entscheidung ‘Schrems II’ (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichtendiensten auf Grundlage der US-Rechtsvorschrift FISA702 (50 U.S.C. § 1881) als möglicher sog. Electronic Communications Service Provider unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte.”

Das ist kein Gerichtsurteil, aber lässt aus unserer Sicht aufhorchen. Eine rechtliche Einschätzung zur aktuellen Lage möchten wir an dieser Stelle nicht vornehmen. Allerdings ist schon ein Interview mit einem Top-Experten als Folgeartikel geplant.

Wer schon jetzt auf der rechtlich sicheren Seite sein und nicht erst ein Gerichtsurteil abwarten möchte, sollte einen deutschen bzw. europäischen Anbieter nutzen, beispielsweise CleverReach®, das wir auch selbst im Einsatz haben.

CleverReach lässt sich auch wunderbar mit Sugar integrieren. Okay, daran sind wir nicht ganz unbeteiligt, denn wir wollten selbst eine Möglichkeit haben, dass Daten zwischen den beiden Tools automatisiert ausgetauscht werden und sie so jederzeit aktuell sind. Hier ein Überblick, was unsere CleverReach®-Integration für Sugar alles bietet (Auszug):

• Kontaktlisten in Sugar und CleverReach® synchronisieren
• Kontaktinformationen aktualisieren (z. B. Änderungen von E-Mail-Adresse, Nachname etc.)
• Felder mappen (wichtige Infos gehen damit nicht verloren)
• Unterstützung der Flatrate-Tarif-Option
• die CleverReach®-Kampagnen-Statistik auch in Sugar sehen (und einiges mehr)
• Historie und Auswertungen zu jedem einzelnen Kontakt
• Abmeldungen und Bounces synchronisieren

Damit verfügen Vertrieb, Marketing und Service über alle wichtigen Informationen, die für ein optimales Kundenbeziehungsmanagement notwendig sind, ganz zu schweigen von der Zeitersparnis durch einen effizienten und übergreifenden Prozessablauf.

Hier liest du, wie das Traditionskaufhaus Ludwig Beck unsere Integration einsetzt und von dem automatischen Datenabgleich zwischen Newsletter- und CRM-Tool profitiert.

CleverReach® als deutscher Anbieter legt großen Wert auf Datenschutz und transferiert keine personenbezogenen Daten in die USA.

Aber wie sieht es mit SugarCRM aus, ein US-Anbieter? Wie setzt er die zahlreichen DSGVO-Anforderungen um? Einerseits als Unternehmen selbst, andererseits in seiner CRM-Lösung Sugar?

Zunächst: SugarCRM hostet seine Server für europäische Kunden in der AWS-Cloud in Frankfurt/Main. Das ist zunächst einmal die Grundlage, um überhaupt glaubhaft und realistisch die DSGVO-Anforderungen zu erfüllen. Das SugarCRM Data Processing Agreement (DPA) entspricht einem Auftragsverarbeitungsvertrag und regelt die Bestimmungen. SugarCRM Inc. unterwirft sich darin komplett dem Regime der geltenden EU-Gerichtsbarkeit, was inhaltlich vor Gericht hart zählen würde.

Neben einer Cloud-Lösung bietet SugarCRM auch eine alternative On-Premise-Variante für volle Kontrolle, bei der die Software auf eigenen Servern vor Ort gehostet werden kann.

SugarCRM hat zudem gleich zum Inkrafttreten der Datenschutzgrundverordnung im Mai 2018 ein eigenes Data-Privacy-Modul in seine CRM-Lösung integriert. Wir haben bei anderen CRM-Lösungen bislang wenig Vergleichbares gesehen. Dazu gehören:

• Abbildung des Auskunftsrechts
• Dauerhafte Löschung personenbezogener Daten in Sugar
• Dokumentation der Zustimmung zur Verarbeitung (oder der Datenquelle)

Nicht unwichtig sind auch die Themen Datensparsamkeit und Datenqualität, um die Anforderungen der DSGVO zu erfüllen. In Sachen Datenqualität helfen kann hier ein Tool wie SnapAddy. Das ist ein Add-on mit denen eure Anwender extrem schnell Kontaktdaten erfassen können. Das geht super aus E-Mails, Websites bis hin zu LinkedIn und Xing. Kombiniert mit anderen Lösungen, wie die von Echobot, ließen sich noch tiefergehende Automatisierungen realisieren. Schaut euch die Lösungen einfach mal auf den Anbieterseiten an oder fragt gerne bei uns nach.

Hier ein paar Screenshots, um einen Eindruck vom Data-Privacy-Modul zu erhalten.

Dauerhafte Löschung personenbezogener Daten in SugarCRM

Du kannst über das Data-Privacy-Modul du in diesem Artikel detalliert nachlesen.

Aktuell ist unklar, wie es rechtlich weitergeht. Wer nicht bis zu einem Urteil über den Einsatz US-amerikanischer oder außereuropäischer E-Mail-Marketing- und Newsletter-Tools warten will, dem zeigen wir gerne, wie wir CleverReach® im Alltag nutzen, insbesondere wie die CleverReach® Integration für SugarCRM funktioniert.