Blog – Open-Source-Lösungen für Print-Mailings, Teil 2

Datenschutz durch Datenhoheit

Dass jegliche Daten und insbesondere Kundendaten vor unbefugtem Zugriff geschützt werden müssen, ist nicht neu. Im klassischen Modell, in dem man eine Anwendung selbst betreibt, hat man das unter eigener Kontrolle: Denn alle Daten bleiben "im eigenen Hause" - was natürlich auch Server in externen Rechenzentren beinhalten kann. Die Struktur passt also - jetzt kommt es auf die Qualifikation und Erfahrung des IT-Teams an, gerade wenn dieses viele verschiedene System zu betreiben hat. Damit einher gehen die Themen Kosteneffizienz und Zeitengpässe.

 

Deswegen werden Hosting und Betrieb heute oft an Spezialanbieter übertragen. Diese agieren entweder als externe Dienstleister für eigene Systeme oder auf höherer Ebene als Software-as-a-Service (SaaS)-Anbieter. Beides sind legitime und effiziente Modelle, bei denen saubere Technik und ein passendes Schutzniveau erwartet werden darf. In beiden Fällen handelt es sich in aller Regel um eine Auftragsverarbeitung im Sinne der DSGVO. Die oft vorhandene Strategie "wir möchten unsere Kundendaten nicht aus der Hand geben" hat also auch mit Vertrauen zu tun.

 

Es kommt aber noch der rechtliche Aspekt hinzu: Die Auftragsverarbeitung von Personendaten durch Dritte ist an immer strenger werdende Regeln geknüpft (konkret durch die fortschreitende Rechtsprechung zur DSGVO, Stichwort "Schrems2 - Urteil"). Seine Kundendaten an US-amerikanische SaaS-Dienstleister weiterzugeben ist zwar noch immer Praxis – gerade dort, wo Kostendruck vorherrscht. Aber trotz der Einführung sogenannter Standardvertragsklauseln und manchmal sogar der Verlagerung von Serverstandorten in die EU lautet die Einschätzung häufig: "Rechtlich bestenfalls wacklig."

 

Tracking und Privatsphäre versöhnen

Damit ist das Thema Tracking eng verbunden, denn schließlich geht es bei den schützenswerten Personendaten auch um Verhaltensmuster. Modernes Marketing braucht immer eine Möglichkeit, dieses Verhalten zu erheben. Sei es nur, um Fragen zu beantworten wie: "Sollen wir diesen Menschen auf unser Oster-Angebot hinweisen, oder kennt er/sie es längst und wäre nur genervt?"

 

Gesellschaftlich unerwünscht sind dabei primär die "gläsernen User:innen", sprich die Erhebung, Verknüpfung, Auswertung großer Datenmengen mit langfristigen User-Profilen durch Social Media-Plattformen oder Werbenetzwerke.

 

Das lokale Tracking ohne Datenweitergabe ist hingegen per se unproblematisch. Und genau diese Unterscheidung gilt es, Nutzenden transparent zu machen – denn: Für diese Art der maßgeschneiderten Kommunikation braucht man eine Einwilligung (Consent)!

 

Print-Mailing Anbindung und andere externe Schnittstellen

Dass die Integration externer Systeme einen immensen Mehrwert für den Betreiber bietet, liegt in der Natur der Sache, der Versand von Postkarten oder Briefen im Rahmen von Online-Kampagnen ist das perfekte Beispiel dafür.

 

Nun endet allerdings die Reichweite des Datenschutzes nicht mit der Übergabe von Personendaten, sondern bleibt ganzheitlich beim verantwortlichen Unternehmen. Mit allen angebundenen Partnern muss der Datenschutz vertraglich geregelt und die Anbindung technisch sicher implementiert sein.

 

Hier hilft die Verwendung von State-of-The-Art Standards für die Authentifizierung und Übertragungssicherung, wie sie im Print-Mailing von Anfang an umgesetzt wurden. Hinzu kommt die hohe Benutzungsfreundlichkeit durch "Single Sign-On", was eine weitere Schwachstelle vermeidet.

 

All das setzt voraus, dass es eine maßgeschneiderte Schnittstelle zwischen der Marketing Automation und dem angebundenen System gibt, bzw. dass diese, wie im Falle von Mautic, entwickelt werden kann (wie im Falle von Mautic und Print-Automation durch Leuchtfeuer). Wo das nicht der Fall ist, also bei proprietären Systemen, weicht man manchmal auf sogenannte Workflow-Integratoren aus, mit denen Webanwendungen untereinander verknüpft werden können. Auch hier gelten natürlich kraft DSGVO dieselben Anforderungen an den Anbieter, denn über ihn würden all die Personendaten ja plötzlich abgewickelt. Und auch hier scheint ein Open-Source-Anbieter derzeit der einzige Weg, denn mit n8n gibt es inzwischen einen Anbieter (noch dazu einen deutschen), der auch eigenes Hosting erlaubt.

 

Wo stehen wir also?

Klar ist, dass bei Weitem nicht jede Lösung den rechtlichen oder technischen Anforderungen gerecht wird, und dass diese im Laufe der Zeit immer strenger werden. Wichtig ist also, sich damit genau zu beschäftigen und sich nicht mit Floskeln in FAQs abspeisen zu lassen: Ein Server in der EU und selbst eine europäische Tochterfirma machen einen US-Anbieter noch längst nicht zu einer zulässigen Option.

 

Klar ist aber auch, dass es Lösungen gibt, und dass Open-Source Systeme wie Mautic Marketing Automation dazu beste Voraussetzungen haben. Und natürlich, dass die Anbindung an das Print-Mailing der Deutschen Post komplett unproblematisch ist.

 

Ekkehard Gümbel 

Co-Founder der Leuchtfeuer Digital Marketing GmbH,  Hannover

Leuchtfeuer