:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Umsetzung der DSGVO in der Praxis Die größten Datenschutz-Fehler bei Newslettern
E-Mail-Marketing gehört weiterhin zu den wichtigsten Kanälen der digitalen Kundenkommunikation. Wichtig dabei ist aber die Einhaltung der Vorgaben der Datenschutz-Grundverordnung (DSGVO), um mögliche Sanktionen zu vermeiden und Kunden nicht zu verärgern. Aufsichtsbehörden berichten von typischen Fehlern bei Newslettern, aus denen man lernen sollte.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Ganze 98 Prozent (im Vorjahr 95 Prozent) der Unternehmen setzen E-Mail-Marketing ein, um regelmäßig mit Kunden und Interessenten in Kontakt zu treten, so die Studie E-Mail-Marketing Benchmarks 2021 von DDV (Deutscher Dialogmarketing Verband e. V.) und absolit Dr. Schwarz Consulting. Damit wird deutlich, dass die E-Mail eines der wichtigsten Instrumente für Marketingzwecke von Unternehmen ist und weiter an Bedeutung gewinnt.
Hebel zur weiteren Optimierung gibt es trotzdem noch. So setzen mit 55 Prozent (im Vorjahr 49 Prozent) erst etwas mehr als die Hälfte der Unternehmen einen zertifizierten Mailserver ein, nur sechs Prozent schützen ihre Versand-Domain umfassend gegen Phishing und Betrugsversuche. Rund neun Prozent handeln bei der Übertragung der Kundendaten noch nicht DSGVO konform, wie die Umfrage ergab.
DDV-Präsident Martin Nitsche kommentierte: „Die E-Mail ist und bleibt zweifelsohne für Marketer DAS Instrument zur Kundenkommunikation. Deutlich Luft nach oben ist aber insbesondere noch bei den Themen Automatisierung und Personalisierung. Dass rund jedes zehnte Unternehmen noch nicht die DSGVO vollständig beachtet, lässt mich nicht zuletzt wegen des drohenden Imageschadens und möglicher Bußgelder sprachlos."
Vergleicht man die Ergebnisse des E-Mail-Marketing Benchmarks 2021 mit dem aus dem Jahr 2020 hinsichtlich DSGVO, findet man: Laut Studie 2020 waren es erst 80 Prozent aller Unternehmen, die Kundendaten sicher gemäß der DSGVO übertragen haben.
Das klingt zwar nach Fortschritt, ist aber aus Datenschutzsicht nicht tragbar.
Doch wie steht es um den Datenschutz?
Aufsichtsbehörden für den Datenschutz wie der Europäische Datenschutzbeauftragte prüfen auch in diesen Zeiten die Einhaltung der Datenschutz-Grundverordnung. Auch wer nicht von seiner zuständigen Aufsichtsbehörde auf das Thema E-Mail-Marketing und Newsletter angesprochen wurde, tut gut daran, sich mit den typischen Fehlern bei Erstellung, Versand und Auswertung von Newslettern zu befassen.
Unzulänglichkeiten im Datenschutz können nicht nur zu Sanktionen führen, sie verärgern oftmals die Interessenten und Kunden, zum Beispiel wenn ein Newsletter ankommt, den man gar nicht bestellt hatte oder der abbestellt wurde. Da wird aus E-Mail-Marketing schnell E-Mail-Spam. Das muss und darf nicht sein.
Der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski sagte: „Da aufgrund von COVID-19 keine persönlichen Veranstaltungen und andere Öffentlichkeitsarbeit stattfinden, haben EU-Einrichtungen ihre Online-Präsenz erhöht. Der Versand von Newslettern ist ein wirksames Mittel, um Einzelpersonen und Interessengruppen zu erreichen. EU-Einrichtungen sollten mit gutem Beispiel vorangehen, indem sie Einzelpersonen transparent darüber informieren, wie mit ihren personenbezogenen Daten umgegangen wird.“
Der Europäische Datenschutzbeauftragte hat festgestellt, dass die meisten EU-Einrichtungen die Informations- und Transparenzanforderungen des geltenden Datenschutzrechts erfüllen.
Noch bevor sie nach der Prüfung die Empfehlungen des Europäischen Datenschutzbeauftragten erhielten, ergriff die Mehrheit der EU-Einrichtungen proaktiv einstweilige Maßnahmen. Auf Grundlage des Ankündigungsschreibens zur Prüfung haben die EU-Einrichtungen beispielsweise ihre Datenschutzerklärungen überarbeitet oder die Zugänglichkeit von Informationen verbessert. Diese Maßnahmen sollen sicherstellen, dass Einzelpersonen auf den EU-Websites einfachen Zugang zu klaren Informationen darüber haben, wie ihre personenbezogenen Daten beim Abonnieren von Newslettern verarbeitet werden.
Den Berichten des Europäischen Datenschutzbeauftragten zum Beispiel kann man vieles entnehmen, was nicht nur EU-Behörden bei Newslettern aus Datenschutzsicht falsch machen, sondern zweifellos auch viele privatwirtschaftliche Unternehmen.
Wichtige Punkte im Datenschutz bei Newsletter-Versand
Eine besondere Rolle bei der Prüfung, wie es um den Datenschutz steht, wenn sich Interessenten für Newsletter anmelden, wenn sie Newsletter empfangen und wenn sie diese abbestellen wollen, spielen Artikel 15 DSGVO (Auskunftsrecht der betroffenen Person), Artikel 13 DSGVO (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person), Artikel 14 DSGVO (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden) und natürlich Artikel 7 DSGVO (Bedingungen für die Einwilligung).
Folgende Punkte wurden von der Aufsicht festgestellt und sollten auch von Unternehmen bei sich selbst überprüft werden:
Datenschutzerklärung: Teilweise fehlte die Datenschutzerklärung, oder sie war zu allgemein gehalten und nicht auf die konkrete Datenverarbeitung angepasst, schließlich wurde teils auf altes Datenschutzrecht verwiesen.
Datenschutzerklärung bei Nutzung von Newsletter-Tools: Die Aufsichtsbehörde hat auch von Fällen berichtet, bei denen einfach auf die Datenschutzerklärung des Tool-Anbieters oder Dienstleisters verwiesen wurde, eine eigene Datenschutzerklärung fehlte.
Auffindbarkeit der Datenschutzerklärung: Einige Datenschutzerklärungen waren nicht ohne weiteres zu finden.
Verantwortliche Stelle und Datenschutzbeauftragte: Mitunter fehlte die Angabe des Verantwortlichen, den die Betroffenen aber vielleicht kontaktieren wollen. Auch die Kontaktdaten des oder der Datenschutzbeauftragten waren nicht immer zu finden.
Angabe der Zwecke der Datenverarbeitung: Auch der Zweck der Datenverarbeitung wurde teils nicht genannt. Man kann davon ausgehen, dass die Frage nach dem genauen Zweck einer der Gründe ist, warum Datenschutzerklärungen gar nicht veröffentlicht werden.
Fehlende Rechtsgrundlage: Wenn man sich auf die Einwilligung berufen will, dann muss diese auch datenschutzgerecht einholt werden.
Angaben zur Weitergabe an Dritte: Es muss nicht nur genannt sein, an wen die Nutzerdaten womöglich weitergegeben werden, es muss auch eine Rechtsgrundlage geben. Dabei muss auch an die Datenübermittlung in Drittstaaten wie die USA gedacht werden, mit all den Folgen für die Klärung des Datenschutzniveaus und der ergänzenden Schutzmaßnahmen.
Angaben zur Datenlöschung: Auch im Bereich der Angaben zur Löschung der Daten gab es Probleme. Manche wollten die Daten gerne dauerhaft aufbewahren.
Angaben zu den Betroffenenrechten: Auch diese Angaben dürfen nicht fehlen. Allerdings passiert dies, wenn man fälschlicherweise einfach auf die Privacy Policy des US-Dienstleisters verweist.
Angaben zur Möglichkeit des Widerrufs: Einwilligungen müssen sich widerrufen lassen, auch darauf muss man hinweisen. Es muss möglich sein, den Newsletter so einfach abzustellen, wie man ihn abonnieren kann.
Wirksamkeit der Abbestellung: In einigen Fällen konnte man zwar den Newsletter abbestellen, aber der Versand könnte weiterhin erfolgen, ohne Einwilligung, da es zu einer Fehlermeldung bei der Abmeldung kam.
Hinweis zur automatisierten Entscheidungsfindung im Einzelfall: Hier muss daran gedacht werden, wie die Nutzerdaten denn ausgewertet werden sollen und was auf dieser Grundlage passieren soll. Mögliches Profiling muss hier angesprochen werden.
Fazit
Es zeigt sich: Noch ist der Datenschutz im Bereich E-Mail-Marketing nicht überall zufriedenstellend, es gibt eine Reihe von Punkten mit Handlungsbedarf. Ob dies wirklich nur bei weniger als zehn Prozent der Unternehmen so ist, wie die aktuelle Umfrage ergab, sei dahingestellt.
(ID:47629903)
:quality(80)/p7i.vogel.de/wcms/f7/cd/f7cd3768129b81550fc8cd5dd090134f/0105253425.jpeg "Newsletter gehören meist zum wichtigsten Kanal in der Kundenkommunikation; dennoch müssen Unternehmen beim Versand die Datenschutzvorgaben der DSGVO beachten. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/02/9a021ec4ed4ab7fa4bbe16b087642113/0108299188.jpeg "Es reicht nicht, einmal eine Datenschutzerklärung zu erstellen. Man muss sie dauerhaft aktuell halten. (Bild: peterschreiber.media - stock.adobe.com)")