Beiträge

E-Mail-Marketing-Metriken & KPIs, die Sie verfolgen sollten

Worum es geht: Sie finden hier 12 Top Newsletter-Metriken, unsere 4 Top Favoriten, die sie im Auge behalten sollten, die 2021 Trends im E-Mail Newsletter-Marketing und wie wichtig Benchmarks sind.

Übrigens, den ultimativen Newsletter-Metrics-Guide mit Best Practice-Tipps gibt weiter unten als pdf Datei zum Herunterladen.

Dies ist der DRITTE Beitrag in einer Serie von 5 Beiträgen zu den Trends im Online Marketing, Sales und Analytics sowie Cybersecurity und Datenschutz:

Sie erhalten die obigen Einträge mit den Trends und den dazugehörenden Downloads bequem via E-Mail über unseren Newsletter – einfach registrieren.

Die ersten Herausforderungen

Internet wird von vielleicht 25 % (z.B. Kosovo) bis zu mehr als 90% der Bevölkerung (z.B. Dänemark) genutzt (siehe Eurostat). Über 40 % der Empfänger überfliegen eine E-Mail in weniger als 8 Sekunden (Email Attention Spans Increasing, Litmus, 2017) und haben sich in dieser Zeit bereits ein Urteil über die Relevanz des Inhalts gebildet.

Ein B2C-Newsletter mit den Tages- oder Spezialangeboten spricht eine andere Zielgruppe an als ein B2B-Newsletter zum Thema Solarenergie.

Ihre ersten Gedanken sollten sich Ihrer Zielgruppe widmen. An wen, über was, wann am besten – wann liest meine Zielgruppe wahrscheinlich ihre E-Mails, auf welchem Gerät, welches Format ist ansprechned. Darauf gibt es genauso viele Antworten wie viel es Zielpublikums-Gruppen gibt.

Zeit der Postzustellung – Business Content

In der D-A-CH Region lesen die Abonnenten den Newsletter mit Bezug zu deren Arbeitsgebiet meist am Arbeitsplatz. Samstags und Sonntags werden kaum E-Mails gecheckt, Montags ist das Postfach zu voll (keine Zeit) und Freitags sind die Gedanken vielleicht schon woanders.
8-11 Uhr ist oft ein gutes Zeitfenster. Beispielsweise beim drkpi Newsletter funktioniert 8:45 Uhr sehr gut. Die Wahrscheinlichkeit, dass die neue E-Mail innerhalb von 60 Minuten angeschaut wird, ist hoch.
Fakt: 21% von versendeten E-Mails werden innerhalb von 60 Minuten nach deren Erhalt vom Empfänger geöffnet.

Wann ist die beste Zeit um Newsletter zu versenden: Freitag um 8 Uhr?
Wann ist die beste Zeit zum Versenden Ihres Newsletters? Es kommt drauf an…

Die besten Öffnungsraten in der D-A-CH Region werden Freitags um 8 Uhr erreicht. Doch aufgepasst, Hobbies eher Sonntags.

Wichtig ist auch zu bedenken, dass die verschiedenen Anbieter nicht die gleichen Daten liefern. Zum Beispiel sind die Öffnungsraten, welche Litmus publiziert (siehe Grafik unten) viel kleiner als diejenigen von Get Response.

Entscheidend ist, dass bei beiden die Kennzahlen darauf hinweisen, dass 8 Uhr – 9 Uhr morgens eine gute Zeit ist, den Newsletter zu versenden.

DE Öffnungsraten für eMail Newsletters 2020 - Litmus
Deutschland’s Öffnungsraten und -Zeiten für E-Mail Newsletter 2020 – Litmus

Ob Daten von Adobe, Salesforce, GetResponse, Litmus usw., sie vermitteln uns je nach Land einen Trend. In der D-A-CH Region werden Geschäftsmails über das Wochenende eher selten geöffnet, im Gegensatz z.B. zu Korea oder Kanada/USA.

Ob 8:30 Uhr oder aber 15:45 Uhr am Mittwoch oder Donnerstag für Sie gute Zeiten sind, sollten Sie ganz einfach ausprobieren.

Aufmerksamkeit

Die grösste Herausforderung im E-Mail-Marketing ist der Wettbewerb um Aufmerksamkeit im Posteingang. Betreffzeile und Vorschautext sind deshalb sehr wichtig.

Attraktivität

Locken Sie so viele Leser wie möglich zum Öffnen des Newsletters (E-Mail anklicken) und machen Sie dessen Studium attraktiv (d.h. übersichtlich, visuell ansprechend).

Mehrwert

Bieten Sie den Lesern Mehrwert. Dieser sorgt dafür, dass die Leser den Newsletter weiterhin wollen und die beinhalteten URLs anklicken.

2021 Trend 2: 10 top Newsletter Metrics
2021 Schlüssel zum Erfolg: Wählen Sie die für sie relevanten Kennzahlen und verfolgen Sie den Trend über das Jahr hinweg.

Besten Newsletter-Metriken für die Erfolgskontrolle

Wir stellen Ihnen unten die besten Metriken und KPIs für E-Mail Newsletter vor. Für die 3 bekanntesten haben wir gleich eine Tabelle mit Vergleichszahlen zusammen gestellt.

E-Mail Provider /Kennzahl ErstellerOpen-Rate
(OR)
Click-Through-
Rate
(CTR)
Click-to-Open-
Rate
(CTOR)
Mailchimp (2019)15.68 % E-Commerce
21.77 % Construction
2.01% E-Commerce
2.26 % Construction
12.81% E-Commerce
10.38% Construction
Get Response (2019)26.84% Europe4.35 % Europe16.22% Europe
SuperOffice (2020)29 % CH
16 % Benelux
18 % CH
20 % Benelux
Linchpin (2020)15.66 % E-Commerce
21.01 % Construction
2.07 % E-Commerce
2.03 % Construction

drkpi (2020)27 – 39 %3.0% – 6.9%ca. 9 – 14.27 %
Je nach Mailservice-Anbieter werden ganz unterschiedliche Kennzahlen rapportiert

Quelle: Anbieter und drkpi® Berechnungen. Die Daten werden nicht anhand der einzelnen Länder aufgeschlüsselt. Oft sind die Definition der Benchmarks nicht genau dieselben.

Open Rate / Öffnungsrate

Öffnungsrate oder Open Rate ist der Prozentsatz der einzelnen Öffnungen im Vergleich zur Gesamtzahl der an Ihre Mailingliste zugestellten Nachrichten. Die Open Rates geben Aufschluss darüber, wie gut unsere Betreffzeile und Vorschautext das Interesse beim Leser wecken.

3 Dinge sind wichtig, um die Öffnungsrate möglichst hoch zu halten:

  • E-Mail-Betreffzeile: Eine kurze und knackige Betreffzeile sagt dem Empfänger, was er im Inhalt erwarten kann.
    Eine niedrige Öffnungsrate (Open Rate) kann bedeuten, dass Ihre Betreffzeilen zu allgemein gehalten sind und in den überfüllten Posteingängen Ihrer Kontakte nicht hervorstechen.
  • E-Mail-Vorschautext: Ist eine Handvoll Wörter, die dem Empfänger mehr darüber verraten, was in der E-Mail enthalten ist.
  • Reputation des Senders: Abonnenten erwarten E-Mails von Ihrem Unternehmen. Solange Absendername und die Domain den Namen Ihres Unternehmens anzeigen, wie z.B. XYZ@drkpi.com, ist dies in Ordnung.

Click-Through Rate / Klickrate

Click-Through-Rate (CTR): die Anzahl der Personen, die auf den Link Ihrer Nachricht geklickt haben, gemessen an der Gesamtzahl der E-Mails. Die Klickrate zeigt uns, inwiefern die Inhalte im Newsletter das Interesse unserer Leser für mehr Informationen weckt

Open rate - click rate - industry average: Newsletter Kampagnen von drkpi®
Open rate – Durchschnitt in der Referenzgruppe = 10%. drkpi® hat 28-40 % Open Rate für Newsletter-Kampagnen

Click-to-Open Rate (CTOR)

Open-Rate wie auch die Click-Through-Rate sind wichtig. Aber wir dürfen eine Schlüsselkennzahl, welche die Gesamteffektivität einer E-Mail-Kampagne messen soll, nicht vergessen: Die Click-to-Open Rate.

Click-to-Open-Rate (CTOR) ist der Prozentsatz der Abonnenten, die auf etwas in der E-Mail geklickt haben, im Verhältnis zur Anzahl der geöffneten E-Mails. Mit anderen Worten: Wie viele der Abonnenten, die die E-Mail öffneten, haben tatsächlich etwas in der E-Mail angeklickt? Wenn 400 Personen eine Email erhalten und 120 öffnen diese (30% Open-Rate), wovon dann 10 Personen was klicken ist die CTOR = 12%

PS. Nich alle E-Mail-Service Anbieter definieren und kalkulieren die Dinge gleich! Wir haben dies aber in der Tabelle oben berücksichtigt.

Weitere Newsletter-Kennzahlen

Hier ein paar weitere Kennzahlen mit Erklärungen, welche von Interesse sind und berücksichtigt werden sollten.

Conversion Rate

Konversionsrate misst, wie viele Personen auf einen Link (z.B. call-to-action) geklickt und dann eine bestimmte Aktion ausgeführt haben.

Ein Beispiel ist, wenn Sie einen Link in Ihre E-Mail einfügen, über den Ihre Abonnenten an einem Verkauf am Black Friday teilnehmen können. Die Conversion Rate sagt Ihnen dann, wie viel Prozent der Personen, die auf den Link geklickt haben, einen Kauf getätigt haben.

Tipp: Diese Kennzahl ist hauptsächlich im B2C-Bereich relevant, insbesodere im E-Commerce-Bereich oder bei Mailings wie Tagesangeboten oder Ausverkauf-Aktionen. Im B2B jedoch spielt diese Kennzahl kaum eine Rolle.

Unsubscribes

Die Anzahl der Abbestellungen misst, wie viele Personen sich abgemeldet haben. Diese E-Mail-Metrik finden Sie normalerweise in Ihrem Haupt-Dashboard oder in Ihrem Metrik-Dashboard.

Es ist ganz normal, dass Leute sich aus Ihrer Mailingliste austragen. Interessen der Abonnenten ändern sich. Unsere Erfahrung zeigt, dass dies oft im Sommer geschieht. Wenn sie dann den Newsletter verschicken, haben einige Leser während der Sommerferien mehr Zeit und lesen den Newsletter genau. Dann kann es passieren, dass sie sich aus der Liste austragen. Doch lieber weniger Abonnenten, dafür solche, welche den Newsletter auch wollen, lesen und die URLs anklicken.

Bounce Rate / Absprungrate

Die Absprungrate misst, wie viele E-Mails nicht geliefert werden konnten. Soft Bounces verfolgen temporäre Probleme mit E-Mail-Adressen. Beispielsweise kann die E-Mail gerade wegen Server Problemen nicht zugestellt werden.
Hard Bounces zeigen permanente Probleme mit E-Mail-Adressen, z.B. existiert die E-Mail-Adresse nicht mehr, weil der Arbeitnehmer das Unternehmen verlassen hat.

10 Metriken zur Erfolgskontrolle von Newsletter-Inhalten
12 Metriken zur Erfolgskontrolle von Newsletter-Inhalten

List Growth Rate

Mit dieser Metrik können sie die Wachstumsrate Ihrer Liste verfolgen.

Sie können dies berechnen, indem Sie die Anzahl der neuen Abonnenten abzüglich der Anzahl der Abbestellungen nehmen, diese dann durch die Gesamtzahl der E-Mail-Adressen auf Ihrer Liste dividieren und dann mit 100 multiplizieren.

Was ist das beliebteste Gerät zum Lesen von E-Mails?

Auch diese Information ist von Interesse, denn Smartphone Leser klicken weniger oft auf URLs. Ebenfalls lesen diese Nutzer den Newsletter weniger genau, sie bevorzugen das Überfliegen von Inhalten. Dabei sind Überschriften und Schlagwörter wichtig. Damit erhält der Smartphone-Leser Informationen, die sein Interesse sofort wecken – oder nicht.

OrganisationSmartphone
Mobile
Laptop und
Desktop
TabletWebmail
Umfrage mit Konsumenten (Fluent)81 %10 %8 %
Adestra 201961.9 %9.8 %28.3 %
Litmus 201942 %18 %40 %
Wenn der Newsletter primär an Arbeitsadressen geht, ist es durchaus möglich, dass nur ca. 30% der Empfänger die E-Mail auf dem Handy lesen

In der obigen Tabelle zeigt die Webmail (siehe hier) Kolumne die Prozentzahl der Leser, welche deren Email auf dem PC in einem Browser (z.B. Firefox, Vivaldi) lesen. Das kann z.B. Gmail, Outlook oder Protonmail sein. Tun sie dies mit Hilfe einer App auf dem Handy, wird der Nutzer der Kategorie Smartphone/Mobile zugerechnet (siehe obigen Tabelle).

Top Newsletter Metrics Nr. 12: Öffnungen von Zielgruppen

Nachdem Sie diese beiden Metriken

  • Zustellbarkeit und
  • Öffnungsraten

ermittelt haben, ist auch von Interesse, von wem ein Newsletter geöffnet wird:

  • Anzahl Öffnungen von Kunden: Wer von unseren Kunden schaut öfters rein? Das System zeigt z.B. für Frau Müller 3 oder mehr Openings. Das bedeutet, sie hat die Inhalte genauer studiert.
  • Anzahl Öffnungen von möglichen Kunden: Gibt es Leute, welche die Inhalte mehrmals anschauen und sich vielleicht für eines der Produkte interessieren? (Um diese zwei Gruppen voneinander zu unterscheiden, haben Sie vielleicht zwei oder mehrere Mailinglisten).
Was sind die durchschnittlichen Klick- und Leseraten für E-Mail Newsletters?
Was sind die durchschnittlichen Klick- und Leseraten für E-Mail-Newsletter?

Schlussfolgerungen

Facebook, Instagram und Twitter haben eine Engagementrate von nicht einmal 0,6 %. Das bedeutet, dass Ihr Post oder Update normalerweise im Rauschen des Blätterwaldes völlig untergeht.

Auch bei LinkedIn oder Xing mag man wohl viele Views/Ansichten haben. Doch ob die Person sich langfristig daran erinnert oder ob dies die Bekannheit der Marke stärkt, darf hinterfragt werden. Wir haben dies im Beitrag LinkedIn ROI – lohnt es sich? analysiert.

Zum Vergleich: Die durchschnittliche Öffnungsrate von E-Mails liegt bei 22,86 %. Die durchschnittliche Klickrate liegt bei 3,71 %. Raten von über 4 % sollten das Ziel sein. Lassen Sie sich aber nicht entmutigen: Da sind auch öffentliche Stellen und Non-Governmental Organisation (NGO) dabei, welche mit deren hohen Durchschnitten die Mittelwerte stark nach oben drücken.

Egal, in welchem Fachgebiet Sie sind, diese 3 Faktoren sollten Sie berücksichtigen:

  • Thema: Freizeit, Hobbies (z.B. Games, Mode und Sport) oder Arbeit (z.B. Recruiting, Marketing, Technologie)
  • Zielgruppe: Geschäftsleute, Firmen oder Privatpersonen
  • Mehrwert: Welche Inhalte sind für meine Leser interessant und bieten Mehrwert

Unsere Top 4 Metriken für Newsletter-Marketing

Unsere 12 Newsletter-Metriken können Sie zur Erfolgskontrolle einsetzen. Doch wir empfehlen Ihnen, sich auf diese 4 Top-Metriken unten zu fokussieren:

  1. Open Rate: Wenn die Empfänger die Newsletter im E-Mail-Postfach nicht anschauen, lassen Sie sich von unserer Expertise, Qualität oder tollem Produkt nicht beeinflussen.
  2. Click-Through Rate: Wieviele Leute, d.h. Prozentzahl, haben auf einen URL geklickt.
  3. Schreibweise: Prozentzahl der kurzen Sätze mit weniger als 16 Worten und Paragraphen mit 1 oder maximal 3 Sätzen sind eine weitere wichtige Kennzahl.
    Diese Kennzahl zeigt auf, wie leicht wir es dem Handy-Leser machen (müssen), die Beiträge zu überfliegen. Lange Sätze und Paragraphen sind bei Handy-Lesern sehr unbeliebt (Daten von PageTracker.drkpi.com).
  4. Informelles (konstruktives) Feedback: Wenn (potentielle) Kunden Feedback offerieren, ist das Gold wert. Beispielsweise, ein Kunde rief uns diese Woche an und sagte nebenbei, er hätte 2 Checklisten herunter geladen, die wir im Dezember-Newsletter angeboten hätten. Danach mit seinem Team geteilt.
    Solches Feedback wie auch Vorschläge für Verbesserungen von Lesern kommen nicht sehr oft. Sie sind aber meist ein sehr verlässlicher Indikator, welche Inhalte Leser schätzen und wo Verbesserungen ratsam sind.

Ultimativen Newsletter-Metrics-Guide mit Best Practice-Tipps als 👉 #drkpiCheck pdf Download (hier anklicken 👈

Zusätzlich lohnt es sich immer, diese Kennzahlen mit Benchmarks (z.B. im gleichen Land, mit Firmen in einer ähnlichen Branche usw.) zu vergleichen. Auch qualitatives Feedback von (möglichen) Kunden oder auch Freunden, die einen Newsletter wertvoll fanden, hilft.

Ein paar Zahlen zum Schluss

Daten aus dem Litmus 2020 State of Email Engagement zeigen:

  • 3.8 Std. – 9 Std. werden verwendet, um den Newsletter zusammen zu stellen (d.h. Fotos einfügen, Text formulieren, usw.).
  • 2.6 Std. werden im Schnitt benötigt, um die Analytics und Metrics nach dem Versand zu studieren.
  • 57% versenden den Newsletter mit Test-E-Mails bevor dieser dann an die Liste der Abonnenten verschickt wird.
  • 1 von 277 geöffneten Newsletters wird weiter geleitet, das sind 0.36%.

Eine Bitte haben wir

  • Welche 1-3 Faktoren sind die wichtigsten Kennzahlen oder Metriken, welche Sie für Ihren Newsletter nutzen?
  • Welche Taktiken haben sich bewährt?
  • Welchen Newsletter möchten Sie in Ihrer eigenen Inbox nicht missen. Warum schätzen Sie diesen Newsletter? URL erwünscht!

Die besten Hashtags sind weder die beliebtesten Hashtags noch die mit der grössten Reichweite. Jedoch sind sie perfekt für das Erreichen der für Sie optimalen Zielgruppen.

Nutzung US-Dienstleister – Schrems II Handlungsempfehlung: Cloud Act schwächt das Urteil - Datenschutz immer noch gefährdet.

Datenschutz spielt auch in der digitalen Kommunikation eine grosse Rolle. Man denkt sofort an Datenschutzerklärungen auf jeder Website, an das Formular für das Abonnieren der Newsletter, den Schutz der Kundendaten und Vieles mehr. Hier diskutieren wir einen ein wenig versteckten Zusammenhang: Die Nutzung von US-basierten Anbietern für online Services.

Mit der Entscheidung der Europäischen Kommission (2016/1250) vom 12. Juli 2016 über den sog. EU-U.S.-Privacy Shield wurde eine neue Grundlage für Datenübermittlungen von der EU in die USA gelegt. Sie ermöglichte europäischen Unternehmen Daten auch bei US-Dienstleistern zu hosten/bearbeiten zu können (z.B. in der Cloud) ohne Datenschutzrichtlinien zu verletzen.

Doch seit Juli 2020 ist das Privacy Shield nicht mehr gültig. Das hat Auswirkungen für Kunden von Adobe (z.B. Cloud, iStock), Amazon AWS, G-Suite (Google), Salesforce und SAP um nur einige Anbieter zu nennen.

Der „Schrems II“ Fall wurde durch die Beschwerde des österreichischen Juristen und Datenschutzaktivisten Max Schrems ausgelöst. Hier weiter unten bieten wir Ihnen sogenannte „Schrems II“ Handlungsempfehlungen für eine datenschutzkonforme Verarbeitung in den USA.

In einem Überblick vergleichen wir die Datenschutzgrundverordnung (DSGVO) (gültig seit Mai 2018 – FAQs von drkpi) mit dem California Consumer Protection Act (CCPA) (in Kraft seit Januar 2020), der für in Kalifornien ansässige Personen gilt. Er wurde dem DSGVO nachgebaut und hat in den USA als Vorbild andere Bundesstaaten beeinflusst:

  • Die DSGVO gilt für personenbezogene Daten der betroffenen Personen in der EU, während der
  • CCPA für personenbezogene Daten von Verbrauchern und Haushalten in Kalifornien gilt.

Stresstest für Marketingdaten und Datenschutz

Dank Digitalisierung sind Daten im Marketing ein Dauerthema. Aus diesem Grunde stellen wir Ihnen auch den drkpi® DSGVO Audit Light Ratgeber zur Verfügung.

Dass medizinische Daten akkurat und zeitnah genutzt werden müssen erleben wir aktuell bei den COVID-19 Tracing Apps, die in vielen Ländern eingesetzt werden. Die Tracking-Apps auf der ganzen Welt speichern Kontaktdaten von Personen, welche bis 2 Tage vor Krankheitsbeginn mit dem Infizierten Kontakt hatten. Im August 2020 fanden Forscher, dass Infizierte das Coronavirus bis zu 5 oder 6 Tage vor Ausbruch der Krankheit weitergeben können.

Somit gibt uns die App ein ungenaues Bild der Realität. Hinzu kommt, dass z.B. in der Schweiz viele die App wegen Bedenken zum Datenschutz nicht nutzen wollen.

Sind diese Bedenken berechtigt? Viele Menschen vergessen, dass Sie bei Nutzung anderer Apps viel mehr Daten preisgeben:

  • Wenn bei Google eingeloggt, sammelt Chrome Browser Daten.
    Alternative: Firefox, Brave, Vivio, usw.
    Trend: Third-Party-Cookies im Google Chrome Browser sind ab 2022 nicht mehr willkommen. Apple löscht im Safari Browser alle First-Party-Cookies nach 24 Stunden.
  • Websites zur Gesundheit teilen Daten mit Werbekunden – #DSGVO #CCPA Verletzungen: Symptome, die in den Symptom-Checker von WebMD eingegeben wurden, und die erhaltenen Diagnosen, einschliesslich der „Medikamentenüberdosierung“, wurden mit Facebook geteilt.
    Informationen zu Menstruations- und Ovulationszyklus vom BabyCentre wurden mit Amazon Marketing geteilt.
    Schlüsselwörter wie „Herzkrankheit“ und „Abtreibung in Betracht ziehen“ wurden von der British Heart Foundation, Bupa und Healthline sowie Scorecard Research und Blue Kai (im Besitz von Oracle) geteilt.
    Weiterführendes Lesematerial zum Thema: FT How top health websites are sharing sensitive data with advertisers, FT Best of Business Data health warning, 2019-11-16/17, p. 11 (nur für Abonnenten).

Vergleich DSGVO mit CCPA

Ein Grossteil der Anbieter von Software-as-a-Service (SaaS) und Cloud-Diensten haben ihren Sitz in den USA. Dort werden die Daten zum Teil auch verarbeitet oder von Europa via die USA nach Australien übermittelt. Beispiele sind Amazon AWS, G-Suite, Oracle, Salesforce, Mailchimp, Microsoft, Adobe, PayPal und andere.

Doch auch in den USA wird Datenschutz immer mehr ein Thema. Diese Tabelle vergleicht DSGVO mit dem CCPA. Beim genauen Lesen fällt auf, dass das CCPA sehr viele Ähnlichkeiten mit der EU Datenschutzgrundverordnung (DSGVO) hat.

Start of projectEU DatenschutzGrundverordnung (DSGVO)California Consumer Protection Act (CCPA)
In Kraft seit:2018-05-252020-01-01
Was sind die Rechte des Konsumenten oder einer Privatperson?Nach Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, von Verantwortlichen eine Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn ja, haben sie grundsätzlich ein Recht auf Bestimmung über diese Daten.AB 375 ermöglicht es jedem kalifornischen Verbraucher, die Einsicht in alle Informationen zu verlangen, die ein Unternehmen über ihn gespeichert hat. Ebenfalls hat er oder sie das Recht, die vollständige Liste aller Dritten einsehen zu dürfen, mit denen Daten ausgetauscht werden.
Das Gesetz gibt den Verbrauchern das Recht, alle Daten zu verlangen, die ein Unternehmen in den letzten 12 Monaten über sie gesammelt hat. 
Für wen gilt diese(s) Gesetz / Verordnung – territoriale Anwendung?Nach Art. 3 Abs. 2 DSGVO gilt
1. Für datenverarbeitenden Unternehmen mit Sitz in der Europäischen Union.
2. Schweizer Firmen welche in der EU wohnenden Personen Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten.
Es müssen jedoch aktiv Kunden aus der EU geworben werden um unter das DSGVO zu fallen. Beispielsweise Zahlung in Euro möglich, Lieferbedingungen für EU Kunden sind aufgelistet, Webseite ist in einer EU Sprache, usw.
1. Alle Unternehmen, die an in Kalifornien lebende Konsumenten Leistungen anbieten und mindestens 25 Millionen Dollar Jahreseinnahmen haben.
2. Firmen welche Daten von mehr als 50.000 Personen haben (Vorsicht, mehr als 4.000 Besucher auf Ihrer Website pro Monat, und diese Sache wird relevant).
3. Unternehmen, die mehr als die Hälfte ihrer Einnahmen aus dem Verkauf von persönlichen Daten erzielen.
Welche Daten sind geschützt?Personenbezogene Daten gem. Artikel 4 der DSGVO sind alle Informationen, die sich auf eine bestimmte (identifizierte) oder bestimmbare (identifizierbare) natürliche Person beziehen.
Eine Person gilt als identifiziert, wenn die Zuordnung von Daten ohne Umweg möglich ist und ein direkter Bezug hergestellt werden kann (z.B. Name, Geburtsdatum, Postadresse, usw.).
Ist dies nicht direkt, jedoch mit Zusatzwissen möglich, handelt es sich um eine identifizierbare Person. Dieses Zusatzwissen müssen Sie nicht zwangsweise selbst besitzen, es kann auch von Drittpersonen kommen.
Der CCPA berücksichtigt nur Daten, die von einem Verbraucher zur Verfügung gestellt wurden (z.B. Name, Geburtsdatum, Alter, etc.), und schliesst persönliche Daten aus, die von Dritten gekauft oder durch Dritte erworben wurden.
Personenbezogene Daten umfassen keine anonymisierten Benutzerinformationen – die oft das Rohmaterial für die Schulung von Modellen der maschinellen KI sind. Eigentumsaufzeichnungen wie z.B. Software zur Gesichtserkennung!
Siehe auch California’s data breach notification law.
Welche Daten sind nicht geschützt?Erforderlichkeit für die Erfüllung einer rechtlichen Verpflichtung (z.B. Abführung von Steuern oder Sozialabgaben). Nur das Recht der EU oder der EU-Mitgliedstaaten ist hier massgeblich.
Nicht geschützt sind Daten von juristischen Personen wie Firmen oder Stiftungen.
„Öffentlich zugängliche“ Informationen, die von Bundes-, Landes- oder Kommunalregierungen gesammelt und veröffentlicht werden, sind unter dem CCPA nicht geschützt. Dazu gehören Einträge im Grundbuch, Gerichtsakten, Wählerregistrierungen sowie Geburts-, Heirats- und Sterbeurkunden. Etwa 200 Datenvermittlungsfirmen in den USA, wie BeenVerified, Intelius, SearchPeopleFree und Spokeo, sammeln und verkaufen diese Informationen und tun dies auch weiterhin.
Was sind die Bussen bei Verstössen gegen das Gesetz?Bei Verstössen gegen die DSGVO haben die Aufsichtsbehörden die Kompetenz zum Erlass von Massnahmen und zur Verhängung von Bussen bis zu EUR 20 Mio oder 4% des gesamten weltweiten Jahresumsatzes des zu büssenden Unternehmens (zur Verhängung von Bussen genügt Fahrlässigkeit, Vorsatz ist nicht erforderlich).1. Der Verbraucher kann den Generalstaatsanwalt informieren, der eine Geldbusse von bis zu 7.500 Dollar pro Datensatz verhängen kann. Das Unternehmen kann strafrechtlich belangt werden.
2. Wenn der Generalstaatsanwalt die Strafverfolgung ablehnt, dann können die betroffenen Verbraucher eine Sammelklage gegen das Unternehmen einreichen.
Was ist bei einer Datenschutzverletzung zu tun?Bei Datenschutzverletzung muss die zuständige Datenschutzbehörde innerhalb von 72 Stunden informiert werden. Bei hohem Risiko von Persönlichkeitsverletzungen muss zudem die betroffene Person benachrichtigt werden.Unternehmen sind nicht verpflichtet, Verstösse gemäss AB 375 zu melden, und Verbraucher müssen Beschwerden einreichen, bevor Geldbussen möglich sind.
Eine Organisation, die die DSGVO einhält, muss wahrscheinlich keine weiteren Massnahmen ergreifen, um AB 375 in Bezug auf die Sicherung von Daten einzuhalten.
Rudimentärer Vergleich der EU-Datenschutzgrundverordnung (EU-DSGVO) mit dem California Consumer Privacy Act (CCPA)

Schrems II Handlungsempfehlung: Lösung für Nutzung der US-Dienstleister

Die EuGH-Entscheidung in der Angelegenheit Schrems II verpflichtet die Verantwortlichen zu unmittelbaren Handlungen, um Übermittlungen an Empfänger in den USA (und anderen Drittstaaten) weiterhin rechtmässig durchführen zu können und keinen Sanktionen durch die Aufsichtsbehörden ausgesetzt zu sein.

Der Privacy Shield ist ab sofort ungültig. Doch wenn ich die obige Tabelle genau studiere, tauchen Fragen auf wie beispielsweise:

  • Sollte es nicht ein Unterschied sein, ob mein Datenverarbeiter dies in Kalifornien macht oder Arkansas (eher weniger streng mit Datenschutz) und wenn
  • ich überhaupt nicht überprüfen kann, wo die Daten in der Cloud gespeichert sind (geographisch gesehen)?

Das Schrems II Urteil gegen Facebook hat ein „Wackeln“ der EU-Standardvertragsklauseln zu Folge. Denn hierdurch sind in einigen Unternehmen elementare Geschäftsprozesse bedroht.  Nach Massgabe des EuGH-Urteils müssen Verantwortliche nun zusätzliche Schutzmassnahmen vereinbaren bzw. sicherstellen, die eine datenschutzkonforme Verarbeitung z.B. in den USA gewährleisten.

Die baden-württembergische Datenschutzbehörde (Landesbeauftragter für Datenschutz und Informationssicherheit, LfDI) hat am 24. August 2020 eine Orientierungshilfe zum Entscheid des EuGH vom 16. Juli 2020 zu Schrems II veröffentlicht.

Vorgeschlagen werden vom LfDi allerdings nicht nur Ergänzungen der EU-Standardvertragsklauseln. Der Regulator will die Umsetzung der Schrems II Handlungsempfehlung mit Änderungen der EU-Standardvertragsklauseln sicherstellen. Die Änderungen sind genehmigungspflichtig. Also müsste ein in der D-A-CH Region domiziliertes Unternehmen die Änderungen der für ihn zuständigen Aufsichtsbehörde vorgelegt und von dieser genehmigt werden (auch ein Schweizer Unternehmen wird diese Sachlage abklären müssen, wenn es Daten von EU-domizilierten Kunden in den USA bearbeiten lässt).

Soweit uns bekannt, schlägt der LfDI als erste Behörde Folgendes vor.

Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden.

Uns ist bewusst, dass mit dem Urteil des EuGH u.U. extreme Belastungen für einzelne Unternehmen einhergehen können. Der LfDI wird sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit ausrichten. Wir werden die Entwicklung weiter beobachten und unsere Positionen dementsprechend laufend überprüfen und fortentwickeln.

2020-08-24 – baden-württembergische Datenschutzbehörde (Landesbeauftragter für Datenschutz und Informationssicherheit, LfDI). Orientierungshilfe zum Entscheid des EuGH vom 16. Juli 2020 zu Schrems II  (zweitletzte und letzte Seite der pdf Datei)

Aber sind meine Daten in Europa sicher? Achtung: US CLOUD Act

Im Jahr 2013, im Fall Microsoft gegen die Vereinigten Staaten, weigerte sich Microsoft erfolgreich, Daten an das Federal Bureau of Investigations (FBI) weiterzugeben. Das FBI beantragte bei Microsoft in Irland Zugriff auf Daten auf Servern.

Der „Clarifying Lawful Overseas Use of Data Act“ („CLOUD Act“) erlaubt es im Kern den US-Strafverfolgungsbehörden, von Kommunikationsdienstanbietern, wie etwa Cloud- oder E-Mail-Anbietern, in den USA Daten anzufordern, über die sie Besitz, Verwahrung oder Kontrolle ausüben.

Dies kann auch Daten betreffen, die in der Cloud auf Servern in den Mitgliedstaaten der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR) und der Schweiz (z.B. Microsoft Schweiz) gehostet werden. Grundsätzlich bedeutet dies, dass auch wenn ich ein Dienstleister in Europa nutze, wenn z.B. der Cloud Service Provider eine USA Firma ist, besteht die Möglichkeit das USA Behörden Zugang bekommen, DSGVO hin oder her.

Schlussfolgerungen – Datenschutzkonformität bei Nutzung der US-Dienstleister?

Was der LfDI vorschlägt ist, dass ich ihn überzeugen muss, welche Anwendung und welchen Anbieter ich in den USA nutzen will. Der von mir in den USA genutzte Dienstleister muss so gut sein, dass es in Europa und insbesondere Deutschland keine zumutbare Alternative gibt.

Viele Firmen müssten also eine Alternative für den jetzigen Newsletter-Provider wie Mailchimp, ActiveCampaign und weitere suchen. Wir haben es versucht und für den Marketingverband einen Service in Deutschland eingerichtet. Doch die so tolle DSGVO-Konformität lies zu wünschen übrig und technische Funktionalität war nicht zufriedenstellend.

Auch andere Angebote hatten bei den Tests keine gut funktionierenden Schnittstellen (API = Aplication Interface Programming) oder auch altmodische Editoren Angebote. Das bedeutete für uns viel mehr Arbeit, Zeitverlust und somit Kosten. All dies ohne dass wir eine wirklich gute DSGVO-Konformität erreichten.

Für den #drkpiBlogTracker Service Newsletter (siehe Einwilligung USA Datenverbarbeitung) sowie unseren Newsletter #drkpi sind wir weiterhin auf Mailchimp (hier der Check/Abo anfordern nutzen wir auch wieder Mailchimp – trotz des EuGH-Urteils.

Noch komplizierter wird es, wenn bei Nutzung eines US-Anbieters mehr als Name, Vorname und Email gespeichert werden. Beispielsweise können dies auch Versicherungsnummern, Gesundheits- oder Zahlungsdaten sein, welche in der Cloud gehostet werden (bei Amazon AWS usw.). Eigentlich müsste ich im Vorfeld die Datenschutzbehörden überzeugen.

Das Resultat ist:

  • Datenschutzbehörden brauchen für die Bearbeitung all dieser Eingaben zur Genehmigung viel Zeit und Nerven und
  • Betrieben gibt das viel Aufwand und sie brauchen Geduld bis alles genehmigt wird. Wenn nicht, geht der Stress erst recht los.

Da kann man nur hoffen, dass die neu aufgenommenen Gespräche nach dem Schrems-II-Urteil zwischen dem U.S. Department of Commerce und die Europäische Kommission bald eine Möglichkeit eines Privacy Shield 2.0 („enhanced EU‑U.S. Privacy Shield“) präsentieren können. Das wäre von Vorteil für Unternehmen und Konsumenten (siehe Pressemitteilung).

Wenn Sie sich bei Ihrer digitalen Kommunikation an die EU-DSGVO halten, sind Sie schon einmal innerhalb von Europa sicher. Hier loht es sich in eine stabile Basis zum Datenschutz zu investieren, Personal zu schulen, richtig zu dokumentieren. Sonst kann es sehr teuer werden. Möchten Sie wissen, wo Sie stehen? Nutzen Sie unseren AuditLight Check (zum Herunterladen als PDF).

Setzen Sie die EU-Standardvertragsklauseln als Lösung bei Nutzung US-Dienstleister ein?

Was ist Ihre Meinung?