E-Mail-Marketing und die (teil-)automatisierte Vertiefung von Kundenbeziehungen mit Inhalten (Lead-Management) erfordern aufgrund ihrer Komplexität ausgereifte technische Lösungen. Außerdem sollte bei solchen Angeboten als Software as a Service (SaaS) in besonderem Maße auf IT-Sicherheit und Datenschutz geachtet werden. So ist es etwa datenschutzrechtlich spätestens seit dem Ende von Safe Harbor schwierig, auf US-amerikanische Anbieter zu setzen. Stattdessen lohnt es sich, E-Mail-Marketing-Anbieter aus Deutschland in Erwägung zu ziehen. Einer davon ist die SC-Networks GmbH mit dem Produkt Evalanche. Bereits seit einigen Jahren ist ein Experte der activeMind AG bei SC-Networks als externer Datenschutzbeauftragter bestellt. Nun begleiteten wir das Unternehmen als externer IT-Sicherheitsbeauftragter auch zur erfolgreichen ISO 27001 Zertifizierung. SC-Networks Geschäftsführer Martin Philipp erklärt im Best Practice Interview, welche Anforderungen und Maßnahmen gemeinsam mit der activeMind AG umgesetzt werden konnten.
Welche besonderen Anforderungen hat SC-Networks an Datenschutz und Datensicherheit?
Grundsätzlich sind Datenschutz und IT-Sicherheit ja für jedes Unternehmen, das personenbezogene Daten verarbeitet, speichert und nutzt, äußerst relevante Aufgaben. Für unser Unternehmen gilt zusätzlich, dass beim E-Mail-Marketing und Lead-Management besonders sensible Daten erhoben werden. So kombinieren wir beispielsweise Nutzungsdaten und Identifikationsmerkmale der Kunden unserer Kunden. Hierfür gibt das Bundesdatenschutzgesetz (BDSG) sehr strenge Richtlinien vor.
Unsere größten Anliegen sind in der Folge der Schutz der Vertraulichkeit, Verfügbarkeit und Integrität dieser Daten, so dass unsere Kunden stets in Übereinstimmung mit dem Gesetz und bestmöglich gefeit vor Missbrauch der Daten sind. Zu den spätestens seit dem NSA-Skandal gestiegenen Sicherheitsansprüchen bei den Kunden kommen aktuelle Entwicklungen wie das Ende des Safe-Harbor-Abkommens und damit verbunden verstärkte Prüfungen durch die Datenschutz-Aufsichtsbehörden.
Generell sehen wir uns als Dienstleister in der Verantwortung, die Daten unserer Kunden mittels modernster Technologie und optimiertem Management zu schützen. Denn nur dann können unsere Kunden das auch ihren Kunden anbieten. Das sehr erfolgreiche Ergebnis ist Evalanche – eine datenschutzkonforme Software, die jedem Anwender umfangreiche Funktionalitäten und Konfigurationsmöglichkeiten für rechtssicheres E-Mail-Marketing und Lead-Management bietet.
Wenn IT-Sicherheit einen solchen Stellenwert in Ihrem Unternehmen hat, warum haben Sie die Implementierung der ISO 27001 Anforderungen nicht durch eigene Mitarbeiter realisiert, sondern extern beauftragt?
Wer IT-Sicherheit gewährleisten will, muss nicht nur über technologische Expertise verfügen, sondern auch viele rechtliche Vorgaben beachten. Da ist es durchaus schwer, den Überblick zu behalten, auch weil der Gesetzgeber etwa mit dem neuen IT-Sicherheitsgesetz nicht gerade zur Klarheit beiträgt.
Die Unterstützung durch einen professionellen Dienstleister lag also nahe. Die activeMind AG kennen wir als langjährigen Partner aus dem Bereich Datenschutz und konnten demnach gut einschätzen, was uns erwartet. Ein weiterer Vorteil ist, dass Datensicherheit und Datenschutz kaum zu trennen sind und ein Partner, der beides beherrscht, demzufolge die optimale Lösung darstellt. Außerdem ist SC-Networks so für die ab ca. 2018 zu erwartenden, strengeren gesetzlichen Regelungen der europäischen Datenschutz-Grundverordnung bestens gerüstet.
Welche konkreten IT-Sicherheits-Maßnahmen konnten Sie gemeinsam mit der activeMind AG umsetzen?
Wir lassen den TÜV alle datenschutz- und datensicherheitsrelevanten Unternehmensbereiche von SC-Networks – vom Rechenzentrum bis hin zu den einzelnen Mitarbeitern – prüfen. Um uns auf die Zertifizierung nach ISO/IEC 27001:2013 vorzubereiten, fanden zunächst mehrere interne Auditierungen statt. Hierbei erwies es sich aus unserer Perspektive als sehr hilfreich, dass Klaus Foitzick von der activeMind AG selbst berufener Auditor des TÜV ist und somit genau wusste, was zu tun war.
Es folgte die Umsetzung organisatorischer und technischer Maßnahmen, um alle Anforderungen der ISO 27001 zu erfüllen. Der Erfolg war dann unmittelbar sichtbar: Beim Zertifizierungs-Audit verzeichneten die Prüfer für SC-Networks keine einzige Abweichung von den Vorgaben für das Informationssicherheits-Managementsystem (ISMS).
Wie haben die Mitarbeiter und Kunden von SC-Networks auf die Zertifizierung reagiert?
Wir haben die ISO 27001-Zertifizierung über Pressemeldungen, Newsletter, unseren Corporate-Blog und soziale Netzwerke kommuniziert. Viele Erfahrungen flossen sogar direkt in ein E-Book zum rechtssicheren E-Mail-Marketing ein.
Das Feedback war natürlich durchweg positiv. Für unsere Kunden hat das ja auch nur Vorteile, weil hohe Verfügbarkeit unserer IT-Systeme, sichere Integrität aller betrieblichen Informationen und optimaler Schutz von vertraulichen Daten nun offiziell nachgewiesen wurden.
Die ISO 27001 bestätigt aber nicht nur die aktuelle Qualität und Sicherheit der IT-Systeme und Geschäftsprozesse, die wir unseren Kunden und Partnern zur Verfügung stellen. Sie gewährleistet darüber hinaus auch regelmäßige und fortlaufende Kontrollen durch den TÜV.
Würden Sie activeMind weiterempfehlen?
Unbedingt! Ich denke jedes Unternehmen kann vom umfassenden Know-how der Mitarbeiter von activeMind profitieren. Hier werden juristischer Sachverstand und technisches Wissen kombiniert. Man lernt also nicht nur was man tun muss, um dem Gesetz zu genügen, sondern auch noch wie das am besten geht. Ein weiterer Pluspunkt: Bei der activeMind AG hat man seinen ganz persönlichen Ansprechpartner, der nicht erst in einer Akte nachsehen muss, wer man überhaupt ist. Stattdessen kennt er das Unternehmen und seine speziellen Anforderungen an Datenschutz und Datensicherheit. Das ist für mich als Kunden sehr sympathisch!