Was ist Mautic?
Mautic ist ein Marketing Automation Tool. Unternehmen können dies für ihr E-Mail-Marketing, Lead Management und Social Media Management sowie zur Erstellung von Landingpages nutzen. Mautic ist eine Open Source Plattform. Sie verfügt über rund 200.000 Nutzer. Welche datenschutzrechtlichen Vorgaben müssen Unternehmen beachten, wenn sie Mautic nutzen?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist Mautic datenschutzrechtlich relevant?
Je nachdem, wie Seitenbetreiber Mautic verwenden, erheben sie verschiedene Daten ihrer Webseitenbesucher. Das können beispielsweise
- E-Mail-Adressen,
- Namen,
- persönliche Interessen oder
- IP-Adressen sein.
Erheben Seitenbetreiber über Mautic personenbezogene Daten, müssen sie auf die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) achten.
Mautic datenschutzkonform verwenden
Unternehmen können Mautic selbst oder auf einem externen Server hosten:
1) Mautic selbst hosten
Hosten Unternehmen Mautic selbst, erreichen sie das Maximum an Datenschutz für das Tool. Sie müssen dann diese datenschutzrechtlichen Vorgaben beachten:
Nutzer-Einwilligung einholen
Mautic setzt einen Cookie in den Browser von Usern, um Daten zu erheben. Dafür benötigen Unternehmen die Erlaubnis der Nutzer. Sie können diese beispielsweise über einen Cookie Banner einholen. Sie können den Cookie Banner mit einem Cookie Consent Tool rechtssicher umsetzen. Auf diese Weise stellen sie sicher, dass sie die Nutzer-Einwilligung datenschutzkonform einholen.
Datenschutzerklärung anpassen
Seitenbetreiber müssen in ihrer Datenschutzerklärung darauf hinweisen, dass sie über Mautic personenbezogene Daten erheben. Dabei sollten sie aufführen, um welche Daten es sich konkret handelt, wie lange sie die Daten speichern und welche Rechtsgrundlage ihnen das erlaubt (Art. 6 DSGVO). Sie sollten Nutzern zudem erklären, dass sie der Datenspeicherung jederzeit widersprechen können.
IP-Adressen anonymisieren
Mautic erlaubt es Seitenbetreibern, beispielsweise ihre Webseite und ihr E-Mail-Marketing zu tracken. Dabei erheben sie unter anderem die IP-Adresse der Nutzer. Sie benötigen diese für ein funktionierendes Tracking jedoch nur in anonymisierter Form. Seitenbetreiber sollten daher die IP-Adressen standardmäßig anonymisieren.
Nutzerdaten regelmäßig löschen
Unternehmen sammeln mit Mautic personenbezogene Daten. Die DSGVO gibt vor, dass sie diese nur so lange behalten dürfen, bis sie damit den angestrebten Zweck erfüllt haben. Unternehmen müssen daher in regelmäßigen Abständen ihre Datenbanken bereinigen. Haben sich beispielsweise User von einem Newsletter-Versand abgemeldet, müssen Unternehmen ihre Daten in einem angemessenen Zeitraum, wie z. B. innerhalb von 30 Tagen, löschen. Sie müssen die Daten auch löschen, wenn Nutzer sie dazu auffordern.
Auskunftspflicht beachten
User können Unternehmen jederzeit dazu verpflichten, die über sie erhobenen Daten offenzulegen. Fordern Nutzer also, die über Mautic gesammelten Daten einsehen zu dürfen, müssen Unternehmen diese in einem strukturierten und technisch gängigen Format zur Verfügung stellen.
Double-Opt-In für E-Mail-Versand verwenden
Nutzen Unternehmen Mautic, um Usern Newsletter zuzuschicken, müssen sie dafür zunächst ihre Einwilligung einholen. Dafür hat sich das Double-Opt-In-Verfahren bewährt. Das Double-Opt-In-Verfahren soll User vor einem Missbrauch ihrer Daten schützen. Dafür gibt es vor, dass Unternehmen nur dann E-Mails an Nutzer verschicken dürfen, wenn sie über ihre Erlaubnis verfügen. Diese können sie in zwei Schritten einholen:
1) Unternehmen erheben die E-Mail-Adresse der User und verweisen sie per Opt-In darauf, dass sie so in die Zusendung von E-Mails einwilligen.
2) Unternehmen verschicken an die E-Mail-Adresse eine Bestätigung, dass sich User für einen Mail-Service angemeldet haben. User müssen die Mail per Klick auf einen entsprechenden Link bestätigen. Diese erste Mail darf noch keine werblichen Inhalte aufweisen. Sie muss deutlich machen, dass es nur darum geht, die Anmeldung für den Newsletter zu bestätigen. Kommen Nutzer dem nach, haben Unternehmen eine rechtssichere Einwilligung für den Versand von E-Mails eingeholt.
Double-Opt-In für SMS-Versand verwenden
Mautic ermöglicht es Seitenbetreibern, einen SMS-Versand in ihr Direktmarketing zu integrieren. Unternehmen benötigen auch dafür die Erlaubnis der Nutzer. Sie können diese in Anlehnung an das Double-Opt-In-Verfahren in zwei Schritten einholen:
1) Seitenbetreiber erheben die Telefonnummer der User, beispielsweise über eine Online-Maske auf ihrer Webseite. Dabei verweisen sie darauf, dass Nutzer auf diese Weise einwilligen, SMS an ihre Telefonnummer zu erhalten. Sie müssen das per Opt-In bestätigen.
2) Seitenbetreiber zeigen Nutzern eine Telefonnummer an, von der sie ihren SMS-Newsletter an sie verschicken möchten. User müssen an diese Nummer einen vorgegebenen Befehl versenden, der den Start des SMS-Versands auslöst. Erhalten Seitenbetreiber diesen Startbefehl, verfügen sie über eine rechtssichere Einwilligung in den SMS-Versand.
2) Mautic auf einem externen Server hosten
Hosten Unternehmen Mautic auf einem externen Server, sollten sie sich für einen Anbieter in Deutschland entscheiden. Auf diese Weise unterliegen die Daten automatisch den Vorgaben der DSGVO. Unternehmen müssen zusätzlich zu den oben genannten datenschutzrechtlichen Pflichten einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit dem Server-Anbieter abschließen. Der Vertrag muss festalten,
- welche Userdaten der Server-Anbieter erhält,
- warum er diese erhält,
- wie lange er die Daten speichern will und
- welche Rechte und Pflichten die Verantwortlichen haben.
Rechtsprechung zu Mautic
Zu Mautic liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Für die Software sind jedoch diese Urteile relevant:
Bundesgerichtshof zum Double-Opt-In-Verfahren
Der Bundesgerichtshof (BGH) hat das Double-Opt-In-Verfahren als rechtssicher bestätigt. Er entschied im Februar 2011: Seitenbetreiber können auf diese Weise die Einwilligung von Nutzern in einen E-Mail-Versand rechtssicher einholen (Az. I ZR 164/09).
Oberlandesgericht Düsseldorf zum Double-Opt-In-Verfahren
Das Oberlandesgericht (OLG) Düsseldorf hat die Entscheidung des BGH im März 2016 bestätigt. Dabei verwies es auch darauf, dass Unternehmen Nutzern im Rahmen von Double-Opt-In eine Mail zuschicken dürfen, um eine Newsletter-Anmeldung bestätigen zu lassen (Az. I-15 U 64/15).
Datenschutzbehörde Hamburg zum AV-Vertrag
Dass ein fehlender AV-Vertrag ein Bußgeld kosten kann, zeigte die Datenschutzbehörde Hamburg im Dezember 2018. Sie belegte das Versandunternehmen Kolibri Image mit einer Strafe von 5.000 Euro. Denn: Dies hatte mit dem beauftragten Dienstleister Packlink keinen AV-Vertrag geschlossen.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Um Mitgliederdaten an Dienstleister zur Verarbeitung weiterzugeben, benötigen Unternehmen einen AV-Vertrag. Das musste der Fußball-Bundesligaverein VfB Stuttgart feststellen. Die Datenschutzbehörde Baden-Württemberg sprach im März 2021 eine Strafe in Höhe von 300.000 Euro gegen den Verein aus.
Niederländische Aufsichtsbehörde zur Auskunfts- und Löschpflicht
Fordern Nutzer Unternehmen dazu auf, ihre Daten einzusehen oder zu löschen, dürfen Unternehmen nicht grundsätzlich ein Foto des Personalausweises verlangen, um ihre Identität festzustellen. Zu diesem Schluss kam eine niederländische Aufsichtsbehörde im Februar 2022. Was den Datenschutzverstoß nicht besser machte: Das Unternehmen hatte Nutzer auch nicht darauf verwiesen, dass sie nicht-relevante Daten in ihrem Ausweis schwärzen können. Die Behörde sprach daher ein Bußgeld in Höhe von 525.000 Euro aus. Das Unternehmen hat Einspruch eingelegt.