Was macht Brevo?
Brevo ist eine SaaS-Lösung für Relationship Marketing. Unternehmen können die Software vor allem für E-Mail-Marketing, Marketing Automation, CRM, Landingpages, Ads und SMS-Marketing nutzen. In der Praxis können sie so zum Beispiel E-Mail-Kampagnen planen, durchführen und analysieren sowie A/B-Tests vornehmen. Was müssen sie dabei datenschutzrechtlich beachten?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Darum ist Brevo datenschutzrechtlich relevant
Unternehmen erheben über Brevo verschiedene Nutzerdaten. Welche das sind, hängt davon ab, welche Dienste der Software sie in Anspruch nehmen. Das Tool ist primär eine CRM-Anwendung. Das bedeutet: Unternehmen nutzen sie vor allem, um Beziehungen zu Kunden aufzubauen und zu pflegen. Dafür kommunizieren sie mit diesen zum Beispiel per E-Mail oder SMS. Das heißt für die datenschutzrechtliche Praxis: Sie erheben mit Brevo Kundendaten wie
- Namen,
- Adressen,
- E-Mail-Adressen und
- Telefonnummern
Dabei handelt es sich zum Teil um personenbezogene Daten. Unternehmen müssen daher verschiedene Vorgaben aus der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) beachten.
Brevo datenschutzkonform verwenden
Um die CRM-Software Brevo datenschutzkonform zu verwenden, müssen Unternehmen diese Pflichten aus dem Gesetz erfüllen:
Double-Opt-In einhalten
Verwenden Unternehmen Brevo für ihr E-Mail- oder SMS-Marketing, erheben sie dafür die E-Mail-Adresse bzw. die Telefonnummer von Kunden. Dafür müssen sie das Double-Opt-In-Verfahren nutzen:
Double-Opt-In für E-Mail
Um die E-Mail-Adresse von Benutzern datenschutzkonform zu erfassen, fragen Unternehmen diese zuerst ab und bitten Nutzer gleichzeitig um Zustimmung zur Newsletter-Anmeldung. Zusätzlich weisen sie darauf hin, dass User den Newsletter jederzeit abbestellen können. Kunden erhalten daraufhin eine E-Mail, die ihnen die Anmeldung zum Newsletter bestätigt. Durch Klick auf einen Link in dieser E-Mail können sie diese bestätigen.
Double-Opt-In für SMS
Um eine Telefonnummer für SMS-Marketing zu erhalten, bitten Webseitenbetreiber Nutzer über ein Online-Formular, diese anzugeben. Dabei informieren sie User darüber, dass sie durch die Eingabe ihrer Nummer den Newsletter abonnieren. Ähnlich wie beim E-Mail-Marketing müssen Unternehmen auch hier darauf hinweisen, dass Nutzer den Newsletter jederzeit abbestellen können. Diese Hinweise sollten Nutzer dann über das Opt-in-Verfahren bestätigen. Im nächsten Schritt sollten Webseitenbetreiber in dem Online-Formular die Telefonnummer des Absenders des Newsletters anzeigen. Nutzer können diese Nummer speichern und eine SMS an diese Nummer mit einem vorher definierten Befehl, wie beispielsweise "Start", senden. Auf diese Weise wird der Newsletter aktiviert.
Vertrag zur Auftragsverarbeitung abschließen
Geben Unternehmen Kundendaten an Dritte weiter, um diese weisungsgebunden verarbeiten zu lassen, müssen sie mit den Dritten einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Diese Pflicht ergibt sich aus Art. 28 DSGVO. Brevo kann auf alle über die Software erhobenen oder in der Software angelegten Userdaten zugreifen. Auf diese Weise geben Unternehmen Nutzerdaten an einen Dritten weiter. Sie müssen mit Brevo daher einen AV-Vertrag schließen. Das können sie in ihrem Account unter „Rechtsdokumente“ vornehmen.
Dabei sollten sie darauf achten, dass der Vertrag anspricht,
- welche Userdaten Brevo speichert,
- wie lange Brevo die Daten speichert,
- warum und wie Brevo die Daten verarbeitet und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Unternehmen müssen in ihrer Datenschutzerklärung angeben,
- warum sie für die Verwendung von Brevo personenbezogene Daten sammeln,
- wie lange sie die Daten speichern,
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. a DSGVO),
- dass sie die Daten an Brevo weitergeben,
- dass sie für die Datenweitergabe mit Brevo einen AV-Vertrag geschlossen haben und
- dass Nutzer der Einwilligung in die Datenerhebung jederzeit widersprechen können.
Diese Pflichten ergeben sich aus Art. 13 Abs. 1 DSGVO.
Auskunftspflicht beachten
User haben jederzeit das Recht, die Daten einzusehen, die Unternehmen über sie gesammelt haben. Das gilt auch für das Tool Brevo. Unternehmen müssen diese Daten in einem strukturierten und technisch gängigen Format zur Verfügung stellen.
Löschpflicht beachten
Unternehmen dürfen Userdaten in Brevo nur so lange speichern, wie sie diese für den angestrebten Zweck benötigen. Für die Praxis heißt das: Meldet beispielsweise ein User einen Newsletter ab, müssen Unternehmen die dafür gespeicherten Daten wie E-Mail-Adresse und Namen des Users löschen. Darüber hinaus müssen Seitenbetreiber Nutzerdaten auch löschen, wenn Kunden dies einfordern.
Rechtsprechung zu Brevo
Für die Verwendung von Brevo ist diese Rechtsprechung relevant:
2021: Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Versäumen es Unternehmen, mit Dritten einen AV-Vertrag zu schließen, droht ihnen ein empfindliches Bußgeld. Das musste auch der Fußball-Bundesligaclub VfB Stuttgart feststellen. Dieser hatte zwischen 2016 und 2018 mehrere Dienstleister beauftragt, Mitgliederdaten weisungsgebunden zu verarbeiten. Er hatte dafür mit den Dienstleistern jedoch keinen AV-Vertrag geschlossen. Das wertete die Datenschutzbehörde Baden-Württemberg als schweren Datenschutzverstoß. Sie sprach daher im März 2021 eine Strafe in Höhe von 300.000 Euro gegen den Verein aus.
2018: Datenschutzbehörde Hamburg zum AV-Vertrag
Ein deutsches Versandunternehmen hatte einen spanischen Dienstleister beauftragt. In diesem Rahmen gab das Unternehmen personenbezogene Daten an den Dienstleister weiter, um diese weisungsgebunden verarbeiten zu lassen. Es schloss mit dem spanischen Unternehmen jedoch keinen AV-Vertrag. Das bestrafte die Datenschutzbehörde Hamburg im Dezember 20218 mit einem Bußgeld von 5.000 Euro.
2016: OLG Düsseldorf zum Double-Opt-In-Verfahren
Webseitenbetreiber müssen Nutzern beim Double-Opt-In-Verfahren eine E-Mail zusenden, mit der diese die Anmeldung in einen Newsletter bestätigen können. Das stellt das Oberlandesgericht (OLG) Düsseldorf am 17.03.2016 fest (Az. I-15 U 64/15).
2011: Bundesgerichtshof zum Double-Opt-In-Verfahren
Um Newsletter an Nutzer versenden zu dürfen, müssen Unternehmen die Einwilligung der User über das Double-Opt-In-Verfahren einholen. Zu diesem Schluss kam der Bundesgerichtshof (BGH) am 10.02.2011 (Az. I ZR 164/09).