In diesem Artikel möchte ich auf verschiedene Zertifizierungen eingehen, speziell die ISO 27001 und ISO 27701. Ich möchte kurz die Unterschiede erläutern und erklären, warum das ein wichtiges Thema sein könnte wenn man einen Newsletter über einen Anbieter wie Newsletter2go oder CleverReach betreibt. Zudem zeige ich, welche Newsletter Anbieter eine ISO 27001 Zertifizierung haben. Dazu gibt es auch gleich am Anfang eine tabellarische Übersicht.
Disclaimer: Dieser Artikel ist keine Rechtsberatung, er spiegelt lediglich meine persönliche Meinung wieder.
Übersicht von Newsletter Anbietern mit ISO 27001 Zertifizierung
Was ist die ISO 27001 und was hat das mit Newslettern zu tun?
Die ISO 27001 ist eine international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Sie bietet Organisationen/Unternehmen aller Art und Größe klare Leitlinien für die Planung, Umsetzung, Überwachung und Verbesserung ihrer Informationssicherheit.
Es geht also darum, mit festgelegten Regeln den grundlegenden Schutz der eigenen IT-Systeme, beispielsweise der Serverinfrastruktur zu verbessern. Die Zertifizierung schütz damit zumindest indirekt vor Hackerangriffen und damit natürlich auch vor Ausfällen die durch solche entstehen. Unternehmen müssen auf ein Datenschutz-Management-System zurückgreifen, um den Bestimmungen der DSGVO u.a. hinsichtlich Dokumentationsverpflichtungen sowie Nachvollziehbarkeit entsprechen zu können. Über DSGVO konforme Newsletter Anbieter habe ich bereits in einem anderen Artikel schon einmal geschrieben.
Warum ist das für mich wichtig?
Wenn man eine Webseite betreibt muss man sich an die DSGVO halten. Das gilt auch für die Dienste, die man auf der Webseite verwendet. Der Newsletter Anbieter ist so ein Dienst.
Die EU-Datenschutzgrundverordnung fordert in Artikel 32, dass Unternehmen:
„unter Berücksichtigung des Stands der Technik, der Implementierungskosten (…) sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere [der Risiken] (…) geeignete technische und organisatorische Maßnahmen [getroffen werden] (…)“.
https://www.iitr.de/eu-dsgvo/32.html
Um rechtlich auf der sicheren Seite zu sein sollte man also einen Anbieter wählen, der diese ISO Norm erfüllt. Bei den Newsletter Anbietern geht es da hauptsächlich um deren Mail-Serverinfrastruktur. Bei einigen Wordpress Newsletter Anbietern kann es also sein, das sie selber diese Zertifizierung nicht haben, jedoch das IT-Unternehmen, das die Server hostet und technisch betreut.
Was ist der Unterschied zwischen ISO 27701 und ISO 27001
Die ISO 27001 ist kein Datenschutz Zertifikat. Dafür wurde mit der ISO 27701 eine neue Zertifizierung geschaffen, die komplett auf der ISO 27001 aufbaut und diese um Datenschutzaspekte ergänzt. Auch auf Datenschutzbeauftragter-info.de wird auf diesen Umstand hingewiesen und die Hintergründe ausführlich erklärt. Der Titel der ISO 27701 Norm lautet entsprechend:
„ISO/IEC 27701:2019-08 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“
Die Einführung eines Datenschutz Zertifizierungsverfahrens wird nach Artikel 42 Absatz 1 der DSGVO gefördert:
(1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
https://www.iitr.de/eu-dsgvo/42.html
Da die ISO 27701 noch sehr neu ist, gibt es bislang nur wenige Unternehmen, die dieses Zertifikat vorlegen können. Aktuell gibt es noch keine Newsletter Anbieter, die eine ISO 27701 Zertifizierung haben. Sobald sich das ändert, werde ich das hier entsprechend im Text und in der Tabelle am Anfang ergänzen.
CleverReach
Wie andere größere Unternehmen ist sich auch CleverReach über die Wichtigkeit von Zertifizierungen bewusst und weiß dass auch die Kunden darauf achten. Die Server von CleverReach stehen in Deutschland und Irland und werden durch ein TÜV-geprüftes Informations-Sicherheits-Management-System überwacht und regelmäßig überprüft. CleverReach ist nach DIN ISO/IEC 27001 zertifiziert und nach den Datensicherheitsstandards der Kreditkartenbranche (DSS/PCI) als Level-1-Anbieter eingestuft.
Newsletter2go
Newsletter2go wurde in Bezug auf die DSGVO Anforderungen durch die Datenschutzexperten des TÜV Rheinland geprüft und hat die Anforderungen bestanden. Grundlagen für die Prüfung sind die gesetzlichen Anforderungen des Bundesdatenschutzgesetzes, Telekommunikationsgesetzes und Telemediengesetzes. Newsletter2go arbeitet mit dem Hosting Unternehmen Hetzner zusammen, das seinen Sitz in Deutschland hat. Die Hetzner Online GmbH, als Partner von Newsletter2Go hat eine ISO/IEC 27001 Zertifizierung. Diese bescheinigt, dass ein geeignetes Informationssicherheitsmanagementsystem, kurz ISMS, implementiert und adaptiert wurde.
Rapidmail
Die Datenverarbeitung findet bei rapidmail in einem deutschen Rechenzentrum statt. Dieses Rechenzentrum ist in Besitzt einer entsprechenden ISO 27701 Zertifizierung. Nach eigenen Angaben arbeitet das Unternehmen zu 100% Datenschutzkonform.
Die Übertragung der Kundendaten erfolgt über eine 256bit SSL-Verschlüsselung zu einem gesicherten und überwachten Hochsicherheitsrechenzentrum. Ihre Daten inklusive Mailings, Statistiken und Empfängerdaten werden nach Angaben von rapidmail niemals an Dritte übergeben.
CleverReach selbst ist nicht ISO 27001 zertifiziert, sondern lediglich das Rechenzentrum, in dem CleverReach seine Server hosten lässt. Siehe https://www.cleverreach.com/de/datensicherheit/
Gleiches gilt ebenfalls für Rapidmail, auch hier ist lediglich das externe Rechenzentrum, nicht aber die Software oder Firma selbst zertifiziert: https://www.rapidmail.de/hilfe/ist-rapidmail-iso-zertifiziert
Und auch Sendinblue selbst ist nicht zertifiziert, sondern ebenfalls nur das externe Rechenzentrum: https://de.sendinblue.com/legal/termsofuse/
Von den mir bekannten E-Mail-Marketing Anbietern ist lediglich Inxmail aus Freiburg tatsächlich selbst ISO 27001 zertifiziert: https://www.inxmail.de/unternehmen/presse/pressemitteilungen/inxmail-erhaelt-iso-27001-zertifizierung-vom-tuev-rheinland
Mailchimp strebt diese Zertifizierung für Q4/2021 an.