Dieser Artikel ist Teil unserer Serie Kundengetriebenes Marketing.
- Data-driven Marketing vor dem Aus: Nun kommt das kundengetriebene Marketing!
- Kundensegmentierung neu denken
- Customer Data Platforms als Säulen einer neuen Infrastruktur
- Neue KPIs im kundengetriebenen Marketing
- Die Rolle des Datenschutzes im kundengetriebenen Marketing (dieser Artikel)
Das datengetriebene Marketing, das bisher stark auf einer Vermischung von 1st- und 3rd-Party-Daten basierte, wird durch die anhaltende Diskussion um Datenschutz und Cookie-Tracking kräftig durcheinander gewirbelt. Durch die 3rd-Party-Cookie-Eliminierung im Rahmen der DSGVO wird die alleinige Nutzung von 1st-Party-Daten zur einzigen Alternative. In der Konequenz müssen Unternehmen müssen das Vertrauen der User gewinnen, damit sie die Einwilligung zur Nutzung der Userdaten erhalten und die Datenhoheit zurückerlangen. So und erst dann ist die rechtliche Basis geschaffen, um kundengetriebenes Marketing auszuüben. Und auch erst dann können umfassende und akkurate User-Identitäten aufgebaut werden, die eine echte Personalisierung entlang der gesamten Customer Journey zulassen.
Es ist also notwendig, neben konzeptionellen und technologischen Fragestellungen auch rechtliche Rahmenbedingungen und Fragen zum Datenschutz zu beleuchten, um auf Basis von kundengetriebenem Marketing user-zentrierte Customer Journeys zu schaffen.
Es ist also notwendig, neben konzeptionellen (siehe Artikel) und technologischen Fragestellungen (siehe Artikel) auch rechtliche Rahmenbedingungen und Fragen zum Datenschutz zu beleuchten, um auf Basis von kundengetriebenem Marketing user-zentrierte Customer Journeys zu schaffen. Welche Daten dürfen Unternehmen wie erheben und welche Zustimmung benötigen sie dafür? Wie dürfen sie mit den Daten arbeiten und diese anreichern? Was müssen sie bei der Datenaktivierung berücksichtigen, um die gewonnen Erkenntnisse im Marketing einsetzen zu können?
Um diese Fragen zu beantworten, sprechen wir mit einem Rechtsexperten: Andreas Mundanjohl ist Wirtschaftsanwalt bei Legasus und beantwortet uns die wichtigsten Fragen im Kontext von kundengetriebenem Marketing und Datenschutz.
Unternehmen wollen Nutzer-Daten natürlich legitim erheben. Was müssen sie dabei konkret beachten? Im kundengetriebenen Marketing werden oft Customer Data Platforms (CDPs) eingesetzt, die als Aggregatoren die Datenbestände der Unternehmen aus den unterschiedlichen Quellen (E‑Commerce, CRM, POS, Online, Offline) zusammenführen. Ergeben sich hieraus Besonderheiten?
AM: Die Verarbeitung personenbezogener Daten muss grundsätzlich rechtmäßig erfolgen – daran ändert auch eine Customer Data-Plattform (CDP) nichts. Es bleibt auch beim Alten, dass man Einwilligungen einholen oder die Anwendbarkeit gesetzlicher Erlaubnistatbestände prüfen und dokumentieren muss. Die Komplexität der Legitimierung nimmt allerdings signifikant ab, je weniger „Stakeholder“ im Rahmen der Verarbeitung eingesetzt werden. Viele datenschutzrechtliche Einwilligungen halten aufgrund der Intransparenz der Nutzerinformationen einer rechtlichen Prüfung nicht stand. Bevor er eine wirksame Einwilligung erteilen kann, muss der Nutzer verständlich und klar über alle Aspekte der Verarbeitung seiner Daten aufgeklärt werden. Zu diesen Aspekten zählen auch alle relevanten Informationen über eingesetzte Drittanbieter (3rd Parties), deren Prozesse, deren Anteil am Verarbeitungsprozess u.v.m. Durch den Verzicht auf 3rd Parties im Verarbeitungsprozess werden die Nutzerinformationen natürlich unmittelbar veschlankt, sodass die Einwilligung auf rechtlich standfesteren Füßen steht.
Gleiches gilt für gesetzliche Erlaubnistatbestände wie das berechtigte Interesse an der Datenverarbeitung (Art. 6 Abs. 1 lit. f.) DSGVO) – hier ist die Verarbeitung immer dann schwerer zu legitimieren, wenn Verarbeitungsschritte erfolgen, mit denen der Betroffene „nach seinen vernünftigen Erwartungen“ nicht rechnen muss. Die Verarbeitung enspricht umso weniger den vernünftigen Erwartungen, umso mehr fehlt also die Legitimation, je mehr Dritte involviert sind. „Reduktion“ auf 1st-Party-Daten bedeutet also auch hier einen großen Gewinn an Rechtssicherheit. Die Maßstäbe, die an das Consent-Management zu stellen sind, bleiben nichtsdestotrotz die gleichen: Die Legitimation der Datenverarbeitung verdient nach wie vor ein besonderes Augenmerk – ansonsten drohen auch hier Bußgelder und Reputationsverlust.
Eine Hypothese lautet, dass Customer Data Platforms in ihrer Reinform ideal für die Einhaltung der DSGVO stehen – dies bestätigt sich also?
AM: Aus rechtlicher Sicht auf jeden Fall. Einfachheit und Transparenz der Verarbeitung personenbezogener Daten sind die Grundgedanken der DSGVO. Transparenz gegenüber dem Betroffenen erfordert aber zwingend im ersten Schritt Transparenz auf Seiten des Verarbeiters – nur wenn ich als Verarbeiter jederzeit auskunftsfähig bin, kann ich die weitreichenden Betroffenenrechte aus der DSGVO zuverlässig erfüllen. 3rd Parties erzeugen hier störende Komplexität, die Reduktion auf 1st-Party-Daten erleichtert es, jede Art von Betroffenenanfrage zu bearbeiten. Auskunfts‑, Widerspruchs‑, Berichtigungsrechte, Portabilität von Daten, Löschansprüche – all dies muss durch entsprechende Prozesse beim Verantwortlichen jederzeit „umsetzbar“ sein. Da sie Kundendaten aus allen verfügbaren Quellen, auch über Geräte und Kanäle hinweg, vereinheitlichen und für das gesamte Unternehmen verfügbar machen, spielen Customer Data-Plattformen genau hier ihre Stärke aus.
Weitere Rechte der Nutzer, die sich durch CDPs besser erfüllen lassen, sind z.B. generelle Transparenz‑, Dokumentations- und Nachweispflichten, Pflicht zur Datenminimierung, Privacy by Design, Integrität und Vertraulichkeit, Treu und Glauben – diese Grundsätze der DSGVO sind sozusagen beste Freunde von CDPs. Um ihnen gerecht zu werden, brauche ich – fachlich und technisch – volle Kontrolle über die Daten. Und diese Kontrolle geben mir CDPs.
Gibt es eine klare Regelung im Datenschutz zu probalistischen Methoden, die im kundengetriebenen Marketing beim Aufbau des Identity Grapf eine Rolle spielen?
AM: Aktuell sind probabilistische Methoden wieder in den Fokus gerückt. Es ist ein häufiger Reflex, sich angesichts der rechtlichen Hürden für den Einsatz von Cookies und der jüngst gerichtllich festgestellten Einwilligungspflicht nach vermeintlich leichter zu handhabenden Webtechnologien umzuschauen. Vielfach werden diese probabilististischen Methoden als Cookie-Ersatz gepriesen. Dabei sind die rechtlichen Anforderungen mitnichten geringer – es gibt nicht „eine klare Regelung“ hierzu im Datenschutz, alle Datenschutz-Regelungen gelten auch für diese Methoden. Das Problem hierbei ist, dass zwar aus Sicht des Anbieters viele Vorteile entstehen, aber der Nutzer selbst – der durch diese Methoden zwar nicht eindeutig „identifiziert“, aber eben doch mit hoher Wahrscheinlichkeit „zugerordnet“ werden kann – weder Kontrolle, noch Transparenz über die Nachverfolgung der Daten hat. Insofern sollten auch aus Datenschutzsicht maximale Anforderungen beim Einsatz solcher Methoden eingehalten werden.
Fazit
Dass eine Technologie sei DSGVO-konform sei, lässt sich nie pauschal sagen – dies gilt auch für CDPs. Das Datenschutzrecht macht die Datenschutz-Compliance eben nicht nur vom Umgang mit den Daten selbst, sondern auch den Prozessen im Unternehmen abhängig. Im Gesamtpaket ist es jedoch ein klares Argument für CDPs aus der Sicht des Datenschutzes, dass diese datenschutzrechtlich jedoch Vorteile mit sich bringen und es dazu auch noch einfacher machen, die flankierenden Datenschutzprozesse und ‑strukturen im Unternehmen richtig aufzusetzen. Im Gesamtpaket ist dies ein ganz klares Argument für CDPs aus der Sicht des Datenschutzes.
Der Original-Beitrag zum Thema ist zuerst erschienen in der OneToOne.
Für einen übergreifenden Einstieg ins Thema kundengetriebenes Marketing empfehlen wir unser Whitepaper Bye bye datengetriebenes Marketing: Es lebe das kundengetriebene Marketing, das hier angefordert werden kann.
Autor
Joachim Stalph ist Principal Consultant bei elaboratum und seit über 10 Jahren im Onlinebusiness tätig. Seine Beratungsschwerpunkte liegen auf E‑Commerce-Konzeption, UX, Conversion-Optimierung und Crosschannel-Verknüpfung. In dem Themenfeld Kunden-getriebenes Marketing beschäftigt ihn die Fragestellung, wie aus rohen Daten intelligente Erkenntnisse gewonnen werden können. Kontakt: joachim.stalph@elaboratum.de
Im Interview mit
Andreas Mundanjohl ist Wirtschaftsanwalt für IT-Recht, Datenschutzrecht, E‑Commerce, gewerblichen Rechtsschutz und Compliance bei der Kanzlei Legasus. Ein Schwerpunkt seiner Arbeit ist die Beratung von Unternehmen beim Aufbau und der Etablierung von Compliance-Management-Systemen. Andreas Mundanjohl unterstützt sowohl als externer Compliance- oder Datenschutzbeauftragter, aber auch als Coach und verlängerte Werkbank unternehmensinterner Compliance- und Datenschutzteams.
Alle Deep Dives dieser Reihe in der Übersicht:
- Data-driven Marketing vor dem Aus: Nun kommt das kundengetriebene Marketing!
- Kundensegmentierung neu denken
- Customer Data Platforms als Säulen einer neuen Infrastruktur
- Neue KPIs im kundengetriebenen Marketing
- Die Rolle des Datenschutzes im kundengetriebenen Marketing
