Zum Inhalt springen

Die Rolle des Daten­schutzes im kunden­ge­trie­benen Marke­ting: Sind Customer Data-Platforms ideal zur Reali­sie­rung der Grund­sätze der DSGVO?

Dieser Artikel ist Teil unserer Serie Kunden­ge­trie­benes Marketing.

  1. Data-driven Marke­ting vor dem Aus: Nun kommt das kunden­ge­trie­bene Marketing!
  2. Kunden­seg­men­tie­rung neu denken
  3. Customer Data Platforms als Säulen einer neuen Infrastruktur
  4. Neue KPIs im kunden­ge­trie­benen Marketing
  5. Die Rolle des Daten­schutzes im kunden­ge­trie­benen Marke­ting (dieser Artikel)

Das daten­ge­trie­bene Marke­ting, das bisher stark auf einer Vermi­schung von 1st- und 3rd-Party-Daten basierte, wird durch die anhal­tende Diskus­sion um Daten­schutz und Cookie-Tracking kräftig durch­ein­ander gewir­belt. Durch die 3rd-Party-Cookie-Elimi­nie­rung im Rahmen der DSGVO wird die allei­nige Nutzung von 1st-Party-Daten zur einzigen Alter­na­tive. In der Konequenz müssen Unter­nehmen müssen das Vertrauen der User gewinnen, damit sie die Einwil­li­gung zur Nutzung der Userdaten erhalten und die Daten­ho­heit zurück­erlangen. So und erst dann ist die recht­liche Basis geschaffen, um kunden­ge­trie­benes Marke­ting auszu­üben. Und auch erst dann können umfas­sende und akkurate User-Identi­täten aufge­baut werden, die eine echte Perso­na­li­sie­rung entlang der gesamten Customer Journey zulassen.

Es ist also notwendig, neben konzep­tio­nellen (siehe Artikel) und techno­lo­gi­schen Frage­stel­lungen (siehe Artikel) auch recht­liche Rahmen­be­din­gungen und Fragen zum Daten­schutz zu beleuchten, um auf Basis von kunden­ge­trie­benem Marke­ting user-zentrierte Customer Journeys zu schaffen. Welche Daten dürfen Unter­nehmen wie erheben und welche Zustim­mung benötigen sie dafür? Wie dürfen sie mit den Daten arbeiten und diese anrei­chern? Was müssen sie bei der Daten­ak­ti­vie­rung berück­sich­tigen, um die gewonnen Erkennt­nisse im Marke­ting einsetzen zu können?

Um diese Fragen zu beant­worten, sprechen wir mit einem Rechts­ex­perten: Andreas Mundanjohl ist Wirtschafts­an­walt bei Legasus und beant­wortet uns die wichtigsten Fragen im Kontext von kunden­ge­trie­benem Marke­ting und Datenschutz.

Unter­nehmen wollen Nutzer-Daten natür­lich legitim erheben. Was müssen sie dabei konkret beachten? Im kunden­ge­trie­benen Marke­ting werden oft Customer Data Platforms (CDPs) einge­setzt, die als Aggre­ga­toren die Daten­be­stände der Unter­nehmen aus den unter­schied­li­chen Quellen (E‑Commerce, CRM, POS, Online, Offline) zusam­men­führen. Ergeben sich hieraus Besonderheiten?

AM: Die Verar­bei­tung perso­nen­be­zo­gener Daten muss grund­sätz­lich recht­mäßig erfolgen – daran ändert auch eine Customer Data-Platt­form (CDP) nichts. Es bleibt auch beim Alten, dass man Einwil­li­gungen einholen oder die Anwend­bar­keit gesetz­li­cher Erlaub­nis­tat­be­stände prüfen und dokumen­tieren muss. Die Komple­xität der Legiti­mie­rung nimmt aller­dings signi­fi­kant ab, je weniger „Stake­holder“ im Rahmen der Verar­bei­tung einge­setzt werden. Viele daten­schutz­recht­liche Einwil­li­gungen halten aufgrund der Intrans­pa­renz der Nutzer­in­for­ma­tionen einer recht­li­chen Prüfung nicht stand. Bevor er eine wirksame Einwil­li­gung erteilen kann, muss der Nutzer verständ­lich und klar über alle Aspekte der Verar­bei­tung seiner Daten aufge­klärt werden. Zu diesen Aspekten zählen auch alle relevanten Infor­ma­tionen über einge­setzte Dritt­an­bieter (3rd Parties), deren Prozesse, deren Anteil am Verar­bei­tungs­pro­zess u.v.m. Durch den Verzicht auf 3rd Parties im Verar­bei­tungs­pro­zess werden die Nutzer­in­for­ma­tionen natür­lich unmit­telbar veschlankt, sodass die Einwil­li­gung auf recht­lich stand­fes­teren Füßen steht.

Gleiches gilt für gesetz­liche Erlaub­nis­tat­be­stände wie das berech­tigte Inter­esse an der Daten­ver­ar­bei­tung (Art. 6 Abs. 1 lit. f.) DSGVO) – hier ist die Verar­bei­tung immer dann schwerer zu legiti­mieren, wenn Verar­bei­tungs­schritte erfolgen, mit denen der Betrof­fene „nach seinen vernünf­tigen Erwar­tungen“ nicht rechnen muss. Die Verar­bei­tung enspricht umso weniger den vernünf­tigen Erwar­tungen, umso mehr fehlt also die Legiti­ma­tion, je mehr Dritte invol­viert sind. „Reduk­tion“ auf 1st-Party-Daten bedeutet also auch hier einen großen Gewinn an Rechts­si­cher­heit. Die Maßstäbe, die an das Consent-Manage­ment zu stellen sind, bleiben nichts­des­to­trotz die gleichen: Die Legiti­ma­tion der Daten­ver­ar­bei­tung verdient nach wie vor ein beson­deres Augen­merk – ansonsten drohen auch hier Bußgelder und Reputationsverlust. 

Eine Hypothese lautet, dass Customer Data Platforms in ihrer Reinform ideal für die Einhal­tung der DSGVO stehen – dies bestä­tigt sich also?

AM: Aus recht­li­cher Sicht auf jeden Fall. Einfach­heit und Trans­pa­renz der Verar­bei­tung perso­nen­be­zo­gener Daten sind die Grund­ge­danken der DSGVO. Trans­pa­renz gegen­über dem Betrof­fenen erfor­dert aber zwingend im ersten Schritt Trans­pa­renz auf Seiten des Verar­bei­ters – nur wenn ich als Verar­beiter jeder­zeit auskunfts­fähig bin, kann ich die weitrei­chenden Betrof­fe­nen­rechte aus der DSGVO zuver­lässig erfüllen. 3rd Parties erzeugen hier störende Komple­xität, die Reduk­tion auf 1st-Party-Daten erleich­tert es, jede Art von Betrof­fe­nen­an­frage zu bearbeiten. Auskunfts‑, Widerspruchs‑, Berich­ti­gungs­rechte, Porta­bi­lität von Daten, Lösch­an­sprüche – all dies muss durch entspre­chende Prozesse beim Verant­wort­li­chen jeder­zeit „umsetzbar“ sein. Da sie Kunden­daten aus allen verfüg­baren Quellen, auch über Geräte und Kanäle hinweg, verein­heit­li­chen und für das gesamte Unter­nehmen verfügbar machen, spielen Customer Data-Platt­formen genau hier ihre Stärke aus.

Weitere Rechte der Nutzer, die sich durch CDPs besser erfüllen lassen, sind z.B. generelle Transparenz‑, Dokumen­ta­tions- und Nachweis­pflichten, Pflicht zur Daten­mi­ni­mie­rung, Privacy by Design, Integrität und Vertrau­lich­keit, Treu und Glauben – diese Grund­sätze der DSGVO sind sozusagen beste Freunde von CDPs. Um ihnen gerecht zu werden, brauche ich – fachlich und technisch – volle Kontrolle über die Daten. Und diese Kontrolle geben mir CDPs.

Gibt es eine klare Regelung im Daten­schutz zu proba­lis­ti­schen Methoden, die im kunden­ge­trie­benen Marke­ting beim Aufbau des Identity Grapf eine Rolle spielen?

AM: Aktuell sind proba­bi­lis­ti­sche Methoden wieder in den Fokus gerückt. Es ist ein häufiger Reflex, sich angesichts der recht­li­chen Hürden für den Einsatz von Cookies und der jüngst gerichtllich festge­stellten Einwil­li­gungs­pflicht nach vermeint­lich leichter zu handha­benden Webtech­no­lo­gien umzuschauen. Vielfach werden diese proba­bi­lis­tis­ti­schen Methoden als Cookie-Ersatz gepriesen. Dabei sind die recht­li­chen Anfor­de­rungen mitnichten geringer – es gibt nicht „eine klare Regelung“ hierzu im Daten­schutz, alle Daten­schutz-Regelungen gelten auch für diese Methoden. Das Problem hierbei ist, dass zwar aus Sicht des Anbie­ters viele Vorteile entstehen, aber der Nutzer selbst – der durch diese Methoden zwar nicht eindeutig „identi­fi­ziert“, aber eben doch mit hoher Wahrschein­lich­keit „zuger­ordnet“ werden kann – weder Kontrolle, noch Trans­pa­renz über die Nachver­fol­gung der Daten hat. Insofern sollten auch aus Daten­schutz­sicht maximale Anfor­de­rungen beim Einsatz solcher Methoden einge­halten werden.

Grafik 1
Identity Graph

Fazit

Dass eine Techno­logie sei DSGVO-konform sei, lässt sich nie pauschal sagen – dies gilt auch für CDPs. Das Daten­schutz­recht macht die Daten­schutz-Compli­ance eben nicht nur vom Umgang mit den Daten selbst, sondern auch den Prozessen im Unter­nehmen abhängig. Im Gesamt­paket ist es jedoch ein klares Argument für CDPs aus der Sicht des Daten­schutzes, dass diese daten­schutz­recht­lich jedoch Vorteile mit sich bringen und es dazu auch noch einfa­cher machen, die flankie­renden Daten­schutz­pro­zesse und ‑struk­turen im Unter­nehmen richtig aufzu­setzen. Im Gesamt­paket ist dies ein ganz klares Argument für CDPs aus der Sicht des Datenschutzes.

Der Original-Beitrag zum Thema ist zuerst erschienen in der OneToOne und kann dort für eine vertiefte Lektüre zum Thema noch einmal nachge­lesen werden.

Für einen übergrei­fenden Einstieg ins Thema kunden­ge­trie­benes Marke­ting empfehlen wir unser White­paper Bye bye daten­ge­trie­benes Marke­ting: Es lebe das kunden­ge­trie­bene Marke­ting, das hier angefor­dert werden kann.