News: Updates

Die Rolle des Daten­schutzes im kunden­ge­trie­benen Marketing: Sind Customer Data-Platforms ideal zur Reali­sierung der Grund­sätze der DSGVO?

#customerdata #datenschutz #dsgvo #kgm #kundengetriebenesmarketing

Dieser Artikel ist Teil unserer Serie Kunden­ge­trie­benes Marketing.

  1. Data-driven Marketing vor dem Aus: Nun kommt das kunden­ge­triebene Marketing!
  2. Kunden­seg­men­tierung neu denken
  3. Customer Data Platforms als Säulen einer neuen Infra­struktur
  4. Neue KPIs im kunden­ge­trie­benen Marketing
  5. Die Rolle des Daten­schutzes im kunden­ge­trie­benen Marketing (dieser Artikel)

Das daten­ge­triebene Marketing, das bisher stark auf einer Vermi­schung von 1st- und 3rd-Party-Daten basierte, wird durch die anhal­tende Diskussion um Daten­schutz und Cookie-Tracking kräftig durch­ein­ander gewirbelt. Durch die 3rd-Party-Cookie-Elimi­nierung im Rahmen der DSGVO wird die alleinige Nutzung von 1st-Party-Daten zur einzigen Alter­native. In der Konequenz müssen Unter­nehmen müssen das Vertrauen der User gewinnen, damit sie die Einwil­ligung zur Nutzung der Userdaten erhalten und die Daten­hoheit zurück­er­langen. So und erst dann ist die recht­liche Basis geschaffen, um kunden­ge­trie­benes Marketing auszuüben. Und auch erst dann können umfas­sende und akkurate User-Identi­täten aufgebaut werden, die eine echte Perso­na­li­sierung entlang der gesamten Customer Journey zulassen.

Es ist also notwendig, neben konzep­tio­nellen und techno­lo­gi­schen Frage­stel­lungen auch recht­liche Rahmen­be­din­gungen und Fragen zum Daten­schutz zu beleuchten, um auf Basis von kunden­ge­trie­benem Marketing user-zentrierte Customer Journeys zu schaffen.

Es ist also notwendig, neben konzep­tio­nellen (siehe Artikel) und techno­lo­gi­schen Frage­stel­lungen (siehe Artikel) auch recht­liche Rahmen­be­din­gungen und Fragen zum Daten­schutz zu beleuchten, um auf Basis von kunden­ge­trie­benem Marketing user-zentrierte Customer Journeys zu schaffen. Welche Daten dürfen Unter­nehmen wie erheben und welche Zustimmung benötigen sie dafür? Wie dürfen sie mit den Daten arbeiten und diese anrei­chern? Was müssen sie bei der Daten­ak­ti­vierung berück­sich­tigen, um die gewonnen Erkennt­nisse im Marketing einsetzen zu können?

Um diese Fragen zu beant­worten, sprechen wir mit einem Rechts­experten: Andreas Mundanjohl ist Wirtschafts­anwalt bei Legasus und beant­wortet uns die wichtigsten Fragen im Kontext von kunden­ge­trie­benem Marketing und Daten­schutz.

Unter­nehmen wollen Nutzer-Daten natürlich legitim erheben. Was müssen sie dabei konkret beachten? Im kunden­ge­trie­benen Marketing werden oft Customer Data Platforms (CDPs) einge­setzt, die als Aggre­ga­toren die Daten­be­stände der Unter­nehmen aus den unter­schied­lichen Quellen (E‑Commerce, CRM, POS, Online, Offline) zusam­men­führen. Ergeben sich hieraus Beson­der­heiten?

AM: Die Verar­beitung perso­nen­be­zo­gener Daten muss grund­sätzlich recht­mässig erfolgen – daran ändert auch eine Customer Data-Plattform (CDP) nichts. Es bleibt auch beim Alten, dass man Einwil­li­gungen einholen oder die Anwend­barkeit gesetz­licher Erlaub­nis­tat­be­stände prüfen und dokumen­tieren muss. Die Komple­xität der Legiti­mierung nimmt aller­dings signi­fikant ab, je weniger „Stake­holder“ im Rahmen der Verar­beitung einge­setzt werden. Viele daten­schutz­recht­liche Einwil­li­gungen halten aufgrund der Intrans­parenz der Nutzer­in­for­ma­tionen einer recht­lichen Prüfung nicht stand. Bevor er eine wirksame Einwil­ligung erteilen kann, muss der Nutzer verständlich und klar über alle Aspekte der Verar­beitung seiner Daten aufge­klärt werden. Zu diesen Aspekten zählen auch alle relevanten Infor­ma­tionen über einge­setzte Dritt­an­bieter (3rd Parties), deren Prozesse, deren Anteil am Verar­bei­tungs­prozess u.v.m. Durch den Verzicht auf 3rd Parties im Verar­bei­tungs­prozess werden die Nutzer­in­for­ma­tionen natürlich unmit­telbar veschlankt, sodass die Einwil­ligung auf rechtlich stand­fes­teren Füssen steht.

Gleiches gilt für gesetz­liche Erlaub­nis­tat­be­stände wie das berech­tigte Interesse an der Daten­ver­ar­beitung (Art. 6 Abs. 1 lit. f.) DSGVO) – hier ist die Verar­beitung immer dann schwerer zu legiti­mieren, wenn Verar­bei­tungs­schritte erfolgen, mit denen der Betroffene „nach seinen vernünf­tigen Erwar­tungen“ nicht rechnen muss. Die Verar­beitung enspricht umso weniger den vernünf­tigen Erwar­tungen, umso mehr fehlt also die Legiti­mation, je mehr Dritte invol­viert sind. „Reduktion“ auf 1st-Party-Daten bedeutet also auch hier einen grossen Gewinn an Rechts­si­cherheit. Die Massstäbe, die an das Consent-Management zu stellen sind, bleiben nichts­des­to­trotz die gleichen: Die Legiti­mation der Daten­ver­ar­beitung verdient nach wie vor ein beson­deres Augenmerk – ansonsten drohen auch hier Bussgelder und Reputa­ti­ons­verlust.  

Eine Hypothese lautet, dass Customer Data Platforms in ihrer Reinform ideal für die Einhaltung der DSGVO stehen – dies bestätigt sich also?

AM: Aus recht­licher Sicht auf jeden Fall. Einfachheit und Trans­parenz der Verar­beitung perso­nen­be­zo­gener Daten sind die Grund­ge­danken der DSGVO. Trans­parenz gegenüber dem Betrof­fenen erfordert aber zwingend im ersten Schritt Trans­parenz auf Seiten des Verar­beiters – nur wenn ich als Verar­beiter jederzeit auskunfts­fähig bin, kann ich die weitrei­chenden Betrof­fe­nen­rechte aus der DSGVO zuver­lässig erfüllen. 3rd Parties erzeugen hier störende Komple­xität, die Reduktion auf 1st-Party-Daten erleichtert es, jede Art von Betrof­fe­nen­an­frage zu bearbeiten. Auskunfts‑, Widerspruchs‑, Berich­ti­gungs­rechte, Porta­bi­lität von Daten, Lösch­an­sprüche – all dies muss durch entspre­chende Prozesse beim Verant­wort­lichen jederzeit „umsetzbar“ sein. Da sie Kunden­daten aus allen verfüg­baren Quellen, auch über Geräte und Kanäle hinweg, verein­heit­lichen und für das gesamte Unter­nehmen verfügbar machen, spielen Customer Data-Platt­formen genau hier ihre Stärke aus.

Weitere Rechte der Nutzer, die sich durch CDPs besser erfüllen lassen, sind z.B. generelle Transparenz‑, Dokumen­ta­tions- und Nachweis­pflichten, Pflicht zur Daten­mi­ni­mierung, Privacy by Design, Integrität und Vertrau­lichkeit, Treu und Glauben – diese Grund­sätze der DSGVO sind sozusagen beste Freunde von CDPs. Um ihnen gerecht zu werden, brauche ich – fachlich und technisch – volle Kontrolle über die Daten. Und diese Kontrolle geben mir CDPs.

Gibt es eine klare Regelung im Daten­schutz zu proba­lis­ti­schen Methoden, die im kunden­ge­trie­benen Marketing beim Aufbau des Identity Grapf eine Rolle spielen?

AM: Aktuell sind proba­bi­lis­tische Methoden wieder in den Fokus gerückt. Es ist ein häufiger Reflex, sich angesichts der recht­lichen Hürden für den Einsatz von Cookies und der jüngst gericht­llich festge­stellten Einwil­li­gungs­pflicht nach vermeintlich leichter zu handha­benden Webtech­no­logien umzuschauen. Vielfach werden diese proba­bi­lis­tis­ti­schen Methoden als Cookie-Ersatz gepriesen. Dabei sind die recht­lichen Anfor­de­rungen mitnichten geringer – es gibt nicht „eine klare Regelung“ hierzu im Daten­schutz, alle Daten­schutz-Regelungen gelten auch für diese Methoden. Das Problem hierbei ist, dass zwar aus Sicht des Anbieters viele Vorteile entstehen, aber der Nutzer selbst – der durch diese Methoden zwar nicht eindeutig „identi­fi­ziert“, aber eben doch mit hoher Wahrschein­lichkeit „zuger­ordnet“ werden kann – weder Kontrolle, noch Trans­parenz über die Nachver­folgung der Daten hat. Insofern sollten auch aus Daten­schutz­sicht maximale Anfor­de­rungen beim Einsatz solcher Methoden einge­halten werden.

Grafik: Identity Graph
Identity Graph

Fazit

Dass eine Techno­logie sei DSGVO-konform sei, lässt sich nie pauschal sagen – dies gilt auch für CDPs. Das Daten­schutz­recht macht die Daten­schutz-Compliance eben nicht nur vom Umgang mit den Daten selbst, sondern auch den Prozessen im Unter­nehmen abhängig. Im Gesamt­paket ist es jedoch ein klares Argument für CDPs aus der Sicht des Daten­schutzes, dass diese daten­schutz­rechtlich jedoch Vorteile mit sich bringen und es dazu auch noch einfacher machen, die flankie­renden Daten­schutz­pro­zesse und ‑struk­turen im Unter­nehmen richtig aufzu­setzen. Im Gesamt­paket ist dies ein ganz klares Argument für CDPs aus der Sicht des Daten­schutzes.

Der Original-Beitrag zum Thema ist zuerst erschienen in der OneToOne.

Für einen übergrei­fenden Einstieg ins Thema kunden­ge­trie­benes Marketing empfehlen wir unser White­paper Bye bye daten­ge­trie­benes Marketing: Es lebe das kunden­ge­triebene Marketing, das hier angefordert werden kann.


Joachim Stalph

Autor

Joachim Stalph ist Principal Consultant bei elaboratum und seit über 10 Jahren im Online­business tätig. Seine Beratungs­schwer­punkte liegen auf E‑Com­merce-Konzeption, UX, Conversion-Optimierung und Crosschannel-Verknüpfung. In dem Themenfeld Kunden-getrie­benes Marketing beschäftigt ihn die Frage­stellung, wie aus rohen Daten intel­li­gente Erkennt­nisse gewonnen werden können. Kontakt: joachim.​stalph@​elaboratum.​de

Andreas Mundanjohl

Im Interview mit

Andreas Mundanjohl ist Wirtschafts­anwalt für IT-Recht, Daten­schutz­recht, E‑Commerce, gewerb­lichen Rechts­schutz und Compliance bei der Kanzlei Legasus. Ein Schwer­punkt seiner Arbeit ist die Beratung von Unter­nehmen beim Aufbau und der Etablierung von Compliance-Management-Systemen. Andreas Mundanjohl unter­stützt sowohl als externer Compliance- oder Daten­schutz­be­auf­tragter, aber auch als Coach und verlän­gerte Werkbank unter­neh­mens­in­terner Compliance- und Daten­schutz­teams.


Alle Deep Dives dieser Reihe in der Übersicht:

  1. Data-driven Marketing vor dem Aus: Nun kommt das kunden­ge­triebene Marketing!
  2. Kunden­seg­men­tierung neu denken
  3. Customer Data Platforms als Säulen einer neuen Infra­struktur
  4. Neue KPIs im kunden­ge­trie­benen Marketing
  5. Die Rolle des Daten­schutzes im kunden­ge­trie­benen Marketing
Visual Artikelreihe Kundengetriebenes Marketing
Anke Raloff

Anke Raloff
Marketing & PR
+49 173 49 30 053
anke.raloff@elaboratum.de

Ich freue mich darauf, von Ihnen zu hören. Gerne stehe ich Ihnen bei Fragen zur Verfügung.

Stay tuned: Folgen Sie uns auf LinkedIn!

Was wir Ihnen anbieten können

Das könnte Sie ebenfalls interessieren

Visual Artikelreihe Kundengetriebenes Marketing

Data-driven Marketing vor dem Aus: Nun kommt das kunden­ge­triebene Marketing!

Dieser Artikel ist Teil unserer Serie Kunden­ge­trie­benes Marketing. Die Nutzung von Cookies wird gesetzlich neu geregelt. Diese Änderungen gehen an…

weiterlesen
Visual Artikelreihe Kundengetriebenes Marketing

Kunden­seg­men­tierung neu denken: Warum Erkennt­nisse der Behavioral Economics und der Verhal­tens­psy­cho­logie eine neue Ära bei der Kunden­seg­men­tierung einläuten

Dieser Artikel ist Teil unserer Serie Kunden­ge­trie­benes Marketing. Zwei Entwick­lungen sorgen dafür, dass bei der Segmen­tierung von Kunden künftig kein…

weiterlesen
Digital-Seminar mit Facebook und Tealium: „Kundengetriebenes Marketing in Zeiten der Cookie-Apokalypse“

Digital-Seminar Kunden­ge­trie­benes Marketing in Zeiten der Cookie-Apoka­lypse: Die zentralen Botschaften

Perso­na­li­sierung und User-Ansprache ohne Cookies? Ein Szenario, das vor ein paar Jahren kaum vorstellbar schien, ist nun Realität und ja…

weiterlesen