Skip to content

Die Rolle des Daten­schutzes im kunden­ge­trie­benen Marketing: Sind Customer Data-Platforms ideal zur Reali­sierung der Grund­sätze des neuen Daten­schutz­ge­setzes in der Schweiz?

Dieser Artikel ist Teil unserer Serie Kunden­ge­trie­benes Marketing.

  1. Data-driven Marketing vor dem Aus: Nun kommt das kunden­ge­triebene Marketing!
  2. Kunden­seg­men­tierung neu denken
  3. Customer Data Platforms als Säulen einer neuen Infrastruktur
  4. Neue KPIs im kunden­ge­trie­benen Marketing
  5. Die Rolle des Daten­schutzes im kunden­ge­trie­benen Marketing (dieser Artikel)

Das daten­ge­triebene Marketing, das bisher stark auf einer Vermi­schung von 1st- und 3rd-Party-Daten basierte, wird durch die anhal­tende Diskussion um Daten­schutz und Cookie-Tracking kräftig durch­ein­an­der­ge­wirbelt. Durch die 3rd-Party-Cookie-Elimi­nierung im Rahmen der DSGVO wird die alleinige Nutzung von 1st-Party-Daten zur einzigen Alter­native. Diese technische Verän­derung wird auch in der Schweiz spürbar werden, wo zusätzlich gegen Ende 2021 oder Anfang 2022 das neue, revidierte Daten­schutz­gesetz (DSG) wirksam wird. In der Konse­quenz müssen Unter­nehmen das Vertrauen der User gewinnen, damit sie die Einwil­ligung zur Nutzung der Userdaten erhalten und die Daten­hoheit zurück­erlangen. So und erst dann ist die recht­liche Basis geschaffen, um kunden­ge­trie­benes Marketing auszuüben. Und auch erst dann können umfas­sende und akkurate User-Identi­täten aufgebaut werden, die eine echte Perso­na­li­sierung entlang der gesamten Customer Journey zulassen.

Es ist also notwendig, neben konzep­tio­nellen und techno­lo­gi­schen Frage­stel­lungen auch recht­liche Rahmen­be­din­gungen und Fragen zum Daten­schutz zu beleuchten, um auf Basis von kunden­ge­trie­benem Marketing user-zentrierte Customer Journeys zu schaffen. Welche Daten dürfen Unter­nehmen wie erheben und welche Zustimmung benötigen sie dafür? Wie dürfen sie mit den Daten arbeiten und diese anrei­chern? Was müssen sie bei der Daten­ak­ti­vierung berück­sich­tigen, um die gewonnen Erkennt­nisse im Marketing einsetzen zu können?

Schweizer Unter­nehmen müssen im Rahmen des neuen Daten­schutz­ge­setzes trans­pa­renter sein und neuen Mindest­an­for­de­rungen gerecht werden. Customer Data-Platforms unter­stützen, diese Trans­parenz herzuleiten

Die Verar­beitung der Perso­nen­daten muss grund­sätzlich recht­mässig erfolgen – daran ändert auch eine CDP nichts. Nach wie vor ist nicht für jede Daten­be­ar­beitung eine Einwil­ligung erfor­derlich, was bei der DSGVO deutlich strenger ist. Eine Einwil­ligung ist neu ausdrücklich erfor­derlich bei der Bearbeitung von besonders schüt­zens­werten Daten[1] und bei Profiling mit hohem Risiko[2]. Also Daten, die eine hohe Gefahr für die Persön­lichkeit sowie die Grund­rechte der betrof­fenen Person mit sich bringen. Dies kann je nach Branche deutlich variieren. Die Komple­xität der Legiti­mierung nimmt signi­fikant ab, je weniger „Stake­holder“ im Rahmen der Verar­beitung einge­setzt werden. Trotzdem muss im Rahmen des neuen DSG in der Schweiz eine Mindest­in­for­ma­ti­ons­pflicht einge­halten werden. Viele daten­schutz­recht­liche Einwil­li­gungen würden entspre­chend nicht mehr stand­halten aufgrund der Intrans­parenz der Verar­beitung der Nutzer­in­for­ma­tionen. Bevor der Nutzer eine wirksame Einwil­ligung erteilen kann, muss dieser verständlich und klar über die Mindest­an­for­derung an Infor­ma­tionen der Verar­beitung seiner Daten aufge­klärt werden. Zu diesen Aspekten zählen auch alle relevanten Infor­ma­tionen über einge­setzte Dritt­an­bieter (3rd Parties), die Perso­nen­daten erhalten oder von denen solche bezogen werden, die Identität und die Kontakt­daten des Verant­wort­lichen, den Bearbei­tungs­zweck und bei Auslands­be­kanntgabe den Staat oder das inter­na­tionale Organ (und ggf. Garantien). Durch den Verzicht auf 3rd Parties im Verar­bei­tungs­prozess werden die Nutzer­in­for­ma­tionen natürlich unmit­telbar verschlankt, sodass die Einwil­ligung auf rechtlich stand­fes­teren Füssen steht. Die Massstäbe, die an das Consent-Management zu stellen sind, bleiben nichts­des­to­trotz die gleichen: Die Legiti­mation der Daten­ver­ar­beitung verdient nach wie vor ein beson­deres Augenmerk – ansonsten drohen auch hier Sanktionen und Reputationsverlust.

Customer Data-Platforms sind ideal, um den Anfor­de­rungen des neuen Daten­schutz­ge­setzes stand­zu­halten, erfordern dennoch Trans­parenz auf Seiten des Verarbeiters

Aus recht­licher Sicht machen Customer Data-Platforms bestimmt Sinn. Einfachheit und Trans­parenz in der Verar­beitung von Perso­nen­daten sind die Grund­ge­danken des DSG. Trans­parenz gegenüber dem Betrof­fenen erfordert aber zwingend im ersten Schritt Trans­parenz auf Seiten des Verar­beiters – nur wenn ich als Verar­beiter jederzeit auskunfts­fähig bin, kann ich die Betrof­fe­nen­rechte aus dem Daten­schutz­gesetz zuver­lässig erfüllen. 3rd Parties erzeugen hier störende Komple­xität, die Reduktion auf 1st-Party-Daten erleichtert es, jede Art von Betrof­fe­nen­an­frage zeitnah und ohne grossen Zusatz­aufwand zu bearbeiten. Rechte auf Auskunft, Berich­tigung, Löschung, Einschränkung der Bearbeitung, Daten­her­aus­gabe/-übertragung, bestimmte Bekanntgabe an Dritte, Widerruf einer Einwil­ligung, Eintrag eines Bestrei­tungs­ver­merks – all dies muss durch entspre­chende Prozesse beim Verant­wort­lichen jederzeit „umsetzbar“ sein. Da sie Kunden­daten aus allen verfüg­baren Quellen, auch über Geräte und Kanäle hinweg, verein­heit­lichen und für das gesamte Unter­nehmen verfügbar machen, spielen Customer Data-Platt­formen genau hier ihre Stärke aus.

Weitere Rechte der Nutzer, die sich durch CDPs besser erfüllen lassen, sind z.B. generelle Transparenz‑, Dokumen­ta­tions- und Nachweis­pflichten – auch hier sind CDPs klar im Vorteil in Bezug auf das Daten­schutz­gesetz. Selbst im Rahmen der stren­geren DSGVO. Um diesen Ansprüchen gerecht zu werden, benötigt man – fachlich und technisch – volle Kontrolle über die Daten, welche die CDPs ermöglichen.

Auch bei proba­lis­ti­schen Methoden, wie etwa dem Aufbau eines Identity Graphs, sollten die Anfor­de­rungen aus Nutzer­sicht für den Daten­schutz einge­halten werden

Proba­bi­lis­tische Methoden sind aktuell wieder in den Fokus gerückt. Es ist ein häufiger Reflex, sich angesichts der recht­lichen Hürden für den Einsatz von Cookies und der Notwen­digkeit nach Einwil­li­gungen nach vermeintlich leichter zu handha­benden Webtech­no­logien umzuschauen. Vielfach werden diese proba­bi­lis­ti­schen Methoden als Cookie-Ersatz gepriesen. Dabei sind die recht­lichen Anfor­de­rungen mitnichten geringer – es gibt nicht „eine klare Regelung“ hierzu im Daten­schutz, alle Daten­schutz-Regelungen gelten auch für diese Methoden. Das Problem hierbei ist, dass zwar aus Sicht des Anbieters viele Vorteile entstehen, aber der Nutzer selbst – der durch diese Methoden zwar nicht eindeutig „identi­fi­ziert“, aber eben doch mit hoher Wahrschein­lichkeit „zugeordnet“ werden kann – weder Kontrolle, noch Trans­parenz über die Nachver­folgung der Daten hat. Insofern sollten auch aus Daten­schutz­sicht maximale Anfor­de­rungen beim Einsatz solcher Methoden einge­halten werden.

Grafik 1
Identity Graph

Fazit

Dass eine Techno­logie konform für das Daten­schutz­gesetz sei, lässt sich nie pauschal sagen – dies gilt auch für CDPs. Das Daten­schutz­recht macht die Daten­schutz-Compliance eben nicht nur vom Umgang mit den Daten selbst, sondern auch den Prozessen im Unter­nehmen abhängig. Im Gesamt­paket ist es jedoch ein klares Argument für CDPs aus der Sicht des Daten­schutzes, dass diese daten­schutz­rechtlich jedoch Vorteile mit sich bringen und es dazu auch noch einfacher machen, die flankie­renden Daten­schutz­pro­zesse und ‑struk­turen im Unter­nehmen richtig aufzu­setzen. Im Gesamt­paket ist dies ein klares Argument für CDPs aus der Sicht des Datenschutzes.

Für einen übergrei­fenden Einstieg ins Thema kunden­ge­trie­benes Marketing empfehlen wir unser White­paper Bye daten­ge­trie­benes Marketing: Es lebe das kunden­ge­triebene Marketing, das hier angefordert werden kann.

Für einen übergrei­fenden Einstieg ins Thema kunden­ge­trie­benes Marketing empfehlen wir unser White­paper Bye bye daten­ge­trie­benes Marketing: Es lebe das kunden­ge­triebene Marketing, das hier angefordert werden kann.

[1] Gem. revDSG (Art. 5 lit. c) gelten als «besonders schüt­zens­werte Daten»: Daten über religiöse, weltan­schau­liche, politische oder gewerk­schaft­liche Ansichten oder Tätigkeit, Daten über die Gesundheit, die Intim­sphäre oder die Zugehö­rigkeit zu einer Rasse oder Ethnie, genetische oder biome­trische Daten, die eine natür­liche Person eindeutig identi­fi­zieren, Daten über verwal­tungs- und straf­recht­liche Verfol­gungen oder Sanktionen, Daten über Massnahmen der sozialen Hilfe.

[2] Gem. revDSG (Art. 5 lit. f) gilt als Profiling die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automa­ti­siert bearbei­teten Perso­nen­daten, insbe­sondere um die Arbeits­leistung, die wirtschaft­lichen Verhält­nisse, die Gesundheit, das Verhalten, die Vorlieben, den Aufent­haltsort oder die Mobilität zu analy­sieren und vorher­zu­sagen. Als Beispiele sind etwa Bonitäts­prü­fungen, Erstellen von Nutzer­pro­filen oder CRM-Analysen zu nennen.

Autor

Alexander Haymann

Alexander Haymann ist Senior Consultant bei elabo­ratum suisse. Der Experte im cross­channel-orien­tierten Marketing verfügt über umfang­reiche Erfahrung in Digita­li­sie­rungs­pro­jekten, von der Strategie bis zur Imple­men­tierung mit Fokus auf Customer Experience, Conversion und Lead Generation. Kontakt: alexander.haymann@nullelabo​ratum​.ch

Autor

Alessandro di Vito

Alessandro di Vito ist Consultant bei elabo­ratum suisse. Der Fachmann für E‑Commerce und Online-Marketing verfügt über besondere Expertise in Usability und UX-Design, Website- und Conversion-Optimierung, user-zentrierter Anfor­de­rungs­de­fi­nition, digitaler Kampa­gnen­planung und Content-Marketing. Kontakt: alessandro.divito@nullelabo​ratum​.ch