Die Rolle des Datenschutzes im kundengetriebenen Marketing: Sind Customer Data-Platforms ideal zur Realisierung der Grundsätze des neuen Datenschutzgesetzes in der Schweiz?
Dieser Artikel ist Teil unserer Serie Kundengetriebenes Marketing.
- Data-driven Marketing vor dem Aus: Nun kommt das kundengetriebene Marketing!
- Kundensegmentierung neu denken
- Customer Data Platforms als Säulen einer neuen Infrastruktur
- Neue KPIs im kundengetriebenen Marketing
- Die Rolle des Datenschutzes im kundengetriebenen Marketing (dieser Artikel)
Das datengetriebene Marketing, das bisher stark auf einer Vermischung von 1st- und 3rd-Party-Daten basierte, wird durch die anhaltende Diskussion um Datenschutz und Cookie-Tracking kräftig durcheinandergewirbelt. Durch die 3rd-Party-Cookie-Eliminierung im Rahmen der DSGVO wird die alleinige Nutzung von 1st-Party-Daten zur einzigen Alternative. Diese technische Veränderung wird auch in der Schweiz spürbar werden, wo zusätzlich gegen Ende 2021 oder Anfang 2022 das neue, revidierte Datenschutzgesetz (DSG) wirksam wird. In der Konsequenz müssen Unternehmen das Vertrauen der User gewinnen, damit sie die Einwilligung zur Nutzung der Userdaten erhalten und die Datenhoheit zurückerlangen. So und erst dann ist die rechtliche Basis geschaffen, um kundengetriebenes Marketing auszuüben. Und auch erst dann können umfassende und akkurate User-Identitäten aufgebaut werden, die eine echte Personalisierung entlang der gesamten Customer Journey zulassen.
Es ist also notwendig, neben konzeptionellen und technologischen Fragestellungen auch rechtliche Rahmenbedingungen und Fragen zum Datenschutz zu beleuchten, um auf Basis von kundengetriebenem Marketing user-zentrierte Customer Journeys zu schaffen. Welche Daten dürfen Unternehmen wie erheben und welche Zustimmung benötigen sie dafür? Wie dürfen sie mit den Daten arbeiten und diese anreichern? Was müssen sie bei der Datenaktivierung berücksichtigen, um die gewonnen Erkenntnisse im Marketing einsetzen zu können?
Schweizer Unternehmen müssen im Rahmen des neuen Datenschutzgesetzes transparenter sein und neuen Mindestanforderungen gerecht werden. Customer Data-Platforms unterstützen, diese Transparenz herzuleiten
Die Verarbeitung der Personendaten muss grundsätzlich rechtmässig erfolgen – daran ändert auch eine CDP nichts. Nach wie vor ist nicht für jede Datenbearbeitung eine Einwilligung erforderlich, was bei der DSGVO deutlich strenger ist. Eine Einwilligung ist neu ausdrücklich erforderlich bei der Bearbeitung von besonders schützenswerten Daten[1] und bei Profiling mit hohem Risiko[2]. Also Daten, die eine hohe Gefahr für die Persönlichkeit sowie die Grundrechte der betroffenen Person mit sich bringen. Dies kann je nach Branche deutlich variieren. Die Komplexität der Legitimierung nimmt signifikant ab, je weniger „Stakeholder“ im Rahmen der Verarbeitung eingesetzt werden. Trotzdem muss im Rahmen des neuen DSG in der Schweiz eine Mindestinformationspflicht eingehalten werden. Viele datenschutzrechtliche Einwilligungen würden entsprechend nicht mehr standhalten aufgrund der Intransparenz der Verarbeitung der Nutzerinformationen. Bevor der Nutzer eine wirksame Einwilligung erteilen kann, muss dieser verständlich und klar über die Mindestanforderung an Informationen der Verarbeitung seiner Daten aufgeklärt werden. Zu diesen Aspekten zählen auch alle relevanten Informationen über eingesetzte Drittanbieter (3rd Parties), die Personendaten erhalten oder von denen solche bezogen werden, die Identität und die Kontaktdaten des Verantwortlichen, den Bearbeitungszweck und bei Auslandsbekanntgabe den Staat oder das internationale Organ (und ggf. Garantien). Durch den Verzicht auf 3rd Parties im Verarbeitungsprozess werden die Nutzerinformationen natürlich unmittelbar verschlankt, sodass die Einwilligung auf rechtlich standfesteren Füssen steht. Die Massstäbe, die an das Consent-Management zu stellen sind, bleiben nichtsdestotrotz die gleichen: Die Legitimation der Datenverarbeitung verdient nach wie vor ein besonderes Augenmerk – ansonsten drohen auch hier Sanktionen und Reputationsverlust.
Customer Data-Platforms sind ideal, um den Anforderungen des neuen Datenschutzgesetzes standzuhalten, erfordern dennoch Transparenz auf Seiten des Verarbeiters
Aus rechtlicher Sicht machen Customer Data-Platforms bestimmt Sinn. Einfachheit und Transparenz in der Verarbeitung von Personendaten sind die Grundgedanken des DSG. Transparenz gegenüber dem Betroffenen erfordert aber zwingend im ersten Schritt Transparenz auf Seiten des Verarbeiters – nur wenn ich als Verarbeiter jederzeit auskunftsfähig bin, kann ich die Betroffenenrechte aus dem Datenschutzgesetz zuverlässig erfüllen. 3rd Parties erzeugen hier störende Komplexität, die Reduktion auf 1st-Party-Daten erleichtert es, jede Art von Betroffenenanfrage zeitnah und ohne grossen Zusatzaufwand zu bearbeiten. Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung, Datenherausgabe/-übertragung, bestimmte Bekanntgabe an Dritte, Widerruf einer Einwilligung, Eintrag eines Bestreitungsvermerks – all dies muss durch entsprechende Prozesse beim Verantwortlichen jederzeit „umsetzbar“ sein. Da sie Kundendaten aus allen verfügbaren Quellen, auch über Geräte und Kanäle hinweg, vereinheitlichen und für das gesamte Unternehmen verfügbar machen, spielen Customer Data-Plattformen genau hier ihre Stärke aus.
Weitere Rechte der Nutzer, die sich durch CDPs besser erfüllen lassen, sind z.B. generelle Transparenz‑, Dokumentations- und Nachweispflichten – auch hier sind CDPs klar im Vorteil in Bezug auf das Datenschutzgesetz. Selbst im Rahmen der strengeren DSGVO. Um diesen Ansprüchen gerecht zu werden, benötigt man – fachlich und technisch – volle Kontrolle über die Daten, welche die CDPs ermöglichen.
Auch bei probalistischen Methoden, wie etwa dem Aufbau eines Identity Graphs, sollten die Anforderungen aus Nutzersicht für den Datenschutz eingehalten werden
Probabilistische Methoden sind aktuell wieder in den Fokus gerückt. Es ist ein häufiger Reflex, sich angesichts der rechtlichen Hürden für den Einsatz von Cookies und der Notwendigkeit nach Einwilligungen nach vermeintlich leichter zu handhabenden Webtechnologien umzuschauen. Vielfach werden diese probabilistischen Methoden als Cookie-Ersatz gepriesen. Dabei sind die rechtlichen Anforderungen mitnichten geringer – es gibt nicht „eine klare Regelung“ hierzu im Datenschutz, alle Datenschutz-Regelungen gelten auch für diese Methoden. Das Problem hierbei ist, dass zwar aus Sicht des Anbieters viele Vorteile entstehen, aber der Nutzer selbst – der durch diese Methoden zwar nicht eindeutig „identifiziert“, aber eben doch mit hoher Wahrscheinlichkeit „zugeordnet“ werden kann – weder Kontrolle, noch Transparenz über die Nachverfolgung der Daten hat. Insofern sollten auch aus Datenschutzsicht maximale Anforderungen beim Einsatz solcher Methoden eingehalten werden.

Fazit
Dass eine Technologie konform für das Datenschutzgesetz sei, lässt sich nie pauschal sagen – dies gilt auch für CDPs. Das Datenschutzrecht macht die Datenschutz-Compliance eben nicht nur vom Umgang mit den Daten selbst, sondern auch den Prozessen im Unternehmen abhängig. Im Gesamtpaket ist es jedoch ein klares Argument für CDPs aus der Sicht des Datenschutzes, dass diese datenschutzrechtlich jedoch Vorteile mit sich bringen und es dazu auch noch einfacher machen, die flankierenden Datenschutzprozesse und ‑strukturen im Unternehmen richtig aufzusetzen. Im Gesamtpaket ist dies ein klares Argument für CDPs aus der Sicht des Datenschutzes.
Für einen übergreifenden Einstieg ins Thema kundengetriebenes Marketing empfehlen wir unser Whitepaper Bye datengetriebenes Marketing: Es lebe das kundengetriebene Marketing, das hier angefordert werden kann.
Für einen übergreifenden Einstieg ins Thema kundengetriebenes Marketing empfehlen wir unser Whitepaper Bye bye datengetriebenes Marketing: Es lebe das kundengetriebene Marketing, das hier angefordert werden kann.
[1] Gem. revDSG (Art. 5 lit. c) gelten als «besonders schützenswerte Daten»: Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeit, Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, genetische oder biometrische Daten, die eine natürliche Person eindeutig identifizieren, Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen, Daten über Massnahmen der sozialen Hilfe.
[2] Gem. revDSG (Art. 5 lit. f) gilt als Profiling die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, die Vorlieben, den Aufenthaltsort oder die Mobilität zu analysieren und vorherzusagen. Als Beispiele sind etwa Bonitätsprüfungen, Erstellen von Nutzerprofilen oder CRM-Analysen zu nennen.
Autor

Alexander Haymann ist Senior Consultant bei elaboratum suisse. Der Experte im crosschannel-orientierten Marketing verfügt über umfangreiche Erfahrung in Digitalisierungsprojekten, von der Strategie bis zur Implementierung mit Fokus auf Customer Experience, Conversion und Lead Generation. Kontakt: alexander.haymann@nullelaboratum.ch
Autor

Alessandro di Vito ist Consultant bei elaboratum suisse. Der Fachmann für E‑Commerce und Online-Marketing verfügt über besondere Expertise in Usability und UX-Design, Website- und Conversion-Optimierung, user-zentrierter Anforderungsdefinition, digitaler Kampagnenplanung und Content-Marketing. Kontakt: alessandro.divito@nullelaboratum.ch

Alle Deep Dives dieser Reihe in der Übersicht: