DATENSCHUTZ IM MARKETING D AT E N SC H U TZ FACHBERICHT Datenschutz im Marketing Kundendaten gesetzeskonform verwenden Dr. Kristin Weber Vollständige, aktuelle und umfassende Informationen über ihre Kunden – die viel beschworene 360°-Kundensicht – wünschen sich wohl alle Unternehmen. Doch welche gesetzlichen Vorgaben gilt es dabei zu beachten? Der Fachbericht beleuchtet zunächst die bestehenden Regelungen zum Datenschutz. Er beschreibt anhand konkreter Szenarien wie Kundendaten in der Praxis unter Berücksichtigung der Gesetze erhoben und genutzt werden können1. Über die gesetzlichen Vorgaben hinaus, verpflichten sich einige Unternehmen freiwillig zu einem verantwortungsvollen Umgang mit Kundendaten. Unter dem Stichwort Datenethik schildert der Bericht den Mehrwert, der sich daraus für den Kunden und letztendlich für das Unternehmen ergeben kann. Unternehmen wollen am liebsten alles über ihre Kunden wissen. Die Kaufhistorie beim eigenen und anderen Unternehmen nachvollziehen können, dazu Wünsche, Vorlieben, Erfahrungen und Träume der Kunden kennen und verstehen. Big Data verspricht den Zugriff auf und die Auswertbarkeit von noch mehr Information in noch kürzerer Zeit aus unterschiedlichsten Quellen. Dazu gehören Tweets, Posts, Votings, RFID-Codes, Sensordaten, Log-Files, Wetterberichte oder Nachrichten egal ob als Text, Bild, Graphik, Video oder Audiodatei. Es scheint als ob die Vision des gläsernen Kunden wahr zu werden scheint. FACHBERICHT Die Versprechen sind groß, die Umsetzung leider nicht so einfach. Fundiertes Kundendatenmanagement unter Beachtung von strategischen, organisatorischen und gesetzlichen Vorgaben und ausgereifte technische Lösungen, wie beispielsweise Uniserv Smart Customer MDM, das ein zentrales Register für qualitätsgesicherte Kundendaten bereitstellt, bilden nach wie vor die Basis für die 360°-Sicht auf den Kunden. Herausforderungen der Datenqualität, der Data Governance und der Integration von Daten aus unterschiedlichen Quellen bleiben bestehen und nehmen sogar größere Dimensionen an. Auch die Vorgaben des Datenschutzes müssen nach wie vor beachtet werden – nicht alles was technisch machbar ist, ist auch erlaubt! Datenschutz – Was bedeutet das? Die Erhebung, Verarbeitung und Nutzung von Kundendaten – insofern es sich dabei um personenbezogene Daten wie Name, Beruf, E-Mail-Adresse oder Geburtsdatum handelt – unterliegen dem Bundesdatenschutzgesetz (BDSG)2. Ziel des Gesetzes ist es, den Umgang mit personenbezogenen Daten natürlicher Personen so zu regeln, dass diese nicht in ihrem Persönlichkeitsrecht beeinträchtigt werden. Das Gesetz definiert unter welchen Umständen bzw. für welchen Zweck personenbezogene Daten erhoben, verarbeitet (gespeichert, verändert, übermittelt, gesperrt oder gelöscht) und genutzt werden dürfen. Grundsätzlich gilt das Prinzip von Datenvermeidung und Datensparsamkeit, d. h. so wenig personenbezogene Daten zu verwenden wie möglich und diese wenn möglich zu anonymisieren bzw. pseudonymisieren. Vereinfacht dargestellt sieht das Gesetz drei Möglichkeiten vor, Kundendaten zu nutzen3: 1.Für die Erfüllung eigener Geschäftszwecke: Dies betrifft beispielsweise die Abwicklung von Bestellungen, die Auslieferung von Waren und den Kundenservice. 2.Für Werbung: Sofern Kundendaten listenmäßig zusammengefasst sind (sogenanntes Listenprivileg) und diese Listen nur bestimmte Angaben enthalten (z. B. Name, Anschrift, Berufsbezeichnung, Geburtsjahr). 3.Mit Einwilligung: Der Betroffene hat der Erhebung, Verarbeitung und Nutzung seiner Daten für einen bestimmten Zweck zugestimmt (vgl. dazu Kasten „Einwilligung“). Neben dem BDSG sind für spezielle Nutzungszwecke auch das Telemediengesetz (TMG)4 und das Gesetz gegen den unlauteren Wettbewerb (UWG)5 zu beachten. Das TMG regelt u. a. wie Einwilligungen elektronisch erklärt werden können und wann auf einer Homepage eine Datenschutzerklärung abrufbar sein muss. Unter welchen Umständen Werbung zulässig bzw. unzulässig ist, definiert das UWG näher. Marketing und Datenschutz sind (selten) beste Freunde Das Marketing ist einer der Hauptnutzer von Kundendaten im Unternehmen. Kundendaten hoher Qualität sind die Basis für eine gezielte und möglichst individuelle Ansprache bestehender und potentieller Kunden. Unternehmen wollen die Produkt- und Markenbekanntheit steigern, den Vertrieb unterstützen, neue Kunden gewinnen, Kunden langfristig an das Unternehmen binden und Kundenbeziehungen effizient managen. Neben den „traditionellen“ Kanälen der direkten Kundenansprache wie Telefon, Post, SMS und E-Mail rücken vermehrt soziale Medien in den Blickpunkt der Marketingexperten. Soziale Netzwerke, (Micro-)Blogs und Online-Foren sollen 2) Im Volltext nachzulesen unter http://www.gesetze-im-internet.de/bundesrecht/bdsg_1990/gesamt.pdf (letzter Abruf am 02.04.2015) 3) Hinweis: Verschärfte Regelungen sieht das Gesetz für Angaben zu rassischer und ethnischer Herkunft, politischen Meinungen, religiösen oder philosophischen Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben vor4) Im Volltext nachzulesen unter http://www.gesetze-im-internet.de/bundesrecht/tmg/gesamt.pdf (letzter Abruf am 02.04.2015) 5) Im Volltext nachzulesen unter http://www.gesetze-im-internet.de/bundesrecht/uwg_2004/gesamt.pdf (letzter Abruf ab 02.04.2015) 2 DATENSCHUTZ IM MARKETING eine genaue Zielgruppenabgrenzung bei hoher Effizienz gewährleisten, so dass auch Unternehmen mit kleinerem Marketing-Budget effektiv Werbung treiben können. Was gilt es dabei aus Sicht des Datenschutzes zu beachten? Post, Telefon & Co. Aus datenschutzrechtlicher Sicht ist das Marketing mittels Post am Unbedenklichsten. Liegen Name und Adresse des Kunden in Listenform vor, so darf der Kunde zu Werbezwecken angeschrieben werden. Wünscht der Kunde dies nicht, muss er der Werbung aktiv widersprechen (Opt-out). Werbung per Telefon, Fax oder SMS ist hingegen laut UWG (§7 Abs. 2) unzulässig, sofern keine ausdrückliche Einwilligung des Verbrauchers vorliegt. Hier gilt das Opt-in-Verfahren. Bei neuen Kunden kann die schriftliche Einwilligung in die Nutzung personenbezogener Daten für Werbezwecke bspw. zusammen mit einem Kaufvertrag unterschrieben werden. Um eine Einwilligungserklärung gesetzlich sauber zu gestalten, gilt es Einiges zu beachten (vgl. dazu Kasten „Einwilligung“). Daher sollte eine wirksame Einwilligungserklärung am besten gemeinsam mit dem betrieblichen Datenschutzbeauftragten erstellt werden. Newsletter und E-Mail-Marketing Für das Marketing mittels E-Mail, z. B. über einen regelmäßig versendeten Newsletter, gelten grundsätzlich die gleichen gesetzlichen Vorgaben wie für das Telefonmarketing (Opt-in). Eine Besonderheit liegt vor, wenn die Einwilligung elektronisch erteilt werden soll – wie das beim E-Mail- Marketing häufig der Fall ist. Um den Anforderungen des Datenschutzes gerecht zu werden, wird dafür das Verfahren Double-Opt-in empfohlen (vgl. Graphik). Durch dieses Verfahren ist der Vorgang dokumentiert und protokolliert, die Einwilligung kann im Zweifelsfall nachgewiesen werden und Missbrauch, bspw. durch Angabe einer fremden E-Mail-Adresse bei Anforderung des Newsletters, wird unterbunden. Bei bestehenden Kundenbeziehungen können Unternehmen sogar auf eine aktive Einwilligung verzichten (§7 Abs. 3 UWG). Wenn der Kunde im Zusammenhang mit einem Einkauf, bspw. einer Bestellung im Online-Shop, seine E-Mail-Adresse angibt, darf diese auch für das E-MailMarketing verwendet werden. Voraussetzung ist, dass der Kunde auf die Nutzung für diesen Zweck klar und deutlich hingewiesen wird und dass er dieser Nutzung jederzeit widersprechen kann (Opt-out). Des Weiteren ist die Werbung nur für eigene ähnliche Waren oder Dienstleistungen zulässig. Wenn ein Kunde Isomatte und Schlafsack bestellt hat, wäre der elektronische Versand eines Spezialangebots für Outdoor-Bekleidung legitim.6 Social Media und Online Marketing Das Marketing über soziale Medien wie Facebook, Twitter, Xing & Co. ist noch vergleichsweise neu, so dass hier noch einige datenschutzrechtliche Grauzonen bestehen. Unternehmen die hier mit eigenen Accounts vertreten sind (z. B. eine eigene Facebook Fan-Page haben), gelten in den meisten Fällen als Diensteanbieter gemäß TMG und müssen daher Informationspflichten erfüllen. Das heißt konkret, sie müssen ein Impressum und Hinweise zum Datenschutz bereitstellen (§5 bzw. §13 TMG). Dafür gibt es zwei Mög- 3 FACHBERICHT Einwilligung Die gesetzlichen Vorschriften mögen kompliziert sein, aber eines ist klar geregelt: Unternehmen können die personenbezogenen Daten eines (potentiellen) Kunden nutzen, wenn der Betroffene eingewilligt hat (§§4, 4a BDSG). Voraussetzung ist, die Einwilligung beruht auf einer freien Entscheidung, sie wurde schriftlich erteilt und der Zweck und der Umfang sind klar ersichtlich. In der Praxis werden drei Verfahren einer Einwilligung unterschieden: meldet sich der Interessent für den Newsletter auf der Homepage des Unternehmens an. Zur Bestätigung muss er einen Link in einer sogenannten CheckMail des Unternehmens aktivieren. OPT-OUT: Kundendaten werden so lange verwendet, bis der Betroffene aktiv widersprochen hat. Dieses Verfahren gilt u. a. für das Listenprivileg oder für die anonymisierte Analyse des Nutzerverhaltens auf Webseiten. OPT-IN: Der Betroffene stimmt der Nutzung seiner Daten aktiv zu, z. B. um Werbeanrufe oder WerbeSMS zu erhalten. Ist eine Einwilligung einmal erteilt, ist sie so lange gültig, bis der Betroffene widerspricht oder der Zweck der Nutzung der Kundendaten erfüllt ist. Eine allgemein gültige zeitliche Begrenzung gibt es hingegen nicht. DOUBLE-OPT-IN: Der Betroffene stimmt der Nutzung seiner Daten aktiv zu und muss seine Einwilligung anschließend noch einmal bestätigen. Beispielsweise Double-Opt-In im E-Mail-Marketing Maßnahmen zur Generierung von Abonnenten 1 Bestell-Formular 3 2 Newsletter-Bestellung 4 Klick auf Bestätigungslink BestellBestätigung Potenzieller Kunde Email-Marketing-Tool Email Newsletter 5 6) Einen ausführlichen Leitfaden zum E-Mail-Marketing mit vielen positiven und negativen Beispielen hat eco – Verband der deutschen Internetwirtschaft e. V. herausgegeben. Die 5. Auflage des Leitfadens von 2014 ist unter https://www.eco.de/ abrufbar. 4 DATENSCHUTZ IM MARKETING lichkeiten: entweder sind die Informationen direkt im sozialen Medium abrufbar, oder das Unternehmen verweist auf die Datenschutzhinweise und das Impressum auf der eigenen Website. Zu beachten ist hierbei, dass der Benutzer die Information über maximal zwei Links bzw. Klicks erhält, da sie leicht erkennbar und unmittelbar erreichbar sein muss. Die Datenschutzhinweise auf der Website müssen um die Angabe ergänzt werden, dass sie ebenso für Facebook, Twitter & Co. gelten. Äußerste Vorsicht ist bei der Verwendung sogenannter Social Plugins auf der eigenen Website geboten, wie z. B. dem „Like-Button“ von Facebook. Diese Plugins sollen den Besuchern ein schnelles und einfaches Posten von Websiteinhalten in sozialen Medien ermöglichen. Je nach Ausführung sind die Plugins gemäß BDSG rechtswidrig. Sie sammeln Nutzerdaten und geben diese unkontrollierbar an die Betreiber der sozialen Medien weiter, wenn der Nutzer die Website nur aufruft. Mittlerweile gibt es technische Möglichkeiten, die ein automatisches Senden von Nutzerdaten verhindern und nur dann eine Verbindung herstellen, wenn der Nutzer auf den entsprechenden Button klickt. Aber auch diese Lösungen sind datenschutzrechtlich umstritten. Auf die Nutzung von Social Plugins sollte zudem in der Datenschutzerklärung hingewiesen werden. Über soziale Medien können (potentielle) Kunden häufig zielgenau und individuell angesprochen werden. Auch hier gilt, dass sie dazu vorab ihre Einwilligung erteilt haben müssen (Opt-in). Das „Following“ des eigenen Unternehmens bei Twitter gilt demnach nicht als Einwilligung, auch direkte Nachrichten von diesem zu erhalten. Durch ein „Gefällt mir“ bei Facebook darf das Unternehmen mit eigenen Posts im Newsfeed des Fans erscheinen. Über eigene Anwendungen bei Facebook kann man seine Fans um Einwilligung bitten, die eigenen Daten auslesen zu dürfen, wie bspw. Name, Geburtstag, Bildungsgrad, Beziehungsstatus, Interessen, Posts und Freunde. Eher im B2B-Bereich interessant, sind Business-Netzwerke wie Xing oder LinkedIn. Hier ist es vertretbar (Achtung Grauzone!), einzelne Personen anzuschreiben, wenn dies aus ihren Profilinformationen hervorgeht. Eine Modebloggerin die bei Xing „Ich suche: die neuesten Modetrends“ angibt, könnte demnach an Werbung von Modelabels interessiert sein. Ebenso wie ein Einkäufer eines Automobilkonzerns, der nach „zuverlässigen Lieferanten“ sucht, die Kontaktaufnahme durch einen Schraubenhersteller wohl akzeptieren müsste. Das Verhalten der Besucher (und damit potentieller oder bestehender Kunden) auf Websites oder Online-Shops werten viele Unternehmen mittels Web Analytics aus. Dies dient u. a. der Wirksamkeitskontrolle und Optimierung von Marketing-Aktivitäten. Dadurch lässt sich z. B. beantworten, woher die Nutzer kommen (z. B. durch welche Maßnahme des Online Marketings), wie viele Nutzer die Website besuchen, wie lange sie verweilen und welche Ergebnisse durch den Besuch erzielt werden (z. B. Bestellung, Newsletter-Abonnement, Download von Broschüren). Am Häufigsten ist dafür Google Analytics im Einsatz. Um Google Analytics datenschutzkonform einzusetzen sind folgende Anforderungen umzusetzen: Der Betreiber der Website muss einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen (gemäß §11 BDSG). In der Datenschutzerklärung auf der Website muss der Besucher auf die Verwendung von Google Analytics und sein Widerspruchsrecht (Opt-out) hingewiesen werden. Für den Widerspruch gibt es zwei Möglichkeiten. Zum einen gibt es für Desktop-Browser Add-ons, die die Nutzung von Google Analytics unterbinden. Zum anderen stellt Google ein Opt-out-Cookie zur Verfügung, welches z. B. durch Anklicken eines Links in der Datenschutzerklärung gesetzt werden kann. Der Google Analytics Code muss so angepasst werden, dass die IP-Adressen der Besucher anonymisiert werden. Dadurch kann der genaue Standort des Nutzers nicht mehr ausfindig gemacht werden. Der Code muss zudem das Vorhandensein des Opt-out-Cookie überprüfen und berücksichtigen. 5 FACHBERICHT Datenethik – Transparenz und Mehrwert für den Kunden Viele Kunden sind zu recht skeptisch, wenn es um den Umgang mit persönlichen Daten geht. Durch die vielen Skandale in der jüngsten Vergangenheit um Sicherheitslücken in Unternehmen und gezieltes Ausspähen durch Behörden sowie die Datensammelwut der Internetriesen sind Endkunden vorsichtiger geworden. Sie sind sich des Wertes ihrer Daten eher bewusst und entscheiden gezielter, wem sie Daten preisgeben oder eben nicht. Unternehmen fällt es daher zunehmend schwer, die laut Datenschutz notwendige Einwilligung der Kunden in die Erhebung, Nutzung und Verarbeitung ihrer personenbezogenen Daten zu erhalten. Wie können also Unternehmen gegenüber ihren Kunden den verantwortungsvollen Umgang mit deren Daten demonstrieren – Stichwort Datenethik? UNTERSTÜTZUNG DURCH DEN VERTRIEB Vertrieb und Marketing sollten beim Thema Datenschutz eng zusammenarbeiten. Mitarbeiter aus dem Vertrieb können marketingrelevante Kundendaten früh im Vertriebsprozess erheben und den Kunden um die Einwilligung zur Verwendung ihre personenbezogenen Daten für Marketingzwecke bitten. Kaufverträge können so gestaltet werden, dass entsprechende Passagen für die Einwilligung enthalten sind. Dabei gilt, dass dieser Abschnitt besonders hervorzuheben ist und der Abschluss des Vertrages keinesfalls von der erteilten Einwilligung abhängig gemacht werden darf (§28 Abs. 3a, 3b BDSG). Über bestehende Beziehungen können Vertriebsmitarbeiter über soziale Medien direkt mit Kunden in Kontakt treten, um Marketingbotschaften zu übermitteln. 6 Generell gilt, dass für den Kunden ein Mehrwert geschaffen werden muss. Der Kunde soll also auch davon profitieren, dass er seine Daten mit dem Unternehmen teilt. Einfache Beispiele dafür sind, Newsletter-Abonnenten exklusive Vorab-Informationen zu neuen Produkten zu versprechen und VIP-Kunden regelmäßig Rabattkupons zu schicken. Kunden wollen sich selbst einbringen und mitdiskutieren. Sie wollen ihre Interessen vertreten. Sie wollen bspw. an der Entwicklung neuer Turnschuhe beteiligt sein, Bücher und Online-Shops bewerten und ihre Meinung zu den Entwicklungen des Finanzmarkts äußern. Dadurch verraten sie etwas über sich selbst, ihre Meinung und Interessen, sehen darin aber auch einen konkreten Nutzen. Durch eine intrinsisch motivierte, bewusst erteilte Einwilligung in die Nutzung dieser Daten, steigt die Wahrscheinlichkeit für den Erfolg von Marketingaktivitäten des Unternehmens. Das zweite Stichwort ist Transparenz. Unternehmen sollten über die juristisch notwendige Datenschutzerklärungen hinaus klar und offen kommunizieren, was sie mit den erhobenen Daten ihrer Kunden tun. Für den Kunden sollte nachvollziehbar sein, welche personenbezogenen Daten dem Unternehmen von ihm vorliegen und vielleicht sogar, in welche Kategorien der Kunde dadurch eingeordnet wird (z. B. „gut ausgebildete Frauen zwischen 30 und 40“ oder „Familienväter mit mittlerem Einkommen und Interesse an Fußball“). Warum dem Kunden nicht auch gleich die Möglichkeit geben, diese Daten selber zu pflegen, Interessen regelmäßig zu aktualisieren oder Newsletter-Kategorien zu verwalten? Bei Amazon kann man z. B. genau nachvollziehen, warum bestimmte Produkte empfohlen werden und kann diese Empfehlungen nachbearbeiten („besitze ich schon“ oder „gefällt mir nicht“). Wichtig ist, Vertrauen zum Kunden aufzubauen und seine Sorgen ernst zu nehmen. Ehrlich, authentisch und auf Augenhöhe zu kommunizieren. Unternehmen sollten auch in Betracht ziehen, ihren verantwortungsvollen Umgang mit Kundendaten von einer unabhängigen dritten Stelle kontrollieren und vielleicht sogar zertifizieren zu lassen (vgl. Kasten „IT und Datenschutz“). DATENSCHUTZ IM MARKETING FAZIT: Die Vorgaben des deutschen Datenschutzrechts zum Umgang mit personenbezogenen Daten sind streng. Bei Verstößen gegen das BDSG drohen Bußgelder von bis zu 300.000 Euro und den Betroffenen muss Schadenersatz geleistet werden. Das ist gut nachvollziehbar, denn jeder hat ein Recht auf den Schutz seiner Privatsphäre. Kunden müssen demnach in die Erhebung, Verarbeitung und Nutzung ihre Daten wie Name, E-Mail-Adresse, Beruf und Interessen durch Unternehmen zustimmen. Dann dürfen Unternehmen diese Daten für ihre Marketingaktivitäten nutzen, bspw. um bestimmten Kundengruppen gezielte Marketingbotschaften per Newsletter zu senden. Im Online Marketing gibt es noch rechtliche Grauzonen. Hier ist Vorsicht geboten und nicht alles, was heute von vielen Unternehmen wie selbstverständlich getan wird (Stichwort Social Plugins) ist nach deutschem Recht auch erlaubt. Vielversprechend ist es, den eigenen Kunden den verantwortungsvollen Umgang mit ihren Daten durch Offenheit und Transparenz zu demonstrieren und dafür zu sorgen, dass die Kunden auch selbst davon profitieren. 7 FACHBERICHT PROF. DR. KRISTIN WEBER Prof. Dr. Kristin Weber ist Professorin für IT-Management und IT-Organisation an der Fakultät Informatik und Wirtschaftsinformatik der FHWS – Hochschule für an-gewandte Wissenschaften Würzburg-Schweinfurt. Sie forscht und berät Unterneh-men seit Jahren erfolgreich zu Fragestellungen der Data und IT-Governance sowie des Stammdaten- und Datenqualitätsmanagements. UNISERV GmbH Rastatter Str. 13, 75179 Pforzheim, Deutschland, T: +49 7231 936 - 0 F: +49 7231 936 - 3002, E: [email protected], www.uniserv.com © Uniserv GmbH, Pforzheim, All rights reserved DATENSCHUTZ IM MARKETING