Datenschutz im Marketing

Werbung
DATENSCHUTZ IM MARKETING
D
AT
E
N
SC
H
U
TZ
FACHBERICHT
Datenschutz im Marketing
Kundendaten gesetzeskonform verwenden
Dr. Kristin Weber
Vollständige, aktuelle und umfassende Informationen über
ihre Kunden – die viel beschworene 360°-Kundensicht
– wünschen sich wohl alle Unternehmen. Doch welche
gesetzlichen Vorgaben gilt es dabei zu beachten? Der Fachbericht beleuchtet zunächst die bestehenden Regelungen
zum Datenschutz. Er beschreibt anhand konkreter Szenarien wie Kundendaten in der Praxis unter Berücksichtigung
der Gesetze erhoben und genutzt werden können1. Über
die gesetzlichen Vorgaben hinaus, verpflichten sich einige
Unternehmen freiwillig zu einem verantwortungsvollen
Umgang mit Kundendaten. Unter dem Stichwort Datenethik schildert der Bericht den Mehrwert, der sich daraus
für den Kunden und letztendlich für das Unternehmen
ergeben kann.
Unternehmen wollen am liebsten alles über ihre Kunden
wissen. Die Kaufhistorie beim eigenen und anderen Unternehmen nachvollziehen können, dazu Wünsche, Vorlieben, Erfahrungen und Träume der Kunden kennen und
verstehen. Big Data verspricht den Zugriff auf und die
Auswertbarkeit von noch mehr Information in noch kürzerer Zeit aus unterschiedlichsten Quellen. Dazu gehören
Tweets, Posts, Votings, RFID-Codes, Sensordaten, Log-Files,
Wetterberichte oder Nachrichten egal ob als Text, Bild, Graphik, Video oder Audiodatei. Es scheint als ob die Vision
des gläsernen Kunden wahr zu werden scheint.
FACHBERICHT
Die Versprechen sind groß, die Umsetzung leider nicht
so einfach. Fundiertes Kundendatenmanagement unter
Beachtung von strategischen, organisatorischen und gesetzlichen Vorgaben und ausgereifte technische Lösungen,
wie beispielsweise Uniserv Smart Customer MDM, das ein
zentrales Register für qualitätsgesicherte Kundendaten
bereitstellt, bilden nach wie vor die Basis für die 360°-Sicht
auf den Kunden. Herausforderungen der Datenqualität,
der Data Governance und der Integration von Daten aus
unterschiedlichen Quellen bleiben bestehen und nehmen
sogar größere Dimensionen an. Auch die Vorgaben des Datenschutzes müssen nach wie vor beachtet werden – nicht
alles was technisch machbar ist, ist auch erlaubt!
Datenschutz – Was bedeutet das?
Die Erhebung, Verarbeitung und Nutzung von Kundendaten – insofern es sich dabei um personenbezogene Daten wie Name, Beruf, E-Mail-Adresse oder Geburtsdatum
handelt – unterliegen dem Bundesdatenschutzgesetz
(BDSG)2. Ziel des Gesetzes ist es, den Umgang mit personenbezogenen Daten natürlicher Personen so zu regeln,
dass diese nicht in ihrem Persönlichkeitsrecht beeinträchtigt
werden. Das Gesetz definiert unter welchen Umständen
bzw. für welchen Zweck personenbezogene Daten erhoben,
verarbeitet (gespeichert, verändert, übermittelt, gesperrt
oder gelöscht) und genutzt werden dürfen. Grundsätzlich
gilt das Prinzip von Datenvermeidung und Datensparsamkeit, d. h. so wenig personenbezogene Daten zu verwenden wie möglich und diese wenn möglich zu anonymisieren
bzw. pseudonymisieren.
Vereinfacht dargestellt sieht das Gesetz drei Möglichkeiten
vor, Kundendaten zu nutzen3:
1.Für die Erfüllung eigener Geschäftszwecke: Dies betrifft
beispielsweise die Abwicklung von Bestellungen, die Auslieferung von Waren und den Kundenservice.
2.Für Werbung: Sofern Kundendaten listenmäßig zusammengefasst sind (sogenanntes Listenprivileg) und diese
Listen nur bestimmte Angaben enthalten (z. B. Name, Anschrift, Berufsbezeichnung, Geburtsjahr).
3.Mit Einwilligung: Der Betroffene hat der Erhebung, Verarbeitung und Nutzung seiner Daten für einen bestimmten
Zweck zugestimmt (vgl. dazu Kasten „Einwilligung“).
Neben dem BDSG sind für spezielle Nutzungszwecke auch
das Telemediengesetz (TMG)4 und das Gesetz gegen den
unlauteren Wettbewerb (UWG)5 zu beachten. Das TMG
regelt u. a. wie Einwilligungen elektronisch erklärt werden
können und wann auf einer Homepage eine Datenschutzerklärung abrufbar sein muss. Unter welchen Umständen
Werbung zulässig bzw. unzulässig ist, definiert das UWG
näher.
Marketing und Datenschutz sind (selten) beste
Freunde
Das Marketing ist einer der Hauptnutzer von Kundendaten im Unternehmen. Kundendaten hoher Qualität
sind die Basis für eine gezielte und möglichst individuelle
Ansprache bestehender und potentieller Kunden. Unternehmen wollen die Produkt- und Markenbekanntheit
steigern, den Vertrieb unterstützen, neue Kunden gewinnen, Kunden langfristig an das Unternehmen binden
und Kundenbeziehungen effizient managen. Neben den
„traditionellen“ Kanälen der direkten Kundenansprache
wie Telefon, Post, SMS und E-Mail rücken vermehrt soziale Medien in den Blickpunkt der Marketingexperten.
Soziale Netzwerke, (Micro-)Blogs und Online-Foren sollen
2) Im Volltext nachzulesen unter http://www.gesetze-im-internet.de/bundesrecht/bdsg_1990/gesamt.pdf (letzter Abruf am 02.04.2015)
3) Hinweis: Verschärfte Regelungen sieht das Gesetz für Angaben zu rassischer und ethnischer Herkunft, politischen Meinungen, religiösen oder philosophischen Überzeugungen,
Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben vor4) Im Volltext nachzulesen unter http://www.gesetze-im-internet.de/bundesrecht/tmg/gesamt.pdf (letzter Abruf am
02.04.2015)
5) Im Volltext nachzulesen unter http://www.gesetze-im-internet.de/bundesrecht/uwg_2004/gesamt.pdf (letzter Abruf ab 02.04.2015)
2
DATENSCHUTZ IM MARKETING
eine genaue Zielgruppenabgrenzung bei hoher Effizienz
gewährleisten, so dass auch Unternehmen mit kleinerem
Marketing-Budget effektiv Werbung treiben können. Was
gilt es dabei aus Sicht des Datenschutzes zu beachten?
Post, Telefon & Co.
Aus datenschutzrechtlicher Sicht ist das Marketing mittels
Post am Unbedenklichsten. Liegen Name und Adresse des
Kunden in Listenform vor, so darf der Kunde zu Werbezwecken angeschrieben werden. Wünscht der Kunde dies
nicht, muss er der Werbung aktiv widersprechen (Opt-out).
Werbung per Telefon, Fax oder SMS ist hingegen laut UWG
(§7 Abs. 2) unzulässig, sofern keine ausdrückliche Einwilligung des Verbrauchers vorliegt. Hier gilt das Opt-in-Verfahren. Bei neuen Kunden kann die schriftliche Einwilligung in
die Nutzung personenbezogener Daten für Werbezwecke
bspw. zusammen mit einem Kaufvertrag unterschrieben
werden. Um eine Einwilligungserklärung gesetzlich sauber
zu gestalten, gilt es Einiges zu beachten (vgl. dazu Kasten
„Einwilligung“). Daher sollte eine wirksame Einwilligungserklärung am besten gemeinsam mit dem betrieblichen
Datenschutzbeauftragten erstellt werden.
Newsletter und E-Mail-Marketing
Für das Marketing mittels E-Mail, z. B. über einen regelmäßig versendeten Newsletter, gelten grundsätzlich die gleichen gesetzlichen Vorgaben wie für das Telefonmarketing
(Opt-in). Eine Besonderheit liegt vor, wenn die Einwilligung
elektronisch erteilt werden soll – wie das beim E-Mail-
Marketing häufig der Fall ist. Um den Anforderungen des
Datenschutzes gerecht zu werden, wird dafür das Verfahren Double-Opt-in empfohlen (vgl. Graphik). Durch dieses
Verfahren ist der Vorgang dokumentiert und protokolliert,
die Einwilligung kann im Zweifelsfall nachgewiesen werden und Missbrauch, bspw. durch Angabe einer fremden
E-Mail-Adresse bei Anforderung des Newsletters, wird
unterbunden.
Bei bestehenden Kundenbeziehungen können Unternehmen sogar auf eine aktive Einwilligung verzichten (§7 Abs.
3 UWG). Wenn der Kunde im Zusammenhang mit einem
Einkauf, bspw. einer Bestellung im Online-Shop, seine
E-Mail-Adresse angibt, darf diese auch für das E-MailMarketing verwendet werden. Voraussetzung ist, dass
der Kunde auf die Nutzung für diesen Zweck klar und
deutlich hingewiesen wird und dass er dieser Nutzung
jederzeit widersprechen kann (Opt-out). Des Weiteren
ist die Werbung nur für eigene ähnliche Waren oder
Dienstleistungen zulässig. Wenn ein Kunde Isomatte und
Schlafsack bestellt hat, wäre der elektronische Versand
eines Spezialangebots für Outdoor-Bekleidung legitim.6
Social Media und Online Marketing
Das Marketing über soziale Medien wie Facebook, Twitter,
Xing & Co. ist noch vergleichsweise neu, so dass hier noch
einige datenschutzrechtliche Grauzonen bestehen. Unternehmen die hier mit eigenen Accounts vertreten sind (z.
B. eine eigene Facebook Fan-Page haben), gelten in den
meisten Fällen als Diensteanbieter gemäß TMG und müssen
daher Informationspflichten erfüllen. Das heißt konkret,
sie müssen ein Impressum und Hinweise zum Datenschutz
bereitstellen (§5 bzw. §13 TMG). Dafür gibt es zwei Mög-
3
FACHBERICHT
Einwilligung
Die gesetzlichen Vorschriften mögen kompliziert sein,
aber eines ist klar geregelt: Unternehmen können
die personenbezogenen Daten eines (potentiellen)
Kunden nutzen, wenn der Betroffene eingewilligt
hat (§§4, 4a BDSG). Voraussetzung ist, die Einwilligung beruht auf einer freien Entscheidung, sie wurde
schriftlich erteilt und der Zweck und der Umfang sind
klar ersichtlich. In der Praxis werden drei Verfahren
einer Einwilligung unterschieden:
meldet sich der Interessent für den Newsletter auf
der Homepage des Unternehmens an. Zur Bestätigung muss er einen Link in einer sogenannten CheckMail des Unternehmens aktivieren.
OPT-OUT: Kundendaten werden so lange verwendet, bis der Betroffene aktiv widersprochen hat.
Dieses Verfahren gilt u. a. für das Listenprivileg oder
für die anonymisierte Analyse des Nutzerverhaltens
auf Webseiten.
OPT-IN: Der Betroffene stimmt der Nutzung seiner
Daten aktiv zu, z. B. um Werbeanrufe oder WerbeSMS zu erhalten.
Ist eine Einwilligung einmal erteilt, ist sie so lange
gültig, bis der Betroffene widerspricht oder der Zweck
der Nutzung der Kundendaten erfüllt ist. Eine allgemein gültige zeitliche Begrenzung gibt es hingegen
nicht.
DOUBLE-OPT-IN: Der Betroffene stimmt der Nutzung seiner Daten aktiv zu und muss seine Einwilligung
anschließend noch einmal bestätigen. Beispielsweise
Double-Opt-In im E-Mail-Marketing
Maßnahmen zur Generierung von Abonnenten
1
Bestell-Formular
3
2
Newsletter-Bestellung
4
Klick auf Bestätigungslink
BestellBestätigung
Potenzieller Kunde
Email-Marketing-Tool
Email
Newsletter
5
6) Einen ausführlichen Leitfaden zum E-Mail-Marketing mit vielen positiven und negativen Beispielen hat eco – Verband der deutschen Internetwirtschaft e. V. herausgegeben. Die 5.
Auflage des Leitfadens von 2014 ist unter https://www.eco.de/ abrufbar.
4
DATENSCHUTZ IM MARKETING
lichkeiten: entweder sind die Informationen direkt im
sozialen Medium abrufbar, oder das Unternehmen verweist
auf die Datenschutzhinweise und das Impressum auf der
eigenen Website. Zu beachten ist hierbei, dass der Benutzer
die Information über maximal zwei Links bzw. Klicks erhält,
da sie leicht erkennbar und unmittelbar erreichbar sein
muss. Die Datenschutzhinweise auf der Website müssen um
die Angabe ergänzt werden, dass sie ebenso für Facebook,
Twitter & Co. gelten.
Äußerste Vorsicht ist bei der Verwendung sogenannter
Social Plugins auf der eigenen Website geboten, wie z.
B. dem „Like-Button“ von Facebook. Diese Plugins sollen
den Besuchern ein schnelles und einfaches Posten von
Websiteinhalten in sozialen Medien ermöglichen. Je nach
Ausführung sind die Plugins gemäß BDSG rechtswidrig. Sie
sammeln Nutzerdaten und geben diese unkontrollierbar an
die Betreiber der sozialen Medien weiter, wenn der Nutzer
die Website nur aufruft. Mittlerweile gibt es technische
Möglichkeiten, die ein automatisches Senden von Nutzerdaten verhindern und nur dann eine Verbindung herstellen,
wenn der Nutzer auf den entsprechenden Button klickt.
Aber auch diese Lösungen sind datenschutzrechtlich umstritten. Auf die Nutzung von Social Plugins sollte zudem
in der Datenschutzerklärung hingewiesen werden. Über
soziale Medien können (potentielle) Kunden häufig zielgenau und individuell angesprochen werden. Auch hier gilt,
dass sie dazu vorab ihre Einwilligung erteilt haben müssen
(Opt-in). Das „Following“ des eigenen Unternehmens bei
Twitter gilt demnach nicht als Einwilligung, auch direkte
Nachrichten von diesem zu erhalten. Durch ein „Gefällt mir“
bei Facebook darf das Unternehmen mit eigenen Posts im
Newsfeed des Fans erscheinen.
Über eigene Anwendungen bei Facebook kann man seine
Fans um Einwilligung bitten, die eigenen Daten auslesen
zu dürfen, wie bspw. Name, Geburtstag, Bildungsgrad,
Beziehungsstatus, Interessen, Posts und Freunde. Eher im
B2B-Bereich interessant, sind Business-Netzwerke wie Xing
oder LinkedIn. Hier ist es vertretbar (Achtung Grauzone!),
einzelne Personen anzuschreiben, wenn dies aus ihren Profilinformationen hervorgeht. Eine Modebloggerin die bei
Xing „Ich suche: die neuesten Modetrends“ angibt, könnte
demnach an Werbung von Modelabels interessiert sein.
Ebenso wie ein Einkäufer eines Automobilkonzerns, der
nach „zuverlässigen Lieferanten“ sucht, die Kontaktaufnahme durch einen Schraubenhersteller wohl akzeptieren
müsste.
Das Verhalten der Besucher (und damit potentieller oder
bestehender Kunden) auf Websites oder Online-Shops
werten viele Unternehmen mittels Web Analytics aus. Dies
dient u. a. der Wirksamkeitskontrolle und Optimierung
von Marketing-Aktivitäten. Dadurch lässt sich z. B. beantworten, woher die Nutzer kommen (z. B. durch welche
Maßnahme des Online Marketings), wie viele Nutzer die
Website besuchen, wie lange sie verweilen und welche
Ergebnisse durch den Besuch erzielt werden (z. B. Bestellung, Newsletter-Abonnement, Download von Broschüren).
Am Häufigsten ist dafür Google Analytics im Einsatz. Um
Google Analytics datenschutzkonform einzusetzen sind
folgende Anforderungen umzusetzen:
Der Betreiber der Website muss einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen (gemäß
§11 BDSG).
In der Datenschutzerklärung auf der Website muss der
Besucher auf die Verwendung von Google Analytics und
sein Widerspruchsrecht (Opt-out) hingewiesen werden.
Für den Widerspruch gibt es zwei Möglichkeiten. Zum
einen gibt es für Desktop-Browser Add-ons, die die Nutzung von Google Analytics unterbinden. Zum anderen stellt
Google ein Opt-out-Cookie zur Verfügung, welches z. B.
durch Anklicken eines Links in der Datenschutzerklärung
gesetzt werden kann.
Der Google Analytics Code muss so angepasst werden, dass
die IP-Adressen der Besucher anonymisiert werden. Dadurch
kann der genaue Standort des Nutzers nicht mehr ausfindig
gemacht werden. Der Code muss zudem das Vorhandensein des Opt-out-Cookie überprüfen und berücksichtigen.
5
FACHBERICHT
Datenethik – Transparenz und Mehrwert für den
Kunden
Viele Kunden sind zu recht skeptisch, wenn es um den
Umgang mit persönlichen Daten geht. Durch die vielen
Skandale in der jüngsten Vergangenheit um Sicherheitslücken in Unternehmen und gezieltes Ausspähen durch
Behörden sowie die Datensammelwut der Internetriesen
sind Endkunden vorsichtiger geworden. Sie sind sich des
Wertes ihrer Daten eher bewusst und entscheiden gezielter,
wem sie Daten preisgeben oder eben nicht. Unternehmen
fällt es daher zunehmend schwer, die laut Datenschutz
notwendige Einwilligung der Kunden in die Erhebung, Nutzung und Verarbeitung ihrer personenbezogenen Daten zu
erhalten. Wie können also Unternehmen gegenüber ihren
Kunden den verantwortungsvollen Umgang mit deren
Daten demonstrieren – Stichwort Datenethik?
UNTERSTÜTZUNG DURCH DEN VERTRIEB
Vertrieb und Marketing sollten beim Thema Datenschutz eng zusammenarbeiten. Mitarbeiter
aus dem Vertrieb können marketingrelevante
Kundendaten früh im Vertriebsprozess erheben
und den Kunden um die Einwilligung zur Verwendung ihre personenbezogenen Daten für
Marketingzwecke bitten.
Kaufverträge können so gestaltet werden, dass
entsprechende Passagen für die Einwilligung
enthalten sind. Dabei gilt, dass dieser Abschnitt
besonders hervorzuheben ist und der Abschluss
des Vertrages keinesfalls von der erteilten Einwilligung abhängig gemacht werden darf (§28
Abs. 3a, 3b BDSG). Über bestehende Beziehungen
können Vertriebsmitarbeiter über soziale Medien
direkt mit Kunden in Kontakt treten, um Marketingbotschaften zu übermitteln.
6
Generell gilt, dass für den Kunden ein Mehrwert geschaffen
werden muss. Der Kunde soll also auch davon profitieren,
dass er seine Daten mit dem Unternehmen teilt. Einfache
Beispiele dafür sind, Newsletter-Abonnenten exklusive
Vorab-Informationen zu neuen Produkten zu versprechen
und VIP-Kunden regelmäßig Rabattkupons zu schicken.
Kunden wollen sich selbst einbringen und mitdiskutieren.
Sie wollen ihre Interessen vertreten. Sie wollen bspw. an
der Entwicklung neuer Turnschuhe beteiligt sein, Bücher
und Online-Shops bewerten und ihre Meinung zu den
Entwicklungen des Finanzmarkts äußern. Dadurch verraten
sie etwas über sich selbst, ihre Meinung und Interessen,
sehen darin aber auch einen konkreten Nutzen. Durch eine
intrinsisch motivierte, bewusst erteilte Einwilligung in die
Nutzung dieser Daten, steigt die Wahrscheinlichkeit für
den Erfolg von Marketingaktivitäten des Unternehmens.
Das zweite Stichwort ist Transparenz. Unternehmen sollten
über die juristisch notwendige Datenschutzerklärungen
hinaus klar und offen kommunizieren, was sie mit den
erhobenen Daten ihrer Kunden tun. Für den Kunden sollte
nachvollziehbar sein, welche personenbezogenen Daten
dem Unternehmen von ihm vorliegen und vielleicht sogar,
in welche Kategorien der Kunde dadurch eingeordnet wird
(z. B. „gut ausgebildete Frauen zwischen 30 und 40“ oder
„Familienväter mit mittlerem Einkommen und Interesse an
Fußball“). Warum dem Kunden nicht auch gleich die Möglichkeit geben, diese Daten selber zu pflegen, Interessen
regelmäßig zu aktualisieren oder Newsletter-Kategorien
zu verwalten? Bei Amazon kann man z. B. genau nachvollziehen, warum bestimmte Produkte empfohlen werden
und kann diese Empfehlungen nachbearbeiten („besitze
ich schon“ oder „gefällt mir nicht“). Wichtig ist, Vertrauen zum Kunden aufzubauen und seine Sorgen ernst zu
nehmen. Ehrlich, authentisch und auf Augenhöhe zu kommunizieren. Unternehmen sollten auch in Betracht ziehen,
ihren verantwortungsvollen Umgang mit Kundendaten
von einer unabhängigen dritten Stelle kontrollieren und
vielleicht sogar zertifizieren zu lassen (vgl. Kasten „IT und
Datenschutz“).
DATENSCHUTZ IM MARKETING
FAZIT:
Die Vorgaben des deutschen Datenschutzrechts zum Umgang mit personenbezogenen Daten sind streng. Bei
Verstößen gegen das BDSG drohen Bußgelder von bis zu 300.000 Euro und den Betroffenen muss Schadenersatz
geleistet werden. Das ist gut nachvollziehbar, denn jeder hat ein Recht auf den Schutz seiner Privatsphäre.
Kunden müssen demnach in die Erhebung, Verarbeitung und Nutzung ihre Daten wie Name, E-Mail-Adresse,
Beruf und Interessen durch Unternehmen zustimmen. Dann dürfen Unternehmen diese Daten für ihre Marketingaktivitäten nutzen, bspw. um bestimmten Kundengruppen gezielte
Marketingbotschaften per Newsletter zu senden. Im Online Marketing gibt es noch rechtliche Grauzonen. Hier
ist Vorsicht geboten und nicht alles, was heute von vielen Unternehmen wie selbstverständlich getan wird
(Stichwort Social Plugins) ist nach deutschem Recht auch erlaubt. Vielversprechend ist es, den eigenen Kunden
den verantwortungsvollen Umgang mit ihren Daten durch Offenheit und Transparenz zu demonstrieren und
dafür zu sorgen, dass die Kunden auch selbst davon profitieren.
7
FACHBERICHT
PROF. DR. KRISTIN WEBER
Prof. Dr. Kristin Weber ist Professorin für IT-Management und IT-Organisation
an der Fakultät Informatik und Wirtschaftsinformatik der FHWS – Hochschule
für an-gewandte Wissenschaften Würzburg-Schweinfurt. Sie forscht und
berät Unterneh-men seit Jahren erfolgreich zu Fragestellungen der Data und
IT-Governance sowie des Stammdaten- und Datenqualitätsmanagements.
UNISERV GmbH
Rastatter Str. 13, 75179 Pforzheim, Deutschland, T: +49 7231 936 - 0
F: +49 7231 936 - 3002, E: [email protected], www.uniserv.com
© Uniserv GmbH, Pforzheim, All rights reserved
DATENSCHUTZ IM MARKETING
Herunterladen