Digital-Marketing und die DSGVO

Achtung: "Creepy Line"

10.10.2018
Von 


Andres Dickehut (49) ist geschäftsführender Gesellschafter des von ihm 1994 gegründeten Unternehmens Consultix.
Seit die DSGVO ihre Wucht durch Wirkung entfaltet hat, wächst die Skepsis der Kunden gegenüber Datennutzung. Das ist eine Herausforderung für datengestütztes Marketing.

Eine personalisierte Kundenansprache gilt aktuell als Erfolgsgarant für datengestütztes E-Mail-Marketing, wie es Onlineshops und Anbieter sogenannter Fast Moving Consumer Goods (FMCG) forcieren. Doch die beharrliche Medienpräsenz zu Inhalten der Datenschutzgrundverordnung stellt Marketer und angeschlossene IT-Abteilungen vor neue Herausforderungen: Wie lassen sich digitale Marketingstrategien umsetzen, die die Privatsphäre des Kunden einbeziehen, ohne dass automatisierte Kampagnen im nichtindividualisierten Nirwana enden?

Wer neu gezogene Grenzen digital wahrt, schafft positive Kundenerfahrung und baut mittelfristig Loyalität auf. Dabei zahlt lange nicht alles, was technisch umsetzbar ist, auf eine gelungene Kampagne ein: Zu intensive, offensichtliche Personalisierungsbestrebungen wirken kontraproduktiv, da Kunden sie negativ erleben.

Balanceakt entlang der 'Creepy Line'

Die sogenannte 'Creepy Line' beschreibt eine imaginäre Grenze, bei deren Überschreitung Kunden sich gläsern fühlen. Eine zu detaillierte, individualisierte Ansprache empfinden Adressaten oft als Eindringen in den privaten Schutzraum - selbst wenn sie zuvor ihre Einverständniserklärung für werbliche Datennutzung gegeben haben. Es gibt keine klare Regel, wo genau die 'Creepy Line' verläuft, denn jeder Kunde steckt eigene Grenzen. Digitalmarketing hat sich daher zu einem Balanceakt zwischen personalisierter Ansprache und allzu vertraulicher Annäherung entwickelt.

Digitalmarketing hat sich seit Inkrafttreten der DSGVO zu einem Balanceakt zwischen personalisierter Ansprache und allzu vertraulicher Annäherung entwickelt.
Digitalmarketing hat sich seit Inkrafttreten der DSGVO zu einem Balanceakt zwischen personalisierter Ansprache und allzu vertraulicher Annäherung entwickelt.
Foto: wavebreakmedia - shutterstock.com

In dieser Situation kann Vertrauensbildung von zwei Seiten erfolgen: Marketingmitarbeiter in der Kampagnensteuerung sollten stets aktuelle und branchenspezifische Kundenerhebungen zum Nutzungsverhalten durchführen, um ihre Maßnahmen entlang von Kundenbedürfnissen zu planen und umzusetzen. IT-seitig bildet die Wahl eines zertifizierten E-Mail-Marketing-Systems aus Deutschland, dass verschlüsselte E-Mails verschickt, die Basis. Des Weiteren stützt sich DSGVO-konformes und damit vertrauensbildendes Digitalmarketing auf vier Feature-Säulen. Sie sind software- und prozessseitig umsetzbar.

Dokumentation der Einwilligung

Im Dialogmarketing ist die Rechtslage zur Erlaubnis der Verarbeitung personenbezogener Daten relevant: Die DSGVO spricht Verbrauchern, deren Daten erhoben, gespeichert und verarbeitet werden, erweiterte Rechte zu. Konkret haben sich unter anderem die Anforderungen an die Einwilligung verschärft. Diese geben Kunden freiwillig für den konkreten Fall und in informierter Weise unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen Handlung ab.

Eine Schlüsselrolle spielt dabei das Kopplungsverbot. Es besagt, dass Unternehmen die Ausübung einer Dienstleistung nicht mehr an die Einwilligung zur Datenverarbeitung knüpfen dürfen, solange sie nicht für die Erfüllung des Zweckes notwendig ist. Ein Onlineshop darf beispielsweise die Auslieferung eines Produktes nicht an eine Einwilligung ins Tracking, Targeting oder die Personalisierung weiterer Werbung koppeln.

Lesetipp: Bewertungsaufforderung kann unerlaubte Werbung sein

Operativ bedeutet das, dass die Einwilligung aktiv, idealerweise über das bekannte Double-Opt-in-Verfahren, erfolgt. Um diese Einwilligung jederzeit nachweisen zu können, müssen die Texte sicher und konform gespeichert werden. Je nach Umfang erfordert dies den Einsatz einer Software. In diesem Fall weisen Zertifizierungen wie ISO 27001, ISO 27018 und EuroPriSe bei der Entscheidung für das passende Tool die Richtung.

Die Norm ISO 27001 für Informationssicherheit versteht sich als Grundlage zur Datenschutzzertifizierung. ISO 27018 erweitert dieses Konzept und befasst sich mit der Regulierung der Verarbeitung von personenbezogenen Daten in der Cloud. EuroPriSe (European Privacy Seal) steht für datenschutzfreundliche Technologien und Produkte. Alle diese Zertifizierungen sorgen für eine rechtskonforme Verwaltung dieser Legal-Texte. So sind IT- und Rechtsabteilung im Falle einer Prüfung auf der sicheren Seite.

Datenminimierung

Mit der DSGVO stiegen die gesetzlichen Anforderungen im Bereich Datenschutz und Datensicherheit. Viele der geforderten Maßnahmen und Regelungen waren in Deutschland bereits im Bundesdatenschutzgesetz verankert, gehen nun aber wesentlich mehr ins Detail. Parallel nahmen die Kontrollmöglichkeiten, Befugnisse und Aufgaben der Datenschutzbehörden und Datenschutzbeauftragten zu.

Lesetipp: EU-Datenschutz-Grundverordnung - was Unternehmen jetzt tun sollten

Wesentlich für IT-Mitarbeiter ist zudem der DSGVO-Grundsatz der Datenminimierung: Unternehmen dürfen demnach nur noch Kundendaten abfragen und speichern, die "dem Zweck angemessen und erheblich" sind. Unternehmen müssen folgerichtig analysieren, welche Kundendaten sie tatsächlich benötigen und welche sie künftig nicht mehr speichern dürfen und löschen müssen. Im Detail sollten sie kontrollieren, ob in allen Formularen, in denen sie Daten abfragen, nur die Datenfelder als Pflichtfelder stehen, die sie für die Leistungserbringung wirklich brauchen.

Einige Anbieter von Marketing-Software bieten zum Bereich Datenminimierung automatisierte Clean-up-Prozesse, die alle rechtlichen Anforderungen einbeziehen. Bei der Anbieterauswahl achten IT-Entscheider darauf, dass das Tool andere angedockte Programme, wie Bezahl- oder Versandsysteme, über die Datenlöschung informiert.

Transparenz

Kunden profitieren von der Transparenz ihrer gespeicherten Daten. Dabei sollte die Datenspeicherung im Idealfall in Deutschland, mindestens aber in der EU erfolgen. Auch verwendete Systeme und Anbieter spielen in puncto Nachvollziehbarkeit eine große Rolle: Verteilen sich die Daten auf mehrere Systeme in der Cloud, herrscht schnell Unklarheit darüber, wo sie sich befinden, wie sie abgesichert sind, wer darauf zugreifen kann.

Bei der Wahl-Software bieten sich Programme an, die mit Change Logs arbeiten. Diese Funktion eröffnet die Möglichkeit, Änderungen der Daten im System zu protokollieren und gleichzeitig nachzuvollziehen, wer wann welche Änderungen vorgenommen hat. Nimmt ein Kunde sein Recht auf Datenlöschung, das Recht auf Vergessenwerden, in Anspruch, so informieren rechtskonforme Marketingtools auch angedockte Systeme über diesen Vorgang.

Erfüllung der Auskunftspflicht

Weiterhin fordert die DSGVO Marketer auf, Kunden auf Anfrage sämtliche über sie gespeicherte Daten innerhalb von 30 Tagen zur Verfügung zu stellen. Das fällt schwer, wenn personenbezogene Daten in verschiedenen Systemen, in Silos, verstreut liegen. Diese Auskunftspflicht können Onlineshops und Hersteller nur dann zügig und umfassend erfüllen, wenn es das gesamte Setup erlaubt, alle auf eine Person bezogenen Profildaten auf Knopfdruck zu exportieren und dem Verbraucher gebündelt zur Verfügung zu stellen.

Hierfür bieten automatisierte Marketingtools einen vollautomatischen Prozess, der einen einfachen Auszug aller gespeicherten personenbezogenen Daten - auch aus angedockten Systemen - ermöglicht. Diese Daten spielt die Software in einem maschinenlesbaren Dateiformat, wie zum Beispiel als CSV-Datei, aus, um sie anschließend aufwandarm und auf einem sicheren Weg an andere Systeme zu übertragen. Diesen Export können Kunden per Self-Service im Log-in-Bereich, interne Mitarbeiter oder auch Angestellte im angeschlossenen Callcenter initiieren. Sinnvoll ist das etwa, wenn Kunden Services wie ihren Telekommunikationsanbieter wechseln möchten.

Datenschutz ist Markenschutz

Die IT-Analysten Gartner sagen voraus: "By 2020, companies that are digitally trustworthy will generate up to 20 % more online profit than those that are not." Datenschutzkonformität bedeutet somit einen echten Wettbewerbsvorteil. Beachten Unternehmen ihre Sorgfaltspflicht bei der Tool-Auswahl, die Auskunftspflicht nach DSGVO, Transparenz- und Datenminimierungsgedanken sowie das klare Management von Permission-Texten, verschiebt sich die "Creepy Line" zugunsten des Anbieters.