Die neue EU-Datenschutzgrundverordnung (DSGVO) unter Marketing-spezifischen Gesichtspunkten

Die sich durch das Internet anbietenden mannigfachen Möglichkeiten und der hieraus erzeugte Handlungsdruck – denn die Konkurrenz ist nur einen Maus-Klick vom eigenen Angebot entfernt – lässt die unterschiedlichen Abteilungen in Unternehmen häufig satellitenartig unendliche Mengen an Kundendaten sammeln und verwenden. 

Derzeitige Situation

Vielfach werden hiesige Datenschutzvorschriften in Unternehmen nicht so eng gesehen. 

Warum denn auch? Die maximale Geld-Strafe in Höhe von 300.000 Euro, die als Damoklesschwert theoretisch über den Häuptern hängt, wurde in der Vergangenheit nur selten abgerufen, was den andernfalls anfallenden Arbeits- und Geldaufwand für datenschutzsichere Lösungen kalkulierbar erscheinen lässt. (vgl. BDSG, § 43, Abs. 2 und c’t 9/2016: „Welche Änderungen die neue EU-Datenschutz-Regulierung in Deutschland bringen wird“, S. 166)

Das Sammeln kundenspezifischer Daten gehört von jeher in allen Unternehmen zum Kerngeschäft, denn eine gut geführte Kundendatenbank ist die Grundlage für einen anhaltenden Unternehmenserfolg. Wie auch sonst lassen sich besonders in Zeiten des Internets Kunden und Interessenten optimal auf ihrer Customer Journey informationstechnisch begleiten und Angebote an sie personalisieren?

Mittlerweile bedienen sich viele Unternehmen und Freiberufler des mächtigen Marketing-instruments Newsletter oder setzen E-Mail-Marketing für ihre Werbezwecke ein. 

Und auch das restliche Online-Marketing, wie der Einsatz von Tracking-Cookies (z.B. Google Analytics) oder auch Behavioral Targeting, findet zunehmend breite Akzeptanz in ihrer Anwendung.

Doch, auf welche Datenbasis wird bei der Auswahl und aktiven Ansprache der Zielgruppe zurückgegriffen? 

Woher stammen die Daten? 

Liegen einvernehmliche, frei abgegebene Willenserklärungen der Kunden für den Erhalt solcher Marketingbotschaften vor? 

Genau hier wird sich vieles ändern, denn die neue Datenschutzgrundverordnung, kurz DSGVO, gültig ab dem 25. Mai 2018 setzt in allen Bereichen, in denen es um die Speicherung, Verarbeitung und Verwendung personenspezifischer Daten geht, an. 

Die künftig mit Wirksamwerden der neuen DSGVO fälligen Geldbußen können Höhen von bis zu 20 Millionen Euro bzw. vier Prozent des gesamten, weltweit erzielten, Jahresumsatzes eines Konzerns erreichen. (vgl. DSGVO, Art. 83 (4)) 

Doch was sind die genauen Inhalte dieser DSGVO und welche Bedeutung und Auswirkungen haben sie für Unternehmen, Selbständige, Freiberufler, Behörden und alle diejenigen, die mit personenbezogenen Daten arbeiten?

Änderungen ab dem 25. Mai 2018

Prinzipiell gilt der Grundsatz, dass persönliche Daten künftig nur dann genutzt werden dürfen, wenn eine spezifische und freiwillig abgegebene Einwilligung des informierten Betroffenen vorliegt. 

Und das heißt im Umkehrschluss: Schweigen und Passivität von Einzelpersonen stellen keine Einwilligung dar – diese Daten dürfen nicht verwendet werden, es sei denn, der Gesetzgeber erlaubt dieses explizit.

Es stellt sich nun die Frage, was getan werden muss, um Kunden und Interessenten weiterhin auf ihrer Customer Journey zu begleiten und andererseits den datenschutzrechtlichen Bestimmungen Genüge zu tun?

Denn Kunden lehnen personalisierte Angebote grundsätzlich nicht ab – allerdings müssen diese unter der Prämisse einer qualitativ hochwertigen Datenbasis erfolgen. Laut einer von Uniserv im November 2016 veröffentlichten Endverbraucher-Studie sind nur vier Prozent der Befragten noch nie falsch von Unternehmen angesprochen worden. Umgekehrt bedeutet dies, dass 96 Prozent nicht korrekt angesprochen wurden – sei es ein falscher Name, unzutreffende Werbung, Werbung für ein bereits erworbenes Produkt oder ähnliches. 

Aber: 50 Prozent der Befragten finden individuelle Werbung wichtig, und 20 Prozent kaufen gleich öfter, wenn die Angebote ihren Bedürfnissen entsprechen. 30 Prozent der Befragten wünschen sich sogar personalisierte Werbung. (Uniserv: Verbraucher-Umfrage von Toluna, Nov. 2016) 

Aus diesen Ergebnissen sowie der Notwendigkeit für personalisierte Werbung und der neuen DSGVO ergibt sich, dass Datengewinnung, -qualität und –verwendung künftig eine noch wesentlich größere und folgenreichere Bedeutung zukommen werden.

Kurzer Überblick über die wichtigsten Inhalte der neuen DSGVO

  • Grundsätzlich ist der Umgang mit persönlichen Informationen so lange verboten, bis er von den Betroffenen explizit erlaubt wird.
  • Personalisierte Daten dürfen nur für festgelegte eindeutige und rechtmäßige Zwecke gesammelt und gespeichert werden (die Forschung steht hier außen vor).
  • Informationspflichten werden verschärft: so muss den betroffenen Nutzern die Rechtsgrundlage zur Verarbeitung der Daten, die Dauer der Speicherung, die Kriterien für die Dauer der Speicherung und eine eventuelle Weitergabe an Auftragsdatenverarbeiter mitgeteilt werden.
  • Auf ausdrücklichen Wunsch müssen alle persönlichen Daten gelöscht werden – auch diejenigen, die an Dritte weitergegeben worden sind.
  • Betroffene haben beim Vertragspartner den Anspruch auf
    • Erhalt 
      • aller ihrer im Rahmen der Einwilligung gespeicherten personalisierten Daten 
      • in einem strukturierten, gängigen und maschinenlesbaren Format bzw. 
    • direkte Übermittlung dieser Daten an einen weiteren gewünschten Anbieter, soweit dies technisch möglich ist.
  • Die Nachweispflicht für fehlerhaftes Datenmanagement liegt künftig – im Gegensatz zu der Regelung des heute gültigen Bundesdatenschutzgesetzes (BDSG) – bei der datenverarbeitenden Stelle
  • Und… besondere Vorsicht gilt bei der Zielgruppe bis 13 Jahren. Diese unterliegt mit Einführung der neuen Datenschutzverordnung möglicherweise einer verschärften Regelung innerhalb des Jugendschutzes.

Was ist bis zum 25. Mai nächsten Jahres zu tun?

Warten und Nichtstun wäre sicherlich die falsche Herangehensweise in dieser Thematik, ist das Gebiet doch so komplex und sind drohende Strafen eklatant hoch: 

  1. Zunächst gilt es, alle internen Prozesse, in denen personenbezogene Daten gesammelt, gespeichert und verarbeitet werden, zu analysieren.
  2. Auf dieser Basis muss ein Plan erstellt werden, um der neuen DSGVO Rechnung tragen zu können.
  3. Es muss eine Basis zur Erfüllung sämtlicher Informationspflichten geschaffen werden (Erweiterung der AGBs, Datenschutzinformationen, Einwilligungstexte etc.).
  4. Einholung sämtlicher Einwilligungen betroffener Personen.
  5. Externe, mit der Auftragsdatenverarbeitung beauftragte Dienstleister müssen auf Einhaltung der DSGVO überprüft werden.
  6. Schaffung einer technischen und prozessorientierten Infrastruktur für ein dauerhaftes rechtskonformes Datenmanagement.
  7. Unternehmensweite Etablierung von neuen Werten und Zielen, wie Kontinuität, Transparenz und Bewusstsein für die Datenqualität in Bezug auf das Management von personenbezogenen Daten.

Zusätzliche Vorteile einer guten Datenqualität

Nicht nur Sie als Privatkunde sowie Ihre eigenen Kunden profitieren künftig von diesen gesetzlichen Maßnahmen, die anfangs etwas erschreckend wirken können.

Auch Sie als Unternehmer werden von der hohen Datenqualität profitieren können. Wenden sich sonst von Ihnen evtl. sogar unbemerkt Kunden ab, weil diese sich aufgrund fehlerhafter oder irriger Ansprache missverstanden oder gestört fühlen, so erreichen Sie durch die neuen Maßnahmen eine stärkere Kundenzufriedenheit und somit –bindung. Dies wird sich nicht zuletzt auch in einer signifikanten Umsatzerhöhung manifestieren.

Und noch ein Tipp zum Schluss 

Vergessen Sie nicht einen individuellen Vertrag mit Ihrem Cloud-Anbieter (beispielsweise Google Analytics) abzuschließen. Speziell notwendig ist dieses, wenn dieser Dienstleister nicht in einem rechtssicheren Drittstaat, also z.B. der EU, sitzt und zudem nicht in der Liste der Unternehmen steht, die unter den im Sommer 2016 vereinbarten Privacy Shield fallen (s. https://www.privacyshield.gov/list).

Begriffserläuterung „personenbezogene Daten“

Hierunter werden alle Informationen zusammengefasst, die sich auf eine identifizierbare natürliche Person beziehen und ihr (auch nur rein theoretisch) zugeordnet werden können. (DSGVO, Art. 4, Abs. 1)

Literatur

https://dejure.org/gesetze/BDSG

https://dsgvo-gesetz.de/

https://www.heise.de/ct/ausgabe/2016-9-Welche-Aenderungen-die-neue-EU-Datenschutz-Regulierung-in-Deutschland-bringen-wird-3166896.html 

https://www.privacyshield.gov/list

 https://www.uniserv.com/unternehmen/blog/detail/article/umfrage-bestaetigt-schlechte-kundenansprache/