Ein Gastbeitrag von Sven Jänchen, Principal Consultant/Prokurist webit! consulting Gesellschaft für digitale Beratung mbH.
Kontextbezogene Kommunikation und das Entwickeln von Leads ist ohne personenbezogene Daten nicht vorstellbar. Dieser Artikel macht mit den Grundlagen vertraut, die Sie künftig beachten müssen, um weiter mit einem rechtssicheren Leadmanagement erfolgreich zu sein. Außerdem wird gezeigt, welches kommunikative Potenzial der pflichtgemäße Umgang mit personenbezogenen Daten augenblicklich bietet. Nutzen Sie es.
Leadgenerierung – Interessenten online identifizieren
Sie haben Ihre Website neu gestaltet, haben Landing Pages für verschiedene Produkte und Leistungen erstellt. Selbstverständlich haben Sie alle Onpage-Maßnahmen für die Suchmaschinen-Optimierung (SEO) umgesetzt. Dazu ist Google Analytics, vielleicht sogar der Tag Manager, eingerichtet. Sie planen nun Mittel für Google AdWords und Social-Media ein, um Traffic für Ihre neuen Seiten zu organisieren.
Doch was nutzt Ihnen – vertrieblich gesehen – dieser gesamte Aufwand, wenn Sie nicht in der Lage wären, einzelne Nutzer aus der Anonymität des Netzes herauszuheben? Diejenigen zu erkennen, die aktuell brennendes Interesse an Ihren Leistungen haben. Mit ihnen in Kontakt zu treten und auch zu bleiben.
So schön viele Daten
Deshalb setzen Sie Cookies ein. Diese ermöglichen es Ihren Systemen, Informationen über wiederkehrende Besucher zu erfassen. Sie versuchen, den Namen und die E-Mail-Adresse der potenziellen Interessenten zu gewinnen, indem Sie Whitepaper zum Herunterladen anbieten. Oder Sie laden zu Online-Präsentationen ein.
Idealerweise gibt der Kontakt mit höchstem Interesse – den Sie „Hot Lead“ nennen – immer mehr und mehr Informationen über sich preis: Namen, Kontaktdaten, Interessen, Besuchsprofile, Kennungen in sozialen Netzwerken. All diese im Rahmen des „Progressive Profiling“ gewonnenen Informationen runden sein Profil nach und nach ab.
Die Informationen helfen Ihnen, Ihre Angebote kontextbezogen zu unterbreiten. Damit verhindern Sie einerseits die Überfrachtung des Kunden mit unerwünschter Werbung – was er goutieren wird. Andererseits steigern Sie die Effizienz Ihres Vertriebs. Denn Sie wissen genau, auf wen sich Ihre Vertriebsmitarbeiter als nächstes konzentrieren sollten – welcher Lead „hot“ und welcher bisher nur „warm“ ist.
Verarbeiten der Daten
Um dieses Szenario zu realisieren, verarbeiten Sie Daten. Darunter versteht die EU-Datenschutz-Grundverordnung „… das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ von Daten (Art. 4 Nr. 2).
Dürfen Sie das? Solange kein Personenbezug gegeben ist – JA.
Allerdings wollen Sie genau diesen Personenbezug erreichen: den Nutzer Ihres Onlineangebots aus der Anonymität des Netzes herausholen und erfahren, welche Interessen er hat und was ihn beschäftigt.
Deshalb gelten für den beschriebenen Fall aktuell das Bundesdatenschutzgesetz, das Telemedien-Gesetz, das Telekommunikationsgesetz und ab 25. Mai 2018 die EU-Datenschutz-Grundverordnung (EU-DS-GVO), die dann die vorgenannten drei Regelungen ersetzt. Sie gelten für die ganz oder teilweise automatisierte Verarbeitung von personenbezogenen Daten.
Was genau ist „Personenbezug“?
Zunächst kennen Sie nicht den Namen des Besuchers. Sie können nur nachvollziehen, wie oft eine bestimmte Person auf Ihren Seiten war. Liegen hier schon zu schützende Daten vor? Oder ein Interessent gibt seine dienstliche Email-Adresse beim Download eines Whitepapers an. Handelt es sich dabei um personenbezogene Daten?
Ja, die EU-DS-GVO definiert „personenbezogene Daten“ in Art. 4 Nr. 1 als:
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürlichen Person beziehen“
Identifizierbar ist Ihr Website-Besucher, wenn er „direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Art. 4 Nr. 1) – genau dies versuchen Sie mit dem Einsatz des Cookies und ggf. mit Google Analytics.
Die folgende Darstellung konkretisiert die Unterschiede zwischen personenbezogenen, pseudonymisierten und anonymen Daten. Nur für letztere gilt die EU-DS-GVO nicht, da sie außerhalb des sachlichen Geltungsbereichs liegen.
Sehr gute, weiterführende Informationen zum Thema, welche Daten im Online-Bereich genutzt werden dürfen und welche nicht, stellt der Jurist Dr. Thomas Schwenke in seinem Ratgeber-Beitrag in t3n anschaulich dar.
Regeln zum Profiling
Das Ziel Ihres Lead Managements ist es, (wiederkehrende) Besucher immer besser kennen zu lernen, um die Botschaften und Angebote entsprechend der Interessen der jeweiligen Person besser zu individualisieren. Speichern Sie Informationen über das Verhalten der Person an den verschiedenen Touchpoints (Website, Social Networks, Emails, etc.), entsteht sukzessive ein Profil der Person. Dieses Vorgehen wird in der EU-DS-GVO als „Profiling“ bezeichnet (Art. 4 Nr. 4):
„… automatisierte Verarbeitung personenbezogener Daten, … um bestimmte persönliche Aspekte … zu bewerten, insbesondere um Aspekte bezüglich … persönliche Vorlieben, Interessen, …, Verhalten … zu analysieren oder vorherzusagen“.
Eine spannende Regelung zum Profiling findet sich allerdings an anderer Stelle. In Kapitel 3 werden die Rechte der betroffenen Person festgelegt. Nach Art. 22 (1) hat jede Person „das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“
Gemeint sind damit z.B. die automatische Ablehnung eines Online-Kreditantrags oder in einem Online-Einstellungsverfahren. Es gibt in der DS-GVO drei Ausnahmen von dieser Regel. Diese sind für unser „Progressive Profiling“ aus dem Eingangsbeispiel nicht relevant.
Vielmehr profitierten sowohl der Besucher der Website als auch Ihr Unternehmen von den Ergebnissen des Profiling. Die mögliche Effizienzsteigerung in Marketing & Vertrieb ist ein valider Grund für Sie. Der Interessent erhält im Gegenzug nur die Werbebotschaften, die für ihn in seiner Situation relevant sind.
Hier stellt sich die Frage, ob bereits Ihre Entscheidung, dem Interessenten bestimmte Botschaften zu senden und andere nicht, als „erhebliche Beeinträchtigung“ aufgefasst werden kann. Man könnte ebenso gut von einer Win-Win-Situation sprechen – allerdings nur, wenn Sie dem Kunden Informationen nicht (grundsätzlich) vorenthalten. Immerhin könnte es ja sein, dass Sie mit Ihrer Prognose über die „Relevanz von Inhalten“ falsch liegen.
Im Vergleich zu aktuellen Regelungen sind die neuen Vorgaben allerdings weitreichender. Hinsichtlich der Auslegung der Profiling-Spielregeln im Zusammenhang mit Marketing Automation Tools herrscht noch große Unsicherheit. Die Verordnung gilt noch nicht, mögliche Verstöße wurden von den entsprechenden Stellen noch nicht angezeigt und von Gerichten auch noch nicht bewertet.
Auf der sicheren Seite sind Sie auf jeden Fall, wenn Sie die Einwilligung in die Datenverarbeitung und das Profiling durch den Nutzer Ihrer Internetangebote nachweisen können. Mit einer abschließenden Bewertung werden sich gegenwärtig auch Juristen schwer tun. Nur sie können Ihnen aber im konkreten Fall weiterhelfen, denn dieser Beitrag kann keine Rechtsberatung ersetzen.
Verschärfung des Schutzes durch EU-DS-GVO?
Als EU-Verordnung gilt die neue EU-Datenschutz-Grundverordnung sofort. Da sie an vielen Stellen Freiraum für nationale Regelungen bietet, wurde das Bundesdatenschutzgesetz bereits entsprechend angepasst.
Stärkung der Rechte von EU-Bürgern
Grundsätzlich stärkt die DS-GVO die Rechte von EU-Bürgern. Wir erlangen mehr Kontrolle über unsere Daten und es wird gewährleistet, dass diese geschützt sind – egal, ob sie in Europa verarbeitet werden oder nicht. Zu unseren Rechten gehören:
- Recht auf Zustimmung,
die freiwillig, für einen spezifisch Zweck und wissentlich erteilt werden muss. - Recht auf Zugang
zu den vom Unternehmen gespeicherten Daten – kostenlos und elektronisch. - Recht auf Vergessenwerden,
wenn eine Kundenbeziehung endet oder der Zustimmung widersprochen wird, müssen alle Daten gelöscht werden. - Recht auf Datenübertragbarkeit
der Daten von einem Serviceanbieter zu einem anderen. - Informationsrecht,
welche Daten werden warum gesammelt – das muss der Nutzer wissen, bevor die Sammlung beginnt. - Recht auf Berichtigung
veralteter, unvollständiger oder falscher Daten. - Recht auf Einschränkung,
welches das Sammeln erlaubt und die Verarbeitung ganz oder in Teilen verbietet. - Einspruchsrecht
gegen die Verwendung der Daten für Direktwerbung. - Recht auf Benachrichtigung
bei Verletzung der Datensicherheit innerhalb von 72 Stunden nach Bekanntwerden der Verletzung.
Prinzipien der Datenverarbeitung für Unternehmen
Um diese Rechte sicherzustellen, werden den Verarbeitern und seinen Beauftragten verschiedene Pflichten auferlegt. So sind z.B. alle Verarbeitungstätigkeiten zu verzeichnen, i.d.R. ein Datenschutzbeauftragter zu bestellen und der Datenschutz durch Technikgestaltung und entsprechende Voreinstellungen von vornherein zu berücksichtigen.
Als Verantwortlicher – das sind im Eingangsbeispiel Sie und Ihr Unternehmen – sind Sie dazu verpflichtet, die Bestimmungen einzuhalten. Mehr noch: Sie müssen nachweisbar dafür Sorge tragen, dass die Regelungen von Ihren Dienstleistern (diese heißen „Auftragsverarbeiter“ – im Beispiel Google mit seinem Dienst Google Analytics) ebenfalls eingehalten werden. Dazu werden Sie mit diesen Verträge über die Auftragsdatenverarbeitung abschließen. Hier finden Sie den ADV-Vertragsvorschlag von Google.
Grundsätzlich sind vom Unternehmen, das personenbezogene Daten verarbeitet, folgende Prinzipien einzuhalten:
- Rechtmäßigkeit
Jede Verarbeitung von Daten bedarf einer Rechtsgrundlage (z.B. einer Erlaubnis). - Zweckbindung
Daten dürfen nur für vorher festgelegte, eindeutige und legitime Zwecke verarbeitet werden. - Datensparsamkeit
Die Verarbeitung der Daten muss auf das zweckgebundene, notwendige Maß beschränkt sein. - Transparenz
Datenverarbeitung muss für die jeweils betroffene Person nachvollziehbar sein und die Informationspflichten müssen eingehalten worden sein. - Sachliche Richtigkeit
Daten müssen sachlich richtig und auf dem neuesten Stand sein. - Begrenzte Speicherung
Daten sind (frühestmöglich) zu löschen, sobald die zweckgebundene Erforderlichkeit wegfällt. - Integrität und Vertraulichkeit
Daten müssen vor Verlust, Schädigung, der unbefugten oder unrechtmäßigen Verarbeitung geschützt sein.
Halten Sie sich an diese Prinzipien und machen Sie sie zu Leitlinien Ihrer Unternehmenspolitik im Umgang mit personenbezogenen Daten. So haben Sie die Möglichkeit, sich vom Wettbewerb positiv abzuheben. Denn nach einer aktuellen Studie von Veritas sind lediglich zwei Prozent der Unternehmen weltweit tatsächlich auf die Verordnung vorbereitet.
Martialische Strafen drohen
Zudem vermeiden Sie deutliche Strafen, die ab kommenden Jahr bei der Nichteinhaltung der Vorgaben drohen. Potenziell liegen diese bei bis zu 10 Millionen EUR oder 2% des weltweiten Bruttojahresumsatzes – je nachdem, welche Summe höher ist. Diese Summen können sich sogar unter bestimmten Umständen noch verdoppeln.
Auf der einen Seite der juristisch nicht durchgestylte Mittelständler, der Daten von 300 Kunden und 1000 Interessenten verarbeitet und sich „im Rahmen seiner Möglichkeiten“ um die Einhaltung des Datenschutzes bemüht. Auf der anderen Seite der amerikanische Großkonzern, der ohnehin als Datenkrake bekannt ist aber entsprechende rechtliche Regelungen bereithält. Wer wird zuerst und in welchem Umfang mit Kontrollen zu rechnen haben? Diese Frage wird bis zum kommenden Jahr wohl offen bleiben.
Drei gewinnt!
In jedem Fall empfiehlt es sich, das eigene Unternehmen bezüglich der neuen und in Teilen auch strengeren Regeln fit zu machen. Dazu gibt es Checklisten für den ersten Überblick, die Sie selbst ausfüllen können, oder auch Angebote für Checkups durch Dienstleister. Und Sie sollten dem Rat von Spezialisten – ganz gleich ob Jurist oder Auditierer – aufgeschlossen gegenüber stehen. Dann können Sie und Ihre Kunden nur gewinnen.
Transparenzgewinn
Der offensive Umgang mit dem Thema Datenschutz gegenüber Ihren Kunden, die klare Darstellung, wie und warum Sie Daten erheben und wie Sie die Rechte Ihres Interessenten berücksichtigen – das ist ein klarer Transparenzgewinn für Kunden, Interessenten und auch Mitarbeiter Ihres Unternehmens.
Mit welchem Unternehmen würden Sie denn selbst lieber zusammenarbeiten: mit einem „Big-Brother“, bei dem Sie nicht wissen, was er alles über Sie weiß, oder mit einem, das schon den Beginn der Kundenbeziehung offen und fair gestaltet.
Reputationsgewinn
Wenn es Ihnen gelingt, die genannten Prinzipien der Datenverarbeitung zu Ihrer Unternehmenspolitik zu machen, werden Sie die positiven Emotionen, die Sie am Beginn der Beziehung zu Ihren Kunden aufbauen, nicht enttäuschen. Vielmehr verstetigen Sie die Wahrnehmung im Markt als kompetenter und verantwortungsbewusster Partner. Ihr Ansehen steigt und Sie werden Reputationsgewinne realisieren.
Gewinn im Wettbewerb
Mehr Transparenz zu Beginn einer Beziehung und der Ruf, dass meine Daten bei Ihnen sicher sind – Sie wären der Lieferant meiner Wahl. Solange die in der Veritas-Studie zitierte Situation vorherrscht, haben Sie hier eine Chance. Machen Sie Datenschutz zu einem Thema in Ihrer Kommunikation. Gehören Sie zu den ersten in Ihrer Branche, die das Thema nicht nur „auch abhandeln“ sondern gehen Sie offensiv damit um. Erklären Sie, warum es Ihnen wichtig ist. Damit erarbeiten Sie sich Wettbewerbsvorteile und sichern Umsatz und Ertrag in der Zukunft.
Vielleicht fragen Sie sich: „Was, wenn die Kollegen bei Veritas falsch liegen?“ Für uns als Bürger wäre das ideal und für Ihr Unternehmen? Wenn die Einhaltung der Datenschutzbestimmungen zu den Standardanforderungen bei der Lieferantenauswahl und von allen Marktbegleitern erfüllt wird, entfällt das Kommunikationspotenzial für dieses Thema. Gleichzeitig müssen Sie es aber umsetzen, wenn Sie nicht Kundenabwanderung und Umsatzeinbußen riskieren wollen. Auch in diesem Fall sind Sie besser gestellt, wenn Sie sich an die geltenden Regeln halten.
Es lebe die Leadgenerierung
Das Ziel einer kontextbezogene Kommunikation setzt Kenntnis über die Person, die Situation in der sie sich befindet und über relevante Themen voraus. All dies führt technisch gesehen zur Notwendigkeit, Profile Ihrer Kunden zu erstellen, um Werbebotschaften gezielt entlang der Customer Journey auszusteuern.
Solange die Profilerstellung keine rechtliche Wirkung für den Interessenten entfaltet, seine Interessen nicht erheblich beeinträchtigt und seine Zustimmung vorliegt bzw. die Datenerhebung im berechtigtem Interesse Ihres Unternehmens liegt, sollten Marketing Automation und Lead Management unproblematisch sein. Sie müssen also nicht darauf verzichten, sondern vielmehr den Rahmen so gestalten, dass er rechtssicher ist. Dabei sollten Sie auf das juristische Wissen von Fachleuten zurückgreifen.
Das ist schon deshalb nötig, weil juristische Themen immer Interpretationsspielräume offenlassen. Zum anderen soll die DS-GVO durch die ePrivacy-Verordnung weitergeführt und um begleitende Regelungen – insbesondere für den elektronischen Geschäftsverkehr – ergänzt werden. Die ePrivacy-Verordnung soll ebenfalls am 25. Mai 2018 in Kraft treten, ist aber selbst noch im Erstellungsprozess.
Lassen Sie sich davon nicht abschrecken. Bereiten Sie bereits jetzt alles vor. Der 25. Mai 2018 kommt nicht überraschend. Eine Schonfrist wird es nicht geben. Diskutieren Sie bei der Gestaltung des für Ihr Unternehmen optimalen rechtlichen Rahmens auch Themen, die in diesem Artikel bisher nicht oder nicht ausführlich besprochen wurden, wie u.a.
- Datenspeicherung in Drittstaaten, wenn Sie z.B. Clouddienste einbinden,
- Auftragsverarbeiter in Drittstaaten, wenn Sie Tools vor allem aus den USA nutzen wollen,
- Datenschutz by Design und Datenschutz by Default,
- Datenschutz-Folgeabschätzungen.
Und nutzen Sie das kommunikative Potenzial, das Ihnen der pflichtgemäße Umgang mit personenbezogenen Daten augenblicklich bietet.
Unser Gastautor
Sven Jänchen, Principal Consultant bei webit! consulting – Gesellschaft für digitale Beratung mbH.
Nach seiner Ausbildung zum Maschinen- und Anlagenmonteur und BWL-Studium war Herr Jänchen 10 Jahre als Unternehmensberater im Bereich Technischer Vertrieb selbständig. Anschließend verantwortete er als Mitgründer eines SAP-Spin Offs die Funktionen Vertrieb & Marketing.
Nach seinem Wechsel zur T-Systems gestaltete er fünf Jahre lang Digitalisierungsprojekte für namhafte Großunternehmen mit. Heute arbeitet er wieder im Mittelstand als Digitalisierungscoach. Seine Leidenschaft gilt dabei den Themen Digital Customer Experience, B2B Lead Management und Business Model Innovation.