Von Mathias Hermann publiziert am 20. März 2017

Marketing Automation datenschutzkonform betreiben

Die Mehrzahl der Marketingverantwortlichen in Europas Unternehmen schreibt das größte Wachstumspotenzial dem Einsatz von Marketing Automation und Personalisierung von Inhalten zu. Gleichzeitig wächst die Sensibilität in Bezug auf den Schutzbedarf bei der Verarbeitung personenbezogener Daten und mit der Europäischen Datenschutzgrundverordnung (EU-DSGVO) kündigt sich eine einheitliche und gleichermaßen strenge Regelung mit deutlichen Implikationen auf den Einsatz dieser Methode an.

Ist der Einsatz von Marketing Automation überhaupt datenschutzkonform möglich? Und wie verhält es sich mit der Speicherung personenbezogener Daten im EU-Ausland vor dem Hintergrund, dass die etablierten Marketing Automation Plattformen auf SaaS-Geschäftsmodellen basieren, in GEO-redundanten Cloud-Architekturen gehostet und damit über den gesamten Globus repliziert werden?

Höchste Zeit, dass wir die für Marketing Automation wichtigen - und aus datenschutzrechtlicher Sicht kritischen - Punkte genauer beleuchten:

  • Verhaltensanalyse (Webtracking)
  • Speichern personenbezogener Daten
  • E-Mail-Marketing

First things first: worum geht es eigentlich?

Dem Datenschutz kommt in der Marketing Automation besondere Bedeutung zu, da diese immer auf einer möglichst lückenlosen Speicherung des sogenannten „Customer Engagements“ basiert  also der Interaktion des Rezipienten mit dem Inhalts-Angebot des Werbetreibenden. Dies ist die Grundlage zur Speicherung von Merkmalen, die dann die automatische Ausführung von Aktionen – meist einen E-Mail-Versand – zur Folge haben. Daher sind Sie als Online-Marketer beim Einsatz von Marketing Automation mit den großen drei Bereichen des Datenschutzes konfrontiert.

Was bei der Verhaltensanalyse zu beachten ist

Ihr Webserver erfasst jedes Detail eines Besuchs auf Ihrer Webseite im LogFile, daran lässt sich zunächst nichts ändern. Allerdings sind diese Daten nur mit fortgeschrittenem technischen Verständnis zugänglich und verständlich sowie für sich genommen erst einmal anonym. Will heißen: es besteht keine Verbindung zwischen Zeitpunkten, Klickpfaden und IP-Adressen (wobei der Europäische Gerichtshof EuGH jüngst den Personenbezug dynamischer IP-Adressen bejaht hat).

In der Verhaltensanalyse der Marketing Automation hingegen wird jedem Besucher ein Cookie gesetzt. Dieses dient der Zusammenführung von Zeitpunkten und Klickpfaden in einem Profil, das die Wiedererkennung des Besuchers beim zweiten Besuch ermöglicht, also den Personenbezug herstellen kann. Zwar ist dieses Profil zunächst nicht mit einem Namen oder Kontaktdaten versehen, aber aus Sicht des Datenschutzes aufgrund der Wiedererkennbarkeit des Besuchers eben nicht mehr anonym.

In dem Moment, in dem dieser Besucher sich z.B. durch die Nutzung eines Kontaktformulars oder dem Klick auf einen Link zu Ihrer Webseite aus einer automatisierten E-Mail heraus identifiziert, wird die gesamte Engagement-Historie in Verbindung mit der E-Mail-Adresse defacto personalisiert und ersichtlich. Dieses Vorgehen dient in der Folge auch als Grundlage zur Personalisierung von Webseiten-Inhalten, zum Versand von E-Mails, zur Steigerung triggerbasierter Pop-Ups und vielem mehr. Im Klartext: Sie als Werbetreibender können nachvollziehen, wann, wie oft und wo Max Mustermann mit Ihrem Digitalen Content engaged hat.

Das klingt wie Teufelszeug, ist aber aus Sicht des Marketers gleichzeitig äußerst wertvoll und effizient. Zudem kann es – solange es mit Fingerspitzengefühl eingesetzt wird – zu einem deutlich besseren Erlebnis für den Seitenbesucher führen.

Um von dieser Technologie rechtssicher zu profitieren obliegt Ihnen als Werbetreibendem die Verpflichtung zur transparenten Aufklärung darüber, dass

  • ein Cookie gesetzt wird (dies gebietet bereits die EU Cookie-Richtlinie)
  • das Klickverhalten personalisiert gespeichert und über dieses Cookie zusammengeführt werden kann
  • dieses gegebenenfalls zur Personalisierung Ihrer Contents sowie der E-Mail-Kommunikation verwendet wird

Gleichzeitig muss der Seitenbesucher diesen Maßnahmen zumindest als Ganzes widersprechen können. Tut er das, muss gewährleistet sein, dass die Speicherung seiner Daten in Zukunft auch ausbleibt.

Was beim Speichern personenbezogener Daten zu beachten ist

Die im Rahmen der Verhaltensanalyse erhobenen und gespeicherten Daten bezeichnet der Gesetzgeber als personenbezogene Daten. Diese genießen einen hohen Schutzbedarf und unterliegen damit sowohl einer sehr konkreten Gesetzgebung als auch unternehmensinternen Regularien, die im Ernstfall die Zusammenarbeit zwischen zwei Unternehmen einschränken könnten. Das beginnt bei dem physischen Standort des E-Mail-Servers und endet bei dem physischen Standort des CRM-System-Servers.

Der Gesetzgeber verlangt, dass die Speicherung dieser Daten gemäß EU Datenschutzrecht physisch innerhalb der EU stattfindet.

Soweit so gut, die Herausforderung besteht in der Hauptsache darin, dass die etablierten Marketing Automation Software Plattformen SaaS-Produkte amerikanischer Hersteller sind und Ihre Daten damit in jedem Fall mindestens in den USA  in den meisten Fällen sogar rund um den Globus / Geo-redundant – gespeichert werden. Ein Transfer personenbezogener Daten ist aber spätestens seit der Entscheidung des EuGH, mit der im Herbst 2015 das Safe Harbor-Abkommen mit den USA gekippt wurde, höchst problematisch. Eine rechtssichere Lösung kann derzeit nur darin bestehen, dass der jeweilige US-Anbieter einen alternativen Server-Standort innerhalb der EU anbietet. Doch auch dann sind die gesetzlichen Vorgaben der sog. Auftragsdatenverarbeitung (derzeit noch in § 11 BDSG geregelt) zu beachten, wenn eine individuelle Einwilligung des Nutzers nicht eingeholt werden kann.

Im Ergebnis sind Sie als Werbetreibender verpflichtet:

  • einen (schriftlichen) Vertrag über die Auftragsdatenverarbeitung mit dem Anbieter dieser Software Plattform abzuschließen, in dem Sie den Umgang mit den personenbezogenen Daten Dritter, die Sicherheitsmaßnahmen, die Zugriffsbedingungen und deren Einhaltung klar regeln. Hierzu werden Sie die sogenannten TOMs (technische und organisatorische Maßnahmen) des Anbieters sehen wollen und auf dieser Grundlage entscheiden.
  • darüber aufzuklären, welches Unternehmen in Ihrem Auftrag diese personenbezogenen Daten verarbeitet und
  • an welchem geografischen Ort diese Datenverarbeitung vorgenommen wird.

Damit einhergehend muss eine Möglichkeit zum jederzeitigen Widerspruch gegen die Speicherung und Verarbeitung bzw. die Löschung der bereits gespeicherten und verarbeiteten Daten angeboten werden.

Was beim Versenden von E-Mails zu beachten ist

Generell gilt: Wollen Sie als Marketer E-Mails verschicken, ist dies ohne Opt-In nur bei bestehenden Kunden zulässig. In allen anderen Fällen muss der Empfänger vorher seine Einwilligung (Double Opt-In) erteilt haben. Dabei spielt es keine Rolle, ob es sich bei der Person um einen Verbraucher oder um ein Unternehmen handelt.

Diese Einwilligung muss dabei spezifisch für den Kommunikationskanal „E-Mail“ erteilt worden sein. Fehlt diese Einwilligung und besteht keine Kundenbeziehung, spricht das Gesetz von einer unzumutbaren Belästigung (§ 7 UWG).

Personen, die in einer Kundenbeziehung zu Ihnen stehen, dürfen Sie unter Nutzung der Ihnen bekannten E-Mail-Adresse per E-Mail zu spezifischen Themen im Rahmen der jeweiligen Kundenbeziehung adressieren. Dabei sind jedoch die folgenden Voraussetzungen zu beachten:

  • Sie haben die E-Mail-Adresse vom Kunden im Rahmen eines konkreten Leistungsbezugs (oder durch eine Newsletter-Anmeldung) erhalten.
  • Im Zuge des Erwerbs dieser E-Mail-Adresse haben Sie über das Werbewiderspruchsrecht informiert (Opt-Out).
  • Der Kunde hat von dem Werbewiderspruchsrecht keinen Gebrauch gemacht (was in der Kundendatenbank dokumentiert sein sollte).
  • Sie bewerben ähnliche Produkte oder Dienstleistungen aus Ihrem Unternehmen (bezogen auf den konkreten Leistungsbezug).

In der Marketing Automation erwerben Marketers die Kontaktdaten von Interessenten im Rahmen eines Leistungsbezugs, indem gegen Angabe der E-Mail-Adresse ein Content-Offer kostenfrei per E-Mail zur Verfügung gestellt wird.

Um diese E-Mail-Adresse rechtssicher nutzen zu dürfen, muss die Person ihr Einverständnis durch Anklicken einer Checkbox zum Ausdruck gebracht haben. Hierbei ist es nicht zulässig, wenn die Checkbox bereits vorausgefüllt ist, die Erklärung muss vielmehr aktiv abgegeben werden. Idealerweise verbinden Sie diesen Schritt gleich mit einem Link zum Volltext Ihrer Datenschutzerklärung.

Jede E-Mail, die Sie versenden, sollte mit einem klar ersichtlichen Link versehen sein, über den der Empfänger seinen Widerruf erklären kann bzw. sich vom E-Mail-Erhalt abmelden kann.

Im Ergebnis sind Sie als Betreiber einer Marketing Automation verpflichtet sicherzustellen, dass:

  • beim Erheben der E-Mail-Adresse ein Leistungsbezug hergestellt wird (z.B. indem Sie dem Interessierten das Content-Offer zuschicken, anstatt es als Download anzubieten).
  • die Einverständniserklärung durch Anklicken einer Checkbox ausdrücklich gegeben wird.
  • die Datenschutzerklärung in diesem Zusammenhang erreichbar ist.
  • jede verschickte E-Mail mit einer Abmeldefunktion versehen ist.

Indem Sie diese Punkte beachten stellen Sie sicher, dass Ihre Marketing Automation datenschutzkonform und rechtssicher ist.

Marketing Automation Datenschutzkonform einführen

Sie haben Interesse an der Einführung datenschutzkonformer Marketing Automation Verfahren in Ihrem Unternehmen und brauchen Unterstützung zu Lösung einer der oben beschriebenen Herausforderungen?

Gerne unterstützen wir Sie dabei, z.B. im Rahmen eines kostenlosen Digitalen Espresso.

New Call-to-action

Disclaimer

An dieser Stelle möchte ich noch darauf hinweisen, dass es sich bei diesem Blogartikel nicht um eine Rechtsberatung handelt. Die obenstehenden Informationen haben daher keine rechtsverbindliche Wirkung. Zur rechtsverbindlichen Prüfung Ihres Umsetzungskonzepts für die Marketing Automation in Ihrem Unternehmen sollten Sie in jedem Fall einen juristischen Experten hinzuziehen. Wir lassen uns in diesem Zusammenhang von unserem Datenschutzbeauftragten RA Christian Welkenbach (http://www.tcilaw.de/ ) beraten.