Das Internet hat sich für das Marketing zu einem wahren Schlaraffenland entwickelt. Nirgendwo sonst hinterlassen Kunden und potenzielle Käufer so viele Informationen zu ihrer Person, ihren persönlichen Interessen und ihren Kaufvorlieben wie im virtuellen Netz. Dieser schier unerschöpfliche Pool an marketingrelevanten Daten kommt der Idee einer personalisierten Kundenansprache sehr entgegen. Eines sollten Werbetreibende jedoch auf keinen Fall aus den Augen verlieren: Datenschutzrechtlich ist die Erfassung und Verwendung von Online-Bewegungs- und Kundendaten zu Marketing- und CRM-Zwecken ein sensibles Feld.

Personalisierte Werbung, gezielte Kundenansprache, Erschließung von Up- und Cross-Selling-Potenzialen – diese Schlagworte gelten zu Recht als Rezept für ein erfolgreiches Marketing. Und das Internet ist eine dankbare Fundgrube, in der Marketingtreibende zahlreiche Zutaten für diese viel versprechenden Ansätze finden können. Kombiniert mit den Ergebnissen aus dem Website-Tracking lassen bestehende Kundendaten Rückschlüsse zu, auf deren Basis das Kaufverhalten vorhergesagt und potenzielle Kunden erfolgreich angesprochen werden können. Soweit zur Theorie. Rein praktisch ist eine derart umfassende Nutzung von Kundendaten zwar möglich, unter rechtlichen Gesichtspunkten ist sie in den meisten Fällen jedoch kritisch oder gar illegal. Um eine Konfrontation mit den Strafverfolgungsbehörden zu vermeiden, ist ein korrekter Umgang mit den Kundendaten unumgänglich.

Besonders sensibel: Personenbezogene Daten

Um rechtliche Stolperfallen zu umgehen, empfiehlt sich eine differenzierte Betrachtung aller verfügbaren Informationen, die der Nutzer im Internet hinterlässt. Denn das Datenschutzrecht unterscheidet zwei Typen von Daten: personen- und nicht personenbezogene Daten. Zu den nicht personenbezogenen Informationen werden all jene gerechnet, die anonym erfasst, verarbeitet und gespeichert werden und die nicht wieder einer Person zugeordnet werden können. Daten, die konkrete Rückschlüsse auf eine Person zulassen, werden unter dem Begriff personenbezogene oder auch persönliche Daten zusammengefasst. Zu dieser Kategorie gehören beispielsweise Angaben wie Name, Adresse, Telefonnummer oder Kontodaten eines Kunden. Was besonders für die Erhebung von Online-Nutzerprofilen wichtig ist: Nach deutscher Rechtsprechung zählen auch IP-Adressen zu den personenbezogenen und somit besonders schützenswerten Daten.

Wird ein Nutzerprofil pseudonymisiert – also aus dem klar identifizierten Werner Schmidt ein beliebiger Kunde A – dann ist es wichtig, dass die Pseudonymisierung nicht rückgängig gemacht werden kann. Das bedeutet im Klartext: Im pseudonymisierten Nutzungsprofil dürfen zwar nicht personenbezogene Angaben zum Nutzerverhalten wie die Zahl der Seitenaufrufe auf einer Website, aber keine personenbezogenen Daten wie zum Beispiel die IP-Adresse des Besuchers oder gar der Name des Nutzers gespeichert werden. Ansonsten könnte das Pseudonym im Umkehrschluss – beispielsweise über die potenziell eindeutig zuzuordnende IP-Adresse eines Kunden – aufgehoben werden und damit wieder einen Bezug zu Werner Schmidt erlauben. Das wiederum wäre aus datenschutzrechtlicher Sicht ein klarer Gesetzesverstoß und damit strafbar. Die klare Empfehlung für E-Commerce-Händler, die zum Controlling ihrer Online-Angebote Nutzerprofile erfassen: Es ist sinnvoll, IP-Adressen erst gar nicht zu speichern – insbesondere auch nicht für Verteilungsanalysen, die besagen, wie häufig eine Site von konkreten IP-Adressen aufgerufen wurde.

Online-Daten sind kein Telefonverzeichnis

Bis vor wenigen Monaten war es nicht möglich, von einer Telefonnummer auf den Namen und die Adresse einer gesuchten Person zurückzuschließen. Ein derartiger Reverse-Look-Up war gesetzlich untersagt. Diese Bestimmung wurde inzwischen zwar für Telefonverzeichnisse gelockert, für personenbezogene Online-Daten ist sie jedoch immer noch in vollem Umfang gültig. Ein Beispiel: Eine Versand- oder Tracking-Software darf zwar aufgrund früherer Aussendungen von Werbe-Mails registrieren, welche E-Mail-Adressen welche Produkte favorisiert haben und die Adressen anschließend auch automatisch in entsprechende Versandgruppen einteilen. Dem Werbetreibenden ist es jedoch untersagt, aus einem solchen Pool von E-Mail-Adressen und von Versand- und Tracking-Informationen einzelne Daten zu extrahieren und von gespeicherten Kennzahlen auf konkrete Personen zu schließen. Ruft ein Online-Händler aus seiner Software ab, welche E-Mail-Beiträge beispielsweise Werner Schmidt geklickt und hinterher bestellt hat, dann verstößt er damit gegen das Datenschutzgesetz, wenn hierzu keine explizite Einwilligung von Werner Schmidt vorliegt.

Explizite Einverständniserklärung erlaubt Datennutzung

Der einzige Weg, personenbezogene Daten für Marketingzwecke nutzbar zu machen, ohne in rechtliche Fettnäpfchen zu treten, ist die explizite Einwilligung des Kunden. Ein Hinweis des Website-Betreibers auf die Nutzung der Daten beispielsweise in den AGBs ist in diesem Fall jedoch nicht ausreichend. Bei der Speicherung seiner Daten muss der Kunde sich ausdrücklich damit einverstanden erklären, dass sein Nutzungsprofil in Zusammenhang mit seinen personenbezogenen Daten gebracht wird. Daraus resultiert, dass ein Online-Händler ohne solch eine Einwilligung nur die Daten speichern darf, die unmittelbar für den jeweiligen Einkauf relevant sind. Eine kombinierte Speicherung von beispielsweise Name, E-Mail- oder IP-Adresse und aufgerufenen Webseiten eines Kunden ist unzulässig. Sollte Beispielkunde Werner Schmidt aufgrund seines protokollierten Online-Nutzungsverhaltens dennoch personalisierte Mailings in seinem E-Mail-Briefkasten vorfinden, so kann er den entsprechenden Online-Händler wegen Datenmissbrauchs zur Verantwortung ziehen. Nicht explizit einverstanden, aber zumindest in Kenntnis gesetzt sein müssen Kunden immer dann, wenn Cookies im Spiel sind. Der Hinweis auf das Setzen von Cookies ist jedoch nicht nur eine Frage von datenschutzrechtlicher Konformität, sondern auch von Transparenz, Kundenorientierung und gutem Stil. Deshalb sollten die Besucher einer Website an einer prominenten Stelle darüber informiert werden, wann, wie und warum bei ihnen Cookies gesetzt werden. Besonders gut eignen sich hierfür das Impressum oder – wenn vorhanden – die Datenschutzerklärung. Doch Vorsicht: Auch diese Regelung gilt nur, solange der Cookie nicht dazu verwendet wird, eindeutige Beziehungen zwischen personenbezogenen Daten und pseudonymen Nutzungsprofilen herzustellen.

Widerspruchsrecht gilt in jedem Fall

Bei allen Daten, die zur Erstellung von Nutzungsprofilen erhoben werden, hat der Kunde grundsätzlich ein Widerspruchsrecht. Rückwirkend kann der Kunde sein Recht auf Widerspruch jedoch nur bei personenbezogenen Daten geltend machen. Wäre Werner Schmidt beispielsweise nicht länger mit seinem Online-Händler zufrieden, dann könnte er mit sofortiger Wirkung die Löschung seiner Adresse, seiner Kontodaten etc. veranlassen. Bei nicht personenbezogenen Informationen kann das Widerspruchsrecht nur für zukünftige Datenerfassungen und -speicherungen berücksichtigt werden. Widerspricht der Nutzer der Erfassung pseudonymer Nutzungsdaten, trägt er nicht mehr zum gesammelten Datenschatz bei. Auch hier ein Hinweis: Möchte der Kunde von seinem Widerspruchsrecht Gebrauch machen und nicht länger zu den pseudonymen Nutzungsprofilen beitragen, reicht es nicht aus, ihm bestimmte Modifizierungen seines Browsers – beispielsweise das Blockieren von Cookies – vorzuschlagen. Aus datenschutzrechtlicher Sicht muss die Nichtspeicherung von Nutzungsdaten vom Website-Betreiber veranlasst und technisch umgesetzt werden.

Verantwortung auch bei Auslagerung der Datenverarbeitung

Unabhängig davon, ob ein Unternehmen die Daten seiner Kunden auf unternehmens-eigenen Servern verarbeitet oder ob es diese Prozesse an einen externen Outsourcing-Anbieter weitergibt, es zeichnet stets selbst für den rechtlich einwandfreien Umgang mit diesen Informationen verantwortlich. Denn wer Daten zur Verarbeitung oder Archivierung an einen Dritten weitergibt, der veranlasst nach deutschem Recht eine „Datenverarbeitung im Auftrag“. Die rechtliche Konsequenz der Datenverarbeitung im Auftrag: Der Auftragnehmer – zum Beispiel ein Betreiber von CRM- oder Tracking-Software – ist per Gesetz dazu verpflichtet, die Weisungen des Auftraggebers einzuhalten. Der Auftraggeber – beispielsweise ein Versandhaus, das seine Kundenansprache optimieren will – bleibt nach § 11 des Bundesdatenschutzgesetzes für die ordnungsgemäße Datenverarbeitung verantwortlich. Der Auftraggeber muss sicherstellen, dass sein Dienstleister alle Daten gemäß dem strengen deutschen Datenschutzgesetz verarbeitet und speichert. Und das gilt sowohl für ausgelagerte ASP-Lösungen als auch für Software-Systeme, die im eigenen Haus betrieben werden. In diesem Zusammenhang ist die Datenverarbeitung im Ausland ein weiterer, wichtiger Aspekt, den es in Sachen Datenschutz zu berücksichtigen gilt. Da in anderen Ländern nicht nur andere Gepflogenheiten, sondern auch andere Online-Rechtsprechungen gelten, müssen sich Kunden explizit damit einverstanden erklären, dass ihre Daten nicht auf einem deutschen Server untergebracht werden. Denn auch hier ist – ähnlich wie bei der Generierung personenbezogener Nutzungs- und Interessenprofile – eine entsprechende Klausel in den AGBs oder Nutzungsbedingungen nicht ausreichend.

Marketingtreibende, die die Daten ihrer Kunden mit dem nötigen Respekt behandeln, vermeiden nicht nur unangenehme Berührungen mit dem Datenschutzgesetz, sie leisten zudem einen wichtigen Beitrag zu mehr Transparenz und Kundenfreundlichkeit.

Christian Bennefeld, Geschäftsführer etracker GmbH

Bookmark setzen

Hide Sites