Teil 2 unserer Serie zu den Deloitte Marketing Trends 2022

Vorab: Dieser Artikel dient lediglich dem unverbindlichen Informationszweck und stellt keine Rechtsberatung dar.

DSGVO-konforme Datenspeicherung im CRM-System

Beginnen wir noch einmal mit den Grundlagen. Besonders im B2B-Bereich hatte wohl jeder schon einmal Kontakt mit einem CRM-System (Customer-Relationship-Management System). Hier werden alle relevanten Daten zu Kunden und Ansprechpartnern gespeichert und teamintern geteilt. Der Kunde ist im B2B-Bereich zwar ein Unternehmen, die Ansprechpartner sind jedoch natürliche Personen mit dem Recht auf Datenschutz. Was genau im CRM-Systemen abgespeichert werden darf, ist rechtlich streng geregelt. 

Das Bundesdatenschutzgesetz ist an dieser Stelle sehr deutlich. Gespeichert werden dürfen lediglich personenbezogenen Daten, die für die Begründung oder Durchführung eines Rechtsgeschäfts mit dem Betroffenen erforderlich sind. Dabei dürfen zudem keine schutzwürdigen Interessen (bspw. die Privat- oder Intimsphäre der Person) verletzt werden (§ 28 Abs. 1 Nr. 2 BDSG). Sprich: Daten, die zwingend für die Geschäftsabwicklung notwendig sind, wie Name, Vorname, Position, postalische Adresse und E-Mail-Adresse und Telefonnummer, Auftragsinhalte oder gekaufte Produkte. Nicht abgedeckt sind dagegen Daten wie persönliche Präferenzen, Hobbys, Vorlieben, politische Ansichten oder Informationen zum sozialen Umfeld der Person. Diese sind zwar hilfreich für die Geschäftsabwicklung, jedoch nicht zwingend notwendig und somit nicht erlaubt zu speichern. Ausnahmen bilden Informationen, bei denen die betroffene Person ausdrücklich der Speicherung zugestimmt hat.

Cookies

Doch wie sieht es mit Cookies aus? Cookies sammeln Daten über das Nutzungsverhaltens auf der Website. Ein Cookie ist also eine kleine Datei, die im Webbrowser des Nutzers gespeichert wird und beim nächsten Besuch der Website an die Unternehmensserver oder Drittanbieter gesendet wird. Ziel ist es, die Nutzungserfahrung zu verbessern, indem beispielsweise Vorlieben oder angeklickte Artikel gespeichert und wieder vorgeschlagen werden können. Seit der DSGVO 2018 muss den einzelnen Cookies ausdrücklich zugestimmt werden (mit Ausnahme der funktionalen Cookies, die zwingend für die Nutzung der Website benötigt werden). Außerdem müssen sie jederzeit manuell vom Nutzer oder automatisch vom Browser gelöscht werden können. 

Drittanbieter Cookies

In den Marketing Trends von Deloitte ist die Rede von sogenannten Drittanbieter oder Third-Party Cookies. Der Trend gehe dahin, diese aus der Kundenerfahrung zu verbannen. Der Firefox Browser beispielsweise blockiert diese Art von Cookies bereits seit einigen Jahren automatisch. Doch was genau hat es mit dem Begriff auf sich? 

Die kurze Antwort: personalisierte Werbung. 

Die lange Antwort: auf Websites, die Werbung schalten, erlauben Drittanbieter Cookies es den Werbetreibenden, Daten über das Verhaltung des Nutzers zu sammeln und zu speichern. Diese Daten würden anderenfalls lediglich den Betreibern der Website zur Verfügung stehen. Die Problematik besteht darin, dass die Werbetreibenden Nutzungsprofile jedes Mal abrufen können, wenn der Nutzer eine Website besucht, auf der der Werbetreibende aktiv ist. Das ermöglicht es ihnen, websiteübergreifende Profile zu erstellen und die Wege des Nutzers im Internet zu verfolgen. Ziel ist es dabei, möglichst personalisierte und auf den Nutzer zugeschnittene Werbung zu schalten.

Bei den Endverbrauchern sinkt die Akzeptanz gegenüber Drittanbieter-Cookies erheblich. Auch Datenschützer empfehlen, von der Nutzung abzusehen und auf Alternativen umzusteigen. Wie diese aussehen können, ist jedoch einen eigenen Beitrag wert.

Auskunftsrecht

Wichtig ist zuletzt noch, dass jeder Kunde (B2B wie B2C) über das sogenannte Auskunftsrecht verfügt. Dieses erlaubt es der jeweiligen Person, eine Übersicht aller personenbezogenen Daten anzufordern. Hier sind Sie als Unternehmen verpflichtet, eine vollständige Auskunft über die gespeicherten Daten bereitzustellen. 

Zusammenfassung: Anwendungsfall Dialogmarketing

In diesem Fall sind Sie ein Dialogmarketing Unternehmen und fragen sich, was bei der Neukundengewinnung und Datenverarbeitung zu beachten ist.

Wichtig ist an erster Stelle, dass Sie nur zwingend notwendige Informationen über Dritte erheben. Personenbezogene Daten, die darüber hinausgehen, dürfen nicht abgespeichert werden. Außerdem hat jeder das Recht, eine Auflistung aller Daten, ihrem Zweck und dem Zeitraum ihrer Aufbewahrung, bei Ihnen anzufragen. Diese müssen Sie innerhalb von 30 Tagen bereitstellen und, wenn von der Person gewünscht, sogar löschen. Für die Kaltakquise ist eine mutmaßliche Zustimmung gemäß Artikel 6 DSGVO erforderlich. Das bedeutet, dass davon auszugehen sein muss, dass der Empfänger an dem jeweiligen Angebot interessiert ist. Dieses kann erfüllt sein, wenn es sich um eine typische Branche handelt, die von dem Akquise-Angebot profitieren kann. Privatpersonen sind von dieser Regelung ausgenommen. Wenn Sie im Rahmen der Nachfassmaßnahmen auf E-Mail-Marketing setzen, gilt: Unangeforderte Mails dürfen ausschließlich versendet werden, wenn ein berechtigtes Interesse besteht. Der Versand von Newslettern oder anderen Inhalten bedarf eines Double-Opt-In-Verfahrens. Zusätzlich muss jeder Newsletter einen direkten Link zur Abmeldung enthalten. 

Das beinhaltet vier Schritte:

1. Der zukünftige Empfänger meldet sich unter Angabe seiner E-Mail-Adresse für Ihren Newsletter an. 
2. Sie senden eine Mail mit der Bitte um eine Bestätigung des Interesses. 
3. Der Interessent bestätigt sein Interesse (über einen Link o.ä.). 
4. Sie senden den gewünschten Inhalt zu.

Die Kontaktaufnahme über soziale Medien wie LinkedIn oder Xing ist weiterhin ohne Einschränkungen erlaubt. Am Ende gilt, egal, ob Cookies oder Dialogmarketing: wollen sie auf Nummer sicher gehen, dann fragen Sie vor jeder Datenspeicherung um Erlaubnis.