Datenschutzkonformes Dialogmarketing: Wie die DSGVO künftig Marketingprozesse beeinflusst

Lange heraufbeschworen, klopft eine tiefgreifende Veränderung aktuell an die Tür des Marketers, wenn am 25. Mai die europäische Datenschutzgrundverordnung in Kraft tritt. Was dies für das Berufsfeld derjenigen bedeutet, die mit personenbezogenen Daten ihrer Konsumenten umgehen, erläutert hier Marketing- und IT-Security-Experte Andres Dickehut.   

Paragraphen, Erwägungsgründe und Erweiterungen. Was kommt mit der DSGVO auf uns zu?

Die Datenschutzgrundverordnung ist, wie der Name schon sagt, eine „Grundverordnung“. Damit legt sie zum jetzigen Zeitpunkt nur die Grundlage fest und wird folgend durch zusätzliche Verordnungen und Gesetze ergänzt, die in ganz unterschiedlichen Bereichen greifen. Erst diese Erweiterungen regeln vieles im Detail und zusätzliche Verordnungen ziehen nach. Wir befinden uns also am Anfang eines Prozesses, in dem es mit neuen Anforderungen an Datenschutz und Datensicherheit rege weitergeht. Dies betrifft das Marketing wie auch alle anderen Unternehmensbereiche.

Die 137 Erwägungsgründe der DSGVO sind für alle Mitarbeiter und Entscheidungsträger interessant, die sich mit Datenschutz und seiner Umsetzung beschäftigen. Sie erläutern, welche Überlegungen zur EU-DSGVO geführt haben und schaffen ein einheitliches Verständnis für die Hintergründe. Zudem dienen sie als Hilfe für die konsistente Entwicklung weiterer Verordnungen, die auf die DSGVO aufsetzen, sowie für die Umsetzung in den Rechtssystemen der EU-Mitgliedsländer. Damit stellen Erwägungsgründe eine wertvolle Informationsquelle dar und lassen erahnen, was in weiteren von der DSGVO abhängigen Gesetzen noch kommen kann. Beispiel: die geplante neue E-Privacy Verordnung, die vermutlich 2019 in Kraft tritt.

Ganz konkret, was muss sich denn im Marketing, insbesondere im Dialogmarketing, ändern?

Ein gründlicher und professioneller Blick auf alle marketingbezogene Prozesse ist der erste Schritt. Marketingverantwortliche sollten ab sofort alle Verarbeitungsprozesse von Daten überprüfen, weil sich sehr viele Details verändern. Schon allein die Definition „personenbezogene Daten“ ist im Fluss, dazu kommen unter anderem Veränderungen bei Informationspflichten, Betroffenenrechten, Erlaubnisgrundlagen, Einwilligungen und Bußgeldern. Viele der geforderten Maßnahmen und Regelungen sind in Deutschland jedoch bereits im Bundesdatenschutzgesetz verankert. Sie werden nun aber detaillierter, während sich parallel die Kontrollmöglichkeiten, Befugnisse und Aufgaben der Datenschutzbehörden und Datenschutzbeauftragten erweitern. Im Blick auf hohe Strafen und Bußgelder, die die DSGVO bei Verstößen anberaumt, sollte jeder Marketer seine bisherigen Mechanismen und Mittel screenen und anpassen.

Im Dialogmarketing ist die Rechtslage zur Erlaubnis der Verarbeitung personenbezogener Daten relevant: Die DSGVO spricht Verbrauchern, deren Daten erhoben, gespeichert und verarbeitet werden, mehr Rechte zu. Konkret verschärfen sich die Anforderungen an die Einwilligung, die Berichts- und Auskunftspflichten, das Recht auf Übertragbarkeit, das Recht auf Löschung ("Vergessenwerden“) und die Aufzeichnungspflichten.

Für das Dialogmarketing bedeutet das auch, dass personenbezogene Daten transparenter gespeichert und betroffene Personen umfänglich über die Nutzung ihrer Daten informiert werden müssen. Unternehmensbeteiligte müssen die Daten auf Wunsch jederzeit unbürokratisch gänzlich oder in Teilen löschen oder übertragen.

Werden die gesetzlichen Voraussetzungen erfüllt, ist der Einsatz eines Datenschutzbeauftragten zwingend, der alle Vorgänge der Datenverarbeitung überwacht und die Einhaltung der Regeln kontrolliert. Zusätzlich gelten laut Verordnung die Prinzipien „Privacy by Design“ und „Privacy by Default“. Ersteres bedeutet, dass Datenschutzmaßnahmen nach dem Stand der Technik bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einfließen, während „Privacy by Default“ meint, dass zum Beispiel Voreinstellungen bei Geräten oder Online-Plattformen standardmäßig die höchste Datenschutzstufe haben sollen.

Worauf müssen Marketer künftig bei der Nutzung personenbezogener Daten achten?

Sie müssen Vorarbeiten leisten, um Daten überhaupt verarbeiten zu können. Dabei gilt es insbesondere, die Verfahrensverzeichnisse, Berechtigungskonzepte sowie Prozessdokumentationen und Sicherheitskonzepte zu betrachten. Auch verwendete Systeme und Anbieter spielen hier eine große Rolle ─ Cloud Services sind häufig kritisch zu betrachten. Das trifft vor allem zu, wenn die Daten auf mehrere Systeme in der Cloud verteilt werden und unklar ist, wo sie sich befinden, wie sie abgesichert sind, wer darauf zugreifen kann. Hier hilft eine für die DSGVO zertifizierte Lösung, die den Datenschutz für wesentliche Punkte gleich mitliefert. Ihr Umfang sollte allumfassend sein und keine Lücken aufweisen, doch diese wertigen Zertifizierungen sind rar. 

In diesem Kontext sorgt auch die Vielzahl an Siegeln und Zertifizierungen für branchenweite Verwirrung. Auf welche Zertifikate  kann ich als Marketingentscheider vertrauen, um europaweit auf der sicheren Seite zu stehen?

Wie in Artikel 42 und 43 DSGVO gefordert, müssen in Zukunft alle Datenschutzgütesiegel europäisch einheitliche Akkreditierungs- und Zertifizierungsverfahren durchlaufen haben. Dies ist heute schon bei ISO-Zertifizierungen wie der ISO 27001 der Fall, die als Grundlage zur Datenschutzzertifizierung dient. Das European Privacy Seal (EuroPriSe), in dem ein Expertengremium unter Hochdruck an der Akkreditierung arbeitet, stellt aus meiner Sicht eine sehr gute und ausgereifte Zertifizierung dar. Sie enthält einen DSGVO-/GDPR-Kriterienkatalog und setzt auf die Anforderungen aus ISO 27001 auf. EuroPriSe wird bereits in einigen EU-Dokumenten als Beispiel für einen möglichen Standard genannt. Mit diesem Zertifikat sind Unternehmen sowohl auf der technischen Seite als auch in den weniger technischen Bereichen wie Verfahren, Prozess oder Dokumentation extrem gut aufgestellt.

Kernpunkt der DSGVO ist die rechtskonforme Einverständniserklärung. Was muss darin konkret stehen und wie hole ich sie im Daily Business ein?

Eine Einwilligung muss von einer einwilligungsfähigen Person, freiwillig für den konkreten Fall und in informierter Weise unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen Handlung abgegeben sein. Kernpunkte sind zudem das Kopplungsverbot, das die Leistungserbringung von einer dafür nicht erforderlichen Einwilligung löst, und die Belehrung über das Widerrufsrecht. Operativ bedeutet das, dass die Einwilligung aktiv, zum Beispiel durch das Anklicken eines Kästchens, erfolgt. Ein stillschweigendes Einverständnis durch ein standardmäßig vorangekreuztes Kästchen ist nicht ausreichend. Die Einholung erfolgt im besten Fall über das bekannte Double-Opt-in-Verfahren.

Der Customer Engagement Hub ProCampaign arbeitet in seiner neuen Version ProCampaign Lighthouse mit einem umfangreichen Permission Management. Was verbirgt sich hinter dem Begriff und wie unterstützt das CRM- und Marketing-System seine Anwender noch im Bereich Datenschutz?  

ProCampaign ist ein Secure Customer Engagement Hub, der personenbezogene Daten an einem zentralen Ort sichert, managt und anreichert. Als einziges Marketing- und CRM-Tool darf unser System das oben erwähnte renommierte europäische EuroPriSe-Gütesiegel tragen. Consultix als Anbieter ist zudem ISO 27001-zertifiziert und blickt auf 20 Jahre Expertise in puncto Entwicklungskompetenz und Datenschutz zurück.

Um Anwender im Bereich Datenschutz und Einwilligungen zu unterstützen, bietet die jüngste Version Lighthouse das Modul „Permission Text Management“ und damit die rechtskonforme Verwaltung aller Permission- und Legal-Texte. So liegt im Hub für jedes Kundenprofil die temporäre Version der Einwilligung vor, die der Kunde abgegeben hat. Mit einem zertifizierten Double Opt-in-Prozess, individuellen Berechtigungskonzepten, definierten Freigabeprozessen für den Datenexport sowie automatisierten und datenschutzkonformen Löschprozessen wissen wir unsere Kunden gut gerüstet.

Andres Dickehut, Consultix

Über den Autor: Andres Dickehut ist geschäftsführender Gesellschafter des von ihm 1994 gegründeten Unternehmens Consultix. Consultix ist im Bereich personenbezogener Daten tätig und wurde mehrfach für seine Vorreiterrolle im Bereich Datenschutz und Sicherheit ausgezeichnet, etwa nach ISO 27001. Flaggschiff des Unternehmens ist ProCampaign, der Secure Customer Engagement Hub, mit dem rund 100 Millionen Kundenprofile in über 50 Ländern verwaltet werden. Mit seiner langjährigen Expertise in den Bereichen Datenschutz und Datensicherheit berät Dickehut internationale Premiummarken wie NIVEA, Milka, Lieblingstasche, Komatsu, Payback, PayPal oder Whiskas.

0
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags