Florian Padberg
Datenschutzbeauftragter
Von außen betrachtet sind die Marketingabteilung und der Datenschutzbeauftragte eines Unternehmens nicht immer als „enge Freunde“ zu betrachten. Meist wird die Tätigkeit des jeweils anderen Bereiches als Belastung für das eigene Tun empfunden, und nicht selten führen bestimmte Marketingaktionen dann auch tatsächlich zu datenschutzrechtlichen Problemen, weil eine frühzeitige Abstimmung zwischen den beiden Bereichen – oder zumindest eine aktive Information an den Datenschutzbeauftragten zur geplanten Kampagne – nicht gegeben hat. Die möglichen Gefahrenpunkte sind vielfältig. Einige Beispiele gefällig?
Es beginnt bereits bei der Konzeption und Rohdatenbeschaffung: Vielfach werden Kampagnenziele definiert, die datenschutzrechtlich problematische Folgen haben können, etwa bei der Zielgruppen-Auswahl, der anreizdominierten Werbekommunikations-Planung oder der Aktionsauswertung.
Bei näherer Analyse erweist sich dann beispielsweise, dass das Unternehmen gar nicht über einen ausreichenden Datenbestand in der „attraktiven“ Zielgruppe verfügt um eine sinnvolle Kampagnengröße zu erreichen. Man wendet sich hektisch an Adressagenturen, um den Bestand aufzufüllen, ohne bezüglich vorliegender Werbefreigaben aktiv nachzufassen. Die begleitende werbliche Kommunikation wird dann mit etlichen „Zusatzbenefits“ aufgeladen, um das Angebot noch attraktiver zu machen, für die aber ggf. weitere Datenarten zu erheben sind und eventuell sogar Einwilligungen einzuholen wären – Prozesse, über die man sich jetzt noch gar keine Gedanken gemacht hat.
Schließlich sammelt man alle Daten der Aktion, derer man habhaft werden kann, ein, um eine möglichst fundierte Auswertung der Maßnahme präsentieren zu können und hat dabei völlig vergessen die Teilnehmer über diese umfangreiche Auswertung ihrer personenbezogenen Daten im Vorfeld zu informieren. Und zu guter Letzt schickt man die Aktions-Rohdaten nebenbei aus Nettigkeit an die Konzernschwester, die sie für ihre Produktplanung prima gebrauchen kann und speichert sie dann noch „für später Mal“ unverschlüsselt in einem Unterunterunterordner ab wo sie bis zum St.Nimmerleins-Tag vor sich hinschlummern.
Das waren nur einige Beispiele, die im schnelllebigen Marketing-Alltag aber durchaus relevant sind, und die aus Datenschutz-Sicht einiges an Sprengstoff beinhalten: Verstöße gegen Grundprinzipien wie Datensparsamkeit, Zweckbezug und Löschverpflichtung, Verarbeitungen inkl. Weitergabe trotz fehlender Rechtsgrundlagen, unzureichende Technische & Organisatorische Maßnahmen – da kommen einige Ansatzpunkte für die Bußgeldstelle zusammen. Es gilt also, diese Datenschutz-Tretminen im Marketing zu vermeiden.
Um mögliche Konfliktpunkte in den Marketingaktivitäten zu erkennen, ist eine prozessorientierte Analyse der voneinander gut abgrenzbaren üblichen Tätigkeiten – auf vernünftigem Detail-Level – hilfreich. Diese sollte u.a. verarbeitete Datenkategorien, eingesetzte Dienstleister und Tools und relevante Rechtsgrundlagen aufzeigen.
Das kommt Ihnen bekannt vor? Genau, auch für Marketing-Geschäftsprozesse ist die Dokumentation im Verzeichnis der Verarbeitungstätigkeiten unerlässlich. Ob Newsletterversand, das CRM-System, Google Analytics – all diese Marketing-orientierten Aktivitäten sollten einen Platz in dieser Aufstellung haben. Dabei fallen dann die Elemente, bei denen man hellhörig wird (Dienstleister in den USA? Gesundheitsdaten? Cross-Site-Tracking mit dem Google Tag Manager?) schnell auf und man kann sich geeignete Maßnahmen einfallen lassen, um konform zu arbeiten.
Zudem sollte man die Liste der Dienstleister auf den Prüfstand stellen und darauf untersuchen, welche ggf. umfangreich personenbezogene Daten im Auftrag verarbeiten. Lettershops, Marktforschungsagenturen, Migrationsdienstleister beim neu eingeführten CRM-Tool, aber auch klassische Agenturen, die solche Dienstleistungen über Subauftragnehmer miterledigen, sind Kandidaten für eine saubere Datenschutzvereinbarung, meist in Form eines Auftragsverarbeitungsvertrags.
Der Abschluss einer solchen zusätzlichen Vereinbarung ist nicht Kür sondern Pflicht, denn verantwortlich im Datenschutz-Sinn ist nicht der Dienstleister sondern der Auftraggeber. Lassen Sie also nicht locker bis der Vertrag steht.
Auch der „Blick über den Tellerrand“ lohnt sich: Auch wenn etwa Direktmarketingmaßnahmen zur Kundengewinnung als klassischer Anwendungsfall für das „berechtigte Interesse“ gem. Art. 6 Abs. 1 lit. f DSGVO gelten und dies somit als Rechtsgrundlage für die Verarbeitung von Interessentendaten dienen kann, so sind andere gesetzliche Einschränkungen weiter gültig, wie etwa bei der Wahl des erlaubten Ansprachekanals gem. UWG §7 (wichtige Unterscheidung zwischen Postversand, E-Mail und Telefon!).
Geeignete Schutzmaßnahmen für personenbezogene Daten haben wir schon erwähnt – nur was ist „geeignet“, was „angemessen“, und was „überzogen“? Da hilft nur die Einschätzung des Datenschutzbeauftragten, der das vernünftig bewerten kann. Verschlüsselte Ablage von Rohdaten-Listen, Datenweitergabe nur nach dem strengen „Need to know“-Prinzip oder regelmäßige (automatisierte?) Löschroutinen in den Kern-Datenspeicherorten gelten als „Stand der Technik“. Vom Dienstleister standardmäßig quasi einen „Fort-Knox-Status“ zu erwarten ist sicherlich kaum zielführend, aber man sollte sein Recht auf Überprüfung der von ihm angegebenen Technischen & Organisatorischen Maßnahmen durchaus auch einmal in Anspruch nehmen. Und für den Datenaustausch mit der Direktmarketing-Agentur gibt immer eine handhabbare Alternative zu Dropbox, seien Sie versichert.
Die einfachste Empfehlung, die man Marketing-Verantwortlichen an die Hand geben kann, um sich richtig aufzustellen, ist – Sie ahnen es – die frühzeitige Involvierung des Datenschutzkollegen. Je eher dieser sich mit den geplanten Maßnahmen auseinandersetzen kann, desto eher hat er die Chance, Ihnen effektive Hilfestellungen für DSGVO-konforme Aktionen zu geben und ist nicht gezwungen, einen Zwangsstopp zu empfehlen um Last-minute-Risiken zu vermeiden.
Ist der Datenschutz also primär ein Hemmschuh für das Marketing? Bei allem Aufwand, ganz so kann man es nicht sehen.
Bedenken Sie etwa den indirekten Qualitätseffekt, den Sie selbst aber auch ihre Dienstleister erschaffen, wenn alle ihre Prozesse kennen. Prozess-Know-how ist eine wichtige Basis im Qualitätsmanagement und Sie können davon ausgehen, dass ein Dienstleister, der bei Ihrer Frage nach seinen Datenschutz-Vorkehrungen nicht schaut wie die Kuh wenn’s blitzt sondern eine gut strukturierte Übersicht direkt zur Hand hat, insgesamt professionell aufgestellt ist und weiß, was er tut (und was besser nicht).
Oder stellen Sie sich die Lage einer internen Marketing-Services-Abteilung vor, die Kampagnen-Aufträge der Fachabteilungen entgegennimmt und diese – ggf. auch mit Subauftragnehmern – abwickelt.
Da in solchen Strukturen zuweilen auch unterschiedliche Unternehmen einer Gruppe miteinander arbeiten, sind auch hier Datenschutzvereinbarungen abzuschließen. Die o.g. Service-Abteilung hat dann eine klare Rolle (die des Auftragsverarbeiters) und ist damit nicht für grundlegende Datenschutz-Aspekte einer geplanten Aktion verantwortlich (z.B. Datenherkunft), sondern nur für genau den Teil der Verarbeitung, den sie dabei aktiv übernimmt bzw. unterbeauftragt. Klare Verantwortlichkeiten helfen bei der Abgrenzung der ToDos.
Schließlich sollte auch nicht unterschätzt werden, welche positiven Wirkungen eine offensiv kommunizierte Datenschutz-Konformität in manchen Branchen haben kann. Gerade in Bereichen, in denen Vertrauen ein wichtiges Asset der Kundenbeziehung darstellt, hilft der Verweis und der Beleg einer transparenten Datenschutz-Berücksichtigung, dieses Gut zu pflegen und zu stärken. Tun Sie Gutes – aber reden Sie auch darüber!
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!