Die Erfassung und Verwendung von Online-Kundendaten zu Marketing- und CRM-Zwecken ist ein datenschutzrechtlich sensibles Feld. Mit diesem Leitfaden, der in enger Zusammenarbeit mit dem Datenschutzbeauftragtender Stadt Hamburg entwickelt wurde, bietet der Web-Controlling Experte etracker Internet-Händlern und Web-Marketing-Managern eine Hilfestellung zum datenschutzkonformen Umgang mit Kundendaten. Um unangenehme rechtliche Konsequenzen von vornherein auszuschließen, sollten Unternehmen die folgenden zehn Datenschutz-Tipps berücksichtigen.

Die Erfassung und Verwendung von Online-Kundendaten zu Marketing- und CRM-Zwecken ist ein datenschutzrechtlich sensibles Feld. Mit diesem Leitfaden, der in enger Zusammenarbeit mit dem Datenschutzbeauftragtender Stadt Hamburg entwickelt wurde, bietet der Web-Controlling Experte etracker Internet-Händlern und Web-Marketing-Managern eine Hilfestellung zum datenschutzkonformen Umgang mit Kundendaten. Um unangenehme rechtliche Konsequenzen von vornherein auszuschließen, sollten Unternehmen die folgenden zehn Datenschutz-Tipps berücksichtigen.

Tipp 1: Verantwortung liegt beim Website-Betreiber Unabhängig davon, ob ein Unternehmen die Daten seiner Kunden auf unternehmenseigenen Servern verarbeitet oder ob es diese Prozesse an einen externen Outsourcing-Anbieter weitergibt, es zeichnet stets für den rechtlich einwandfreien Umgang mit diesen Informationen verantwortlich.

Konkrete Handlungsempfehlung:

Stellen Sie als Auftraggeber sicher, dass Ihr datenverarbeitender Dienstleister alle technischen Voraussetzungen erfüllt, um Daten gemäß dem strengen deutschen Datenschutzgesetz verarbeiten und speichern zu können. Das gilt sowohl für ausgelagerte ASP-Lösungen als auch für Software-Systeme, die Sie im eigenen Haus betreiben.

Tipp 2: Personenbezogene Daten schützen

Das Datenschutzrecht unterscheidet zwei Typen von Daten: personen- und nicht personenbezogene Daten. Informationen, die konkrete Rückschlüsse auf eine Person zulassen, werden unter dem Begriff personenbezogene Daten zusammengefasst.Zu den nicht personenbezogenen Informationen werden all jene gerechnet, die anonym erfasst, verarbeitet und gespeichert werden und die nicht wieder einer Person zugeordnet werden können.

Konkrete Handlungsempfehlung:

Speichern Sie personenbezogene und nicht personenbezogene Daten in separaten Datenvorhaltungssystemen. Denn falls vom Nutzer nicht anders gestattet, dürfen personenbezogene Kundendaten nur zur Erfüllung und Verwaltung eines Vertragsverhältnisses – also zum Beispiel zur Abwicklung des Einkaufsvorgangs – gespeichert und genutzt werden.

Tipp 3: Vorsicht bei IP-Adressen

Was besonders für die Erhebung von Online-Nutzerprofilen wichtig ist: Nach deutscher Rechtsprechung zählen auch IP-Adressen zu den personenbezogenen und somit schützenswerten Daten.

Konkrete Handlungsempfehlung:

Die klare Empfehlung für E-Commerce-Händler, die zum Controlling ihrer Online-Angebote Nutzerprofile erfassen: Versuchen Sie, das Speichern von IP-Adressen zu vermeiden. Falls Sie IP-Adressen speichern, achten Sie darauf, Ihre Web-Controlling Lösung so zu konfigurieren, dass sämtliche IP-Adressen nach der Bildung von Pseudonymen, die zur Benennung der einzelnen Nutzungsprofile erforderlich sind, automatisch gekürzt werden. Dadurch ist eine eindeutige Zuordnung einer IP-Adresse zu einem bestimmten Nutzungsprofil nicht mehr möglich. Auf Verteilungsanalysen, die zeigen, wie häufig eine Site von konkreten IP-Adressen aufgerufen wurde, sollten Sie gänzlich verzichten.

Tipp 4: Pseudonymisierung von Nutzerprofilen

Genauso wenig wie personenbezogene und nicht personenbezogene Daten in einem gemeinsamen Datenvorhaltungssystem gespeichert werden dürfen, dürfen sie nach der Speicherung wieder miteinander kombiniert werden. Die Ergebnisse aus dem Web-Controlling sollten folglich nicht mit Kundendaten gekoppelt werden, da Nutzerprofile ausschließlich in pseudonymer Form zulässig sind.

Konkrete Handlungsempfehlung:

Speichern Sie im pseudonymisierten Nutzungsprofil ausschließlich nicht personenbezogene Angaben zum Nutzerverhalten wie die Zahl der Seitenaufrufe auf einer Website, aber keine personenbezogenen Daten wie die IP-Adresse des Besuchers oder gar den Namen des Nutzers. Ansonsten könnte das Pseudonym im Umkehrschluss – beispielsweise über die potenziell eindeutig zuzuordnende IP-Adresse eines Kunden – aufgehoben werden und damit wieder einen Bezug zu Werner Schmidt erlauben. Das wiederum wäre aus datenschutzrechtlicher Sicht ein klarer Gesetzesverstoß und damit strafbar. Wenn Sie zur Aussendung an kategorisierte Versandgruppen einen E-Mail-Pool erstellen und darin einzelne Adressen speichern, gehen Sie sicher, dass Sie die Tracking-Daten der einzelnen Adressaten aggregieren und damit pseudonymisieren. Auch hier darf keine direkte Verbindung zwischen der E-Mail-Adresse von Werner Schmidt und seinem individuellen, durch das Tracking erfassten Nutzungsverhalten bestehen.

Tipp 5: Bei personenbezogenen Nutzungsprofilen Einwilligung einholen

Immer dann, wenn personenbezogene Nutzungs- oder Interessenprofile beispielsweise zu CRM-Zwecken generiert und gespeichert werden, muss vom Kunden vor der Datenerhebung eine explizite Einwilligung eingeholt werden. Bei der Speicherung seiner Daten muss der Kunde sich ausdrücklich damit einverstanden erklären, dass sein Nutzungsprofil in Zusammenhang mit seinen personenbezogenen Daten gebracht wird. Daraus resultiert, dass ein Online-Händler ohne solch eine Einwilligung nur die Daten speichern darf, die unmittelbar für den jeweiligen Einkauf relevant sind.

Konkrete Handlungsempfehlung:

Bei der expliziten Einwilligung zur Erstellung von personenbezogenen Nutzungsprofilen ist eine entsprechende Klausel in den AGBs oder Nutzungsbedingungen nicht ausreichend. Explizite Einwilligung bedeutet, dass der Kunde sich im besten Fall bereits bei seiner Registrierung ausdrücklich damit einverstanden erklärt, dass er an personalisierten Marketing-Maßnahmen teilnimmt – zum Beispiel über das Anklicken eines Kästchens. Dieser Vorgang ist insbesondere bei der Einwilligung zum Erhalt von Newslettern bereits Usus.

Tipp 6: Explizit auf den Einsatz von Cookies hinweisen

Der Datenschutz toleriert das Setzen von Cookies, solange der Anbieter seine Kunden explizit darauf hinweist.

Konkrete Handlungsempfehlung:

Informieren Sie Ihre Kunden darüber, wie sie das Setzen und Abrufen von Cookies über ihren Browser deaktivieren können. Erwähnen Sie jedoch auch, welche technischen Konsequenzen dieser Schritt für die Nutzung der Website mit sich bringt.

Tipp 7: Auf Datenverarbeitung im Ausland hinweisen

Ein weiterer, wichtiger Aspekt, den es in Sachen Datenschutz zu berücksichtigen gilt, ist die Datenverarbeitung im Ausland.

Konkrete Handlungsempfehlung:

Sollten Sie Daten auf einem ausländischen Server speichern oder durch Dritte im Ausland bearbeiten lassen, so empfiehlt sich folgender Hinweistext:

„Unser Unternehmen behält sich das Recht vor Server zu betreiben, die außerhalb des Hoheitsgebiets der Staaten der Europäischen Gemeinschaft lokalisiert sind. Unternehmen XY garantiert für Daten, die auf diesen Servern gespeichert werden, denselben Schutzstandard, der innerhalb Deutschlands und der Europäischen Gemeinschaft gilt.“