Newsletter, Gewinnspiele & Co: Händler können sich aus einer Vielfalt von Marketingmaßnahmen bedienen, die eine immer effizientere Kundenbindung ermöglichen. Je individueller, desto risikoreicher sind diese allerdings aus datenschutzrechtlicher Sicht. Was Händler beachten müssen, erklärt Etailment-Expertin und Rechtsanwältin Kathrin Schürmann.
Schließlich setzen die meisten dieser Maßnahmen auf individualisierte Angebote und damit auf personenbezogene Daten. Aus den Informationen über die Kunden lassen sich detaillierte Rückschlüsse beispielsweise auf deren Gesundheit oder ihr Kaufverhalten ziehen.
© imago images / Sabine Gudath
Möglichst viel über Kunden zu wissen, hilft Händlern ihr Marketing zu verbessern. Doch beim Umgang mit Kundendaten ist Vorsicht geboten.
Ausweg Anonymisierung?
Es empfiehlt sich im Vorfeld zu prüfen, ob bei der geplanten Marketingmaßnahme eine Anonymisierung der Daten, die verwendet werden sollen, möglich ist. Anonymisierung kann eine gute Möglichkeit sein, die Bestimmungen der DSGVO nicht zur Anwendung kommen zu lassen.Daten sind anonymisiert, wenn die Person, auf die sie sich beziehen, nicht mehr identifizierbar ist. Ohne personenbezogene Daten kein Datenschutzrecht, da es in diesem Fall niemanden gibt, der dessen Schutz bedarf.
Über die Autorin
Sorgfältig vorgehen, um Rechtsverstöße zu vermeiden
Für Unternehmen lohnt es sich deshalb, die technische Umsetzbarkeit der Anonymisierung zu prüfen. Dennoch ist Vorsicht geboten: eine Identifizierung der Person muss wirklich ausgeschlossen sein, um Rechtsverstöße zu vermeiden.Da personenbezogene Daten häufig aber doch benötigt werden (z.B. Name, E-Mail-Adresse, Kontodaten etc.), ist eine Anonymisierung vielfach nicht oder nur teilweise möglich. Dann ist der Anwendungsbereich der DSGVO eröffnet. Um die verschiedenen Bestimmungen richtig umzusetzen, empfiehlt sich ein schrittweises Vorgehen.
Die richtige Rechtsgrundlage
Zunächst ist eine Rechtsgrundlage für die jeweiligen Datenverarbeitungen notwendig. Hier scheinen Unternehmen auf den ersten Blick mit einer Einwilligung auf der sicheren Seite zu sein.Die Anforderungen an die datenschutzrechtliche Einwilligung jedoch sind sehr hoch, auf der anderen Seite ist sie aufgrund ihrer jederzeitigen Widerufbarkeit mit Unsicherheiten behaftet. Sie sollte daher nur als letzte Möglichkeit in Betracht gezogen werden, wenn es keine Alternative gibt. Viele Marketingmaßnahmen können etwa als vertragliche Pflicht vereinbart und die Datenverarbeitungen auf die Rechtsgrundlage der Erforderlichkeit der Vertragserfüllung gestützt werden. Inwieweit das möglich oder doch eine Einwilligung erforderlich ist, muss sorgfältig im Vorfeld geprüft werden.
Zweckbindung und Datensparsamkeit
Steht die Rechtsgrundlage fest, sind verschiedene datenschutzrechtliche Grundsätze zu beachten und umzusetzen. Nach dem Zweckbindungsgrundsatz müssen die Zwecke der Datenverarbeitung (die jeweilige Marketingmaßnahme) am Anfang festgelegt und dürfen dann in der Praxis nicht überschritten werden.Der Grundsatz der Datensparsamkeit beansprucht, mit geeigneten technischen und organisatorischen Maßnahmen die Datenmenge, den Umfang der Verarbeitung, die Speicherdauer und die Zugänglichkeit möglichst gering zu halten.
© imago images / agefotostock
Bei E-Mail-Newslettern ist grundsätzlich eine Einwilligung erforderlich, nicht nur da mindestens die E-Mail-Adresse des Abonnenten verarbeitet wird. Auch das Wettbewerbsrecht erfordert sie.
Die Betroffenenrechte
Einen besonderen Stellenwert sollten Händler der Gewährleistung der Betroffenenrechte einräumen. Nach der DSGVO haben alle Personen, die von Datenverarbeitungen betroffen sind, umfangreiche Rechte gegenüber dem verantwortlichen Unternehmen.So ist gesetzlich vorgeschrieben, dass auf Betroffenenanfragen meist innerhalb eines Monats geantwortet werden muss. Hier sollten Unternehmen die nötigen Strukturen schaffen.
Kunden präzise und verständlich informieren
Ganz losgelöst von potenziellen Anfragen ist es in diesem Zusammenhang wichtig, die datenschutzrechtlichen Informationspflichten zu beachten: Kunden sind über Art und Umfang der Datenverarbeitung umfassend zu informieren, und zwar in präziser und verständlicher Sprache sowie in leicht zugänglicher Form.Je umfangreicher und individueller ein Kundenbindungsprogramm ausgestaltet ist, desto höher sind auch die Risiken für die Kunden. Gerade bei Apps kann es daher sein, dass eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss, die die Risiken genau bewertet.
Je umfangreicher und individueller ein Kundenbindungsprogramm ist, desto höher sind die Risiken für die Kunden.
Aufgepasst beim Kopplungsverbot
Sowohl das Wettbewerbsrecht als auch das Datenschutzrecht kennen das sogenannte Kopplungsverbot. Kurz gesagt, soll der Tausch "Daten gegen Leistung" verhindert werden. Denn eine Einwilligung könnte nicht mehr freiwillig sein, wenn der Kunde in die Verarbeitung seiner Daten einwilligen muss, sollte er nicht auf ein Angebot verzichten wollen.Aber: Nach aktueller Rechtslage gilt das Kopplungsverbot nicht absolut. In einem Urteil des Oberlandesgerichts Frankfurt (Urteil vom 27.06.2019, Az. 6 U 6/19) wurde entschieden, dass eine Einwilligung in den Newsletter-Versand als Gegenzug für eine Gewinnspielteilnahme grundsätzlich erlaubt ist, da der Kunde auf das Gewinnspiel nicht angewiesen ist und darauf auch verzichten kann.
"Freiwillig" ist demnach gleichbedeutend mit "ohne Zwang". Mit Gewinnspielen und anderen kostenlosen Angeboten können also durchaus Einwilligungen für Newsletter und andere Werbung eingeholt werden.
Double-opt-in bietet doppelte Sicherheit
Ob an Gewinnspiele gekoppelt oder nicht - für E-Mail-Newsletter ist in der Regel eine Einwilligung erforderlich, da mindestens die E-Mail-Adresse der Newsletter-Abonnenten verarbeitet wird und eine Einwilligung nicht zuletzt auch eine Anforderung aus dem Wettbewerbsrecht darstellt. Die jederzeitige Widerrufbarkeit der Einwilligung muss klar kommuniziert werden.Für Unternehmen ist für die Einholung einer Newsletter-Einwilligung das sogenannte Double-Opt-In-Verfahren zu empfehlen. Unternehmen können damit nicht nur sicher sein, dass die Einwilligung allen Anforderungen genügt, sondern auch leicht ihrer Nachweispflicht in Bezug auf die Einwilligung nachkommen.
Der Cookie-Einsatz
Am Thema Cookies kommt kein Webseitenbetreiber mehr vorbei. Lange Zeit war unklar, was hier rechtlich erlaubt und was schon unzulässig ist. Der Bundesgerichtshof sorgte schließlich für Klarheit (Urteil vom 28. Mai 2020 - I ZR 7/16).Notwendige Cookies, die für technische Funktionen der Webseite verwendet werden und Daten nicht an Dritte weitergeben, können ohne Einwilligung auf ein berechtigtes Interesse gestützt werden. Für Cookies, die Daten an Dritte bspw. zu Marketingzwecken übermitteln oder Tracking-Funktionen erfüllen, ist die Einwilligung dagegen zwingend. Beim Cookie-Einsatz gilt also: Es sollten eine Bestandsaufnahme aller Cookies erstellt werden, Einwilligungen für nicht notwendige Cookies eingeholt und die Datenschutzerklärung angepasst werden. Schließlich ist ein passendes Cookie-Banner auf der Webseite zu integrieren.
Fazit
Die gute Nachricht: Die Rechtslage trägt den Bedürfnissen von Unternehmen in Bezug auf Marketingkonzepte in den allermeisten Fällen Rechnung. Wer datenschutzrechtlich aufpasst, sich die erforderlichen gesetzlichen Regelungen im Vorfeld ansieht und in das Datenschutzkonzept integriert, kann auch das Marketingpotenzial voll ausschöpfen.Dabei gilt natürlich: Je umfangreicher personenbezogene Daten verarbeitet werden oder je persönlicher die verwendeten Daten sind, desto höher sind auch die datenschutzrechtlichen Anforderungen.
