Online-Kundendaten sind für Marketing und CRM unverzichtbar. Deren Erfassung und Verwendung ist datenschutzrechtlich jedoch ein sensibles Feld. Unternehmen müssen genau wissen, welche Daten sie verwenden dürfen und welche nicht. Tun sie das nicht, droht die Gefahr eines (unabsichtlichen) Missbrauchs und damit auch unangenehme rechtliche Konsequenzen. Im folgenden Artikel finden sie zehn Tipps zum richtigen und sicheren Umgang mit Kundendaten.
Tipp 1: Verantwortung liegt beim Website-Betreiber
Unabhängig davon, ob ein Unternehmen die Daten seiner Kunden auf unternehmenseigenen Servern verarbeitet oder ob es diese Prozesse an einen externen Outsourcing-Anbieter weitergibt, es zeichnet stets für den rechtlich einwandfreien Umgang mit diesen Informationen verantwortlich. Denn wer Daten zur Verarbeitung oder Archivierung an einen Dritten weitergibt, der veranlasst nach deutschem Recht eine „Datenverarbeitung im Auftrag“. Die rechtliche Konsequenz der Datenverarbeitung im Auftrag: Der Auftragnehmer – zum Beispiel ein Betreiber von CRM- oder Tracking-Software – ist laut Gesetz dazu verpflichtet, die Weisungen des Auftraggebers einzuhalten. Der Auftraggeber – beispielsweise ein Versandhaus, das seine Kundenansprache optimieren will – bleibt nach Paragraph 11 des Bundesdatenschutzgesetzes für die ordnungsgemäße Datenverarbeitung verantwortlich.
Konkrete Handlungsempfehlung:
Stellen Sie als Auftraggeber sicher, dass Ihr datenverarbeitender Dienstleister alle technischen Voraussetzungen erfüllt, um Daten gemäß dem strengen deutschen Datenschutzgesetz verarbeiten und speichern zu können. Das gilt sowohl für ausgelagerte ASP-Lösungen als auch für Software-Systeme, die Sie im eigenen Haus betreiben.
Tipp 2: Personenbezogene Daten schützen
Das Datenschutzrecht unterscheidet zwei Typen von Daten: personen- und nicht personenbezogene Daten. Informationen, die konkrete Rückschlüsse auf eine Person zulassen, werden unter dem Begriff personenbezogene Daten zusammengefasst. Zu dieser Kategorie gehören beispielsweise Angaben wie Name, Adresse, Telefonnummer oder Kontodaten eines Kunden.
Zu den nicht personenbezogenen Informationen werden all jene gerechnet, die anonym erfasst, verarbeitet und gespeichert werden und die nicht wieder einer Person zugeordnet werden können. Dazu zählen aggregierte Kennzahlen wie die durchschnittliche Verweildauer, Page Impressions oder auch Warenkorbinhalte.
Konkrete Handlungsempfehlung:
Speichern Sie personenbezogene und nicht personenbezogene Daten in separaten Datenvorhaltungssystemen. Denn falls vom Nutzer nicht anders gestattet, dürfen personenbezogene Kundendaten nur zur Erfüllung und Verwaltung eines Vertragsverhältnisses – also zum Beispiel zur Abwicklung des Einkaufsvorgangs – gespeichert und genutzt werden.
Noch ein Hinweis: Ändert ein Kunde seine personenbezogenen Profildaten, so ist es in der Regel unzulässig, die veralteten und überschriebenen Daten weiterhin zu speichern, ohne den Kunden darüber zu informieren und seine explizite Einwilligung hierzu einzuholen.
Tipp 3: Vorsicht bei IP-Adressen
Was besonders für die Erhebung von Online-Nutzerprofilen wichtig ist: Nach deutscher Rechtsprechung zählen auch IP-Adressen zu den personenbezogenen und somit schützenswerten Daten.
Konkrete Handlungsempfehlung:
Die klare Empfehlung für E-Commerce-Händler, die zum Controlling ihrer Online-Angebote Nutzerprofile erfassen: Versuchen Sie, das Speichern von IP-Adressen zu vermeiden. Falls Sie IP-Adressen speichern, achten Sie darauf, Ihre Web-Controlling Lösung so zu konfigurieren, dass sämtliche IP-Adressen nach der Bildung von Pseudonymen, die zur Benennung der einzelnen Nutzungsprofile erforderlich sind, automatisch gekürzt werden. Dadurch ist eine eindeutige Zuordnung einer IP-Adresse zu einem bestimmten Nutzungsprofil nicht mehr möglich. Auf Verteilungsanalysen, die zeigen, wie häufig eine Site von konkreten IP-Adressen aufgerufen wurde, sollten Sie gänzlich verzichten.
Tipp 4: Pseudonymisierung von Nutzerprofilen
Genauso wenig wie personenbezogene und nicht personenbezogene Daten in einem gemeinsamen Datenvorhaltungssystem gespeichert werden dürfen, dürfen sie nach der Speicherung wieder miteinander kombiniert werden. Die Ergebnisse aus dem Web-Controlling sollten folglich nicht mit Kundendaten gekoppelt werden, da Nutzerprofile ausschließlich in pseudonymer Form zulässig sind. Wird aus dem klar identifizierten Werner Schmidt ein beliebiger Kunde A, dann ist es wichtig, dass die Pseudonymisierung nicht rückgängig gemacht werden kann. Ein Beispiel: Eine Versand- oder Tracking-Software darf zwar aufgrund früherer Aussendungen von Werbe-Mails registrieren, welche E-Mail-Adressen welche Produkte favorisiert haben und die Adressen anschließend auch automatisch in entsprechende Versandgruppen einteilen.
Dem Werbetreibenden ist es jedoch untersagt, aus einem solchen Pool von E-Mail-Adressen und von Versand- und Tracking-Informationen einzelne Daten zu extrahieren und von gespeicherten Kennzahlen auf konkrete Personen zu schließen. Ruft ein Online-Händler aus seiner Software ab, welche E-Mail-Beiträge beispielsweise Werner Schmidt geklickt und hinterher bestellt hat, dann verstößt er damit gegen das Datenschutzgesetz.
Konkrete Handlungsempfehlung:
Speichern Sie im pseudonymisierten Nutzungsprofil ausschließlich nicht personenbezogene Angaben zum Nutzerverhalten wie die Zahl der Seitenaufrufe auf einer Website, aber keine personenbezogenen Daten wie die IP-Adresse des Besuchers oder gar den Namen des Nutzers. Ansonsten könnte das Pseudonym im Umkehrschluss – beispielsweise über die potenziell eindeutig zuzuordnende IP-Adresse eines Kunden – aufgehoben werden und damit wieder einen Bezug zu Werner Schmidt erlauben.
Das wiederum wäre aus datenschutzrechtlicher Sicht ein klarer Gesetzesverstoß und damit strafbar. Wenn Sie zur Aussendung an kategorisierte Versandgruppen einen E-Mail-Pool erstellen und darin einzelne Adressen speichern, gehen Sie sicher, dass Sie die Tracking-Daten der einzelnen Adressaten aggregieren und damit pseudonymisieren. Auch hier darf keine direkte Verbindung zwischen der E-Mail-Adresse von Werner Schmidt und seinem individuellen, durch das Tracking erfassten Nutzungsverhalten bestehen.
Tipp 5: Bei personenbezogenen Nutzungsprofilen Einwilligung einholen
Immer dann, wenn personenbezogene Nutzungs- oder Interessenprofile beispielsweise zu CRM-Zwecken generiert und gespeichert werden, muss vom Kunden vor der Datenerhebung eine explizite Einwilligung eingeholt werden. Bei der Speicherung seiner Daten muss der Kunde sich ausdrücklich damit einverstanden erklären, dass sein Nutzungsprofil in Zusammenhang mit seinen personenbezogenen Daten gebracht wird. Daraus resultiert, dass ein Online-Händler ohne solch eine Einwilligung nur die Daten speichern darf, die unmittelbar für den jeweiligen Einkauf relevant sind. Eine kombinierte Speicherung von beispielsweise Name, E-Mail- oder IP-Adresse und aufgerufenen Webseiten eines Kunden ist unzulässig. Sollte Beispielkunde Werner Schmidt dennoch personalisierte Mailings in seinem E-Mail-Briefkasten vorfinden, so kann er den entsprechenden Online-Händler wegen Missbrauchs von personenbezogenen Daten zur Verantwortung ziehen.
Konkrete Handlungsempfehlung:
Bei der expliziten Einwilligung zur Erstellung von personenbezogenen Nutzungsprofilen ist eine entsprechende Klausel in den AGBs oder Nutzungsbedingungen nicht ausreichend. Explizite Einwilligung bedeutet, dass der Kunde sich im besten Fall bereits bei seiner Registrierung ausdrücklich damit einverstanden erklärt, dass er an personalisierten Marketing-Maßnahmen teilnimmt – zum Beispiel über das Anklicken eines Kästchens. Dieser Vorgang ist insbesondere bei der Einwilligung zum Erhalt von Newslettern bereits Usus.
Tipp 6: Widerspruchsrecht einräumen
Bei allen Daten, die zur Erstellung von Nutzungsprofilen erhoben werden, hat der Kunde grundsätzlich ein Widerspruchsrecht. Rückwirkend kann der Kunde sein Recht auf Widerspruch jedoch nur bei personenbezogenen Daten geltend machen. Wäre Werner Schmidt beispielsweise nicht länger mit seinem Online-Händler zufrieden, dann könnte er mit sofortiger Wirkung die Löschung seiner Adresse, seiner Kontodaten etc. veranlassen. Bei nicht personenbezogenen Informationen kann das Widerspruchsrecht nur für zukünftige Datenerfassungen und -speicherungen berücksichtigt werden. Widerspricht der Nutzer der Erfassung pseudonymer Nutzungsdaten, trägt er nicht mehr zum gesammelten Datenschatz bei. Möchte der Kunde von seinem Widerspruchsrecht Gebrauch machen und nicht länger zu den pseudonymen Nutzungsprofilen beitragen, reicht es nicht aus, ihm bestimmte Modifizierungen seines Browsers – beispielsweise das Blockieren von Cookies – vorzuschlagen. Aus datenschutzrechtlicher Sicht muss die Nichtspeicherung von Nutzungsdaten vom Website-Betreiber veranlasst und technisch umgesetzt werden.
Konkrete Handlungsempfehlung:
Bei einer separaten Vorhaltung von personenbezogenen und nicht personenbezogenen Daten ist eine Löschung von persönlichen Informationen unproblematisch und schnell umgesetzt. Fazit: Je stringenter Sie Ihre Daten organisieren, umso schneller können Sie das gesetzlich eingeräumte Widerspruchsrecht Ihrer Kunden erfüllen.
Zur Nichtspeicherung von Nutzungsdaten sollten Sie zunächst das Logfile Ihres Webservers abschalten, da dort IP-Nummern zu sehen sind, die der Datenschutz wie erwähnt als persönliches Datum definiert. Natürlich können Sie das Logfile auch entsprechend umkonfigurieren, so dass die IP-Adresse des Nutzers nicht aufgeführt wird.
Zahlreiche Web-Analyse-Dienstleister bieten weitreichende Methoden an, um einen aktiven Ausschluss eines einzelnen Besuchers aus der Datenerfassung zu gewährleisten. Dazu wird im Browser des entsprechenden Kunden ein Cookie gesetzt, das nicht zum Tracking zugelassene Seiten markiert. Legen Sie bei der Wahl Ihres Web-Controlling Anbieters also unbedingt Wert darauf, dass er einen derartigen Service anbietet.
Tipp 7: Explizit auf den Einsatz von Cookies hinweisen
Der Datenschutz toleriert das Setzen von Cookies, solange der Anbieter seine Kunden explizit darauf hinweist. Dabei ist diese Handhabung letztlich nicht nur eine Frage von datenschutzrechtlicher Konformität, sondern auch von Transparenz, Kundenorientierung und gutem Stil. Deshalb sollten die Besucher einer Website an einer prominenten Stelle darüber informiert werden, wann, wie und warum bei ihnen Cookies gesetzt werden. Besonders gut eignen sich hierfür das Impressum oder – wenn vorhanden – die Datenschutzerklärung. Doch Vorsicht: Auch diese Regelung gilt nur, solange das Cookie nicht dazu verwendet wird, eindeutige Beziehungen zwischen personenbezogenen Daten und pseudonymen Nutzungsprofilen herzustellen. In diesem Fall muss der Nutzer sich – genau wie bei der Erstellung von personalisierten Nutzerprofilen – explizit einverstanden erklären.
Konkrete Handlungsempfehlung:
Informieren Sie Ihre Kunden darüber, wie sie das Setzen und Abrufen von Cookies über ihren Browser deaktivieren können. Erwähnen Sie jedoch auch, welche technischen Konsequenzen dieser Schritt für die Nutzung der Website mit sich bringt.
Tipp 8: Auf Datenverarbeitung im Ausland hinweisen
Ein weiterer, wichtiger Aspekt, den es in Sachen Datenschutz zu berücksichtigen gilt, ist die Datenverarbeitung im Ausland. Da in anderen Ländern nicht nur andere Gepflogenheiten, sondern auch andere Online-Rechtsprechungen gelten, müssen sich Kunden explizit damit einverstanden erklären, dass ihre Daten nicht auf einem deutschen Server untergebracht werden. Auch hier ist ein Hinweis des Website-Betreibers auf die ausgelagerte Datenverarbeitung beispielsweise in den AGBs nicht ausreichend.
Konkrete Handlungsempfehlung:
Sollten Sie Daten auf einem ausländischen Server speichern oder durch Dritte im Ausland bearbeiten lassen, so empfiehlt sich folgender Hinweistext:
„Unser Unternehmen behält sich das Recht vor Server zu betreiben, die außerhalb des Hoheitsgebiets der Staaten der Europäischen Gemeinschaft lokalisiert sind. Unternehmen XY garantiert für Daten, die auf diesen Servern gespeichert werden, denselben Schutzstandard, der innerhalb Deutschlands und der Europäischen Gemeinschaft gilt.“
Zudem besteht die Möglichkeit, an internationalen Programmen wie Safe Harbor teilzunehmen, die sich auf internationaler Ebene für die Einhaltung von datenschutzrechtlichen Bestimmungen einsetzen.
Tipp 9: Übersichtliche Datenschutzerklärung
Sie sollten in Ihrer Datenschutzerklärung weder zu juristisch und damit zu unübersichtlich werden, noch Ihren Nutzern wichtige Informationen vorenthalten.
Konkrete Handlungsempfehlung:
Grundsätzlich empfiehlt es sich für Unternehmen, die Web-Controlling Technologien auf ihrer Website einsetzen, folgende Passage so oder in ähnlicher Formulierung in ihre Datenschutzerklärung mit aufzunehmen:
„Auf dieser Website werden durch Web-Controlling Technologien Daten in anonymisierter Form zu Marketing- und Optimierungszwecken gesammelt und gespeichert. Aus diesen Daten werden unter einem Pseudonym Nutzungsprofile erstellt. Hierzu können Cookies eingesetzt werden, die allerdings Daten ausschließlich in pseudonymer Form sammeln und speichern. Die Daten werden nicht dazu benutzt, den Besucher dieser Website persönlich zu identifizieren und werden nicht mit Daten über den Träger des Pseudonyms zusammengeführt.
Der Datensammlung sowie der Datenspeicherung kann jederzeit mit Wirkung für die Zukunft widersprochen werden.“
Diese Erklärung umfasst alle wesentlichen Aspekte einer gesetzeskonformen Datenschutzstrategie. Eine ausführliche Formulierung einzelner Aspekte, die den individuellen Datenverarbeitungsprozessen Ihres Unternehmens angepasst ist, ist aus Gründen der Transparenz und Offenheit natürlich empfehlenswert.
Tipp 10: Offener Austausch
Bieten Sie Ihren Nutzern einen konkreten Ansprechpartner bei Fragen zum Thema Datenschutz. Binden Sie einen direkten E-Mail-Link zum verantwortlichen Mitarbeiter in die Datenschutzerklärung ein oder stellen Sie Ihren betrieblichen Datenschutzbeauftragten namentlich vor. Antworten Sie zeitnah, persönlich und mit der erforderlichen Offenheit auf Anfragen und gehen Sie auf die Bedenken Ihrer Kunden ein.
Bei Fragen zu diesem Thema wenden Sie sich bitte an:
Christian Bennefeld, etracker