Marketing Automation Software und Datenschutz

Worauf ist beim Einsatz von Marketing Automation Software auf Webseiten aus Datenschutzsicht zu achten? Sind besondere Hinweise erforderlich? Brauche ich eine Einwilligung zum datenschutzkonformen Einsatz oder nicht? – Das sind Fragen, die sich Marketingverantwortliche und Datenschutzbeauftragte stellen (sollten).

Meine persönliche These vorneweg: Marketing Automatisierung Tools sind auf Webseiten häufig rechtswidrig im Einsatz und viele Datenschutzbeauftragte wissen nicht, was mit diesen Tools möglich ist.

Wozu dient Marketing Automation Software?

Es geht um Softwareanwendungen, die in Unternehmenswebseiten integriert sind, um sämtliche Interaktionen mit einem Interessenten zu erfassen. Die Interaktionen werden zu einem Nutzungsprofil zusammengeführt, um interessensbasierte Werbung zukommen zu lassen und diesen vom Lead zum Kunden zu verwandeln. In Marketingworten ausgedrückt, bilden diese Softwareanwendungen die sogenannte Customer Journey ab. Das ist der Weg des Interessenten über sämtliche Kontaktpunkte mit einem Unternehmen zum Kunden.

Wertvoll für Marketer ist, dass sie verschiedene Marketingaktivitäten automatisieren können. Ein Interessent interessiert sich für ein Whitepaper und registriert sich auf einer Webseite. Er willigt ein, weitere werbliche Materialien zu beziehen und erhält kurze Zeit später weitere Informationen, die für ihn hilfreich sein können. Im nächsten Schritt erhält er dann eine Einladung zu einem Webinar oder die Möglichkeit, eine kurze telefonische Beratung in Anspruch zu nehmen. So können Unternehmen Schritt für Schritt den Nutzen ihrer Lösung kommunizieren und Interessenten von ihren Produkten überzeugen. Und das Beste daran ist: Die Automatisierung hilft dabei, manuelle Schritte und viele bislang ungezielte, jedoch zeitaufwändige, Marketingaktivitäten überflüssig zu machen.

Direktwerbung und Marketing sind berechtigte Interessen von Unternehmen

Ein Hinweis noch vorneweg, bevor es in die Details geht. Werbung und Marketing sind laut Erwägungsgrund 47 der Datenschutz-Grundverordnung (DS-GVO) berechtigte Interessen von Unternehmen. Ganz konkret: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Auch der Einsatz spezieller Tools ist für diese Zwecke möglich – und jetzt kommt das Aber – aber nur, wenn sie dabei datenschutzkonform eingesetzt werden. Was ist das Problem?

Berechtigtes Interesse versus Einwilligung als Datenschutzherausforderungen beim Einsatz dieser Tools

Viele der Tools funktionieren wie Knotenpunkte verschiedener Marketingkanäle: Kontaktformulare auf einer Webseite, die Registrierung zu einem Newsletter, die Abgabe einer E-Mail-Adresse zum Bezug eines Whitepapers, Interaktionen per LiveChat, Äußerungen auf Social Media, Analyse von Nutzerverhalten auf der Webseite – all diese Interaktionen führen die Marketing Automatisierung Tools zusammen. Nach Abschluss der personenbezogenen Registrierung über einen dieser Kanäle ist es möglich, sämtliche Interaktionen am Marketing Hub zusammenzuführten. Aus Sicht von Marketern ist das genial, aus Sicht von Datenschutzbeauftragten ein „Albtraum“.

Schaut man im Rahmen von Kontrollen in diese Systeme, dann offenbart sich das ganze Ausmaß: Fein säuberlich sind sämtliche Interaktionen mit dem Interessenten inklusive Zeitpunkt, angeklickte Links, angesehene Webseiten und Betrachtungsdauer der jeweiligen Seite, Fragestellungen per LiveChat oder die E-Mail-Kommunikation Punkt für Punkt erfasst. Als Ergebnis ist ein Verhaltensprofil entstanden. Und jetzt kommt das datenschutzrechtliche Problem: Für die Erstellung eines solchen Profils reicht das berechtigte Interesse nicht aus, es bedarf zwingend einer gültigen Einwilligung!

Der Erwägungsgrund 47 der DS-GVO führt verschiedene Aspekte eines berechtigten Interesses aus. Zu berücksichtigen sind u.a. die vernünftigen Erwartungen der betroffenen Personen aufgrund der Beziehung zur datenverarbeitenden Stelle. Zusätzlich ob der Betroffene zum Zeitpunkt der Erhebung seiner Daten vernünftigerweise absehen kann, dass eine Verarbeitung zu diesem Zweck erfolgen wird. Auf den Sachverhalt der Marketing Automatisierung übertragen, stellt sich folgende Frage:

Kann ein Interessent bei einer Registrierung für ein Whitepaper oder beim Stellen einer Kontaktanfrage an ein Unternehmen davon ausgehen, dass über ihn ein detailliertes Verhaltensprofil erstellt wird und er in sämtlichen Interaktionen dem Unternehmen gegenüber gläsern wird? Vermutlich kann er davon nicht ausgehen.

Verwendete Einwilligungen sind häufig ungültig

Auch der Einwand, dass ja eine Einwilligung zur Datenschutzerklärung bei der Anmeldung oder Registrierung erteilt wird, greift zu kurz. Gemäß Erwägungsgrund 32 DS-GVO soll eine Einwilligung informiert und unmissverständlich erteilt werden. Außerdem sind die Grundsätze der Datenverarbeitung nach Art. 5 DS-GVO wie z.B. Treu und Glauben, Transparenz und Datenminimierung einzuhalten.

Unzählige verwendete „Einwilligungserklärungen“ bei der Bestätigung des Kontaktformulars, beim Bezug des Whitepapers oder des Newsletters auf Webseiten sind weit davon entfernt diese Anforderungen zu erfüllen. So gut wie nirgends taucht der Begriff Nutzungsprofil oder Verhaltensprofil auf. Auch nebulöse Hinweise zu den Marketingtools in den Datenschutzerklärungen der Webseiten greifen zu kurz. Allgemeine Hinweise zum Hersteller oder zum Produkt erzeugen in keinster Weise Transparenz darüber, dass Profile gebildet werden. Um es nochmals auf den Punkt zu bringen: Diese Art von Einwilligungen sind schlicht ungültig. Damit entfällt die Rechtsgrundlage und die gebildeten Profile verstoßen gegen die DS-GVO.

Wie gelingt der datenschutzkonforme Einsatz von Marketing Automation Tools?

  1. Mit eindeutigen Einwilligungen und schonungsloser Transparenz. Eine Profilbildung lässt sich nicht mit einem berechtigten Interesse begründen, das geht nur per Einwilligung. Wenn eine Einwilligung eingeholt wird, dann gilt es transparent, hinreichend konkret und umfassend auf die Profilbildung und die Mechanismen hinzuweisen. Nur dann sind die Interessenten in der Lage eine bewusste Entscheidung zu treffen.
  2. Als nächstes ist an allen Kontaktpunkten auf der Webseite darauf zu achten, dass vollständige Einwilligungstexte (mit Hinweis auf die Profilbildung) zum Einsatz kommen. Selbstverständlich sind die Einwilligungen zu dokumentieren, so dass ein Nachweis zur erteilten Einwilligung auf Rückfrage möglich ist.
  3. Es sind Möglichkeiten zu schaffen, dass keine Profilbildung erfolgt, wenn jemand dies nicht möchte. Auch bei Widerruf der Einwilligung ist sicherzustellen, dass das Profil gelöscht wird und keine weitere Beobachtung mehr erfolgt.

Falls immer noch Zweifel daran bestehen, dass eine Einwilligung erforderlich ist: Im Oktober 2019 hat der EuGH in seinem Urteil zum Tracking bzw. Cookieeinsatz auf Webseiten klargestellt, dass eine Profilbildung und Übermittlung dieser Daten an Dritte eine Einwilligung voraussetzt. Warum sollte dann der Einsatz von Marketing Automatisierung Tools, die weitaus umfassendere Profile erzeugen und bei denen teilweise ebenfalls eine Übermittlung an den Hersteller der Tools erfolgt, ohne Einwilligung möglich sein?

Marketing Automation Software kann datenschutzkonform eingesetzt werden

Marketing Automation Tools sind wertvolle Instrumente zur Gewinnung von Neukunden. Je nach Einsatz erleichtern sie die Arbeit von Marketingabteilungen.  Sie können dazu beitragen, dass Interessenten auf ihre Präferenzen zugeschnittene Werbeinhalte bekommen. Wenn sie zum Einsatz kommen, dann aber bitte auch datenschutzkonform mit schonungsloser Transparenz und informierter Einwilligung. Dann kann jeder Interessent selbst entscheiden, ob er dies akzeptiert oder nicht.

Mein Appell an Datenschutzbeauftragte und Marketingverantwortliche: Schaut euch die Softwareanwendungen genau an, versteht was ihr da macht, setzt sie datenschutzkonform ein und schafft Vertrauen durch Transparenz.

Von Julian Häcker

Bildquelle: Bild von madartzgraphics auf pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert