Sind Customer Data-Platforms (CDP) ideal zur Realisierung der Grundsätze des neuen Datenschutzgesetzes in der Schweiz?
Autoren: Alexander Haymann, Senior Consultant elaboratum suisse, und Alessandro Di Vito, Consultant elaboratum suisse
Ende 2021, Anfang 2022 wird das neue, revidierte Datenschutzgesetz (DSG) in der Schweiz wirksam. Spätestens dann sind 3rd-Party-Cockies, wie es die DSGVO bereits vorsieht, auch hierzulande nicht mehr erlaubt. Rechtskonformes Marketing ist nur noch mit 1st-Party-Daten möglich. Für Unternehmen beginnt damit eine neue Ära. Denn sie müssen die Datenhoheit zurückerlangen und dafür sorgen, dass ihre User ihre Einwilligung für die Datennutzung erteilen. Erst dann ist die rechtliche Basis geschaffen, um kundengetriebenes Marketing auszuüben. Und auch erst dann können umfassende und akkurate User-Identitäten aufgebaut werden, die eine echte Personalisierung entlang der gesamten Customer Journey zulassen.
Um auf Basis von kundengetriebenem Marketing user-zentrierte Customer Journey zu schaffen, müssen, neben konzeptionellen und technologischen Fragestellungen, also auch rechtliche Rahmenbedingungen und Fragen zum Datenschutz beleuchtet werden. Welche Daten dürfen Unternehmen wie erheben und welche Zustimmung benötigen sie dafür? Wie dürfen sie mit den Daten arbeiten und diese anreichern? Was müssen sie bei der Datenaktivierung berücksichtigen, um die gewonnenen Erkenntnisse im Marketing einsetzen zu können?
Höhere Transparenz und Erfüllung von Mindestanforderungen
Die Verarbeitung der Personendaten muss grundsätzlich rechtmässig erfolgen – daran ändert auch eine CDP nichts. Eine Einwilligung zur Datenbearbeitung ist ausdrücklich erforderlich bei
- der Bearbeitung von besonders schützenswerten Daten1 und bei
- Profiling mit hohem Risiko2.
Also, wenn es sich um Daten handelt, die ein hohes Risiko für die Persönlichkeit sowie die Grundrechte der betroffenen Person mit sich bringen. Dies kann je nach Branche deutlich variieren. Die Komplexität der Legitimierung nimmt signifikant ab, je weniger „Stakeholder“ im Rahmen der Verarbeitung eingesetzt werden. Trotzdem muss im Rahmen des neuen DSG in der Schweiz eine Mindestinformationspflicht eingehalten werden. Viele datenschutzrechtliche Einwilligungen würden aufgrund der Intransparenz ihrer Verarbeitung der Nutzerinformationen nicht mehr standhalten. Bevor der Nutzer eine wirksame Einwilligung erteilt, muss er verständlich und klar über die Verarbeitung seiner Daten informiert werden. Zu den Mindestanforderungen dieser Information zählen:
- alle relevanten Informationen über eingesetzte Drittanbieter (3rd Parties), die Personendaten erhalten oder von denen solche bezogen werden
- die Identität und die Kontaktdaten des Verantwortlichen
- der Bearbeitungszweck
- bei Auslandsbekanntgabe den Staat oder das internationale Organ (und ggf. Garantien).
Durch den Verzicht auf 3rd-Parties im Verarbeitungsprozess werden die Nutzerinformationen natürlich unmittelbar verschlankt, sodass die Einwilligung auf rechtlich standfesteren Füssen steht. Die Massstäbe, die an das Consent-Management zu stellen sind, bleiben nichtsdestotrotz die gleichen: Die Legitimation der Datenverarbeitung verdient nach wie vor ein besonderes Augenmerk – ansonsten drohen auch hier Sanktionen und Reputationsverlust.
Jederzeit auskunftsfähig sein
Aus rechtlicher Sicht machen Customer Data-Platforms bestimmt Sinn. Einfachheit und Transparenz in der Verarbeitung von Personendaten sind die Grundgedanken des DSG. Transparenz gegenüber dem Betroffenen erfordert aber zwingend im ersten Schritt Transparenz auf Seiten des Verarbeiters. Nur, wenn ich als Verarbeiter jederzeit auskunftsfähig bin, kann ich die Betroffenenrechte aus dem Datenschutzgesetz zuverlässig erfüllen. 3rd-Parties erzeugen hier störende Komplexität. Die Reduktion auf 1st-Party-Daten erleichtert es, jede Art von Betroffenenanfrage zeitnah und ohne grossen Zusatzaufwand zu bearbeiten. Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung, Datenherausgabe/-übertragung, bestimmte Bekanntgabe an Dritte, Widerruf einer Einwilligung, Eintrag eines Bestreitungsvermerks – all dies muss durch entsprechende Prozesse beim Verantwortlichen jederzeit „umsetzbar“ sein. Da sie Kundendaten aus allen verfügbaren Quellen, auch über Geräte und Kanäle hinweg, vereinheitlichen und für das gesamte Unternehmen verfügbar machen, spielen Customer Data-Plattformen genau hier ihre Stärke aus.
Weitere Rechte der Nutzer, die sich durch CDPs besser erfüllen lassen, sind z. B. generelle Transparenz-, Dokumentations- und Nachweispflichten – auch hier sind CDPs klar im Vorteil in Bezug auf das Datenschutzgesetz. Selbst im Rahmen der strengeren DSGVO. Um diesen Ansprüchen gerecht zu werden, benötigt man – fachlich und technisch – volle Kontrolle über die Daten, welche die CDPs ermöglichen.
Einhaltung der Datenschutz-Anforderungen auch bei probabilistischen Methoden
Probabilistische Methoden, wie etwa der Aufbau eines Identity Graphs, sind aktuell wieder in den Fokus gerückt. Es ist ein häufiger Reflex, sich angesichts der rechtlichen Hürden nach vermeintlich leichter zu handhabenden Webtechnologien umzuschauen. Vielfach werden diese probabilistischen Methoden als Cookie-Ersatz gepriesen. Dabei sind die rechtlichen Anforderungen mitnichten geringer – es gibt nicht „eine klare Regelung“ hierzu im Datenschutz. Alle Datenschutz-Regelungen gelten auch für diese Methoden. Das Problem hierbei ist, dass zwar aus Sicht des Anbieters viele Vorteile entstehen, aber der Nutzer selbst – der durch diese Methoden zwar nicht eindeutig „identifiziert“, aber eben doch mit hoher Wahrscheinlichkeit „zugeordnet“ werden kann – weder Kontrolle noch Transparenz über die Nachverfolgung der Daten hat. Insofern sollten beim Einsatz solcher Methoden maximale Anforderungen aus Datenschutzsicht eingehalten werden.
Fazit
Dass eine Technologie konform für das Datenschutzgesetz sei, lässt sich nie pauschal sagen – dies gilt auch für CDPs. Das Datenschutzrecht macht die Datenschutz-Compliance eben nicht nur vom Umgang mit den Daten selbst, sondern auch von den Prozessen im Unternehmen abhängig. Im Gesamtpaket ist es jedoch ein klares Argument für CDPs, dass sie es noch einfacher machen, die flankierenden Datenschutzprozesse und -strukturen im Unternehmen richtig aufzusetzen.
Für einen übergreifenden Einstieg ins Thema kundengetriebenes Marketing empfehlen wir unser Whitepaper Bye datengetriebenes Marketing: Es lebe das kundengetriebene Marketing, das hier angefordert werden kann.
1 Gem. revDSG (Art. 5 lit. c) gelten als «besonders schützenswerte Daten»: Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeit, Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, genetische oder biometrische Daten, die eine natürliche Person eindeutig identifizieren, Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen, Daten über Massnahmen der sozialen Hilfe.
2 Gem. revDSG (Art. 5 lit. f) gilt als Profiling die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, die Vorlieben, den Aufenthaltsort oder die Mobilität zu analysieren und vorherzusagen. Als Beispiele sind etwa Bonitätsprüfungen, Erstellen von Nutzerprofilen oder CRM-Analysen zu nennen.