Datenschutz im B2B Marketing

Das wichtigste zuerst: Wer glaubt, dass der Datenschutz im B2B-Umfeld anders definiert wird als bei Unternehmen, die sich mit ihrem Angebot an Endkunden (B2C) wenden, der irrt.

Der Schutz von personenbezogenen Daten ist generell geregelt und macht keine Unterscheidung, ob es sich um eine geschäftliche oder private Adresse handelt. Jede Information, die (auch mittelbar) einen Rückschluss auf eine natürliche Person zulässt, ist generell als persönliches Datenelement zu definieren. Dazu gehören neben Name, Anschrift, Email-Adresse im Zweifel auch Informationen wie z. B. die IP-Adresse. Das bedeutet, dass die Speicherung von solchen Daten dem Datenschutz unterliegt.

Datenschutz für personengebundene Daten

Der wiederum sieht vor, dass vor Speicherung das explizite Einverständnis der Person vorliegen muss. Außerdem ist dafür Sorge zu tragen, dass die Information jederzeit auf Verlangen gelöscht werden kann.  Dabei sind auch BackUps, Datenspiegelungen und andere Arten der Sicherung zu berücksichtigen. Aus diesem Grunde ist der Speicherort solcher Daten von besonderer Bedeutung.

Sofern die Daten im eigenen Unternehmen gespeichert werden, ist nur dafür Sorge zu tragen, dass der Zugriff auf solche Daten nur für die Personen erlaubt ist, die auch ein berechtigtes Interesse an den Daten haben. Neben den üblichen Maßnahmen für den (physischen und elektronischen) Datenzugriff ist natürlich auch sicher zu stellen, dass die Sperrung bzw. die Löschung solcher Daten jederzeit (durch Berechtigte) erfolgen kann.

Auftragsdatenverarbeitung muss abgesichert werden

Sofern die Daten außerhalb des eigenen Unternehmens gespeichert oder verarbeitet werden (z.B. bei sogenannten „Cloud- oder SaaS“-Anwendungen), kommt es darauf an, dass die Daten einem besonderen Schutz unterliegen. Die Unternehmen, die diese Dienstleistung anbieten, müssen über eine sogenannte „Auftragsdatenverarbeitung“ sicherstellen, dass die Daten jederzeit (physisch und elektronisch) gelöscht werden können – eine besondere Schwierigkeit, wenn es sich um Rechenzentren handelt, die über viele Datencenter und Datenspeicher verfügen und die Daten auf unterschiedlichen Systemen und Trägern zwecks Sicherung ablegen.

Innerhalb der europäischen Union und in einigen ausgewählten Ländern (z. B. Kanada) entspricht der gesetzlich vorgeschriebene Datenschutz diesen Vorgaben, so dass einer Sicherung der Daten in diesen Ländern nichts entgegensteht, solange die Unternehmen die Bestimmungen der „Auftragsdatenverarbeitung“ berücksichtigen und garantieren.

Bei Ländern außerhalb der EU ist die Speicherung von personenbezogenen Daten jedoch schwierig, wenn nicht unmöglich. Eine Ausnahme gibt es noch für die USA, wo Unternehmen eine Speicherung von personenbezogenen Daten zulassen, sofern sie eine besondere Datenschutz-Vereinbarung abgeben. Diese Vereinbarung ist unter dem Namen „Safe Habor“ bekannt (Update 2016: mittlerweile wurde Safe Harbour außer Kraft gesetzt, weitere Informationen finden Sie bei Ihren Datenschutzbeauftragten oder auch hier).

Neben der Speicherung der Daten sind natürlich auch besondere Maßnahmen zu treffen, die den Datenzugriff regeln. So dürfen eben nur Personen mit einem berechtigten Interesse Zugriff auf personenbezogene Daten erhalten. Das ist insbesondere dann wichtig, wenn das Unternehmen personenbezogene Daten von mehreren Unternehmen speichert oder verarbeitet (z.B. Call-Center, Marketing-Agenturen, externe Lohn- und Gehaltsabrechnungen, Steuerberater, etc.).

Diese Informationen vorausgeschickt, geht es im Marketing eigentlich um zwei Themen:

Speicherung von personenbezogenen Daten

Dabei unterscheidet man generell zwischen zwei Arten von Daten:

1.)  Speicherung der personenbezogenen Daten wie z. B. Name, Anschrift, Email, etc.

2.)   Speicherung von verhaltensbezogenen Daten, die sich z. B. aus dem Besuch einer Website, dem Klick auf eine Email oder dem  Absenden eines Formulars ergeben.

Im zweiten Fall kommt es besonders darauf an, ob diese Daten zusammen mit den personenbezogenen Daten (z.B. einer IP-Adresse) gespeichert werden. Damit ergibt sich ein personenbezogenes Profil, dessen Speicherung in jedem Fall die explizite Einverständniserklärung voraussetzt, BEVOR diese Daten erhoben werden. In anderen Worten: Ich darf die IP-Adresse erst dann speichern, wenn mir die Person vorher dazu ihr Einverständnis gegeben hat. Die Implementierung dieser Anforderung wird nur von einigen wenigen Systemen.

Einige Webtracking-Lösungen speichern die IP-Adresse anonymisiert, in dem die letzten drei Stellen nicht erhoben werden, was datenschutzrechtlich auch ohne Bedenken möglich ist.

Die Systeme, die automatisch bei jedem Website-Besuch eine vollständige IP-Adresse speichern, entsprechen damit nicht den aktuellen Anforderungen an den Datenschutz.

Kommunikation per Email und Telefon

Die Kommunikation mit Personen über Email, unterliegt einer besonderen Anforderung:

Die Person muss ihr Einverständnis gegeben haben, dass sie Kommunikation per Email bekommen möchte. Dieses Einverständnis kann elektronisch erfolgen, indem die Person im entsprechenden Formular einen Haken setzt. Als Variante kann dann noch eine Bestätigungsmail an diese Person gesendet werden, um das Einverständnis durch Klicken eines speziellen Links in der Email zu verifizieren (Double Opt-In). Diese Methode ist nicht gesetzlich vorgeschrieben, aber zum Zwecke der besseren Dokumentation zu empfehlen.

Die Nachweispflicht über die Erteilung des Einverständnisses obliegt dem Unternehmen, dass die Email-Kommunikation VERSENDET hat (also u.U. die Agentur, die im Auftrag des Kunden die Email auslöst).

Noch ein Hinweis: Bei der Gestaltung der Webformulare, die eine Einverständniserklärung anfordern, ist darauf zu achten, dass die Kästchen zur Aktivierung derselben nicht vorausgefüllt sind. Der Interessent/Kunde muss die Erklärung aktiv durch das Setzen des Hakens geben. Außerdem muss per Link (oder im Volltext) Zugriff auf die Datenschutzerklärung des Unternehmens angeboten werden.

Bei der Kommunikation per Telefon gibt es im B2B-Umfeld meines Wissens noch keine Bestimmungen. Im B2C-Umfeld ist der Anruf nur dann gestattet, wenn der Verbraucher hierzu sein Einverständnis gegeben hat. Im B2B-Umfeld genießt die „Kaltakquise“per Telefon zwar einen schlechten Ruf, sie ist aber noch nicht verboten.

Die Umsetzung

Aus den dargelegten Bestimmungen ergeben sich bestimmte Anforderungen an eine Marketing Automation Plattform, die datenschutzkonform eingesetzt werden soll:

1. Speicherung von Daten

Die Daten müssen an einem Ort gespeichert sein, der die Datenschutzbestimmungen der Europäischen Union erfüllt. Der Hersteller sollte die Auftragsdatenverarbeitung vertraglich zusichern und die entsprechenden Richtlinien erfüllen.

2. Webtracking

Im Webtracking ist darauf zu achten dass das Tracking erst angeschaltet wird, NACHDEM der Besucher sein Einverständnis zur Speicherung seiner Daten gegeben hat. Das erfordert eine besondere Implementierung, denn das System muss in der Lage sein, zu erkennen, ob von einem Besucher diese Erklärung vorliegt oder nicht.

3. Email-Marketing

Das System sollte eine Opt-In Funktion anbieten, die gemäß dem Datenschutz das Handling von Einverständniserklärungen erlaubt. Idealerweise wird auch der „Double-Opt In“ als feste Funktion angeboten.

Ein Beispiel

Sicherlich ist jedem Marketingverantwortlichen die besondere Herausforderung bewusst, auf Basis der erläuterten Datenschutzbestimmungen ein zielgruppenspezifisches Marketing mit personalisierten Inhalten zu realisieren.

Wir haben in unserem Unternehmen mit unserer Marketing Automation Plattform sämtliche hier erläuterten Bestimmungen umgesetzt. Dabei haben wir besonderen Wert auf Transparenz und Vertrauensbildung gelegt. Als Ergebnis können wir beeindruckende Ergebnisse präsentieren.

  • Über 75% unserer Website-Besucher, die ein Formular ausfüllen, geben uns ihr Einverständnis, sie per Email informieren zu dürfen.
  • Über 40% unserer Besucher erlauben uns außerdem, ihr Online-Verhalten auf unserer Website zu analysieren und damit zielgruppenspezifische Angebote und Informationen zu erhalten.

Probieren Sie es aus: Auf dieser Seite können Sie Ihre spezifischen Informationen anfordern und gleichzeitig erleben, wie wir die Datenschutzbestimmungen erfüllen.

Abschlussbemerkung in eigener Sache: Als „Laie“ in juristischen Angelegenheiten mache ich darauf aufmerksam, dass der folgende Artikel keine rechtsverbindliche Wirkung hat. Ich möchte lediglich aus meiner Sicht das Thema Datenschutz in Verbindung mit B2B Marketing näher erläutern und einige Hinweise und Anregungen geben, die bei der Implementierung von Marketing Werkzeugen und Verfahren zu beachten sind. Im Zweifel bitte ich zwecks verbindlicher Auskünfte juristischen Rat von Experten einzuholen. Ich geben bei Bedarf gern Empfehlungen dafür ab.

Nur eine gut aufgeräumte Datenbasis kann auch garantieren, dass Ihre Daten ausreichend geschützt werden können. Erfahren Sie in unserem Fachartikel, wie Sie saubere Daten erhalten.

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.