Marketer, die sich den 25. Mai 2018 in ihrem Kalender noch nicht rot markiert haben, sollten dies schleunigst nachholen. Denn an diesem Tag tritt die neue Datenschutz-Grundverordnung in Kraft. Wer der Ansicht ist, das Thema auf die lange Bank schieben zu können, der irrt. Denn es gibt viel zu tun. Alexander Handcock Director Global Brand Strategy bei Selligent, erklärt in seinem Gastbeitrag für HORIZONT Online, was sich genau ändert und was Marketer brauchen.

Am 25. Mai 2018 beginnt ein neues Kapitel im digitalen Marketing in der DACH-Region. Dann tritt die neue Datenschutz-Grundverordnung (DSGVO) in allen EU-Mitgliedstaaten in Kraft. Sie regelt – und vereinheitlicht – die Verarbeitung von personenbezogenen Daten für Marketingzwecke. Die Marketingbranche reagiert mit einer Mischung aus stoischem Gehorsam und Panik. Klar führt kein Weg an der DSGVO vorbei – Gesetz ist Gesetz – aber überschwängliche Begeisterung sieht anders aus.

Datensammeln auf menschliche Art

Laut dem aktuellen „fühlen sich 48 Prozent der deutschen Unternehmen momentan „nicht gerüstet“ für die DSGVO. Die Hauptgründe sind „Fragmentierung“ der Daten sowie „fehlende Einsichten“ in die Datenbestände. Aber anstatt zähneknirschend den gesetzlichen Auflagen folge zu leisten, wäre vielleicht ein Umdenken angebracht, um der DSGVO mit Lust statt Frust zu begegnen.Denn fair gesammelte Daten eröffnen Chancen. So können Marken klare Wettbewerbsvorteile erzielen, indem sie „menschliche“ Datenpraktiken praktizieren und diese offenlegen. Und indem sie gezielt nach genau der Art von Daten fragen, mit denen sie auf Dauer mehr über Kunden und ihre Wünsche lernen können.In anderen Worten:Eine Chance, durch aussagekräftige, im gegenseitigen Einvernehmen gesammelte Daten echtes Consumer-First Marketing und hyper-personalisierte Botschaften zu bieten.Den größten Vorsprung gegenüber der Konkurrenz hat, wer sich bereits jetzt auf die formellen Neuerungen und Ansprüche der DSGVO vorbereitet. Hier ein schneller Überblick über die fünf wichtigsten Aspekte der Datenschutz-Grundverordnung (DSGVO) mit wichtigen „Hausaufgaben“ für Marketer.

1. Teilen

Ausdrückliche Zustimmung zur Erfassung persönlicher Daten

2. Teilen

Verbindliches „Opt-Out“ aus Datensammlung und Löschung von Daten

3. Teilen

Klare Folgenabschätzung der Datensammlung

Zweifel der Verbraucher an der Sicherheit ihrer persönlichen Daten

Quelle: Accenture

4. Teilen

Auskunft wird Pflicht

5. Teilen

Personalisierte Werbung ist gesetzlich erlaubt

Bislang stimmten Konsumenten durch ihre Nutzung einer Website der Erfassung von Informationen indirekt oder „schweigend“ zu. Mit der Datenschutz-Grundverordnung (DSGVO) ist damit Schluss: Die Konsumenten müssen ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten durch eine „eindeutige bestätigende Handlung“ erteilen.Diese Bestätigung kann schriftlich oder durch einen Klick erfolgen und muss von einer leicht verständlichen Erklärung der Art und des Zwecks der gesammelten Daten begleitet sein. Gleichzeitig erweitert das neue Gesetz die Definition von „personenbezogenen Daten“ einer bestimmbaren Person (durch Namen, Alias, Standort oder anderen Merkmalen): Sie gilt jetzt auch für genetische und biometrische Daten.Klare, rechtlich einwandfreie Rechtsbelehrungen zum „Opt-In“ und leicht bedienbare Benutzeroberflächen für die Zustimmung.Der „Unsubscribe“-Link wird Pflicht. Künftig müssen Konsumenten ihre ausdrückliche Erlaubnis zum „Opt-In“ auch ganz leicht zurückziehen können. Laut DSGVO soll „Opt-Out“ möglichst mit zwei Mausklicks erfolgen. Kein Passwort. Kein PIN. Einfach Klick… und Tschüss.Das ist nicht alles: Wenn Kunden künftig „Schluss“ machen, dürfen sie auch ihre Daten mitnehmen – oder besser gesagt, löschen lassen. Das „Recht auf Vergessen“ (Datenlöschung) ist fest in der DSGVO verankert und sofern keine legitimen Gründe zur Speicherung personenbezogener Daten bestehen, müssen Unternehmen sie loslassen.Einfaches Opt-Out Interface (Unsubscribe, Mitgliedschaft kündigen) und nachweisbare sowie zeitnahe Datenlöschung auf Kundenwunsch.Jetzt wird’s anstrengend. Ab Mai nächsten Jahres haben Unternehmen die Pflicht, die geplanten Methoden und Zwecke der Datensammlung in einer klar ausformulierten Folgenabschätzung darzulegen. Das gilt insbesondere, wenn die Sammlung automatisch – etwa per Cookies – und zu Profiling-Zwecken erfolgt.Die Vermutung „Darum wird sich wohl die IT-Abteilung kümmern müssen!“ – ist leider falsch. Denn: Laut Art. 35 DSGVO ist die Unternehmensführung für eine ordentliche Folgenabschätzung verantwortlich. Darin ist auch zu belegen, welche Risiken die Datenerfassung für die Konsumenten bedeutet und welche Sicherheitsmaßnahmen das Unternehmen ergreift.Im Klartext bedeutet das: Alles speichern! Jede Einverständniserklärung, direkte Kommunikation und Interaktion mit dem Kunden. Und im Fall von Leaks nicht verschlüsselter Kundendaten müssen betroffene Konsumenten und zuständige Behörden innerhalb von drei Tagen benachrichtigt werden.Rechtlich einwandfrei formulierte Texte für die Folgenabschätzung sowie eine interne Erfassung der Interaktion mit Konsumenten, gesammelten Daten und deren Sicherheit.Die DSGVO schafft ein nie dagewesenes Maß an Transparenz, indem sie Unternehmen in die Rechenschaftspflicht (Accountability Principle) nimmt. Dazu gehören nach Artikel 13 und 14 auch die Informationspflichten gegenüber Kunden, die Auskunft über die Art, Verwendung und Zuständigkeit ihrer persönlichen Daten verlangen.Diese Auskunft hat gebührenfrei und möglichst zeitnah zu erfolgen. Auch das wird mit Aufwand verbunden sein, zumal Unternehmen auch angeben müssen, welche Instanzen die Daten in welchem Umfang sammeln und wer die zuständigen Datenschutzbeauftragten sind.Geordnete Prozesse, um Kundenanfragen nach dem neuen Auskunftsrecht möglichst früh zu erkennen und ausreichend zu beantworten.Nach all der harten Kost eine gute Nachricht: Personalisierte Werbung gilt laut der DSGVO als „berechtigtes Interesse“ zur Datensammlung durch kommerzielle Organisationen. Das ist eine Kehrtwende, denn in Deutschland war bislang die Nutzung personenbezogener Daten zu Marketingzwecken – bis auf einige Ausnahmen – weitgehend untersagt.Waren bislang sämtliche Daten, die nicht unmittelbar im Telefonbuch zu finden sind, ein Tabu für Marketer, bricht ein neues Zeitalter an. Auch Neukunden können offen angesprochen werden, so lange auf Unternehmensseite der Schutz der personenbezogenen Daten gewährleistet ist und vorher eine Erlaubnis eingeholt wurde (siehe 1. Zustimmung). Dann steht Consumer-First Marketing für anspruchsvolle Kunden von heute nichts mehr im Wege.Eine geordnete Data Warehouse Architektur sowie eine übersichtliche Erfassung von Kundendaten als Grundlage für personalisiertes Marketing. Ebenso wichtig ist ein möglichst umfassender Datenschutz, etwa durch Verschlüsselung.