Adzine: Was sind rechtlich betrachtet eigentlich CRM-Daten?

Dr. Martin Schirmbacher: Denkt man vom Datenschutz her, sind CRM-Daten stets personenbezogene Daten, weil jedes einzelne Datum, persönliche Daten, Adressdaten, Surf- oder Kaufverhalten dem Unternehmen eine Zuordnung zu einer natürlichen Person ermöglichen.
Adzine: Welche typischen rechtlichen Fallstricke gibt es bei der Nutzung von CRM-Daten für das Display Advertising?

Schirmbacher: Die Verknüpfung von herkömmlichen Display-Ads mit CRM-Daten führt vor allem zu datenschutzrechtlichen Fragen. Anders als beim Behavioral Targeting, wo anonyme oder jedenfalls pseudonyme Daten verwendet werden, ist der Nutzer dem Werbenden bekannt, wenn gezielt unter Nutzung von Daten aus dem CRM-System Display-Werbung ausgespielt wird. Diese Daten haben dann stets Personenbezug, weil sie dem Kunden zuzuordnen sind.

Adzine: Was heißt das für die Nutzung der CRM-Daten zu Werbezwecken?

Schirmbacher: Nach geltendem Recht bedarf die Verwendung personenbezogener Daten stets einer Rechtfertigung. Manchmal ergibt sich diese Rechtfertigung aus dem Gesetz; das Bundesdatenschutzgesetz gestattet etwa eine Speicherung zu Abrechnungszwecken. Das Telemediengesetz gestattet für die Werbung im Internet die pseudonyme Nutzung von Daten. Für die Verwendung personenbezogener Klardaten für Werbung gibt jedoch keine gesetzliche Gestattung.

Adzine: Eine Nutzung von CRM-Daten ist also nur mit einer Einwilligung des Nutzers zulässig?

Schirmbacher: In der Tat: Werden die CRM-Daten vor der Nutzung nicht pseudonymisiert oder erfolgt nach der Auslieferung der Werbung eine Zusammenführung der Daten (etwa dadurch, dass der Kunde wiedererkannt wird), muss eine Einwilligung vorliegen, damit die Werbung zulässig ist.

Adzine: Kann dieses Opt-in zeitgleich mit der Anmeldung/Erstkauf im Shop umgesetzt werden?

Schirmbacher: Ja. Dagegen spricht nichts. Es muss sich aber um eine echte Einwilligung handeln. Der Nutzer muss also erkennen können, worin er einwilligt. Dies setzt eine gewisse Transparenz der Einwilligungserklärung voraus. Ein bloßer Link auf AGB, in denen irgendwo ein kaum verständlicher Passus zum Datenschutz enthalten ist, genügt natürlich nicht.

Adzine: Reicht dann auch bspw. bei der Newsletteranmeldung ein Terminus wie „Einwilligung für ein kanalübergreifendes Marketing“ oder müssen die einzelnen Kanäle, sprich Display, Social Media etc. dann auch tatsächlich genannt werden?

Schirmbacher: Der Nutzer muss wissen, worin er einwilligt. Welcher Einwilligungstext dafür erforderlich ist, muss man im Einzelnen prüfen. Ich empfehle in der Regel, in einem verlinkten Text zu erläutern, was genau geschieht und worin der Nutzer einwilligt.

Adzine: Wie weitreichend kann eine solche Einwilligung sein: Nehmen wir zum Beispiel eine Information zu einem laufenden Mobilfunkvertrag wie das Vertragsende. Darf der Advertiser diese Information bei einer Einwilligung auch dazu nutzen, um auf seiner Webseite eine Anzeige zu personalisieren?

Schirmbacher: Grundsätzlich bestimmt der Kunde über die Reichweite seiner Einwilligung. Rechtlich dürfen volljährige datenschutzrechtlich in alles einwilligen. Je weitreichender die Einwilligung ist, umso transparenter muss das aber sein. Auch hier gilt: Wird etwa in einer Datenschutzerklärung transparent erläutert, inwieweit CRM-Daten genutzt werden, kann es genügen, wenn in dem Einwilligungstext, den der Nutzer abhaken muss, darauf nur verwiesen wird. Natürlich muss dieser Einwilligungstext deutlich machen, worum es bei der Einwilligung geht. Die Details dürfen sich dann aus der Datenschutzerklärung ergeben.

Adzine: Und mit dieser Einwilligung wäre es gar möglich, CRM-Daten zu nutzen, um auf Webseiten Dritter Display-Ads individualisiert auszuliefern?

Schirmbacher: Absolut. Wenn die Kombination aus Einwilligungserklärung und erläuternden Hinweisen auch die Auslieferung von Werbung auf Drittseiten einschließt, wäre das zulässig.

Adzine: Und wie steht es mit nutzerbezogenen Preisangeboten in einem Werbebanner, Stichwort Behavioral Pricing? Was sind hierfür die genauen Voraussetzungen?

Schirmbacher: Behavioral Pricing gegenüber Neukunden, für die noch kein Nutzerprofil besteht, ist grundsätzlich unproblematisch. Problematisch wird es, wenn Daten über die Herkunft des Kunden mit personenbezogenen Daten, die zu einem anderen Zeitpunkt erhoben worden sind, zusammengeführt werden. Hier bedarf es erneut einer vorherigen Einwilligung des Nutzers. Will das werbende Unternehmen seine Nutzer nicht um eine Einwilligung in die flexible Preisgestaltung unter Berücksichtigung persönlicher Information bitten, dürfen die Daten nur für die Preisfindung verwendet und nicht mit CRM-Daten zusammengeführt werden.

Adzine: Wie sieht es in der Praxis aus. Glauben Sie, dass die meisten Unternehmen die Einwilligung der Nutzer überhaupt ausreichend einfordern oder ist es nicht eher so, dass recht unbedarft CRM-Daten mit Tracking- und Webanalysedaten verknüpft werden?

Schirmbacher: Einerseits fristet der Datenschutz bei der Online-Werbung auch in großen Unternehmen noch immer ein Schattendasein. Hier wird erst einmal am Arbeitnehmerdatenschutz angesetzt oder die eigenen Prozesse datenschutzkonform ausgestaltet, bevor die Dienstleister auf Compliance untersucht werden. Andererseits mehren sich aber die Anfragen bei uns, die den Datenschutz im Online-Marketing betreffen. Anbieter bekommen immer häufiger kritische Fragen potenzieller Kunden und sind gezwungen, sich mit dem engen Korsett des Datenschutzrechts intensiv zu befassen und Lösungen anzubieten, die – so gut es geht – datenschutzkonform sind.

Adzine: Herr Schirmbacher, vielen Dank für das Gespräch.