Datenschutzkonformer Aufbau von Kundenbindungsprogrammen – die wichtigsten Fragen

Kundenbindungsprogramme können je nach wirtschaftlichen und technischen Rahmenbedingungen vielfältig ausgestaltet werden. Als Bonusprogramme können sie in verschiedenen Formen dazu beitragen, „loyale und wiederkehrende Kunden“ zu gewinnen und für neue Produkte zu begeistern.

Von Kathrin Schürmann 13.08.2019

© Pexels

Je nach dem, für welche Marketingstrategie sich ein Unternehmen entscheidet, müssen verschiedene datenschutzrechtliche Aspekte beachtet werden.

Konkret ausgestaltet kann ein Bonusprogramm über eine klassische Kundenkarte beziehungsweise Stempelkarte werden, doch auch digitale Lösungen sind denkbar, wie das Sammeln von Punkten über eine App. Zudem stehen Möglichkeiten wie die individuelle Kundenansprache über das Versenden von Newslettern oder persönlichen Angeboten über Push-Nachrichten bei App-Nutzung oder auf dem Postweg zur Verfügung. Bestenfalls werden Kunden über mehrere Wege (sogenannte Multi-Channel-Lösungen) gebunden, wobei gerade die Verbindung von on- und offline für viele Unternehmen gewinnbringend ist. 

Je nach dem, für welche Marketingstrategie sich ein Unternehmen entscheidet, müssen verschiedene datenschutzrechtliche Aspekte beachtet werden. Sollen Kunden zum Beispiel über eine individuelle Kommunikation per E-Mail angesprochen werden, braucht ein Unternehmen selbstverständlich Kundendaten wie die E-Mail-Adresse und Anschrift – für eine größtmögliche Personalisierung darüber hinaus Informationen wie die Umsatzgröße, das Kaufverhalten sowie weitere relevante Daten zur Erstellung von Kundenprofilen. Zu beachten sind bei allen Strategien, die personenbezogene Daten nutzen, die Regelungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Keine Beachtung finden diese Gesetze, sofern das Kundenbindungsprogramm vollständig auf personenbezogene Daten verzichtet. 

Beim Aufbau eines Kundenbindungsprogramms ist es daher zwingend erforderlich, sich auch Fragen zum Datenschutz zu stellen. 

 

Ist für das Kundenbindungsprogramm eine Verarbeitung personenbezogener Daten notwendig?
Die Verarbeitung personenbezogener Daten fällt in den Anwendungsbereich von DSGVO und BDSG. Um deren Regularien zu umgehen, ist es daher am besten, erst gar keine personenbezogenen Daten zu erheben. Konkret kann das in der Form von Kundenkarten (ohne Personenbezug), Stempelkarten oder Rabattmarken ausgestaltet werden. Wird einfach nur nach jedem Einkauf oder beispielsweise jedem Haarschnitt die Karte gestempelt und wartet nach mehreren Stempeln ein Rabatt oder eine bestimmte Leistung auf den Kunden, so werden keine Daten über ihn erfasst. 

Meist möchten Einzelhandelsunternehmen jedoch mehr über ihre Kunden erfahren, um ihnen zum Beispiel individuelle konkrete Angebote oder Serviceleistungen anzubieten. Hierbei bietet es sich an im Rahmen des sogenannten Profilings Kundenprofile zu erstellen. Beim Profiling werden personenbezogene Daten automatisiert verarbeitet, um auf deren Grundlage bestimmte persönliche Aspekte zu bewerten. Diese Aspekte werden herangezogen, um beispielsweise die persönlichen Vorlieben (Handtaschen, Uhren oder ähnliche) zu analysieren und entsprechende Kategorien zu bilden.
 
Insbesondere bei der Erstellung von Kundenprofilen und weitgehenden Analysen empfiehlt es sich, die Daten zu pseudonymisieren. Die Daten sind zwar dann immer noch personenbezogen, aber Unternehmen, die ihre Kundendaten pseudonymisieren, werden an einigen Stellen in der DSGVO bessergestellt. Zum Beispiel wenn die Rechtsgrundlage der berechtigten Interessen genutzt wird. Auch ist dies ein großer Gewinn für die Sicherheit der Daten. Gelangt ein pseudonymisierter Datensatz in die Hände Dritter kann in der Regel kein Personenbezug hergestellt werden und die Daten sind wertlos. 

Pseudonyme Daten sind Informationen, die nur bei Zugriff auf gesondert aufbewahrte und geschützte Informationen einer Person zugeordnet werden können. Es lässt sich also erreichen, dass die Zuordnung von Daten zu einer Person nicht mehr möglich ist. Es muss dabei technisch sichergestellt werden, dass Nutzer der pseudonymisierten Daten keinen Zugriff auf die abgesonderten Informationen haben und so eine Person nicht identifiziert werden kann. Eine Pseudonymisierung liegt unter anderem vor, wenn nicht der Name eines Kunden auf der Kundenkarte vermerkt wird, sondern eine Kundennummer, die erst auf einer abgesonderten Datenbank dem Namen eines Kunden zugeordnet werden kann.

Auf welche Rechtsgrundlage lässt sich die jeweilige Verarbeitung stützen?
Personenbezogene Daten dürfen nur verarbeitet werden, wenn sich die Verarbeitung auf eine Rechtsgrundlage stützen lässt. Liegen deren spezifische Voraussetzungen vor, so können personenbezogene Kundendaten verarbeitet werden.  In Bezug auf Kundenbindungsprogramme kommen mehrere Rechtsgrundlagen in Betracht. Welche die passende darstellt, hängt von der konkreten Ausgestaltung des Kundenbindungsprogramms ab. 

Möglich und auch besonders rechtssicher kann es in bestimmten Fällen sein, die Verarbeitung der personenbezogenen Daten vertraglich zu vereinbaren. Auch eine eingeholte wirksame Einwilligung stellt eine mögliche Rechtsgrundlage dar, allerdings sind die hohen Anforderungen an die Wirksamkeit der Einwilligung zu beachten (Inhalt, Form, Widerrufsrecht). Zudem ist beispielsweise bei der Nutzung von Newslettermarketing auch Wettbewerbsrecht in Bezug auf die Einwilligung relevant. Je nach Ausgestaltung des Kundenbindungsprogramms kommt auch eine Verarbeitung personenbezogener Daten aufgrund berechtigter Interessen des Unternehmens in Betracht. Hier würde sich beispielsweise eine Pseudonymisierung der Daten zugunsten des Unternehmens auswirken.

Die Datenverarbeitung aufgrund einer passenden Rechtsgrundlage kann jedoch unter Umständen unwirksam sein, wenn gegen die Datenverarbeitungsgrundsätze der DSGVO verstoßen wird. Vor allem der Grundsatz der Datenminimierung ist in diesem Kontext relevant, wonach nur diejenigen Daten gesammelt und ausgewertet werden dürfen, auf die es auch wirklich ankommt. Zum Beispiel ist es bei dem Sammeln von Bonuspunkten über eine App oder Karte nicht zwingend notwendig, die Telefonnummer des Kunden zu speichern, wenn der Kunde bereits seine E-Mail-Adresse oder Postadresse zum Zusenden der jeweiligen Prämie angegeben hat. Außerdem dürfe die erhobenen Daten nur zu dem Zweck verarbeitet werden, den das jeweilige Kundenbindungsprogramm verfolgt (Zweckbindungsgrundsatz).

Kann die Erfüllung der Betroffenenrechte gewährleistet werden?
Einen sehr großen Aufwand bringen die Betroffenenrechte für die Unternehmen beim datenschutzkonformen Aufbau von Kundenbindungsprogrammen mit sich. Händler müssen sich vor allem ihrer datenschutzrechtlichen Informationspflichten bewusst sein und ihre Kunden in möglichst präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über die jeweiligen Verarbeitungsprozesse informieren. Außerdem können Betroffene auch um die Löschung ihrer Daten bitten (Recht auf Vergessenwerden).

Hat der Einsatz eines Kundenbindungsprogramms voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Kunden zur Folge?
Auf diese Frage eine Antwort zu finden ist wichtig, denn je höher das Risiko ist, desto eher muss die sog. Datenschutz-Folgenabschätzung durch den Händler durchgeführt werden. Das Ziel einer Datenschutz-Folgenabschätzung ist, dass sich der Verantwortliche (also der, der die Daten in eigener Verantwortung verarbeitet), in besonders sensiblen Bereichen durch ein strukturiertes Verfahren über die möglichen Folgen der Datenverarbeitungsvorgänge bewusst wird. Es müssen dabei zumindest die geplanten Verarbeitungsvorgänge und der Zweck der Verarbeitung beschrieben werden.

Fazit: Datenschutzkonformer Aufbau von Kundenbindungsprogrammen ist möglich – und lohnt sich!

 

Den Wert, den Kundenbindungsprogramme für den Handel haben, kann man nicht genug betonen. Doch letztendlich darf auch die Bedeutung, die DSGVO und BDSG für die Kundenbindung haben, nicht unterschätzt werden! Der Kunde fühlt sich nur gut behandelt und hat auch nur dann Lust gezielt angeworben zu werden, wenn er weiß, dass seine Daten in sicheren Händen sind. Sie sollten daher folgende Checkbox im Kopf haben, wenn Sie Ihr Kundenbindungsprogramm datenschutzkonform betreiben wollen:

1. Die Verarbeitung personenbezogener Daten ist bestenfalls gar nicht notwendig.

2. Wenn personenbezogene Daten verarbeitet werden, dann ist eine Pseudonymisierung anzustreben. 

3. Die rechtssicherste und passendste Rechtsgrundlage für Ihr Kundenbindungsprogramm ist zu finden. 

4. Es dürfen nur so wenig Daten wie nötig erhoben werden, die auch nur zu dem vereinbarten Zweck verwendet werden dürfen.

5. Die Kunden werden umfassend und transparent über die Verarbeitungsvorgänge informiert.

6. Den Rechten der Kunden (Betroffenenrechte) muss entsprochen werden.

7. Das Risiko für die Rechte und Freiheiten natürlicher Personen muss möglichst geringgehalten werden.

Schlagworte: Digitalisierung, Datenschutz, DSGVO, Kundenbindung

Kommentare

Ihr Kommentar