Die Digitalisierung verändert die Wirtschaft seit Jahren und das betrifft nicht nur die Industrie und Großkonzerne. Durch den wachsenden Online-Bereich bedeutet das mittlerweile für Unternehmen jeder größe neben den Änderungen im Geschäftsablauf auch eine Flut von Kundendaten, die es zu verwalten gilt.
Gab es am Anfang bei der Verwaltung und Nutzung der Kundendaten nur wenig Reglementierung, so hat sich das nicht zuletzt durch die EU-Datenschutzgrundverordnung geändert. Für die Unternehmen heißt das, dass die gespeicherten Daten vor dem Zugriff Unbefugter und einem möglichen Datenmissbrauch mit allen zur Verfügung stehenden Mitteln und auf dem aktuellsten technischen Stand geschützt werden müssen. Die Erhebung, Nutzung und Verarbeitung von Daten für Werbung, Adresshandel oder auch Marketingstrategien ist nur zulässig, wenn der oder die Betroffene dem zustimmt. Doch widerspricht die betroffene Person der Nutzung ihrer Daten zu Markt- und Meinungsforschungs- oder Werbezwecken, besteht für das Unternehmen ein Nutzungsverbot. Denn es bedarf in aller Regel der Einwilligung des oder der Betroffenen bei der Erhebung und Verarbeitung von persönlichen Daten. Mit Anwendung der EU-Datenschutzgrundverordnung gilt zudem, dass eine stillschweigende Einwilligung nicht mehr ausreicht, sondern eine qualifizierte und explizite Entscheidung zu erkennen sein muss.
Firmendaten
Wie gehen Unternehmen in der Praxis damit um? Bernsteiner Media ist ein mittelständisches Familienunternehmen in Wien. Die Full-Service-Agentur im Printbereich begleitet ihre KundInnen vom Konzept über das Design bis zum qualitativen Druckwerk oder Online-Auftritt. Auch hier hat sich der Kontakt zu den KundInnen in den letzten Jahren verändert und geht immer mehr in Richtung online. Geschäftsführerin Pamela Bernsteiner: „In der Tat bekommen wir vermehrt Anfragen von möglichen Kunden und Kundinnen, die uns online gefunden haben. Menschen informieren sich heute zunehmend im Internet über Dienstleistungen und Agenturen und vergleichen Preise und Angebote. Dennoch ist der persönliche Kontakt ein wesentlicher Bestandteil unserer Firmenphilosophie.“ Wie reagiert Bernsteiner auf die Flut von Daten, und wie werden die Kundendaten geschützt? „Eine gewaltige Datenmenge hat es in unserer Branche immer gegeben, selbstverständlich werden diese Daten kundenspezifisch gespeichert und sind hard- und softwaretechnisch geschützt“, sagt Pamela Bernsteiner: „Es hat sich nur geändert, dass der Kunde das Recht auf Datenlöschung hat. Ein Kunde oder eine Kundin kann bei uns einen Auszug ihrer bei uns gespeicherten
Daten haben und auch auf der Löschung bestehen. Kunden und Kundinnen sind bei uns zwar im System gespeichert, werden aber von uns nicht proaktiv angeschrieben, wie es bei einem Newsletter der Fall wäre.“ Aktuelle Änderungen durch die DSGVO mussten aber dennoch umgesetzt werden. „Nach der DSGVO und den Änderungen, die sich mit den neuen Richtlinien ergeben haben, mussten wir unsere Website und natürlich auch die Websites unserer Kunden und Kundinnen umstellen. Hier war einiges an Aufklärungsarbeit notwendig, was wie geändert werden muss und warum. Mittlerweile haben wir alle Websites auf den neuesten Stand gebracht. Auch unser Business-System wird gerade umgestellt. Mit dem Systemwechsel werden Autorisierungen neu vergeben und wird genau festgelegt, welche Daten gespeichert werden und wer Zugriff auf welche Daten hat.“
Datensammeln über Kundenkarten
Wer kennt das nicht: Man sucht nach einem bestimmten Urlaubsziel, und plötzlich scheinen beim Besuch von Internetseiten oder in sozialen Netzwerken Anzeigen für genau diese Destination auf. Oder Sie sind Eltern geworden und wie von Zauberhand werden Sie mit Windel-Werbung und Angeboten für Babynahrung überhäuft. Die Verfolgung und Auswertung der Customer Journey gehört heute schon fast zum Marketing-Standard der Unternehmen. Doch die Tatsache, dass Kundendaten von den Unternehmen gesammelt und auch verwendet werden, zwingt die KundInnen dazu ein Bewusstsein dafür zu entwickeln, welche Daten sie wirklich preisgeben wollen. Denn oft ist KundInnen gar nicht klar, dass die Unternehmen, bei denen sie einkaufen oder Waren bestellen, Daten über ihr Einkaufsverhalten sammeln, die alle Informationen über ihre Lebensgewohnheiten beinhalten. Ein gutes Beispiel sind hier die Kundenkarten, die von vielen Firmen angeboten werden. KarteninhaberInnen winken Rabatte oder andere Vergünstigungen – doch die haben ihren Preis. Schon beim Ausfüllen des Antrags werden persönliche Daten abgefragt. Studien belegen, dass drei Viertel der ÖsterreicherInnen zumindest eine Kundenkarte besitzen. Im Durchschnitt haben die KartenbesitzerInnen aber rund 6,2 Karten. Mit den Kundenkarten sammeln die Firmen umfassende Daten und erstellen Kundenprofile oder nutzen diese für Werbemaßnahmen. Es kann auch vorkommen, dass AnbieterInnen die Daten an Dritte weitergeben.
KonsumentenschützerInnen warnen auch vor Bonusprogrammen, die nicht von den Unternehmen selbst, sondern von externen AnbieterInnen kommen. Ließ bisher die Auswertung der Daten nur Rückschlüsse auf ein Unternehmen oder eine Branche zu, so agieren diese Bonussysteme branchenübergreifend und bei einer Auswertung der Daten können das gesamte Kaufverhalten und die Lebensgewohnheiten in allen Facetten abgebildet werden.
Es lohnt in jedem Fall das Kleingedruckte in den Verträgen zum Abschluss einer Kundenkarte zu lesen und zu überlegen, ob der in Aussicht gestellte Bonus die Preisgabe von persönlichen Daten aufwiegt. Vor allem bei großen Konzernen mit Sitz in den USA ist hier Vorsicht geboten.
Sensible Kundendaten
Besonders heikel wird es, wenn persönliche Daten ins Spiel kommen, die außergewöhnlich sensibel sind. Das betrifft zum Beispiel den Sportwettenanbieter Admiral. Hier muss eine sehr sichere Technik dahinterstehen, um den Schutz der Daten zu gewährleisten. „Bei Verwendung der Website von Admiral Sportwetten GmbH werden alle auf dieser vom jeweiligen Kunden oder der jeweiligen Kundin angegebenen Daten zwischen dem Browser des Kunden und den zentralseitigen Servern der Admiral Sportwetten GmbH mittels Secure Socket Layer, kurz SSL, geschützt“, gibt Bernhard Krumpel, Leiter der Konzernkommunikation bei Novomatic zu Protokoll. Die Datenschutzerklärung der Admiral Sportwetten GmbH wurde gemäß den Anforderungen der Datenschutzgrundverordnung erstellt und auch auf der Website der ASW publiziert. „Gespeichert werden personenbezogene Daten, die – soweit eine entsprechende Rechtsgrundlage besteht – im Rahmen der Nutzung der Produkte und Dienstleistungen durch den Kunden oder die Kundin seitens der Admiral Sportwetten GmbH erhoben und verarbeitet werden“, erläutert Krumpel. Um die Daten weiter verarbeiten zu dürfen, müssen datenschutzrechtliche Vorschriften eingehalten werden. Dazu gehört eine schriftliche Einwilligungserklärung des Kunden oder der Kundin zur Erfüllung eines Vertrages und zur Wahrung berechtigter Interessen. Die Verarbeitung personenbezogener Daten von KundInnen kann auch zum Zweck der Erfüllung unterschiedlicher gesetzlicher Verpflichtungen, etwa Finanzmarkt-Geldwäschegesetz, Wettengesetze, Glücksspielgesetz, welchen die Admiral Sportwetten GmbH unterliegt, erforderlich sein. Wie lange werden diese Daten gespeichert? „Die Dauer der Verarbeitung, inklusive Speicherung, kann von unterschiedlichen Faktoren abhängig sein. So muss ASW aufgrund rechtlicher Verpflichtungen personenbezogene Kundendaten bis zum Ablauf etwaiger gesetzlicher Aufbewahrungsfristen verarbeiten. Daneben können auch berechtigte Interessen, zum Beispiel Beweissicherungsinteressen der ASW an einer gewissen Speicherdauer personenbezogener Daten ihrer Kunden und Kundinnen bestehen“, erklärt der Novomatic-Kommunikations-Chef. ASW setzt technische und organisatorische Sicherheitsmaßnahmen ein, um die personenbezogenen Daten ihrer KundInnen gegen Manipulation, Verlust, Zerstörung und den Zugriff Dritter zu schützen. Diese Maßnahmen werden entsprechend der technologischen Entwicklung laufend verbessert.