Datengestützte Zielgruppenanalysen und Kundensegmentierungen zählen heute bei den meisten Unternehmen zum „kleinen 1×1“ einer kundenzentrierten Ausrichtung ihrer Produkte und ihrer Werbung. Eine aktuelle Bußgeldentscheidung der niedersächsischen Landesdatenschutzbehörde wirft ein Schlaglicht auf die erheblichen datenschutzrechtlichen Risiken, die mit solchen Datenverarbeitungen verbunden sind. Worin genau Ihre Bußgeldrisiken liegen könnten, erfahren Sie hier.
Worum geht es?
Die niedersächsische Landesdatenschutzbehörde hat am 28. Juli 2022 in einer Pressemitteilung bekannt gegeben, einem Kreditinstitut ein Bußgeld von EUR 900.000,00 auferlegt zu haben. Erstaunlicherweise hat diese Entscheidung bislang wenig Aufmerksamkeit erlangt. Denn die niedersächsische Aufsichtsbehörde hat dieses Bußgeld für Datenverarbeitungen verhängt, die eine weit verbreitete Praxis von Marketingabteilungen, Werbeagenturen und Unternehmensberatern sind und aus Unternehmenssicht durchaus legitim erscheinen.
Das Kreditinstitut hatte das digitale Nutzungsverhalten seiner Bestandskunden analysiert, um bewerten zu können, welche seiner Kunden „online-affin“ sind und deshalb künftig vornehmlich über elektronische Kanäle bedient und beworben werden sollten. Zu diesem Zweck wertete es unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots aus. Ergänzend seien die Ergebnisse der Analyse „mit einer Wirtschaftsauskunftei abgeglichen und von dort angereichert worden“.
Auch wenn es für die Bußgeldentscheidung der Behörde auf Einzelheiten angekommen sein mag, die sich der Pressemitteilung nicht entnehmen lassen, so beschreibt sie letztlich gängige Methoden der Zielgruppenanalyse und der Kundensegmentierung für ein kundenzentriertes Marketing. Für den wirtschaftlichen Erfolg eines Unternehmens ist es von entscheidender Bedeutung, seine Produkte und Marketingmaßnahmen an den Bedürfnissen seiner Kunden auszurichten. Unternehmen – insbesondere im Onlinebereich – erreichen heute jedoch eine zunehmend größere Anzahl heterogener Nutzer und die individuellen Bedürfnisse dieser Kunden können sehr unterschiedlich sein. Es besteht deshalb ein großes Bedürfnis danach, Unterscheidungsmerkmale der Kunden zu identifizieren und sodann spezifische Kundensegmente zu bilden, die sich durch gemeinsame Merkmale auszeichnen. Die bloße Identifizierung eines Merkmals, nach dem sich Kunden clustern lassen, sagt aber noch nichts über seine Relevanz für das Marketing aus. Deshalb bedienen sich Unternehmen und ihre Marketing-Berater zunehmend datengestützter Analyseverfahren (z.B. einer RFM-Analyse oder ML-basierter Scores) und statistischer Daten und Scores von Drittanbietern. Dies ermöglicht es ihnen, ihre Kundensegmentierung und -ansprache durch Erkenntnisse aus der Marktforschung sowie ein besseres Verständnis der individuellen Kunden zu verbessern. Im datenschutzrechtlichen Kontext spricht man hierbei von der Erstellung und Anreicherung von Kundenprofilen und dem so genannten Profiling. Art. 4 Ziffer 4 DSGVO definiert Profiling als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, (…) zu analysieren oder vorherzusagen“.
Wie ist die Rechtslage?
Ein Profiling ist nach der DSGVO keineswegs verboten – im Gegenteil. Art. 21 Abs. 1 und 2 DSGVO gibt dem Betroffenen das Recht, einem Profiling zu widersprechen („Opt-out“) und setzt damit voraus, dass ein Profiling auch ohne vorherige Zustimmung des Betroffenen, nämlich auf Grundlage berechtigter Interessen des Verantwortlichen (Art. 6 Abs. 1 S. 1 Buchst. f DSGVO) rechtlich zulässig ist. Umstritten ist jedoch, ab welchem Umfang des Profilings die Rechte und Grundfreiheiten der Betroffenen das berechtigte Interesse des Unternehmers überwiegen, so dass eine vorherige Einwilligung des Betroffenen i.S.d. Art. 6 Abs. 1 S. 1 Buchst. a, 7 DSGVO („Opt-In“) erforderlich ist. Insbesondere die deutschen Datenschutzbehörden vertreten hierzu – etwa in der Orientierungshilfe Direktwerbung aus dem Februar 2022 – eine dezidiert restriktive Sichtweise. Danach soll ein Profiling in der Regel immer schon dann einer Einwilligung des Kunden bedürfen, wenn es verbunden ist mit
- Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen
- oder automatisierten Selektionsverfahren zur Erstellung detaillierter Profile
- oder der Erstellung eines Profils unter Verwendung externer Datenquellen
(z.B. Informationen aus sozialen Netzwerken) für Zwecke der Direktwerbung (Werbescores)
Diese Kriterien sind ausgesprochen vage und in der Praxis wenig hilfreich. Ein Profiling, das zu keinen zusätzlichen Erkenntnissen führt, ist sinnlos und automatisierte Selektionsverfahren sind einer solchen Datenverarbeitung i.S.d. Art. 4 Ziffer 4 DSGVO letztlich immanent. Die damit häufig entscheidende Frage, ab wann genau ein Kundenprofil „detailliert“ ist, ist wiederum mit erheblicher Rechtsunsicherheit verbunden. So dürfte die bloße Anreicherung eines Kundenprofils um das Merkmal der Online-Affinität als solche noch nicht zu der Annahme zwingen, es handele sich um ein detailliertes Profil. Die Niedersächsische Behörde stellt in ihrer Pressemitteilung aber demgegenüber maßgeblich darauf ab, das „große Datenbestände ausgewertet“ worden seien.
Schließlich dürfte – entgegen der Auffassung der Niedersächsischen Behörde – ein Profiling nicht schon deshalb einwilligungspflichtig sein, wenn hierbei „externe Datenquellen verwendet“ werden. In den maßgeblichen Guidelines der europäischen Art-29-Datenschutzgruppe findet sich dieses Kriterium nicht wieder. Und bei der Verwendung von Werbescores Dritter dürfte zumindest danach zu differenzieren sein, inwieweit diese auf Echtdaten des Betroffenen oder der bloßen statistischen Auswertung aggregierter Datenbestände beruhen (also bloßes Marktforschungswissen sind).
Die datenschutzrechtlichen Grenzen des Profilings ohne Einwilligung des Betroffenen sind demnach alles andere als klar umrissen. Insofern ist es durchaus überraschend, dass die Niedersächsische Behörde ein derart empfindliches Bußgeld verhängt hat. Zu entscheiden hat diese Rechtsfragen am Ende der Europäische Gerichtshof – doch steht im konkreten Fall leider nicht zu erwarten, dass das betroffene Kreditinstitut den Bußgeldbescheid gerichtlich anfechten wird.
Wo liegt das praktische Problem?
Nun könnte man meinen, das Problem sei leicht zu lösen, indem das Unternehmen – wie es die Datenschutzbehörden empfehlen – eine vorherige Einwilligung der Betroffenen einholt. Dies trifft in der Praxis jedoch auf erhebliche Schwierigkeiten.
Eine statistisch aussagekräftige Identifizierung von Zielgruppen und Kundensegmenten setzt vergleichsweise viele Kundendatensätze voraus und der Aufbau solcher Datenbestände ist langwierig. Zwar kann das Unternehmen versuchen, vorhandene Bestandskunden nachträglich, also lange nach Erhebung ihrer Daten, aber vor Beginn des Profilings, um eine Einwilligung zu ersuchen. Aber die Bereitschaft zu einer solchen Einwilligung ist bei Bestandskunden erfahrungsgemäß deutlich kleiner als bei Neukunden. Dies dürfte weniger daran liegen, dass die Betroffenen Einwände gegen die Datenverarbeitung haben – Opt-outs der Betroffenen sind in der Praxis genauso selten wie nachträgliche Opt-Ins – als vielmehr darin, dass sie ihren individuellen Nutzen regelmäßig als zu gering bewerten, um sich diese Mühe zu machen.
Aber auch beim Aufbau neuer, auf die Einwilligung von Neukunden gestützter Datenbestände, stößt man schnell auf rechtliche wie tatsächliche Schwierigkeiten. Eine wirksame datenschutzrechtliche Einwilligung setzt voraus, dass der Betroffene sie in informierter Weise für einen bestimmten Fall erklärt. Dies stellt Unternehmen vor die Herausforderung, den Betroffenen im Zeitpunkt der Einholung der Einwilligung transparent über künftige Datenverarbeitungen zu informieren, deren Einzelheiten zu diesem Zeitpunkt häufig noch nicht feststehen können. So hängt etwa die Frage, welche (heute oder künftig) verfügbare Methode der Kundensegmentierung für das Unternehmen sinnvoll ist, maßgeblich davon ab, wieviele Betroffene tatsächlich einwilligen werden. Unklar ist in diesem Zusammenhang auch, ob die Datenschutzbehörden im Rahmen einer solchen Einwilligung verlangen, die möglichen externen Dritten, deren Daten künftig Verwendung finden könnten, bereits konkret zu benennen.
Was ist Unternehmen zu raten?
Idealerweise sollten Unternehmen datengestützte Zielgruppenanalysen und Kundensegmentierungen auch in datenschutzrechtlicher Hinsicht als strategische Projekte verstehen, die von langer Hand geplant und durchdacht werden müssen. Ein Profiling aufgrund eines berechtigten Interesses am Direktmarketing lässt sich zwar anhand der Stellungnahmen der Art.-29-Gruppe durchaus begründen, ist jedoch wegen der strengen Haltung der deutschen Aufsichtsbehörden mit mehr oder weniger großen Risiken verbunden. Unternehmen, die dieses Risiken vermeiden möchten, sind durch die restriktive Sicht der deutschen Datenschutzbehörden dazu gezwungen, möglichst frühzeitig die künftig mit einem solchen Profiling verbundenen Datenverarbeitungen zu antizipieren, um wirksame Einwilligungen der Betroffenen einzuholen und den notwendigen Datenbestand aufzubauen.
Jedenfalls aber sind Unternehmen vor dem Hintergrund der Bußgeldentscheidung aus Niedersachen gut beraten, bereits praktizierte oder künftig geplante Zielgruppenanalysen und Kundensegmentierungen einer genaueren datenschutzrechtlichen Prüfung zu unterziehen. Vorsicht ist hier auch deshalb geboten, weil einem Unternehmen solche Dienstleistungen typischerweise von externen Agenturen oder Unternehmensberatern angeboten werden, die jedoch regelmäßig als Auftragsverarbeiter agieren und insoweit ihre datenschutzrechtliche Haftung auf das Unternehmen als datenschutzrechtlich Verantwortlichen abwälzen.