Daten sind das höchste Gut im B2B-Marketing. Doch sie zu erheben, zu verarbeiten, zu nutzen und dabei absolut rechtskonform zu agieren, scheint vielen B2B-Marketern unmöglich. Dass die Angst vor einem datenschutzkonformen Tracking im B2B-Marketing unbegründet ist, erklären Martin Philipp, Olaf Brandt und Vasiliki Paschou im Interview.
bvik: Viele B2B-Marketer fürchten das Thema Datenschutz. Warum?
Martin Philipp (Evalanche): Ich denke sie fürchten sich nicht vor dem Datenschutz selbst. Was sie fürchten, ist der Verlust von Daten, die eine durchgängige Erfolgskontrolle ermöglichen, und die damit verbundenen Einschränkungen einer verhaltensbasierten und personalisierten Kommunikation. Ja, das Thema Datenschutz ist komplex. Daher ist es sehr hilfreich, wenn Technologieanbieter die B2B-Marketer dabei unterstützen, die Kommunikation rechtskonform zu gestalten. Natürlich sollte das immer noch einmal durch Juristen und Datenschutzexperten abgesichert sein. Wir bieten beispielsweise in unserem Datenschutzpaket wichtige Dokumente und Informationen an, die erklären, wie die Prozesse, Daten rechtlich korrekt zu handhaben, beschaffen sind und, welche technischen und organisatorischen Maßnahmen dahingehend getroffen werden sollten.
Vasiliki Paschou (activeMind.legal): Zugegeben hat der Datenschutz mancherorts kein gutes Image und gilt eher als „Showstopper“. Allerdings völlig zu Unrecht. Auch in sensiblen Bereichen wie dem B2B-Marketing lassen sich sinnvolle und gute Lösungen finden, um sämtliche Vorhaben in einem Rahmen durchzuführen, der gleichermaßen das Grundrecht auf den Schutz persönlicher Daten wahrt, aber auch betriebliche Interessen berücksichtigt. Auch von pragmatischen Ansätzen muss der B2B-Marketer hierbei nicht absehen.
Olaf Brandt (etracker): Eben. In der Vergangenheit war Datenschutz vielleicht ein Hemmschuh für das Marketing, aber mittlerweile sorgen datenschutzfreundliche Lösungen bei B2B-Unternehmen sowohl für den Schutz der Betroffenen als auch für den Schutz der eigenen Datenbasis. Solche Lösungen benötigen teilweise noch nicht einmal eine Einwilligung und erfassen dennoch verlässlich und rechtskonform die nötigen Daten, etwa alle Websitebesuche und Conversions.
Welche konkreten rechtlichen Anforderungen an das Tracking im B2B-Marketing gibt es?
Vasiliki Paschou (activeMind.legal): Das kommt immer auf die Ausgestaltung des Trackings an. Möchte ich etwa eine einfache Analyse der Besucherzahl meiner Website vornehmen, so unterliegt dies generell weitaus weniger Anforderungen, als wenn eine kontinuierliche Identifikation eines Nutzers vorgenommen werden soll, welche bestenfalls auch noch persönliche Präferenzen berücksichtigt. Ohne eine Einwilligung des jeweiligen Nutzers darf Letzteres in aller Regel nicht geschehen. Für die Einwilligung ist dabei wichtig, dass nachvollziehbar ist, wie das Tracking abläuft, welche Daten erfasst und wie lange diese gespeichert werden. Dem Nutzer muss also klar sein, was mit seinen Daten passiert, erst dann kann er wirksam einwilligen.
Olaf Brandt (etracker): Konkret gilt beispielsweise nach Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), dass Statistik- und Marketing-Cookies erst nach Einwilligung gesetzt werden dürfen. Nach DSGVO dürfen zudem für das Tracking generell keine US-Tools zum Einsatz kommen und personenbezogene Daten ohne Einwilligung nur in mildester Form gemäß den vernünftigen Erwartungen von Betroffenen verarbeitet werden. Dazu gehört dann etwa auch, dass die Daten a) auch nicht vom Verarbeiter für eigene Zwecke genutzt, b) auf keinen Fall über Websites unterschiedlicher Anbieter hinweg zusammengeführt und c) nicht zur Identifizierung von Betroffenen angereichert werden dürfen.
Was bedeutet dies für das Tracking in der Praxis und die Webanalyse? Worauf müssen B2B-Marketer achten?
Martin Philipp (Evalanche): Für die Webanalyse braucht es beispielsweise eine Zustimmung (Consent) über eine Consent-Management-Plattform oder Consent-Banner. Alternativ kann auch eine rechtskonforme Web-Analyse-Technologie wie etracker ein „Cookieless Tracking“ realisieren.
Olaf Brandt (etracker): Was Herr Philipp meint, ist eine datenschutzkonforme und einwilligungsfreie Web-Analyse. Diese muss jedoch drei Bedingungen erfüllen: erstens keine Daten in die USA transferieren, zweitens ohne Einwilligung keine Cookies setzen oder Gerätedaten auslesen und drittens die Daten in mildester Form gemäß dem überwiegenden berechtigten Interesse des Websitebetreibers verarbeiten. Der dritte Punkt ist natürlich nicht ganz so einfach sicherzustellen, denn die Aussagen der Anbieter selbst reichen da nicht aus. Die DSGVO erfordert hierbei einen Nachweis entweder in Form einer eigenen Prüfung oder eines unabhängigen Testats, wie zum Beispiel dem ePrivacy-Siegel von ePrivacy Consult.
Vasiliki Paschou (activeMind.legal): Bei einem einwilligungsbasierten Tracking wiederum ist es wichtig, dass die abgegebene Einwilligung dokumentiert und im Zweifel nachgewiesen werden kann. Aber auch bereits im Vorfeld sollten Unternehmen eine potenzielle Tracking- oder Analyse-Lösung auf Datenschutzaspekte prüfen lassen. Bei Cloud-Services ist – wie Herr Brandt schon richtig sagt – auch immer der Standort des Anbieters von Bedeutung. Ist dieser im Ausland, insbesondere außerhalb des Europäischen Wirtschaftsraums (EWR), angesiedelt, muss positiv bestätigt werden, dass durch den Einsatz eines Dienstleisters das Datenschutzniveau nach DSGVO gewährleistet ist. Hier empfiehlt es sich den Privacy-by-Design-Ansatz zu wählen, um sicherzustellen, dass von vornerein alle wesentlichen Aspekte Berücksichtigung finden. Eine enge Zusammenarbeit mit dem Datenschutzbeauftragten ist in der Regel unverzichtbar.
Martin Philipp (Evalanche): B2B-Unternehmen müssen also darauf achten, wie und wo die personenbezogenen Daten verarbeitet werden. Als rechtliche Grundlage ist ein Auftragsverarbeitungsvertrag (AVV) zu schließen. Auf der sicheren Seite sind Unternehmen aber auch dann nur, wenn sie auf Technologieanbieter aus der EU setzen.
Wie verhält es sich mit dem E-Mail-Tracking im B2B-Marketing? Wie gehen Datenschutz und Personalisierung zusammen?
Vasiliki Paschou (activeMind.legal): Wer nicht nur E-Mails versenden, sondern auch die E-Mail-Nutzung – zum Beispiel Klick- und Öffnungsraten – analysieren möchte, braucht laut DSGVO hierfür eine gesonderte Rechtsgrundlage. Entscheidend ist hier, ob das Tracking anonymisiert, pseudonymisiert oder direkt identifizierend ist. Der Grad der Personalisierung spielt also auch eine wichtige Rolle. Eine anonymisierte Analyse der E-Mail-Nutzung ist datenschutzrechtlich eher unproblematisch. Wird dagegen eine individualisierte Nutzungsauswertung angestrebt, sind hohe Anforderungen an die Datensicherheit zu erfüllen. Dabei sehen wir die Datenschutzgesetze nicht als reine Verbotsnorm, sondern vielmehr als das passende Instrument, um die Rechtskonformität jeder Verarbeitung zu beurteilen und folglich auch gestalten zu können.
Martin Philipp (Evalanche): Für das E-Mail-Tracking im B2B-Marketing ist also eine explizite Einwilligung notwendig. Bestenfalls erfolgt diese auf Profilebene bei der Datenerhebung. Denn im E-Mail-Tracking beschränkt sich das Erfassen und Analysieren von Daten nicht nur auf das Web. Eine personalisierte Ansprache ist zwar grundsätzlich ohne Einwilligung möglich, aber der Aufbau eines verhaltensbasierten Nutzerprofils nicht. Um verhaltensbasierte Logiken für eine inhaltliche Individualisierung von E-Mails und Newsletter-Inhalten zu nutzen, bedarf es der Einwilligung des Nutzers. Hierbei ist es hilfreich, dem potenziellen Empfängern im Vorfeld die Vorteile der Datenerhebung und Personalisierung transparent darzulegen.
Olaf Brandt (etracker): Da E-Mail-Marketing ohnehin mit einer vorherigen Einwilligung einhergeht, schmerzt es nicht, wenn auch das E-Mail-Tracking nur nach Einwilligung möglich ist. Denn im Gegensatz zu Ad-Targeting landen beim E-Mail-Marketing die persönlichen Daten nicht unkontrollierbar in Ad-Plattformen.
Sie drei haben sich dem rechtskonformen Umgang mit Nutzerdaten verschrieben. Ihre Unternehmen sind dazu sogar eine besondere Partnerschaft eingegangen. Wie kam es dazu? Welches Ziel verfolgt Ihr Dreigespann unter dem Motto „360°-Datenschutz made in Germany“?
Martin Philipp (Evalanche): Für uns bei Evalanche ist Datenschutz ein wichtiges Grundrecht unserer digitalen Welt. Deshalb tragen wir mit dafür Sorge, dass jedes Unternehmen dieses Recht respektiert, indem es gewillt und in der Lage ist, Datenschutz, Datensicherheit und digitale Souveränität zuverlässig umzusetzen. Wir verstehen digitale Souveränität als Selbstbestimmung einerseits und als Kompetenz von Menschen und Unternehmen andererseits, damit sie gezielt von der Digitalisierung profitieren können.
Olaf Brandt (etracker): Wir stehen gemeinsam dafür, dass erfolgreiches, datengetriebenes digitales B2B-Marketing in Harmonie mit den rechtlichen Anforderungen möglich ist. Dazu braucht es passende Lösungen, die sich seit Jahren im Praxiseinsatz von B2B-Unternehmen bewährt haben und einen erfahrenen Partner, der für die rechtskonforme Konfiguration und Einbettung in die betrieblichen Angebote und Prozesse sorgt. In dieser Kombination können Unternehmen ihre Kunden und Interessenten mit digitalen Angeboten begeistern und unnötige rechtliche Risiken vermeiden.
Martin Philipp (Evalanche): Dabei gehen wir als Unternehmen auch alle mit gutem Beispiel voran. Das heißt, IT-Sicherheit ist auch bei Evalanche ein integraler Bestandteil der Geschäftspolitik und somit der IT-Strategie. Aus diesem Grund hat sich die SC-Networks GmbH nach ISO/IEC 27001 zertifizieren lassen. Die gesamte Zertifizierung wurde von activemind.legal begleitet. Das Unternehmen stellt bis heute unseren Datenschutz- und unseren Informationssicherheitsbeauftragten. Und etracker ist wie wir ein Anbieter von Software-as-a-Service „made in Germany“ und legt selbst ebenfalls sehr hohen Wert auf Datenschutz und Datensicherheit. Das gleichnamige Tool etracker ermöglich es Websitebetreibern, das Maximum aus ihrem Datenschatz herauszuholen. Es macht regelrecht Spaß, die eigenen Nutzer besser verstehen zu lernen und das Tracking im B2B-Marketing sauber zu gestalten. Daher sind wir auch einfach überzeugt davon, als Trio eine optimale Beratung für ein rechtskonformes B2B-Marketing anzubieten – und zugleich die entsprechenden Tools für eine 360-Grad-Umsetzung zu liefern.
Vasiliki Paschou (activeMind.legal): 360-Grad-Datenschutz bedeutet nämlich vor allem eins: Egal, welchen Blickwinkel ich wähle, der Datenschutz wird ganzheitlich betrachtet und ist in der Rundumsicht überall verankert. Somit sind blinde Flecken ausgeschlossen. Ziel unserer Partnerschaft als Trio ist es, den Anwendern die notwendige Sicherheit zu bieten, ohne dass der Nutzungskomfort oder -umfang eingeschränkt ist. Letzten Endes wird damit die „Furcht“, die Sie eingangs erwähnten, bereits im Keim erstickt. Datenschutz und Marketingtools, die passen für uns alle gut zusammen.
Auch bei dem diesjährigen TIK wurden Datensicherheit und Marketing-Automation thematisiert. Lesen Sie hier den Nachbericht!
Um das Marketing zu Automatisieren, braucht es diverse Tools, die idealerweise so gut harmonieren wie Evalanche und etracker. In unserem Practice-Guide zeigt Ihnen SC-Networks, wie Sie in 5 Schritten die beste individuelle Lösung für sich finden!
Im Blogbeitrag von activeMind lesen Sie nochmal genauer, wieso internationale Dienste nicht vereinbar mit der DSGVO sind, und worauf dabei zu achten ist.