Marketing & Vertrieb

Datenschutz

Kritischer Umgang mit Persönlichkeitsprofilen

01.07.2011
Marketing und Datenschutz sind eng miteinander verknüpft. Auch wenn Verstösse meist ohne rechtliche Folgen bleiben, ist der gewissenhafte Umgang mit Kundendaten sinnvoll und ratsam.
PDF Kaufen

Zielgerichtetes Marketing ist erfolgreicher. Um aber zielgerichtetes Marketing zu betreiben, genügen Adressen von potenziellen Kunden oder bestehenden Kunden nicht. Vielmehr müssen die Daten angereichert werden – und schon ist Marketing zu einem Datenschutz-thema geworden.

Beim Datenschutz geht es um den Persönlichkeitsschutz von Personen. Alle Daten, die mit einer natürlichen oder auch juristischen Person direkt zusammenhängen, bzw. «die sich auf eine bestimmte oder bestimmbare Person beziehen» (Art. 3 lit. a Bundesgesetz über den Datenschutz), unterstehen grundsätzlich den Bestimmungen des Datenschutzes. Einzelne Daten wie Gesundheitsdaten, Daten über politische, gewerkschaftliche oder weltanschauliche Ansichten oder Tätigkeiten, gelten als besonders schützenswert. Diesen ist das Persönlichkeitsprofil gleichgestellt.

Das Persönlichkeitsprofil

Der Begriff «Persönlichkeitsprofil» ist nicht ganz einfach abzugrenzen – die Definition im Gesetz hilft nur bedingt weiter: «Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt». Denn was gehört alles zu den wesentlichen Aspekten einer Persönlichkeit? Gerade diese Frage ist auch im Marketing von besonderer Bedeutung.

In der Praxis sieht der Umgang mit Persönlichkeitsprofilen dann meist so aus:

  • Die Mitarbeitenden wissen einfach nicht, wann die Datensammlung ein Persönlichkeitsprofil darstellt.
  • Das Unternehmen denkt, es ist ein Persönlichkeitsprofil – man meldet die Datensammlung und kümmert sich nicht weiter darum.
  • Das Unternehmen ist sensibilisiert bezüglich Datenschutz und versucht, die gesetzlichen Anforderungen zu erfüllen.
  • Man kauft die gewünschten Adressen ein und geht davon aus, dass der Lieferant die Adressen rechtmässig verkauft hat.

Bis heute gibt es nur sehr wenige Urteile bezüglich des Persönlichkeitsprofils. Und die bekannten Urteile sind nicht wirklich hilfreich. Letztlich gilt: wo kein Kläger, da kein Richter.

Unter Datenschutzspezialisten wird der Begriff des Persönlichkeitsprofils gerade im Zusammenhang mit Marketing schon etwas strenger ausgelegt. Kundendaten, die angereichert sind mit persönlichen Präferenzen, Beziehungen zu weiteren Personen oder auch Reaktionen auf Mailings werden als Persönlichkeitsprofile angesehen.

Datenleichen vermeiden

Besteht mit einem Kunden eine Vertragsbeziehung, so darf dieser ohne ausdrückliche Einwilligung vom Unternehmen über neue Produkte oder Dienstleistungen informiert werden. Mit anderen Worten: Kundendaten dürfen für eigene Marketingzwecke genutzt werden. Die meisten KMU arbeiten primär mit den eigenen Kundendaten; da sollte vor allem die Aktualität, und damit die Richtigkeit der Daten genauer untersucht werden. In der Praxis kann immer wieder beobachtet werden, dass Daten gesammelt, aber kaum einmal gelöscht werden; wegen des Aufwandes wird auch auf eine regelmässige Aktualisierung verzichtet.

So häufen sich immer mehr «Datenleichen» an. Abgesehen davon, dass veraltete Daten keinen Marketingmehrwert bieten, wird damit auch der datenschutzrechtliche Grundsatz der Datenrichtigkeit verletzt. Streng genommen sind unrichtige Adressdaten falsche Daten. Solche falschen Daten haben aber auf die betroffenen Personen meist keine Auswirkungen, so dass auch hier wiederum keine Rechtsprechung zu finden ist. Vollständige und richtige Daten sind aber dort relevant, wo das Alter wichtig ist – z. B. um Auto fahren zu dürfen, muss man volljährig sein.

Nur schon im eigenen Interesse wäre es sinnvoll, dass man Daten regelmässig aktualisiert und damit wäre auch eine «Legal Compliance» bezüglich Richtigkeit der Daten sichergestellt.

Fazit

Insgesamt sollten folgende Fragen kritisch beachtet werden:

  • Besteht bereits eine vertragliche Beziehung zu den Personen, die beworben werden, sollten oder sind die Betroffenen informiert, dass ihre Daten zu Marketingzwecken genutzt werden? Im Rahmen eines Wettbewerbs zum Beispiel werden Daten erhoben und es ist auf dem Wettbewerbstalon vermerkt, dass die Daten zu Marketingzwecken genutzt werden.
  • Sind die Daten richtig und vollständig?
  • Handelt es sich um Persönlichkeitsprofile? Wenn ja – ist die Datensammlung beim Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet?
  • Wer hat Zugriff auf die Daten? Achtung: Hier sollten wirklich nur diejenigen Mitarbeitenden Zugriff haben, die diese Daten auch wirklich brauchen.
  • Wie ist die Datensicherheit gewährleistet? Wie ist sichergestellt, dass nicht unberechtigte Dritte Zugang zu Daten haben?
  • Können die ersten drei Fragen mit «ja» beantwortet werden, ist man bereits auf der guten Seite. Bei Zugriff und Datensicherheit handelt es sich vor allem um organisatorische und technische Massnahmen, die ergriffen werden müssen. Solche Massnahmen sind aber stark vom einzelnen Unternehmen, von seiner Organisationsform, der Grösse und der Branche abhängig.

Das Risiko, wegen einer Datenschutzverletzung in einen Rechtsstreit zu fallen, ist als äusserst gering einzustufen. Dies enthebt die Unternehmen aber nicht, sich mit dem Datenschutz auseinanderzusetzen. Schmerzlicher als ein allfälliges Urteil ist ein schlechter Ruf oder eine schlechte Presse. Dieses Risiko ist vor allem dort, wo der Datenschutz systematisch verletzt wird, nicht zu unterschätzen.