Fokusthema: Regulatorik

CUSTOMER ANALYTICS – DATENSCHUTZKONFORM CUSTOMER INSIGHTS GEWINNEN

Die Bedürfnisse der Kunden kennen und entsprechend agieren – ohne die zugehörigen Customer Insights ist das kaum möglich. In Zeiten von Big Data setzen daher viele Unternehmen auf datengetriebene Geschäftsmodelle, um große Datenmengen zu analysieren und so Einblicke in die Wünsche und Bedürfnisse der Kunden zu gewinnen. Mit Customer Analytics können Unternehmen die Kundendaten analysieren, ihre Kunden so besser kennenlernen und zum Beispiel mit individuellen Angeboten auf deren Bedürfnisse eingehen.

Bei Customer Analytics geht es um Kunden, das heißt um natürliche Personen. In Big-Data-Anwendungen werden demnach personenbezogenen Daten verarbeitet, was wiederum dem Datenschutzrecht unterliegt. Doch wie kann im Umfeld von datengetriebenen Geschäftsmodellen Datenschutzkonformität sichergestellt werden?

Customer Analytics: Beachtung allgemeiner Datenschutzgrundsätze

Im Datenschutzrecht gibt es diverse Grundsätze (vgl. Art. 5 DSGVO), die allgemeingültig für alle Verarbeitungen personenbezogener Daten sind. Hierzu zählen:

  • der Zweckbindungsgrundsatz:
    Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden.

  • das Transparenzgebot:
    Jede betroffene Person (z.B. Kunde) soll nachvollziehen können, für welchen Zweck die ihm zugeordneten Daten verarbeitet werden. Es soll sichergestellt werden, dass betroffene Personen selbst entscheiden können, welches Unternehmen wie viel über sie weiß und warum

  • das Erforderlichkeitsprinzip:
    Einer Verarbeitung sollen nur die Daten zugrunde gelegt werden, die auch tatsächlich für die Verarbeitung erforderlich sind.

  • die Datenminimierung:
    Der Datenverarbeitung dürfen nur so viele Daten unterzogen werden, wie für den Zweck der Datenverarbeitung notwendig sind.

Gerade der Grundsatz Datenminimierung stellt in Big-Data-Anwendungen eine Herausforderung dar, da Big Data genau vom Gegenteil ausgeht – nämlich größtmögliche Datenmengen zu verarbeiten. Um Datenschutzkonformität sicherzustellen ist es deshalb sinnvoll, Big-Data-Analysen in unterschiedliche Phasen zu splitten. Innerhalb dieser Phasen kann der Datenumfang gemäß dem gewünschten Ziel variieren

Big-Data-Anwendungen lassen sich in drei Schritte unterteilen

1. Modellbildung

Bei der Modellbildung geht es darum, durch zufällige Analysen herauszufinden, mit Hilfe welcher Daten bestimmte Erkenntnisse gewonnen werden können. Auf Grundlage der Erkenntnisse aus diesen Analysen können entsprechende Algorithmen konzipiert werden. Bei der Modellbildung kann in der Regel mit anonymen Daten gearbeitet werden, das heißt ein Personenbezug ist nicht notwendig. Fehlt der Personenbezug, weisen die Verarbeitungen keinen Datenschutzbezug auf.

2. Modellanwendung

Werden die Daten mit den konzipierten Algorithmen analysiert, können daraus Segmente resultieren, die bestimmte Erkenntnisse widerspiegeln. Ein Beispiel hierfür wäre: Am Montagmorgen zwischen sechs und neun Uhr fliegen die meisten Geschäftsleute von Hamburg nach München. Solche statistischen Analysen können ebenfalls ohne Personenbezug und damit ohne Datenschutzrelevanz durchgeführt werden.

Interessanter sind jedoch personenbezogene Analysen, bei denen es darum geht, bestimmte Informationen über einzelne Personen zu erhalten. Diese Analysen weisen einen Datenschutzbezug auf. Schnell erfolgen Analysen in diesem Zusammenhang im Bereich des Profiling, welches auch explizit in der am 25. Mai 2018 in Kraft getretenen EU-Datenschutzgrundverordnung genannt wird. In der Verordnung wird dazu in Artikel 22 ausgeführt: „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ Dazu zählen auch Analysen, die darauf abzielen, bestimmte Prognosen zu einer Person aufzustellen (z.B. zu deren Verhalten, Interessen, Aufenthaltsort), solange diese Prognosen gemäß Verordnungstext eine rechtliche Wirkung für den Betroffenen entfalten oder ihn in ähnlicher Weise erheblich beeinträchtigt.

Solche Analysen lassen sich in der Regel nur durch wirksam erteilte Einwilligungen der betroffenen Person legitimieren. Wirksam sind solche Einwilligungserklärungen, wenn der Einwilligende die Tragweite der Datenverarbeitungen, welche der Einwilligung zugrunde liegen verstanden hat. Außerdem kann die Einwilligung nur zum Zeitpunkt der Datenerhebung wirksam erklärt werden. Einwilligungen beziehen sich immer auf einen expliziten Zweck. Die Möglichkeit des jederzeitigen Widerrufs (mit Wirkung für die Zukunft) muss dem Betroffenen ebenfalls eingeräumt werden. Um eine wirksame Einwilligung einzuholen, muss der Zweck und Umfang der personenbezogenen Auswertung klar sein. Er muss dem betroffenen mitgeteilt werden, damit er die Tragweite der zugrundeliegenden Datenverarbeitung erkennt.

Dass sich personenbezogene Analysen aufgrund der Interessenabwägung gem. Art. 6 Zif. 1 Abs. f DSGVO legitimieren lassen, ist schwer vorstellbar. Bei einer Interessenabwägung steht das Unternehmensinteresse, welches in der Regel immer gegeben ist, dem schutzwürdigen Interesse der betroffenen Person gegenüber. Die Abwägung fällt zugunsten der betroffenen Person aus, wenn für sie nicht absehbar war, wie tief personenbezogene Auswertungen die Persönlichkeitsrechte berühren. Profiling greift regelmäßig sehr tief in die Betroffenen-Persönlichkeitsrechte ein. Jedoch ist je nach Auswertung eine individuelle Datenschutzbetrachtung vorzunehmen, da die Verletzung der schutzwürdigen Interessen je nach Datentiefe variiert.

3. Kundenkommunikation

In der Regel werden keine Einzelkunden aufgrund von Erkenntnissen aus den vorangegangen Steps angesprochen. Vielmehr handelt es sich um Kundensegmente, denen bestimmte Angebote oder Ähnliches unterbreitet werden sollen. Aufgrund der vorangegangenen Analysen lassen sich diese Segmente bilden. Das CRM-System sollte so aufgebaut sein, dass Kunden nach Segmenten ausgewählt werden können. Dann besteht die Möglichkeit, dass gemäß den bestehenden Zugriffsrechten auf das CRM-System zugegriffen werden kann, um mit den Kunden des ausgewählten Segments zu kommunizieren.

Datenschutzkonforme Customer Analytics schafft Vertrauen

Die datenschutzkonforme Durchführung von Customer Analytics zur Entwicklung von Insights für datengetriebene Geschäftsmodelle ist durchaus möglich. Werden die Datenschutzgrundsätze beachtet, indem Maßnahmen zu ihrer Einhaltung ergriffen werden, ergeben sich viele Möglichkeiten, um Einblicke in die Kundenbedürfnisse zu erhalten und so auch einen Mehrwehrt für das eigene Unternehmen zu generieren. Zum einen sollte weitestgehend auf anonyme Daten zugegriffen werden, zum anderen sollte der Kunde stets in transparenter Weise über die Verarbeitungen seiner Daten informiert werden. So ergeben sich aus dem Datenschutz auch noch Kundenbindungsmaßnahmen durch das Schaffen von Vertrauen. Das wiederum fördert in der Regel das Unternehmensimage.

Jetzt lesen!
Auch im Umfeld der Energiewirtschaft spielt das Thema Datenschutz in Bezug auf Kundendaten eine immer größere Rolle. Lesen Sie, wie eine datenschutzkonforme Herangehensweise bei Lösungen wie Smart Meter und Smart Grid aussehen kann.
Jetzt lesen!

Weitere Fokusthemen

WIR SIND FÜR SIE DA!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!

8. August 2018|