Ein Interview mit Kathrin Averwald und Constantin Hourmouzis. Kundendatenplattformen spielen eine zentrale Rolle im heutigen Marketing. Doch welche datenschutzrechtlichen Anforderungen müssen Unternehmen erfüllen, wenn sie eine Customer Data Platform (CDP) implementieren? Und wann ist eine Datenschutz-Folgenabschätzung notwendig? Mehr dazu im Gespräch mit unseren PwC-Expert:innen.
Kathrin Averwald ist Rechtsanwältin und Senior Managerin in der Praxisgruppe IT/Datenrecht bei PwC Legal. Sie verfügt über mehr als zehn Jahre Erfahrung im Datenschutzrecht. Der Schwerpunkt ihrer Tätigkeit liegt auf der datenschutzrechtlichen Beratung von Medienunternehmen und marketingorientierten Unternehmen.
Constantin Hourmouzis ist Senior Manager bei PwC Deutschland und Experte für CDPs. Seit mehr als zehn Jahren leitet er Projekte zur Marketing-Transformation für internationale Großunternehmen. Er setzt seine Expertise ein, um eine geeignete Marketingarchitektur für die effiziente Kundenansprache aufzubauen, die Marketing-Organisation entsprechend auszugestalten und die Datenstrategie zu definieren.
Welche Rolle spielen Kundendatenplattformen im modernen Marketing?
Constantin Hourmouzis: Eine sehr wichtige! Die Technologien entwickeln sich rasant weiter, das Verhalten der Kunden wird immer komplexer. Im Marketing geht es deshalb immer mehr darum, für Personalisierung zu sorgen und optimierte Kundenerlebnisse zu ermöglichen. Kundendatenplattformen bieten Unternehmen die Möglichkeit, Informationen über ihre Kunden aus verschiedenen Quellen zusammenzutragen. Dadurch erhalten sie eine umfassende Sicht auf die Customer Journey. Diese Integration ist auch eine wichtige Grundlage, um generative und prädiktive Künstliche Intelligenz einzusetzen. Diese Tools können durch personalisierte Interaktionen sowohl die Kundenbindung als auch das Engagement signifikant steigern.
Wie lassen sich Kundenerlebnisse und interne Produktivität durch die Kombination von KI und CDP konkret verbessern?
Hourmouzis: Zum einen läuft die Datenanalyse sehr viel effizienter ab. Zum anderen ist es möglich, die Personalisierung weiter zu erhöhen. Das wirkt sich positiv auf die Customer Experience und die interne Produktivität aus. Dank generativer KI können Unternehmen beispielsweise mit einem einzigen Prompt Segmente erstellen. Das steigert ihre Produktivität im Marketing enorm, funktioniert aber nur, wenn die Qualität der First-Party-Daten hoch ist.
Eine KI ist nur so gut wie die Daten, die sie verarbeitet.
Dabei dürfen jedoch die datenschutzrechtlichen Anforderungen nicht vernachlässigt werden. Worauf müssen Unternehmen achten, wenn sie personenbezogene Kundendaten in einer CDP zusammenführen?
Kathrin Averwald: Wenn ein Unternehmen personenbezogene Daten verarbeiten und speichern möchte, braucht es dafür immer eine rechtliche Grundlage. Diese hängt vom jeweiligen Verarbeitungszweck ab: Bei der Erfassung und Speicherung von Kundendaten in der CDP, die aus B2C-Verträgen stammen, kann sich das Unternehmen auf die Rechtsgrundlage der „Vertragsdurchführung“ stützen. Wenn diese Daten jedoch mit weiteren personenbezogenen Daten aus anderen Quellen oder Konzerngesellschaften – etwa Daten zum Surfverhalten oder aus sozialen Medien – zusammengeführt und analysiert werden sollen, sind andere Rechtsgrundlagen erforderlich.
Welche können das sein?
Averwald: In Betracht kommen „berechtigte Interessen“ oder die „Einwilligung“. Wenn die Daten beispielsweise genutzt werden sollen, um ein 360-Grad-Kundenprofil oder Verhaltensprognosen zu erstellen, braucht es zwingend eine Einwilligung. Wenn ein Unternehmen die Daten auf Basis aggregierter Daten auswertet, fällt dies unter Umständen nicht in den Anwendungsbereich des Datenschutzrechts.
Man muss also in jedem einzelnen Fall die Rechtsgrundlagen genau prüfen.
Gibt es weitere datenschutzrechtliche Anforderungen, die Unternehmen beachten müssen, bevor sie eine CDP implementieren?
Averwald: Ja, die gibt es. Das sind beispielsweise Informationspflichten, Rollen-, Berechtigungs- und Löschkonzepte. Zudem muss die CDP so gestaltet sein, dass die Rechte der Betroffenen gewährleistet werden. Kunden müssen also die Möglichkeit haben, Auskünfte zu ersuchen oder Widerspruch gegen Werbung einzulegen. Sie müssen auch verlangen können, dass Daten gelöscht werden. Dazu können Anforderungen aus anderen Rechtsgebieten kommen wie dem Wettbewerbs- oder Strafrecht.
Sie haben Fragen zu Customer Data Platforms oder zu den rechtlichen Anforderungen rund um CDP?
Kontaktieren Sie unsere Expert:innen
Wenn ein Unternehmen personenbezogene Daten zusammenführt und sich dafür auf die Einwilligung beruft: Wie muss diese im Detail ausgestaltet sein?
Averwald: Die EU-Datenschutz-Grundverordnung (DS-GVO) fordert, dass die Einwilligung hinreichend bestimmt und transparent sein muss.
Der Kunde muss also über alle Umstände der Datenverarbeitung informiert werden – und das in einer verständlichen Sprache.
Eine Einwilligung gilt dann als transparent, wenn der Kunde über alle Umstände und die Tragweite der Einwilligung zur Zusammenführung der personenbezogenen Daten und der geplanten Analysen informiert wird.
Was bedeutet das konkret?
Averwald: Der Kunde muss in die Lage versetzt werden, einen freien Willen zu bilden und eine informierte Entscheidung über die Einwilligung zu treffen. Es muss ihm oder ihr erläutert werden, für welche Zwecke die personenbezogenen Daten analysiert werden, wie die Analyse erfolgt und welche Auswirkungen die Analyse haben kann. Die Einwilligung muss freiwillig erteilt werden können. Das heißt: Kunden dürfen nicht schlechter gestellt werden, wenn sie die Zustimmung verweigert haben. Zudem müssen sie jederzeit die Chance haben, ihre Einwilligung zu widerrufen. Das muss in der CDP technisch sichergestellt werden.
Werden diese Anforderungen nicht eingehalten, ist die Einwilligung unwirksam und die Datenverarbeitung rechtswidrig. Für Unternehmen stellt das ein Risiko dar.
Bestehen denn weitere Risiken – auch wenn ein Unternehmen Maßnahmen implementiert, um die datenschutzrechtlichen Anforderungen zu erfüllen?
Averwald: Bevor ein Unternehmen Kundendaten in der CDP verarbeitet, muss es prüfen, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Je nach Ausgestaltung der CDP und der damit verbundenen Datenverarbeitungen – etwa Nutzertracking oder Profiling – kann ein hohes Risiko bestehen. In solchen Fällen muss das Unternehmen eine DSFA durchführen und dies auch dokumentieren. Das Unternehmen darf erst dann mit der Datenverarbeitung beginnen, wenn es Abhilfemaßnahmen implementiert hat.
Was ist zu beachten, wenn eine Unternehmensgruppe Gesellschaften außerhalb Deutschlands hat? Gibt es Unterschiede zwischen dem EU-Inland und dem EU-Ausland?
Averwald: Bei der Nutzung von Daten aus dem EU-Inland und dem EU-Ausland müssen viele Fallstricke beachtet werden. Ein Unternehmen muss für jedes Land prüfen, ob lokale Gesetze Einfluss haben könnten. Zudem müssen die Datenflüsse und das Zusammenführen der Daten aus verschiedenen Gesellschaften legitimiert werden. Bei Gesellschaften im EU-Ausland sind zusätzlich geeignete Garantien erforderlich, die den angemessenen Schutz der Daten sicherstellen.
Ich empfehle Unternehmen deshalb, ein geeignetes datenschutzrechtliches Regelwerk im Konzern zu implementieren, das den Datenaustausch im Rahmen der CDP über die einzelnen Konzerngesellschaften hinweg regelt.
Leitfaden: Erfüllen Sie alle (datenschutz-)rechtlichen Anforderungen zur Einführung einer Customer Data Platform?
Lesen Sie in unserem Leitfaden, welche (datenschutz-)rechtlichen Anforderungen bei der Einführung einer CDP zu beachten sind. Entdecken Sie mit Beispielen, welche spezifischen (datenschutz-)rechtlichen Anforderungen für die CDP-Implementierung relevant sind. Erfahren Sie, welche (datenschutz-)rechtlichen Maßnahmen erforderlich sind, um eine rechtskonforme Grundlage zu schaffen und nutzen Sie die Checkliste, um zu prüfen, ob Sie alle notwendigen Anforderungen korrekt umgesetzt haben.
„Kundendatenplattformen sind ein Meilenstein, um die Kundenzentrierung zu verbessern“
Im Marketing dreht sich seit einigen Jahren alles um Personalisierung und Customer Experience. Ein wichtiges Instrument, um diese beiden Erfolgsfaktoren zu nutzen, sind Customer Data Platforms (CDP). Im Interview sprechen die beiden PwC-Experten über die Vorteile solcher Plattformen und geben Tipps, worauf es bei der Einführung ankommt.
