Zustimmung vs. berechtigtes Interesse: Was sollten Sie für das Marketing wählen?

Artikel 6 der DSGVO erlaubt es Ihnen, die personenbezogenen Daten Ihrer Benutzer auf sechs Rechtsgrundlagen zu verarbeiten, darunter Einwilligung und berechtigte Interessen:

DSGVO Artikel 6(1)(a) – Einwilligung als Rechtsgrundlage für die Datenverarbeitung: Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt;

DSGVO Artikel 6 Absatz 1 Buchstabe f – Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, es sei denn, diese Interessen werden durch die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die dies erfordern, überwogen Schutz personenbezogener Daten, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.

Diese beiden sind auch die am häufigsten diskutierten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten zu Marketingzwecken.

Von diesen funktioniert die Einwilligungsgrundlage ganz einfach … da der Benutzer Ihrer Datenverarbeitung „zugestimmt“ hat.

Das Problem bei der Zustimmung ist jedoch, dass sie nicht immer für den Marketingprozess geeignet ist.

Was dann den Vermarktern die Bestimmung über berechtigte Interessen überlässt.

Auf den ersten Blick sieht „Berechtigte Interessen“ wie ein Oberbegriff aus, der viele personenbezogene Daten verarbeiten kann. Die Verwendung berechtigter Interessen als Rechtsgrundlage muss jedoch sorgfältig geprüft werden, da sie nur dann als Rechtsgrundlage für die Verarbeitung von Daten angesehen werden können, WENN die Datenverarbeitung tatsächlich ERFORDERLICH ist.

Wahl zwischen Zustimmung und berechtigten Interessen für Marketingzwecke

Die Verarbeitung personenbezogener Daten auf der Grundlage der Einwilligung als Rechtsgrundlage gilt als ziemlich sicher, da die Einwilligung der „goldene Standard“ ist.

Es ist auch ein viel stärkerer Grund für die Verarbeitung von Daten als der Grund der legitimen Interessen, weil es eindeutig ist. Sie haben den Benutzer gefragt, und er hat „Ja!“ gesagt.

Aber jedes Mal, wenn Sie eine bestimmte Art von personenbezogenen Daten verarbeiten möchten, eine Einwilligung einzuholen, bedeutet, dass Sie Ihre Benutzer dazu bringen müssen, sich für eine Vielzahl verschiedener Einwilligungsformulare zu entscheiden.

Tatsächlich bietet die DSGVO einige sehr klare und strenge Richtlinien, wie Sie rechtmäßig eine Einwilligung einholen können:

[…] muss eine Einwilligungserklärung eindeutig sein und eine eindeutige bestätigende Handlung beinhalten (ein Opt-in). Es verbietet ausdrücklich vorab angekreuzte Opt-in-Kästchen. Es erfordert auch unterschiedliche („granulare“) Einwilligungsoptionen für unterschiedliche Verarbeitungsvorgänge. Die Zustimmung sollte von anderen Geschäftsbedingungen getrennt sein und sollte im Allgemeinen keine Voraussetzung für die Anmeldung zu einem Dienst sein.

Die Rechtsgrundlage „Berechtigte Interessen“ ist dagegen recht flexibel.

In erster Linie erlaubt die DSGVO Marketingfachleuten, die Verarbeitung personenbezogener Daten für Direktmarketingzwecke auf der Grundlage berechtigter Interessen geltend zu machen:

…Die Verarbeitung personenbezogener Daten für Direktmarketingzwecke kann als berechtigtes Interesse angesehen werden.

Darüber hinaus erklärt ICO (Information Commissioner's Office, eine in Großbritannien ansässige unabhängige Behörde, die Unternehmen bei der Anwendung der britischen Datenschutzgesetze wie der DSGVO anleitet), wie ein solches berechtigtes Interesse am Marketing (z einen echten Zweck für die Datenverarbeitung angeben:

[W] wir haben ein berechtigtes Interesse daran, unsere Waren an bestehende Kunden zu vermarkten, um den Umsatz zu steigern.

ICO erklärt auch, warum berechtigte Interessen in mehreren Fällen die geeignetste Grundlage sein können, z. B. wenn:

• die Verarbeitung nicht gesetzlich vorgeschrieben ist, aber für Sie oder andere von eindeutigem Nutzen ist;
• es gibt eine begrenzte Auswirkung auf die Privatsphäre des Einzelnen;
• die Person sollte vernünftigerweise erwarten, dass Sie ihre Daten auf diese Weise verwenden; und
• Sie können oder wollen der Person nicht die volle Kontrolle im Voraus geben (dh Zustimmung) oder sie mit störenden Zustimmungsanfragen belästigen, wenn sie der Verarbeitung wahrscheinlich nicht widersprechen werden.

Für jeden Marketingbedarf (oder -zweck) muss ein Vermarkter sorgfältig entscheiden, welche verschiedenen Rechtsgrundlagen verwendet werden sollen (unter den sechs Rechtsgrundlagen, unter denen die DSGVO die Datenverarbeitung erlaubt). Von diesen sechs sind Zustimmung und legitime Interessen die beiden Rechtsgrundlagen, die häufig für die Personalisierung von Websites für allgemeine (oder nicht eingeloggte) Besucher verwendet werden. (Dieser Artikel konzentriert sich darauf, wie Sie die rechtliche Grundlage für berechtigte Interessen nutzen können, um Ihre Website-Erfahrungen zu personalisieren.)

Im Allgemeinen erfordert die Einbeziehung eines Falls in die Bestimmung über berechtigte Interessen viel Überlegung. Um dies etwas einfacher zu machen, hat ICO einen dreiteiligen Test entwickelt, der Ihnen dabei helfen soll, festzustellen, ob der von Ihnen verfolgte Zweck tatsächlich eine rechtmäßige Grundlage im Sinne der Bestimmung zu berechtigten Interessen darstellt.

Hier ist der dreiteilige Test von ICO zur Bestimmung berechtigter Interessen gemäß der DSGVO:

1. Zweckprüfung – Besteht ein berechtigtes Interesse an der Verarbeitung?
   Um berechtigte Interessen als rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten zu verwenden, müssen Sie zunächst Ihre Notwendigkeit der Verarbeitung der betreffenden personenbezogenen Daten erläutern. Sie brauchen einen klar artikulierten Zweck hinter dem Wunsch, es zu verarbeiten.
2. Erforderlichkeitsprüfung – ist die Verarbeitung für diesen Zweck erforderlich?
   Um berechtigte Interessen als rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten zu verwenden, müssen Sie nachweisen, dass es keinen anderen weniger invasiven Weg gibt, um Ihren Zweck zu erreichen, und dass Ihre Verarbeitung „ verhältnismäßig und angemessen zielgerichtet ist, um ihre Ziele zu erreichen … “
3. Abwägungstest – wird das berechtigte Interesse durch die Interessen, Rechte oder Freiheiten des Einzelnen außer Kraft gesetzt?
   Nachdem sich Ihr Fall für die ersten beiden Tests qualifiziert hat, müssen Sie sicherstellen, dass die Verarbeitung der betreffenden personenbezogenen Daten nicht die Rechte und Freiheiten der Person verletzt, deren personenbezogene Daten verarbeitet werden.

Sehen wir uns nun einige sehr gängige Beispiele für die Verarbeitung personenbezogener Daten an, die unter die Bestimmung der berechtigten Interessen der DSGVO fallen könnten.

10 Beispiele für Gründe für die Verarbeitung personenbezogener Daten unter Verwendung berechtigter Interessen

Bevor wir die eigentlichen Beispiele sehen, verstehen Sie bitte, dass jedes unten aufgeführte Beispiel eine lange Liste von Vorbehalten hat. Diese Beispiele sollen Ihnen nur einige Vorschläge für Marketingzwecke geben, die im Rahmen der Bestimmung zu berechtigten Interessen untersucht werden könnten.

Hier geht …

1. Verarbeitung der IP-Adressdaten

Je nachdem, wie viele Daten Sie erfassen, kann eine IP-Adresse viel aussagen. Sie können es zum Beispiel verwenden, um den Standort eines Besuchers zu finden, oder Sie können es auch verwenden, um herauszufinden, für welches Unternehmen er arbeitet (lesen Sie mehr darüber in unserem ABM 101-Artikel).

Berechtigte Interessen sind eine der Rechtsgrundlagen, die für die Verarbeitung der IP-Adressdaten eines Benutzers (als personenbezogene Daten klassifiziert) verwendet werden können. Ein Beispiel für einen Marketingzweck gemäß der Bestimmung zu berechtigten Interessen unter Verwendung der IP-Adresse könnte das Anbieten lokalisierter Angebote sein.

Beispielsweise kann ein E-Commerce-Shop jemandem, der aus einer Gegend stöbert, in der Monsunzeit ist, einen Regenmantel anbieten. Alternativ könnte ein Online-Shop die Standortdaten eines Besuchers verwenden, um ein zeitlich begrenztes kostenloses Versandangebot für den Bereich des Besuchers anzubieten.

Ebenso kann ein B2B-Unternehmen das Unternehmen eines Besuchers (identifiziert anhand seiner IP-Adresse) verwenden, um ihm eine dynamische Personalisierung in Form eines Bildes oder Inhalts zu zeigen, der beispielsweise mit dem Namen oder der Branche des Unternehmens personalisiert ist.

Hinweis: Wenn Sie die IP-Adressen Ihrer Besucher zur Personalisierung ihrer Website-Erfahrungen verwenden, ist es am besten, sie niemals in Ihrer Datenbank zu speichern, wenn Sie sie für Wetter- oder Ortungsdienste verwendet haben. Auf diese Weise stellen diese Daten kein Problem dar, wenn mehrere Datenpunkte über eine Person an derselben Stelle gesammelt werden.

2. Verarbeitung von Website-Analysedaten

Die meisten Websites sammeln die Browserdaten ihrer Besucher zum Zwecke der Leistungsoptimierung. Dies wird normalerweise von der Bestimmung über berechtigte Interessen abgedeckt. Im Allgemeinen stellen solche Daten kein Problem dar, da sie oft anonymisiert sind und die meisten Analysetools wie Google Analytics die Verarbeitung/Speicherung von PII (persönlich identifizierbaren Informationen) verbieten.

Die Trends aus einer solchen Datenverarbeitung können verwendet werden, um die Grundlage für eine Vielzahl personalisierter Website-Erlebnisse zu bilden.

Mit Google Analytics können Sie beispielsweise die Seiten Ihrer Website identifizieren, auf denen Sie die meisten Ihrer Leads verlieren. Sie können auch einige der erweiterten Segmentierungsoptionen in Google Analytics verwenden, um die Zielgruppensegmente zu identifizieren, die abfallen. Eine solche Datenverarbeitung kann Ihnen viele Erkenntnisse über die demografischen Daten und mehr über den verlorenen Traffic liefern.

Anhand dieser Erkenntnisse können Sie auch testen, ob Sie diesen Segmenten personalisiertere Website-Erlebnisse bieten.

Wenn ein E-Commerce-Shop beispielsweise feststellt, dass eine bestimmte Produktseite eine hohe Dropoff-Rate aufweist, kann er die demografischen Informationen seines Publikums verwenden, um die Botschaft seiner Produktseite zu optimieren.

Eine solche Personalisierung ist nicht nur subtil und sinnvoll, sondern die verarbeiteten personenbezogenen Daten fühlen sich auch nicht aufdringlich an.

3. Kommunikationsdatenverarbeitung

Die Ausführung personalisierter Marketingmitteilungen per E-Mail oder SMS erfordert immer eine ausdrückliche Zustimmung.

Außerdem ist es nicht legal, die DSGVO zu veröffentlichen, die E-Mail-Adresse einer Person zu Ihrem CRM hinzuzufügen und ihr Marketing-E-Mails zu senden, nur weil sie Sie über Ihr Kontaktformular mit ihrer E-Mail-Adresse kontaktiert hat. Sie müssen Zustimmungsfelder unter Ihrem Kontaktformular verwenden, die ausdrücklich die Zustimmung des Besuchers dazu einholen.

Außerdem funktioniert die DSGVO nicht isoliert. Daher müssen Ihre E-Mail- (oder SMS-) Marketingkampagnen den einschlägigen gesetzlichen Vorschriften entsprechen, wie z. B. das Anbieten eines Abmeldelinks für die Benutzer und mehr.

Wenn Sie jedoch die Einwilligung für solche Mitteilungen von einem Abonnenten erhalten haben, können Sie die Erfahrung Ihrer Website für einen solchen Abonnenten basierend auf seiner Interaktion mit Ihren Marketing-E-Mails oder SMS personalisieren. Dies sollte angemessen unter die Bestimmung über berechtigte Interessen fallen.

Beispielsweise kann ein Reiseunternehmen seinen Kommunikationsverlauf mit seinen Abonnenten verwenden, um ihnen personalisierte Seiten anzuzeigen. Beispielsweise könnte einem Abonnenten, der Interesse an Luxusreisen gezeigt hat (sagen wir durch Klicken auf einen Link), eine Seite angezeigt werden, die für ein Aufenthaltspaket in einem Luxushotel wirbt. Alternativ könnten einem preisbewussten Reisenden einige ausgewählte Angebote für preisgünstige Hotels angezeigt werden.

4. Verhaltensdatenverarbeitung über Cookies, Web Beacons usw.

Die Verarbeitung von Verhaltensdaten ist der Datenverarbeitung von Website-Analysen sehr ähnlich. Genau wie Website-Analysedaten werden auch personenbezogene Daten anonymisiert, die für Kampagnen verwendet werden, die auf Verhaltenserkenntnissen basieren. Und die DSGVO ist recht flexibel bei der Verarbeitung anonymisierter Daten.

Erkenntnisse aus der Interaktion der Besucher mit einer Website (z. B. die von ihnen angesehenen Seiten und ihre Klickdaten) können verwendet werden, um kontextreiche Website-Erlebnisse bereitzustellen.

Beispielsweise kann ein Softwareunternehmen auf Unternehmensebene Verhaltensdaten seiner Besucher verfolgen und ihnen personalisiertere Erfahrungen bei ihren erneuten Besuchen bieten. Beispielsweise könnte einem Besucher, der eine bestimmte Lösung zu erkunden scheint, bei seinem nächsten Website-Besuch die Testseite oder das Anmeldeformular derselben Lösung angezeigt werden.

5. Profildatenverarbeitung

Genau wie bei der Website-Analyse und der Verarbeitung von Verhaltensdaten kann ein Unternehmen die Grundlage der berechtigten Interessen verwenden, um anonymisierte personenbezogene Daten zur Erstellung von Benutzerprofilen (Profiling) zu verwenden.

Beispielsweise könnte eine Gadget-Vergleichswebsite die anonymisierten personenbezogenen Daten ihrer Benutzer verwenden, um ihre wichtigsten Zielgruppentypen zu identifizieren. Es kann dann jedem personalisierte Angebote und Werbekampagnen anbieten (z. B. indem es seinem High-End-Zielgruppensegment High-End-Handys vorschlägt und seinem budgetfreundlichen Segment Rabatte auf Budget-Handys zeigt).

Das Dokument über die Anleitung zur Verwendung von berechtigten Interessen schlägt nicht nur eine solche Grundlage als rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten im Rahmen von berechtigten Interessen vor, sondern unterstützt auch eine solche Benutzerprofilerstellung unter Verwendung von Social-Media-Daten. Das Dokument besagt, dass ein Unternehmen Folgendes verwenden kann:

… [ein] Algorithmus, der vom Social-Media-Anbieter bereitgestellt wird, um seine Werbung besser auf „Lookalikes“ auszurichten – dh andere Personen, die ähnliche Merkmale wie die eigenen Kunden dieses Unternehmens aufweisen. Das Unternehmen lädt die mindestens erforderlichen personenbezogenen Daten seiner Kunden hoch, um das Social-Media-Targeting zu ermöglichen, schließt jedoch diejenigen aus, die dem Marketing widersprochen haben. Das Profiling wird innerhalb der Social-Media-Plattform durchgeführt, um das Targeting zu ermöglichen, es dient jedoch ausschließlich Marketingzwecken und das Unternehmen hat festgestellt, dass es keine rechtlichen oder ähnlich erheblichen Auswirkungen auf diese Personen hat.

6. Datenverarbeitung durch Dritte und Dritte

Neben First-Party-Daten (also den Daten, die ein Unternehmen selbst erhebt – zum Beispiel Daten aus seinem Google-Analytics-Konto) verwenden nicht wenige Unternehmen auch Second-Party- und Third-Party-Daten.

Diese Daten – die von Partnern und Datenbörsen stammen – geben Marketingfachleuten aussagekräftige Einblicke in die Psychografie, Technografik und Demografie ihrer Zielgruppe. Es wird normalerweise verwendet, um detaillierte Kundenprofile zu erstellen. Diese werden wiederum verwendet, um relevantere Inhalte und Botschaften zu erstellen und sie an die Schlüsselsegmente des allgemeinen Publikums zu liefern.

Beispielsweise kann ein B2B-Unternehmen solche Daten verwenden, um die wichtigsten Segmente seiner Zielgruppe zu identifizieren und jedes Segment mit personalisierten Inhaltsempfehlungen anzusprechen.

Wenn Sie solche Quelldaten verwenden müssen, stellen Sie sicher, dass Sie nur mit den Datenanbietern und -börsen zusammenarbeiten, die faire und rechtmäßige Datenerfassungs- und -verarbeitungspraktiken befolgen.

7. Verarbeitung von Kaufverlaufsdaten

Ein E-Commerce-Shop kann seinen Besuchern basierend auf ihrem Transaktionsverlauf personalisierte Produktempfehlungen anbieten.

DPN (Data Protection Network, eine im Vereinigten Königreich ansässige Einrichtung, die fachkundige Beratung zu Datenschutz und Privatsphäre anbietet) bietet viele Anleitungen zur Verwendung von berechtigten Interessen. Es legt nahe, dass die Verwendung der Kaufhistorie eines Benutzers durch einen Online-Shop zur Abgabe personalisierter Produktempfehlungen ein guter Grund für eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten sein kann:

Ein Einzelhändler mit einer breiten Produktpalette führt eine automatisierte Verarbeitung durch, die auf der Transaktionshistorie eines Kunden basiert, um vorherzusagen, an welchen anderen Produkten und Dienstleistungen sie interessiert sein könnten.

8. Verarbeitung von Kontoverlaufsdaten

Die Verarbeitung von Kontodaten kann als Äquivalent zur Verarbeitung von Kaufhistoriendaten betrachtet werden, jedoch für eine B2B-Einrichtung.

Ein B2B-Unternehmen kann die Kontoverlaufsdaten seiner Benutzer verwenden, um umfassendere kontextbezogene Inhaltserlebnisse bereitzustellen. Beispielsweise kann ein B2B-Unternehmen die Daten seiner Kunden nutzen, um ihnen relevantere und bessere Upgrade- oder Cross-Selling-Angebote anzubieten.

9. Cookie-Datenverarbeitung

Es gibt viele Möglichkeiten, wie Cookie-Daten dazu beitragen können, personalisierte Website-Erlebnisse anzubieten, die sowohl nicht aufdringlich als auch relevant sind. Die meisten Cookie-Typen, die effektive Erfahrungen ermöglichen können, benötigen nicht einmal die ausdrückliche Zustimmung des Benutzers, da ihre Verwendungs- und Opt-out-Anweisungen auf den Datenschutzseiten einer Website erklärt werden können.

Beispielsweise kann eine Unternehmenswebsite Cookie-Daten verwenden, um zu bestimmen, welche Inhalte einem potenziellen Kunden bereitgestellt werden sollen, um ihn im Verkaufstrichter weiter zu bewegen. Es gibt unzählige Möglichkeiten, Cookie-Daten zu verwenden, sogar auf datenschutzfreundliche Weise. Tatsächlich werden alle Daten aus den obigen Beispielen größtenteils in einigen Formen von Cookies gesammelt und gespeichert.

Weitere Beispiele für die Verarbeitung von Daten gemäß der Klausel über berechtigte Interessen finden Sie in den Leitlinien zur Verwendung von berechtigten Interessen gemäß der EU-Datenschutz-Grundverordnung.

Verpacken …

Die Wahl einer der beiden Optionen – Berechtigte Interessen oder Zustimmung – für Ihre Marketingzwecke muss von Fall zu Fall geprüft werden. Während berechtigte Interessen für die meisten Vermarkter die häufigsten rechtmäßigen Gründe für die Verarbeitung personenbezogener Daten sein können (und sind), müssen sie mit Vorsicht verwendet werden.

Auch wenn die Bestimmung zu berechtigten Interessen viele Taktiken zur Personalisierung von Websites abdecken kann, müssen Sie dennoch die Bewertung der berechtigten Interessen durchführen und Hilfe von einem Anwalt für Online-Datenschutz suchen, um doppelt sicher zu sein, bevor Sie darauf zurückgreifen.

Bei Convert Experiences befähigen wir Vermarkter wie Sie, Ihren Benutzern DSGVO-sichere und datenschutzfreundliche personalisierte Website-Erlebnisse anzubieten. Wir haben auch eine gründliche LIA aller Daten durchgeführt, die wir gemäß der Bestimmung zu berechtigten Interessen verwenden, um solche Personalisierungen zu ermöglichen. Schau es dir hier an. Und wenn Sie Website-Personalisierungen anbieten möchten, die Privacy by Design und Privacy by Default bieten, sehen Sie sich Convert Experiences an.