EU-Datenschutz-Grundverordnung erfordert Marketing-Umdenken

Je größer und komplexer ein Marketing-Software-Stack ist, desto komplizierter ist die Salesforce EU-DSGVO-Compliance. Worauf Unternehmen achten müssen.

Die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) können die Art, wie Anwender der Salesforce Marketing Cloud Kundendaten verwenden, erheblich beeinflussen. Damit Unternehmen datenschutzkonform mit Salesforce arbeiten, müssen Vermarkter ihre Marketing-Bemühungen, die europäische Kunden berühren, evaluieren und überdenken. Und das gilt nicht nur für große Unternehmen.

„Die EU-DSGVO gilt für jedes Unternehmen, das seine Produkte in der Europäischen Union (EU) vermarktet und sich an Einwohner der EU wendet, unabhängig von der Größe der Organisation“, sagt David Fowler, Head of Privacy and Digital Compliance bei Act-On Software, einem Anbieter von Marketing-Automatisierung. Das macht die Einhaltung der EU-DSGVO im Marketing-Umfeld zur obersten Priorität.

Unternehmen mit mehr als 250 Mitarbeitern müssen einen Datenschutzbeauftragten haben, der die Verantwortung für die Einhaltung der EU-DSGVO trägt und als Erweiterung der Datenschutzbehörde der Organisation fungiert. Unternehmen, die gegen die DSGVO verstoßen, werden mit Geldbußen von bis zu vier Prozent ihres weltweiten Jahresumsatzes oder 20 Millionen Euro belegt, je nachdem, welcher Betrag höher ist.

Eine Marketing-Strategie entwerfen

Die neuen Regelungen mögen für Vermarkter kurzfristig belastend und beunruhigend erscheinen. Sie können aber auch zu besseren digitalen Marketing-Strategien führen, die sich langfristig eher auf Kundengewinnung als auf Werbung konzentrieren.

„Es ist eine Chance für Vermarkter, den Datenaustausch zwischen Unternehmen und Anwendern neu zu bewerten“, sagt Fowler. „Und ich glaube, es wird letztendlich zu besseren digitalen Vermarktern führen.“

Mit der EU-Datenschutz-Grundverordnung müssen Marketing-Spezialisten das Recht einer Person respektieren, vergessen zu werden. Das beinhaltet die Erfüllung von Anträgen, Informationen über sie zu löschen und den Beweis zu erbringen, dass sie es getan haben. Vermarkter müssen die ausdrückliche Erlaubnis zur Datenerhebung einholen und genau mitteilen, was sie mit den Informationen des Betroffenen machen und welchen Zweck die Verarbeitung erfüllt. Außerdem müssen sie es den Menschen ermöglichen, ihre eigenen Daten in einem allgemein lesbaren Format zu sehen.

Diese Anforderungen werden am Anfang viel Verwirrung stiften und folgende Fragen aufwerfen: Können Sie jemanden anhand seiner Daten aufspüren? Können Sie diese Daten an Dritte weitergeben? Wenn ein Kunde gehen will, hat er ein Recht auf Löschung? Müssen Unternehmen bestimmte Daten zurückgeben?

„Im Moment ist es operativ ein grauer Bereich, zumal die Definition persönlicher Daten um Online-Identifikatoren wie Cookies und IP-Adressen erweitert wurde“, erklärt Fowler.

Sorgfalt auf allen Leadgenerierungskanälen

Die DSGVO wird das Niveau der Prozesse erhöhen, die Vermarkter benötigen, und die Aufmerksamkeit auf alle Kanäle zur Leadgenerierung lenken, einschließlich einer aktuellen Datenbank, Akquisition und der Pflege aktueller Beziehungen.

Vermarkter müssen ihre aktuelle Datenbank auswerten und sehen, wie viele ihrer Kontakte den Datenschutzstandard erfüllen. Einige Unternehmen müssen möglicherweise bei null anfangen. Marketing-Datenbanken werden kleiner, da es nicht so einfach sein wird, Namen hinzuzufügen.

Unternehmen werden nicht in der Lage sein, Leads über Events oder Content Syndication zu generieren und automatisch davon auszugehen, dass sie diese vermarkten können. Dies könnte die Landschaft des Marketing-ROI deutlich verändern.

Werbetreibende müssen Leadgenerierungspartner bitten, dass Leads ihre ausdrückliche Zustimmung gegeben haben (Opt-in) und den Nachweis hierfür erbringen. Das kann schon die Unterzeichnung eines elektronischen Vertrages auf einem Messestand sein, bevor man ein Werbegeschenk ausgibt.

Diese Änderungen können die Marketing-Bemühungen vorantreiben, Inbound Marketing durch Suchmaschinenoptimierung (SEO) hervorzuheben sowie Produkte und Inhalte in Communities wie Produktbewertungsseiten zu bewerben. Es muss auch darauf geachtet werden, dass die gesicherten Kontakte nicht verloren gehen. Zum Beispiel ist es wichtig, Kunden oder Interessenten nicht mit zu viel oder zu wenig Kommunikation zu überfordern.

Komplexität der Marketing Stacks

Eine der größten technischen Herausforderungen liegt in der Analyse komplexer Marketing Stacks aus Best-of-Breed-Komponenten.

„Angesichts der Tatsache, dass große Marketing-Programme oft 25 oder mehr Komponenten in ihrem Stack haben, ist es wichtig zu verstehen, wie diese Datenquellen und Vertriebskanäle so angepasst werden können, dass sie den Vorschriften entsprechen und DSGVO-konform sind“, sagt Jeff Nicholson, VP of CRM Product Marketing bei Pegasystems.

Unternehmer und Vermarkter sollten alle Partner, die Daten in ihrer Lieferkette sammeln, analysieren und um eine schriftliche Bestätigung bitten, dass sie DSGVO-konform sind. „Es liegt in der Verantwortung des Vermarkters, den Zustand all Ihrer Datenerfassungspartner zu überprüfen“, sagt Paul Harrison, CTO bei Simpli.fi, einer Omnichannel-Werbetechnologieplattform.

Cookies beachten

Die EU-Datenschutz-Grundverordnung berührt alle Punkte der Erhebung, Speicherung und Nutzung personenbezogener Daten. Das schließt alle Informationen ein, nicht nur personenbezogene Daten. Neben Namen, Adressen, Ausweisnummern, Geburtsdaten, E-Mail-Adressen bezieht sich die DSGVO auf Daten wie IP-Adressen und Verhaltensdaten, die durch Cookies oder Tracking-Pixel erfasst werden.

Die EU-DSGVO umfasst alle Informationen, die zur direkten oder indirekten Identifizierung einer Person verwendet werden können, darunter Namen, Fotos, E-Mail-Adressen, finanzielle Details, Beiträge auf Social-Media-Seiten, medizinische Informationen oder eine Computer-IP-Adresse – unabhängig davon, wann sie gesammelt wurden.

Checkliste Datenschutz-Grundverordnung
Abbildung 1: Checkliste Datenschutz-Grundverordnung

Ein Vermarkter muss Cookie-Daten mit dem gleichen Schutzniveau behandeln wie die Adresse oder das Geburtsdatum eines Kunden. Damit sind Datensicherheit und Datenschutz nicht mehr nur ein Problem der IT.

„Vermarkter müssen sich darüber informieren, welche Daten sie haben, wie sie diese verwenden können und wie sie geschützt sind, und dann den Zugriff entsprechend einschränken“, sagt Matt Harris, Mitbegründer und CEO von Sendwithus, einem E-Mail-Marketing-Service.

Die EU-DSGVO verlangt außerdem, dass Vermarkter zuvor gesammelte E-Mail-Adressen überprüfen, um sicherzustellen, dass sie eine ordnungsgemäße Einwilligung zur Speicherung und Nutzung erhalten haben. Wenn nicht, müssen sie entweder die Adressen löschen oder eine neue Einwilligung einholen, um sie behalten zu können – die gleiche Einwilligung, die sie für alle neuen E-Mail-Adressen benötigen.

Schärfere Kontrollen bei E-Mails

Die Verordnung betrifft jeden Vermarkter, der ein Programm für E-Mail-Marketing anbietet, das EU-Bürger erreicht. „Die Tage des Exports einer riesigen CSV-Datei mit Benutzerdaten und des Hochladens auf Ihre E-Mail-Marketing-Plattform neigen sich dem Ende zu“, sagt Harris.

Eine gute DSGVO-Marketing-Compliance-Strategie für Salesforce-Anwender besteht darin, die Opt-in-Anweisung deutlich zu formulieren. Ein Opt-in-Formular muss nicht nur die Zustimmung des Kunden einholen, sondern ihn auch auffordern, die Datenschutzerklärung zu lesen.

Diese Richtlinie sollte in einer klaren, leicht verständlichen Sprache verfasst sein, die den Kunden deutlich macht, welche Daten gesammelt werden, wie sie verwendet werden und wie sie sich abmelden und ihre Daten löschen lassen können.

Eine weitere Praxis ist es, ein Double Opt-in in Erwägung zu ziehen, bei dem der Benutzer einen zusätzlichen Schritt unternehmen muss, um seine E-Mail-Adresse zu bestätigen und seine Zustimmung zu geben. Damit wird eine weitere Schutzschicht für Unternehmen geschaffen. Auch E-Mail-Listen sollte regelmäßig gepflegt werden, um veraltete Daten zu entfernen. Es ist außerdem eine gute Idee, einen Entwurf für eine Benachrichtigung über einen Verstoß zu erstellen.

„Kundenkommunikation unter diesen Umständen fällt oft in die Verantwortung der Vermarkter. Während niemand einen Bruch vorhersieht, ist es klug, sicherzustellen, dass Sie bereit sind“, sagt Harris. „Lassen Sie einen Entwurf Ihrer Mitteilung schreiben und verschlüsseln, um ihn zu bearbeiten, zu genehmigen und kurzfristig zu versenden. Sie sollten außerdem einen Prozess zur schnellen Identifizierung der betroffenen E-Mail-Adressen erstellen, damit Ihre Nachricht nicht verzögert versendet wird, während Sie herausfinden, wer sie erhalten muss.“

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

DSGVO/GDPR: Umsetzung in IT-Management und IT-Sicherheit.

Mit DSGVO-Compliance zum datensicheren Unternehmen.

DSGVO/GDPR: Wird aus Big Data nun Lean Data?

Erfahren Sie mehr über Marketingsoftware