Zum Inhalt springen Zur Navigation springen
Customer Data Platform (CDP) und DSGVO vereinbaren

Customer Data Platform (CDP) und DSGVO vereinbaren

Artikel von Dr. Nils Christian Haag·14. Dezember 2023

Eine Customer Data Platform (CDP) soll Kundendaten zusammenführen und gezieltes Marketing ermöglichen. Für die nach der DSGVO erforderliche Einwilligung finden sich in der Praxis verschiedene Lösungen, auf die wir in diesem Beitrag eingehen.

Data Driven Marketing und CRM-Systeme

„Kenne deinen Kunden“ heißt heute „Data Driven Marketing“. Dabei geht es darum, Marketing und Vertriebsaktivitäten mit Hilfe von Daten gezielter auszurichten. In vielen Unternehmen ist das Wissen über die eigenen Kunden jedoch verteilt und nicht zentral verfügbar, sodass Marketingabteilungen oft vor der schweren Aufgabe stehen, wie sie vorhandene Daten zusammenführen, auswerten und nutzen können.

Softwareseitig haben sich hierfür CRM-Lösungen etabliert. „CRM“ steht für „Customer Relationship Management“ und verfolgt das Ziel, Kundendaten an zentraler Stelle zu verwalten. Bekannte CRM-Produkte sind Salesforce CRM, HubSpot CRM oder Microsoft Dynamics oder SAP CRM, in denen viele Unternehmen ihre Kundendaten verwalten.

Die Customer Data Platform (CDP)

Oftmals finden sich neben der Datenbank eines CRMs aber noch weitere Systeme, deren Daten genutzt werden sollen. An dieser Stelle kommen „Customer Data Platforms“ (CDPs) ins Spiel, die demographische, historische und verhaltensbasierte Kundendaten aus verschiedenen Systemen zusammenführen und analysieren können. Auch der Bezug von Daten aus externen Quellen kommt in Betracht.

Ziel ist, auf Grundlage der Daten vorhersagen zu können, für welche Produkte sich die einzelnen, bekannten Personen interessieren. Im Gegensatz dazu setzen sogenannte „Data Management Platforms“ (DMPs) bei aggregierten Unternehmensdaten an und können von ihrer Zielsetzung ohne personenbezogene Daten auskommen.

TTDSG und DSGVO verlangen eine Einwilligung

Aus datenschutzrechtlicher Sicht dürfte der Einsatz einer CDP in der Regel nur durch eine Einwilligung der Kunden legitimierbar sein. Sofern Tracking-Daten von einer Website in die CDP fließen sollen, die zuvor mit Hilfe von Cookies gewonnen worden sind, folgt dies bereits aus § 25 TTDSG.

Aber auch jenseits des speziellen TTDSG-Anwendungsbereichs dürfte das Einwilligungserfordernis regelmäßig aus der DSGVO folgen: Durch die Kombination von Käuferhistorie und Trackingdaten auf Personenebene entstehen in der Regel so detaillierte Kundenprofile, dass deren Verarbeitung kaum auf das berechtigte Interesse aus Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden darf. Je detaillierter die Profile sind, desto tiefer ist der Eingriff in die Rechte der betroffenen Person und damit das Gewicht in der Interessenabwägung zu ihren Gunsten. Damit verbleibt nur die Einwilligung als mögliche Rechtsgrundlage.

Cookie-Consent als Einwilligung für die CDP?

Häufig taucht die Idee auf, den Cookie-Consent als Einwilligung für die Datenverarbeitung in der CDP heranzuziehen. Frei nach dem Motto: Wenn wir ohnehin eine Einwilligung von unseren Website-Besuchern abfragen müssen, warum decken wir nicht damit auch direkt unsere CDP ab?

Die hier zu findenden Ansätze können je nach Ausgestaltung aus zwei Gründen rechtlich kritisch sein:

  • Oft fehlt es bereits an der nötigen Transparenz: Die Wirksamkeit der Einwilligung setzt eine informierte Entscheidung der betroffenen Person voraus (EWG 32). Oftmals werden die in der CDP erfolgenden Verarbeitungen nicht hinreichend klar und verständlich beschrieben, sodass die Einwilligung bereits aus Transparenzgründen unwirksam ist.
  • Vor allem aber dürfte eine Einwilligung für Datenverarbeitungen in einer CDP, die über einen Cookie-Consent-Banner eingeholt wird, überraschend und damit gemäß § 305c BGB Abs. 1 BGB unwirksam sein. Denn beim Cookie-Consent kann regelmäßig davon ausgegangen werden, dass Daten für statistische Auswertungen (Analytics) und Retargeting genutzt werden, nicht aber für die Erstellung und Nutzung von Kundenprofilen mit Klarnamen und E-Mail-Adresse auf Personenebene. Und erst kürzlich hat das OLG Köln festgestellt, dass Texte in einem Cookie-Consent-Banner der AGB-Kontrolle nach §§ 305 ff. BGB unterliegen (OLG Köln, Urteil vom 03.11.2023 – 6 U 58/23).

Lösungen in der Praxis

In der Praxis bestehen zum Teil technische Lösungen, die Datenauswertungen in der CDP und deren Nutzung für zielgerichtete Werbung ermöglichen und gleichzeitig verhindern, dass umfassende Kundenprofile mit Klarnamen entstehen. Hierfür werden sogenannte „Datentreuhänder“ eingesetzt, die Daten auf der einen Seite durch Pseudonymisierung schützen und auf der anderen Seite nutzbar halten sollen.

Alternativ finden sich gesonderte Einwilligungslösungen, die in einen Registrierungsprozess auf einer Website integriert werden können. So bieten E-Commerce-Anbieter zum Beispiel die Teilnahme an einem Kundenclub o.ä. an, der den Zugang zu besonderen Angeboten oder das Sammeln von Bonuspunkten ermöglicht. Im Rahmen der Anmeldung kann eine besondere Einwilligung abgefragt werden, die personalisierte Angebote auf Grundlage von Datenverarbeitungen in einer CDP abdeckt. Auf diese Weise können die Interessen zusammengebracht werden, personalisierte Angebote zu erstellen und den Kunden durch zusätzliche Rabatte profitieren zu lassen – sofern die freiwillige, transparente Einwilligung hierzu erteilt wird.

Letztlich kommt es immer auf die konkreten Bedürfnisse eines Unternehmens an, wie sich CDP und DSGVO am besten vereinen lassen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.