DSGVO-konforme Datennutzung

Wie Sie Adressdienste weiter nutzen können

Adressveredler und -anbieter können Sie beruhigen: Zwar unterscheiden sich die Situationen im B2B- und B2C-Bereich, die Adressdienste haben sich jedoch darauf eingestellt. Während die Nutzung von Adressdiensten und -daten im B2B-Bereich auch weiterhin kaum große Änderung erfährt, stellt vor allem die Dokumentations- und Auskunftspflicht in B2C-Segment ein Hemmnis für viele Unternehmen dar. Das hat die Auswertung einer aktuellen Umfrage unter Adress-Anbietern und -veredlern durch ONEtoONE ergeben.

Grundsätzlich gilt: Der Adresshandel bleibt auch nach Inkrafttreten der DSGVO weiterhin zulässig. Denn die explizite Erwähnung der Direktwerbung als berechtigtes Interesse in den Erwägungsgründen der Verordnung ermöglicht eine Interessenabwägung zugunsten der betroffenen Unternehmen. Außerdem haben die Adressanbieter großteils schon länger Vorkehrungen getroffen, um ihren Kunden entsprechend geprüfte und rechtskonforme Angebote machen zu können. Dies entbindet Marketer jedoch nicht davon, auch die eigene Datenverarbeitung und Nutzung von Adressdaten unter die Lupe zu nehmen.

BDSG enthielt bereits Regelungen für Adresshandel

Ein Grund, weshalb die Adressanbieter relativ unbesorgt den 25. Mai verstreichen ließen, ist das schon länger geltende Bundesdatenschutzgesetz. Dieses enthielt auch bisher schon weitgehende Regelungen. Dennoch gibt es Verschärfungen, die insbesondere im B2C-Bereich deutlich werden, wie Post-Direkt-Chefin Weber sie benennt: „Mit der DSGVO werden im Vergleich zum BDSG höhere Anforderungen an die Informationspflichten gegenüber der betroffenen Person gestellt.“ Sie unterstreicht einen Passus, der für Marketer wichtig ist: „Im Falle des Datenhandels sind daher die Werbeinteressen explizit zu erklären. Zudem ist die Interessenabwägung zu dokumentieren.“

Zwar ergaben sich im Bereich der Adressverkäufe durch die DSGVO Veränderungen, doch wie Marco Gaspar, Geschäftsführer von Schober Direct Media, für sein Unternehmen erklärt: „Wir haben als Adressanbieter bereits sehr früh und konsequent den Anpassungsbedarf ermittelt und abgearbeitet. Mit Kunden und Geschäftspartnern haben wir beispielsweise Informationspflichten, Umsetzung von Betroffenenrechten oder Verarbeitungsverträge angepasst.“

Adressanbieter leisten Aufklärungsarbeit

Damit ist Schober Direct Media nicht alleine. Auch andere Anbieter haben entsprechend reagiert. Dennoch ist Aufklärungsarbeit das, was Anbieter derzeit vermehrt leisten müssen, um ihren Service verunsicherten Kunden schmackhaft zu machen. AZ Direct-Geschäftsführer Oliver Reinke kann das bestätigen: „Trotz intensiver Vorbereitungen ist der Aufwand für Dialoge, Interpretationen der Verordnungstexte sowie Prozess- und Dokumentenanpassungen immens hoch. Ob die DSGVO einen Impact auf das Geschäft hat, bleibt abzuwarten. An der ein oder anderen Stelle spüren wir aber Zurückhaltung von Auftraggebern.“ Christiane Klemm, Head of Datamarketing bei 11880.com, kommentiert die Marktlage, stellvertretend für die Anbieter: „Interessenten und Kunden sind stark verunsichert. Darum stehen wir Interessenten im B2B-Umfeld beratend zur Seite und geben Auskunft über die Auswirkungen der DSGVO auf den B2B-Adresshandel.“

Mehr Aufwand durch mehr Verträge und Vereinbarungen

Roland Wolff, Geschäftsführer von Business Data Solutions, beschreibt den erhöhten Aufwand für Adressanbieter und -veredler wie folgt: „Es herrscht eine abwartende Haltung bei vielen Firmen vor, die nicht sicher sind, wie letztendlich die DSGVO und die Betrachtung der Interessenabwägung von Gerichten bewertet wird. Hierdurch sind einige Projekte gestoppt und teilweise komplett gestrichen worden. Die bürokratischen Hürden haben enorm zugenommen. Vielfach erhalten wir heute Kundenspezifische Vereinbarungen zur Auftragsverarbeitung, Fragebogen zu technischen und organisatorischen Maßnahmen sowie Geheimhaltungsverpflichtungen. Diese Dokumente umfassen oftmals 30 bis 40 Seiten. Hier helfen nur im Markt anerkannte Standards/ Zertifikate, um die notwendigen Maßnahmen im Griff zu haben.“

Siegel und Zertifikate erleichtern die Auswahl

Qualitäts- und Gütesiegel sowie Zertifizierungen sind auch im Bereich des Adressmanagements mittlerweile angekommen. So nutzen einige der Anbieter die Gelegenheit, sich unter anderem vom DDV zertifizieren zu lassen. Damit einhergehend stellt der Direktmarketingverband auch Mustervereinbarungen zur Verfügung, die den Adressanbietern erlauben, ohne großen Mehraufwand DSGVOkonforme Geschäfte abzuwickeln. Eine kaum zu umgehende Neuerung liegt in eben dieser in der verpflichtenden vertraglichen Regelung der Auftragsdatenverarbeitung. Der DDV hat für seine Mitglieder eine deutlich einfachere Lösung als einen 40-seitigen Vertrag zur Auftragsdatenverarbeitung: Er bietet eine inhaltlich deckungsgleiche Verpflichtungserklärung „DDV-Regeln zur Auftragsverarbeitung“, VE genannt. Diese kann von Mitgliedern und Nichtmitgliedern beim DDV hinterlegt werden und wird dann auf der Website des Verbandes gelistet. Die Unternehmen bringen damit von ihrer Seite zum Ausdruck, dass sie die DSGVO einhalten. Diese Erklärung kann entsprechend bei Aufträgen herangezogen werden.

Eigene Verpflichtung und ISONorm für den Transfer

Der DVV erklärt dazu: „Die nach § 28 Abs.3 DSGVO notwendige vertragliche Bindung kann auch dadurch erreicht werden, dass die VE in Aufträgen (z.B. Adressbestellungen) und Auftragsbestätigung ausdrücklich als Vertragsbestandteil einbezogen wird – ähnlich der Einbeziehung von AGB in einen Vertrag. Dies erspart in der Praxis Zusatzarbeit und Bürokratie. Andere Anbieter argumentieren mit ihren eigenen Datenschutzvorkehrungen. Bedirect, ein weiterer Player im Adressgeschäft ist „im Kundenanlageprozess anerkannt als ‚wesentliche Auslagerung‘ nach Vorgaben der BaFin zur Einhaltung ‚MaRisk‘“ und hat sich selbst sehr hohen Maßstäben beim Datenschutz verpflichtet. Managing Director Thorsten Friederich von Bedirect ergänzt: „Als Anbieter eines deutschlandweiten, bonitätsgeprüften Referenzbestandes können wir so Mehrwertinformationen kombiniert mit unseren Stammdaten automatisiert, vollintegriert zugänglich machen.“

Die Deutsche Post Direkt setzt bei E-Mailing-Aktionen auf „Verfahren zur Verschlüsselung, die eingesetzt werden.“ Der Datentransfer erfolgt über die nach ISO 27001 auf der Basis von IT-Grundschutz zertifizierten Online-Services. „Mit der Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik dokumentiert Deutsche Post Direkt die Durchführung besonderer technischer und organisatorischer Sicherheitsmaßnahmen, die Art. 32 DSGVO für die Verarbeitung personenbezogener Daten im Kundenauftrag vorschreibt. Daneben entlastet die Auszeichnung des BSI unsere Kunden von ihrer datenschutzrechtlichen Kontrollverpflichtung gegenüber uns als Auftragnehmer“, nennt Geschäftsführerin Petra Weber die Vorteile. „Die Verunsicherung auf Kundenseite hat durch die DSGVO zugenommen. Zudem ist auch das Aufkommen von Werbeverweigerern bei postalischen Mails leicht angestiegen", beschreibt Panadress-Geschäftsführer Karl-Heinz Mühlbauer ein weiteres Problem, das Käufer von Adressen zögern lässt.

Mühlbauer fasst die Problematik zusammen: „Unter Berücksichtigung bestimmter Informationspflichten kann weiterhin für die Neukundengewinnung auf B2C- und B2B-Adressen zurückgegriffen werden. Auch der Einsatz von mikrogeografischen Daten zur Anreicherung von Kundendaten ist weiterhin möglich.“ Neben „sauber erhobenen und gut gepflegten Daten“ verfügt Panadress über entsprechende Technologien, die inhouse beim Kunden nutzbar seien. Hinzu komme der Einsatz von Pseudonymisierungsverfahren bei der Verarbeitung von Kundendaten, was ebenfalls einen Datenschutzaspekt berücksichtige. Ein wichtiger Faktor für Kunden sei es zudem, dass diese durch das analytische Know-how des Anbieters mehr Wissen aus ihren Datenbanken generieren könnten, um so ihr CRM sowie die Neukundengewinnung zu optimieren.

Leadgenerierung durch Zukauf von Daten ist weiterhin gefragt

Dass dies den Kunden durchaus klar ist beziehungsweise nahezubringen ist, bestätigt auch ReachAd- CEO Karl Ott. Sein Unternehmen ist unter anderem auf die Vermarktung von exklusiven E-Mail-Verteilern im B2B- und B2C-Bereich spezialisiert. Eine Empfehlung von Ott ist: „Werbende Unternehmen sollten die Leadgenerierung selbst in die Hand nehmen und diese neu aufsetzen – so können sie gleichzeitig ihre Kundenbeziehungen nachhaltig verbessern.“ Entscheidungskriterien für den Zukauf von Adressen stellen neben der Rechtskonformität auch Aktualität und Bewertungsscores dar.

Adressdatenservices machen sichere Angebote

Adressanbieter wiederum sind sich einig, dass für die Neukundengewinnung die Direktansprache durch Mailings sowie gezielte Telefonakquise im B2B-Bereich weiterhin große Bedeutung haben. Dies bestätigen ihnen die Nachfragen der Handeltreibenden. Bei diesen stehen nach wie vor die postalische Adresse, aber auch Email-Adressen, Cross-Channel- Kampagnen sowie Analytik und Data-Enrichment im Kundenbestand im Mittelpunkt. Datendienstleister bieten darüber hinaus Werbetreibenden die Nutzung materieller und personeller Ressourcen, die von diesen nicht inhouse abgebildet werden können. Automatisierte Prozesse, die außerdem auch die datenschutzrechtlichen Anforderungen abbilden, sorgen für kosteneffiziente und rechtssichere Ergebnisse.

Trotz Verunsicherung bleibt Adresskauf und -veredelung ein nicht zu vernachlässigendes Instrument, wie Anbieter bestätigen. Christiane Klemm sagt: „Gerade der postalische Kanal gilt unter der DSGVO als einer der sichersten, weshalb viele Werbetreibende aktuell verstärkt Direct-Mail nutzen.“ Darüber hinaus erlebt Direct-Mail derzeit eine Renaissance und wächst wieder, wie der jüngst erschienenen Dialogmarketing Monitor der Deutschen Post (siehe ONEtoONE Ausgabe 7/2018) bestätigt. „Der Grund ist die extrem gute Performance im Kanal Direct-Mail, verglichen mit zahlreichen Onlinekanälen. Vor allem bei begrenztem Neukundenpotenzial lassen sich postalisch sehr gute Conversion-Rates erzielen“, wie Christiane Klemm betont. Wer sich mit den Anbietern an einen Tisch setzt und Probleme klärt, entsprechende, standardisierte Vereinbarungen nutzt und unterzeichnet und die Dokumentationspflichten ernst nimmt, ist in der Regel auf der sicheren Seite.

Der vollständige Artikel ist in der aktuellen Ausgabe 08/2018 der ONEtoONE erschienen.