DSGVO: Personalisierung in Zeiten der Customer Centricity

RA David Klein kennt die Finessen der DSGVO. David Klein, Fachanwalt für Informationsrecht und Certified Information Privacy Professional Europe (CIPP/E), Taylor Wessing Partnerschaftsgesellschaft <q>Taylor Wessing </q> — David Klein, Fachanwalt für Informationsrecht und Certified Information Privacy Professional Europe (CIPP/E), Taylor Wessing Partnerschaftsgesellschaft Taylor Wessing

Massenware ist out. In einer zunehmend digitalen Finanzwelt gewinnen maßgeschneiderte Angebote Kunden, nicht standardisierte Produkte. Kunden wünschen sich individuelle Ansprache, passgenaue Konditionen und ein nahtloses Nutzererlebnis. Doch die Balance zwischen kundenorientierter Personalisierung und den strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO) ist ein sensibler Kraftakt, gerade in Zeiten der Customer Centricity.

von David Klein, Fachanwalt für Informationsrecht und Certified Information Privacy Professional Europe (CIPP/E), Taylor Wessing Partnerschaftsgesellschaft

Die Finanzbranche hat in den letzten Jahren einen tiefgreifenden Wandel durchlaufen. Kunden erwarten nicht mehr nur klassische Bankdienstleistungen, sondern ein holistisches, an ihren persönlichen Bedürfnissen orientiertes Gesamterlebnis.

Dabei spielt die Personalisierung eine wichtige Rolle: Individuelle Produktempfehlungen, maßgeschneiderte Beratung und personalisierte Ansprachen wirken sich positiv auf die Kundenzufriedenheit und Kundenbindung aus. Doch eine Personalisierung ohne Daten gibt es nicht.

Je intensiver die Datennutzung, desto extensiver wirken datenschutzrechtliche Schranken der DSGVO.”

Und der Datenschutz?

Die DSGVO (zum Gesetzestext) setzt enge Leitplanken für den Umgang mit personenbezogenen Daten. Finanzinstitute, die ihre Kunden mit maßgeschneiderten Finanzprodukten oder individualisierten Werbebotschaften ansprechen möchten, sind daher angehalten, sorgfältig zu prüfen, ob und auf welcher Rechtsgrundlage diese Verarbeitungsvorgänge zulässig sind. Gerade in einer Branche, in der Informationen über finanzielle Verhältnisse, Risikoprofile oder gar sensible persönliche Daten (etwa aus der Lebenssituation oder dem Gesundheitsbereich) eine Rolle spielen, ist Vorsicht geboten.

Umso wichtiger ist die strategische Planung im Vorfeld: Wie soll das jeweilige Produkt aussehen, welche Kundenwünsche berücksichtigen und welche Leistungen sollen es ergänzen? Denn von der konkreten Ausgestaltung hängt ab, auf welcher rechtlichen Grundlage eine Datenverarbeitung gestützt werden kann. Und: Vor allem kommt es darauf an, wie viel juristischen Text mit wie viel Kundeneingaben erforderlich sind, um an die gewünschten Daten zu kommen.

Die Personalisierung von Produkten kann in bestimmten Fällen Leistungspflicht des Anbieters sein, für die bestimmte Daten der Kunden verarbeitet werden müssen. So kann etwa ein Finanzinstitut die vorhandenen Daten nutzen, um einem Kunden ein passgenaues Anlageprodukt oder eine optimierte Kreditlinie vorzuschlagen. Eine solche Datennutzung kann dann auch ohne ausdrückliche Einwilligung zulässig sein. Hierbei gilt das Prinzip der Datenminimierung: Nur die Daten, die tatsächlich für die Personalisierung notwendig sind, dürfen herangezogen werden. Zudem müssen Kunden transparent über die Verarbeitung informiert und ihnen, je nach Sachverhalt, gegebenenfalls Widerspruchsrechte eingeräumt werden.

Autor David Klein, Taylor Wessing Partnerschaftsgesellschaft

David Klein ist Fachanwalt für Informationsrecht und Certified Information Privacy Professional Europe (CIPP/E). Er begleitet seit über zehn Jahren (inter-) nationale Unternehmen bei Digitalisierungsprojekten. Ein Schwerpunkt bildet dabei die Beratung zum Datenwirtschaftsrecht insbesondere in regulierten Industrien wie der Finanzbranche. David Klein veröffentlicht regelmäßig zum Datenschutz und ist Lehrbeauftragter für Technologierecht an der Bucerius Law School.

Komplexer wird es, wenn Finanzinstitute personalisierte Werbung, etwa im Rahmen von Cross- oder Up-Selling, auf elektronischen Kanälen oder in Kundenportalen einsetzen wollen. In diesen Fällen ist die Datenverarbeitung häufig komplex und invasiv oder nutzt Daten von Drittanbietern, um vorhandene Informationen zu verbessern.

In diesen Fällen wird in der Regel eine Einwilligung der Kunden notwendig sein, zumal hierbei in der Regel Cookies und andere online-Tracking-Tools genutzt werden, für die ein zwingendes Einwilligungserfordernis besteht. Das bedeutet:

Cross- oder Up-Selling: Kunden müssen freiwillig für den konkreten Fall informiert werden und erklären, dass sie mit der Datenverarbeitung einverstanden sind.”

Neben den möglichen negativen Implikationen auf die Customer Experience müssen die technischen und organisatorischen Prozesse geprüft werden, ob diese die DSGVO-Anforderungen bei einer einwilligungsbasierten Datenverarbeitung einhalten. Z.B. können Kunden ihre Einwilligung jederzeit für die Zukunft widerrufen und eine Datenverarbeitung zu Werbezwecken ist ab diesem Zeitpunkt nicht mehr möglich.

Vorsicht ist zudem geboten, wenn allein auf Datenbasis automatisiert Entscheidungen getroffen werden, Produkte etwa bestimmten Kunden gar nicht oder zu schlechteren Konditionen anzubieten. Der Europäische Gerichtshof (EuGH) hat in diesem Kontext entschieden, dass automatisierten Entscheidungen nicht ohne ausdrückliche Einwilligung der Kunden getroffen werden dürfen.

Fazit

Trotz aller Einschränkungen bietet die DSGVO durchaus Möglichkeiten für eine kundenorientierte Personalisierung. Aggregation und Anonymisierung von Daten oder gleich der Rückgriff auf synthetische Daten können helfen, datenschutzkonform Trends abzuleiten und Produkte zu individualisieren, ohne einzelne Kunden zu identifizieren.

Entscheidend ist letztlich eine sorgfältige Planung. Mit einer klaren Datenstrategie, transparenter Kommunikation und dem Einsatz von technischen und organisatorischen Maßnahmen lässt sich ein Kundenerlebnis schaffen, das sowohl individuellen Mehrwert bietet als auch den datenschutzrechtlichen Anforderungen gerecht wird.David Klein/dk