06.02.2019 | Datenschutz, Handel und Vertrieb, Künstliche Intelligenz

Digitalisierung des Handels: Die DSGVO als Innovationsbremse?

Der technologische Wandel gewinnt immer mehr an Fahrt und hat enorme Auswirkungen nicht nur auf den Online-Handel, sondern auch und vor allem auf den stationären Handel. So setzt der Einzelhandel ebenfalls auf eine stärkere Digitalisierung seines Angebots, um mit Hilfe der Nutzung personenbezogener Daten Kunden direkt am Point of Sale erfolgreich ansprechen zu können. Als wichtige Hilfsmittel gelten das sog. Geofencing sowie das Omnichannel-Marketing. Einen Boom erleben aktuell zudem Kundenbindungsprogramme. Mit dem Einsatz von physischen Kundenkarten und Apps erhält so auch der stationäre Handel die Möglichkeit, Kundendaten umfassend auszuwerten und das Angebot anzupassen.

Demgegenüber steht seit Mai 2018 die DSGVO, welche für viele eine Innovationsbremse oder gar einen Innovationskiller darstellt. Daher gilt die EU mittlerweile auch als stärkster Regulierer der US-Tech-Industrie. Und tatsächlich: Viele Unternehmen sind mit der Umsetzung der DSGVO überfordert, da viele offene Fragen erst noch geklärt werden müssen. Diese Rechtsunsicherheit in Kombination mit den hohen Bußgeldandrohungen hindert viele Unternehmen am Einsatz neuer Technologien.

Doch was ist dran an den Horrorszenarien, die Datenschutzgegner verbreiten? Bietet die DSGVO nicht vielleicht auch Chancen? Könnte sie Innovationen im Gegenteil sogar antreiben? Wie können Händler insbesondere datengetriebene Kundenansprachen weiter für sich nutzen und verbessern, ohne durch Angst vor Bußgeldern paralysiert zu werden? Diesen Fragen geht der folgende Beitrag mit Fokus auf das Geofencing und das Omnichannel-Marketing nach.

Die digitale Transformation des Handels

Was einst die industrielle Revolution war, ist heute die Digitalisierung. Vor allem die Digitalisierung des Handels schreitet rasant voran. Neben den Händlern zählen aber auch die Kunden zu den Gewinnern. Für diese ist Seamless Shopping, also ein nahtloses Einkaufserlebnis über alle Kanäle hinweg, mittlerweile eine Selbstverständlichkeit. Dem müssen Händler mit entsprechenden Omnichannel-Lösungen, also einem kanalübergreifendem Geschäftsmodell, gerecht werden – einer der bedeutendsten Trends der Handelsbranche. Im Ergebnis bedeutet dies eine Verzahnung von Kaufprozessen: Online kaufen, offline abholen. Vor Ort bestellen und schließlich geliefert bekommen.

Diese Verzahnung können Händler für die Optimierung ihrer Angebote nutzen, indem sie ihre Marketingstrategie auf alle Kanäle ausweiten und den Kunden immer dort abholen, wo er sich gerade befindet. Damit dies möglich wird, müssen sämtliche Kundenaktivitäten erfasst und analysiert werden – Big Data ist die Folge. In diesem Zusammenhang müssen sich Händler vor allem ihrer datenschutzrechtlichen Informationspflichten aus Art. 13, 14 DSGVO bewusst sein und ihre Kunden in möglichst präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über die jeweiligen Verarbeitungsprozesse informieren. Auch sollte überprüft werden, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist.

Viele Händler akzeptieren zudem eine Vielzahl an mobilen Bezahlmöglichkeiten (sog. „Mobile Payment“), aus denen der Käufer wählen kann. Hier spielt das Thema Datensicherheit eine große Rolle, schließlich handelt es sich bei Bank- und Kreditkarteninformationen um sensible und daher besonders schützenswerte Daten.

Auch hauseigene Shopping-Apps und digitale Preisschilder (Electronic Shelf Labels, kurz: ESL) gehören mittlerweile zum Standard. Letztere bieten neben dem aktuellen Preis auch wichtige Zusatzinformationen, die die Kaufentscheidung erleichtern können. Durch eine Vernetzung der Kassen können Händler zudem in Echtzeit ihren Warendurchfluss messen und ihre Order entsprechend anpassen.

Ein weiteres eindrucksvolles Beispiel für die Digitalisierung des Handels sind smarte Spiegel. Der amerikanische Parfüm- und Kosmetikriese Coty hat zuletzt einen Spiegel auf den Markt gebracht, mit dem Kunden etwa neue Haarfarben ausprobieren können. Möglich ist dies durch die Technik der Augmented Reality („erweiterte Realität“). Diese Technik hatte aus datenschutzrechtlicher Sicht zuletzt Aufsehen erregt, als Google Glasses eingeführt werden sollte. Das Hauptproblem: Auch Dritte würden von der Datenerfassung betroffen sein.

Individuelle Kundenansprache durch Geofencing und rechtliche Überlegungen

Auch die Personalisierung im Handel gewinnt immer mehr an Relevanz. Viele Kunden mögen es, wenn sie online persönlich angesprochen werden. Maßgeschneiderte Produktempfehlungen und andere personalisierte Inhalte sind aufgrund ihrer Nützlichkeit ebenfalls gern gesehen. Möglich wird all dies durch Daten, die über den Kunden erhoben und anschließend ausgewertet werden.

Auch vor Ort, am Point of Sale oder Point of Interest, kommen Tools zum Einsatz, mit denen Kunden individuell angesprochen werden können. So ermöglichen sog. „Beacons“ (kleine Bluetooth-Sender und -Empfänger) eine Lokalisierung des Kunden im Geschäft, um diesem relevante Angebote direkt auf sein Endgerät zu schicken. Erfolgsversprechender ist heutzutage jedoch die Lokalisierung bzw. ein Tracking per WLAN-Seriennummer, da WLAN deutlich häufiger von Smartphone-Usern genutzt wird, als Bluetooth.

Besonders beliebt ist in diesem Zusammenhang das sog. Geofencing, also ortsabhängiges Marketing („Location based marketing“). Hierbei erhält der potenzielle Kunde etwa Angebote via Push-Nachricht, sobald er einen virtuell abgesteckten Bereich betritt (meist in unmittelbarer Nähe eines Shops). Technische Voraussetzung ist allerdings, dass der Kunde die App des Händlers nutzt, seinen Standort teilt und Push-Nachrichten zulässt. Ein Topthema für sämtliche Branchen.

Die Nutzung des Geofencing erfordert die Beachtung einiger datenschutzrechtlicher Aspekte. Vor allem bedarf jede Datenverarbeitung einer datenschutzrechtlichen Grundlage. In Betracht kommen hier zum einen die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und berechtigte Interessen des Händlers, aber auch der Abschluss eines Vertrages:

  1. Einwilligungen

Die gesetzeskonforme Einholung von Einwilligungen in die Verarbeitung standortbezogener Daten ist durchaus kein leichtes Unterfangen. So gelten Einwilligungen gem. Art. 7 DSGVO nur als wirksam erteilt, wenn diese freiwillig, für einen konkreten Fall, nach ausreichender Information und unmissverständlich abgegeben wurden. In der Praxis bedeutet dies, dass die einzelnen Verarbeitungsschritte möglichst detailliert abgebildet werden müssen, damit der Kunde genau weiß, was mit seinen Daten geschieht. Außerdem müssen diese Informationen in unmittelbarem (zeitlichen) Zusammenhang zur Erteilung der Einwilligung stehen. Erteilt eine betroffene Person ihre Einwilligung, so muss ihr zudem jederzeit die Option offenstehen, diese zu widerrufen. Dies führt zu einem erhöhten organisatorischen Aufwand auf Seiten des Verarbeitenden.

2. Berechtigte Interessen

Einfacher und weniger zeitaufwendig gestaltet sich der Weg über die berechtigten Interessen gem. Art. 6 Abs. 1 lit. f DSGVO. So können Verantwortliche die geplante Datenverarbeitung bzw. die Nutzung des Geofencing rechtfertigen, indem sie überwiegende berechtigte Interessen ins Feld führen. Hierbei muss eine Abwägung zwischen den Interessen des Händlers an der Nutzung und den schutzwürdigen Interessen des Betroffenen vorgenommen werden. Überwiegen erstere, so ist die Nutzung des Geofencing aus datenschutzrechtlicher Sicht gerechtfertigt und somit zulässig, ohne dass es etwa einer Einwilligung bedarf. Werden die personenbezogenen Daten zudem pseudonymisiert, so wirkt sich dies im Rahmen der Interessenabwägung grundsätzlich zu Gunsten des Verantwortlichen aus. Ebenso eine Begrenzung des Adressatenkreises auf Bestandskunden.

3. Vertrag

Die größte Rechtssicherheit bietet jedoch der Abschluss eines Vertrages nach Art. 6 Abs. 1 lit. b DSGVO. Bei der Installation vieler Apps kommt es regelmäßig zum Abschluss eines Servicevertrages. Beabsichtigt ein Unternehmen mit Hilfe von Geofencing und der hauseigenen App (auch) eine Individualisierung der Nutzer, um Profile anlegen zu können, so empfiehlt es sich diese Datenverarbeitung explizit in den Vertrag als Teil des Services mitaufzunehmen.

Abhängig von der Ausgestaltung der App ist die Verarbeitung entweder als integraler Bestandteil der Services oder als Zusatz-Leistung zu beschreiben. Auf diese Weise wird beispielsweise der Einsatz von Geofencing und die Erstellung eines Nutzerprofils Vertragsbestandteil.

Der Nutzen für den App-User sollte hervorgehoben werden, ohne jedoch eine weitergehende Analyse zu verschweigen: Eine Individualisierung ermöglicht dem Unternehmen vor allem das Einspielen von zugeschnittenen Angeboten und z.B. Coupons, aber auch die Verbesserung der eigenen Services sowie Marketingmaßnahmen durch Auswertung der Profile.

Die Gewährleistung von Transparenz ist in diesem Zusammenhang für die Wirksamkeit des Vertrages von besonderer Bedeutung. Daher sollte über die geplante Datenverarbeitung gesondert, möglichst detailliert und in verständlicher Sprache informiert werden. Eine Unterbringung in Allgemeinen Geschäftsbedingungen (AGB) verbietet sich aus diesem Grund.

Ganz gleich für welche Rechtsgrundlage sich ein Unternehmen auch entscheidet: Die Arbeit mit pseudonymisierten Daten ist immer erstrebenswert, da sich ein Missbrauch derselben deutlich schwieriger gestaltet. Zudem erfüllen Unternehmen auf diese Weise auch das datenschutzrechtliche Prinzip „Privacy by design“ (Datenschutz durch Technikgestaltung) und den Kunden fällt es leichter Vertrauen in die eingesetzte Technik zu entwickeln.

Neben den datenschutzrechtlichen Aspekten sollte auch berücksichtigt werden, dass das Geofencing
– je nach Ausgestaltung – auch „unlauter“ im Sinne des UWG (Gesetz gegen den unlauteren Wettbewerb) sein kann. So werden Geofencing-Zonen nicht nur in und um die eigenen Geschäfte, sondern auch im unmittelbaren Bereich von Filialen des Mitbewerbers eingerichtet. Ab wann dies als gezielte Behinderung gem. § 4 Nr. 4 UWG zu qualifizieren ist, ist richterlich noch nicht geklärt. Ebenso ist eine Qualifizierung als unlauteres Abfangen von Kunden denkbar.

Händler sollten sich bei der Einführung neuer Technologien insbesondere folgende Fragen stellen:

  • Ist für die Nutzung der Technologie eine Verarbeitung personenbezogener Daten notwendig?
  • Ist die Technologie auch mit pseudonymisierten oder sogar anonymisierten Daten möglich (bei Letzteren ist schon der Anwendungsbereich der DSGVO nicht eröffnet)?
  • Auf welche Rechtsgrundlage lässt sich die jeweilige Verarbeitung stützen?
  • Welche spezifischen Voraussetzungen gibt die einschlägige Rechtsgrundlage vor?
  • Können diese Voraussetzungen im Rahmen der Nutzung der Technologie erfüllt werden?
  • Werden Kunden umfassend und transparent über Verarbeitungsvorgänge informiert?
  • Kann die Erfüllung der Betroffenenrechte gewährleistet werden (Auskunftsrecht, Recht auf Löschung etc.)?
  • Hat der Einsatz der neuen Technologie voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge?
  • Ist es möglich, dass der konkrete Einsatz der Technologie als „unlauter“ im Sinne des UWG zu qualifizieren ist?
  • Welche Maßnahmen sind erforderlich, damit eine solche Qualifizierung vermieden werden kann?

DSGVO als Innovationsbremse für technologische Entwicklungen?

Die zentrale Frage, die sich nun stellt: Killt die DSGVO Innovationen wie etwa das Geofencing? Fragt man Führungskräfte von Unternehmen, so lautet die Antwort schon wegen der erhöhten Kosten oftmals „Ja.“. Auch der Bitkom-Präsident warnt: „Wenn wir im Datenschutz überziehen, verhindern wir den Einsatz künstlicher Intelligenz.“.

Fakt ist jedenfalls: Geofencing ist ohne die Verarbeitung von Standortdaten nicht möglich. Fakt ist aber auch: Die DSGVO reguliert die Verarbeitung und Nutzung von personenbezogenen Daten. Insofern ergeben sich durchaus Einschränkungen bei der Nutzung von Innovationen. Das wiederum bedeutet, dass sich Verantwortliche ggf. um neue, datenschutzkonforme Lösungen bemühen müssen, bis eine neue Technik bedenkenlos eingesetzt werden kann – ein Zeitverlust.

Die Behauptung die DSGVO sei eine Innovationsbremse hat in gewissen Fällen also durchaus ihre Berechtigung, ein Innovationskiller ist sie aber gewiss nicht. Die DSGVO kann Innovationen sogar ankurbeln.

Dies verdeutlicht folgendes Beispiel:

Der Verantwortliche muss im Falle von Löschbegehren nach Art. 17 DSGVO sämtliche personenbezogenen Daten eines Betroffenen restlos löschen (mit Ausnahme der Daten, die einer Aufbewahrungspflicht unterfallen).
Werden KIs eingesetzt, die mit großen Mengen personenbezogenen Daten gefüttert werden, so trifft diese Löschpflicht gewissermaßen auch die eingesetzten KIs. Diese müssen also das „Vergessen“ lernen.
Keine leichte Aufgabe, vor allem nicht, wenn es sich um eine sog. „Blackbox“ handelt. Von einer Blackbox spricht man, wenn sich einzelne Entscheidungen der KI bzw. die Kriterien, auf denen die Entscheidungen beruhen aufgrund selbständiger Weiterentwicklung des Algorithmus durch die KI nicht mehr (vollständig) nachvollziehen lassen.
Für die Erfüllung der Löschpflichten ist es somit unabdingbar einzelne Datensätze auseinanderhalten und trennen zu können, ohne den (neuen) Algorithmus zu beeinträchtigen. Hier sind kluge Köpfe gefragt, die eine solche Löschung ermöglichen, ohne den Einsatz der KI zu behindern.

Fazit

Hinsichtlich der Nutzung neuer Technologien wie etwa dem Geofencing oder Künstlicher Intelligenzen sehen sich Händler also durchaus einigen Herausforderungen ausgesetzt. Die Nutzung von personenbezogenen Standortdaten wie es beim Geofencing der Fall ist muss daher gut durchdacht werden. Neben der Einwilligung als Rechtsgrundlage, lässt sich die Verarbeitung personenbezogener Daten – je nach Einzelfall – auch auf berechtigte Interessen stützen. Für die Praxis am relevantesten dürfte hingegen der Weg über einen Vertrag sein, da dieser am meisten Rechtssicherheit bietet.

Durch die DSGVO ist das Datenschutzrecht zuletzt stark in das öffentliche Bewusstsein geraten. Kunden werden mit der Preisgabe ihrer Daten immer vorsichtiger. Aus diesem Grund sollten Händler das Thema priorisieren und in den Aufbau von Vertrauen investieren, indem sie transparent über sämtliche relevanten Datenverarbeitungsvorgänge informieren. Diese Vorgehensweise kann sich durchaus als Wettbewerbsvorteil entpuppen und Datenschutz selbst zur Marketingmaßnahme werden lassen. Daher fordert auch Tim Cook (CEO Apple) striktere Datenschutz-Vorschriften, denn nur so könne das Vertrauen der Kunden in neuartige Produkte gestärkt werden.

Die DSGVO bremst technischen Fortschritt manchmal also tatsächlich aus, sie verhindert ihn jedoch nicht. Es kommt lediglich zu einer Verzögerung. Diese Verzögerung sollte uns der Schutz personenbezogener Daten und die Loyalität der Kunden jedoch wert sein.



Weitere Artikel

Anwälte der Kanzlei empfohlen durch: