Wie Sie die Privatsphäre Ihrer Kunden wahren

Zunehmende Marktkonzentration und Digitalisierung bilden derzeit große Herausforderungen auch im Apothekenalltag. Als ein Erfolgsgarant, um sich im „Abverkaufs-Wettbewerb“ behaupten zu können, gilt eine emotionale und individuelle Kundenansprache. Möchten Sie diese auch für Ihre digitale Marketingstrategie nutzen, ist es besonders wichtig, die Privatsphäre Ihrer Kunden zu respektieren – vor allem im Zuge des neuen Datenschutzrechts. Gelingt es Ihnen, die von den Kunden gewünschten Grenzen sowohl vor Ort als auch digital zu wahren, schaffen Sie Vertrauen, eine positive Kundenerfahrung und Loyalität. Zu intensive, offensichtliche Personalisierungsbestrebungen hingegen wirken kontraproduktiv, da sie von Ihren Kunden negativ erlebt werden. Bedenken Sie dabei immer: Vertrauen zu gewinnen, dauert Jahre. Vertrauen zu verlieren, nur Sekunden.

Im Rahmen des neuen Datenschutzrechts haben sich unter anderem die Anforderungen an die Einwilligung verschärft (vgl. AWA 7/2018). Kunden müssen diese freiwillig für den konkreten Fall und in informierter Weise abgeben, und zwar unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen Handlung. Eine Schlüsselrolle spielt dabei das sogenannte „Kopplungsverbot“: Unternehmen dürfen die Einwilligung zur Datenverarbeitung nicht an zusätzliche Bedingungen knüpfen, solange dies nicht für die Erfüllung des eigentlichen Zwecks notwendig ist. Wenn Sie also beispielsweise eine Versandhandelserlaubnis besitzen sollten, dürfen Sie die Einwilligung in die für den Versand notwendige Datenverarbeitung nicht an eine Einwilligung etwa in ein Tracking oder Targeting koppeln.

Ihre Kunden müssen aktiv – idealerweise über das bekannte Double-Opt-In-Verfahren – einwilligen. Um jederzeit nachweisen zu können, dass dies geschehen ist, müssen Sie die entsprechenden Erklärungen sicher und konform speichern – je nach Umfang mit einer spezifischen Software. Wenn Sie diese auswählen, sollten Sie auf Zertifizierungen wie ISO 27001, ISO 27018 und EuroPrise (European Privacy Seal) achten. Denn solche Zertifizierungen gewährleisten eine rechtskonforme Verwaltung der Erklärungen durch die Software.

Wesentlich für Sie und Ihre mit dem Marketing betrauten Mitarbeiter ist zudem der DS-GVO (Datenschutz-Grundverordnung)-Leitsatz der Datenminimierung: Unternehmen dürfen demnach nur noch Kundendaten abfragen und speichern, die „dem Zweck angemessen und erheblich“ sind. Sie müssen folgerichtig analysieren, welche Kundendaten Sie tatsächlich benötigen und welche Sie künftig nicht mehr speichern dürfen bzw. löschen müssen. Im Detail sollten Sie kontrollieren, ob in allen Formularen, mit denen Sie Daten abfragen, nur solche Felder ausgefüllt werden müssen, die Sie für die Leistungserbringung wirklich brauchen.

Auf dem Markt sind hierfür verschiedene Softwares mit automatisierten Clean-up-Prozessen verfügbar, die alle rechtlichen Anforderungen einbeziehen. Bei der Anbieterauswahl sollten Sie darauf achten, dass das Tool andere angedockte Programme (wie z.B. Bezahl- oder Versandsysteme) ebenfalls über die Datenlöschung informiert.

Der Apothekenkunde hat ein Recht auf Transparenz seiner gespeicherten Daten. Die Apotheke muss durch geeignete Maßnahmen gewährleisten, dass dieses Recht erfüllt wird. Dabei sollte die Datenspeicherung bestenfalls in Deutschland, zumindest aber in der EU erfolgen. Auch die verwendeten Systeme und Anbieter spielen in puncto „Übersichtlichkeit“ eine große Rolle: Verteilen sich die Daten auf mehrere Systeme in einer Cloud, herrscht schnell Unklarheit darüber, wo sie sich befinden, wie sie abgesichert sind und wer darauf zugreifen kann. Bei der Software-Wahl bieten sich Programme an, die mit sogenannten „Change Logs“ arbeiten. Diese Funktion eröffnet die Möglichkeit, Änderungen der Daten im System zu protokollieren und gleichzeitig nachzuvollziehen, wer wann welche Änderungen vorgenommen hat. Nimmt ein Kunde sein Recht auf Datenlöschung („Recht auf Vergessenwerden“) in Anspruch, so informieren rechtskonforme Tools auch angedockte Systeme über diesen Vorgang.

Weiterhin fordert die DS-GVO Unternehmen dazu auf, den Kunden auf Anfrage sämtliche über sie gespeicherten Daten innerhalb von 30 Tagen zur Verfügung zu stellen. Das fällt insbesondere dann schwer, wenn personenbezogene Daten in verschiedenen Systemen („Silos“) verstreut liegen. Die Auskunftspflicht können Sie nur dann zügig und umfassend erfüllen, wenn es die Gesamtheit Ihrer Systeme erlaubt, alle auf eine Person bezogenen Profildaten auf Knopfdruck zu exportieren und Ihrem Kunden gebündelt zur Verfügung zu stellen.

Auch hierfür existieren Tools, die vollautomatisch alle gespeicherten personenbezogenen Daten – auch aus angedockten Systemen – ausspielen können. Dies geschieht in einem maschinenlesbaren Dateiformat (z.B. als Comma-Separated-Values [CSV]-Datei). Die Daten lassen sich anschließend mit geringem Aufwand und auf sicherem Weg an andere Systeme übertragen.

Die sogenannte „Creepy Line“ beschreibt eine imaginäre Grenze: Wenn sie überschritten wird, fühlen sich die Kunden „gläsern“. Denn wer zu detailliert und zu individualisiert angesprochen wird, empfindet das oft als Eindringen in den „privaten Schutzraum“ – selbst wenn er zuvor seine Einverständniserklärung für eine werbliche Datennutzung gegeben hat.

Leider existiert keine klare Definition darüber, wo genau die „Creepy Line“ verläuft, denn jeder Mensch steckt seine eigenen Grenzen ab. Digitales Marketing hat sich daher zu einem Drahtseilakt zwischen personalisierter Ansprache und „Zu-nahe-Treten“ entwickelt. Wie mag sich ein Kunde fühlen, wenn Sie ihn auf ein aktuelles Leiden ansprechen, ohne dass er dieses zuvor im persönlichen Gespräch erwähnt hat? Gerade im Pharmabereich ist besondere Vorsicht geboten, weil bestimmten Beschwerden (wie z.B. Mundgeruch oder Erektionsstörungen) Tabus anhaften. Gleiches gilt auch für das digitale Umfeld: Stellen Sie sich vor, Sie als Apothekenkunde erhalten plötzlich E-Mails zum Thema Vaginalpilz, kurz nachdem Sie eine entsprechende Salbe bestellt haben.

Deswegen hier ein paar Tipps, die Ihnen helfen können, die „Creepy Line“ nicht zu überschreiten:

• Bitten Sie Ihre Kunden, die vorab der Ansprache per Mail zugestimmt haben, um Feedback zu Ihrer Personalisierungsstrategie: Fühlen sie sich wertgeschätzt oder eher belästigt und überwacht?
• Vermeiden Sie es, kritische Daten (z.B. zu Krankheiten) für die Personalisierung zu nutzen. Setzen Sie stattdessen lieber auf personalisierte Gesundheits- oder Ernährungstipps, die erfahrungsgemäß von vielen Kunden positiv aufgenommen werden.
• Nutzen Sie nur die Daten, die Ihnen ein Kunde selbst zur Verfügung gestellt hat. Gegenüber Daten aus Quellen Dritter sollten Sie grundsätzlich skeptisch sein. Denn der Kunde weiß eventuell nicht, dass sie weitergegeben wurden. Und die Frage nach der rechtlichen Zulässigkeit müssten Sie sich überdies stellen.
• Nutzen Sie ein zertifiziertes E-Mail-Marketing-System aus Deutschland und verschicken Sie verschlüsselte E-Mails.
• Sensibilisieren Sie alle Mitarbeiter, die mit kundenbezogenen Daten zu tun haben.

Am Ende sollten Sie sich stets selbst fragen, was Sie aus Kundensicht als angemessen empfinden, und dann alle ergriffenen Maßnahmen offen, z.B. im Gespräch oder auf Ihrer Homepage, kommunizieren. Damit zeigen Sie, dass Ihnen der Datenschutz ein wichtiges Anliegen ist, und steigern so das Vertrauen der Kunden in Ihre Apotheke nachhaltig.

Andres Dickehut, Geschäftsführender Gesellschafter, Consultix GmbH, 28195 Bremen, E-Mail: info@consultix.net