Was Sie dürfen, was Sie sollten, was Sie lassen sollten
Daten sammeln und nutzen, ohne gegen Datenschutzgesetze zu verstoßen: Das ist kein Widerspruch. Dieser Artikel erklärt, was First-Party-Daten sind, warum sie für den Handel wichtiger werden und wie Sie sie DSGVO-konform erheben und einsetzen.
Hinweis: Dieser Artikel gibt eine Orientierung, ersetzt aber keine Rechtsberatung. Bei konkreten Fragen sollten Sie Ihren Datenschutzbeauftragten oder einen spezialisierten Anwalt konsultieren.
Was sind First-Party-Daten?
First-Party-Daten sind Daten, die Sie selbst erheben. Direkt, aus erster Hand, in Ihrer Beziehung zum Kunden. Das unterscheidet sie von Second-Party-Daten, die ein Partner erhebt und mit Ihnen teilt, und von Third-Party-Daten, die Dritte sammeln und verkaufen.
Datentypen im Überblick:
First-Party-Daten: Selbst erhoben, direkt vom Kunden
Beispiele: Kaufhistorie, Newsletter-Anmeldung
Second-Party-Daten: Von Partner erhoben und geteilt
Beispiele: Daten von Kooperationspartnern
Third-Party-Daten: Von Dritten gekauft, unklare Herkunft
Beispiele: Adresshändler, Cookie-Daten
Im Einzelhandel sind typische First-Party-Daten: Transaktionsdaten aus dem Kassensystem, Kundenkarten-Informationen, Newsletter-Anmeldungen, App-Nutzungsdaten, Registrierungen für Treueprogramme und Kontaktdaten aus Reklamationen oder Anfragen.
Warum First-Party-Daten jetzt wichtiger werden
Die Werbe- und Marketingwelt verändert sich. Third-Party-Cookies, jahrelang die Grundlage für personalisierte Werbung im Internet, werden von Browsern blockiert. Apple hat das Tracking auf iOS stark eingeschränkt. Die DSGVO macht den Umgang mit Third-Party-Daten kompliziert und riskant.
Die Konsequenz: Wer sich auf fremde Daten verlässt, verliert die Grundlage. Wer eigene Daten erhebt, behält die Kontrolle. First-Party-Daten sind das neue Gold, weil sie Ihnen gehören, weil Sie wissen, woher sie kommen, und weil Sie sie rechtssicher nutzen können.
Für den stationären Handel ist das eine Chance. Sie haben den direkten Kundenkontakt. Sie sehen das echte Kaufverhalten. Sie können Daten erheben, die Online-Händler nur erahnen können. Die Frage ist: Nutzen Sie diese Position?
Was erlaubt ist: Die Rechtsgrundlagen
Die DSGVO verbietet nicht das Erheben von Daten. Sie verlangt, dass es eine Rechtsgrundlage gibt und dass Betroffene informiert werden. Für den Handel sind vier Rechtsgrundlagen relevant.
1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Daten, die Sie brauchen, um einen Vertrag zu erfüllen, dürfen Sie ohne zusätzliche Einwilligung verarbeiten. Im Handel bedeutet das: Transaktionsdaten dürfen Sie speichern, weil sie zum Kaufvertrag gehören. Lieferadressen dürfen Sie nutzen, um die Ware zuzustellen.
Beispiel: Ein Kunde kauft einen Fernseher mit Lieferung. Name, Adresse und Kaufdetails dürfen Sie speichern und für die Lieferung nutzen. Keine Einwilligung nötig.
2. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Wenn Sie ein berechtigtes Interesse haben und die Interessen des Kunden nicht überwiegen, dürfen Sie Daten verarbeiten. Das ist die flexibelste, aber auch die anspruchsvollste Grundlage. Sie müssen dokumentieren, warum Ihr Interesse berechtigt ist und warum es die Kundeninteressen nicht überwiegt.
Beispiel: Aggregierte Warenkorbanalysen zur Sortimentsoptimierung sind in der Regel durch berechtigtes Interesse gedeckt, wenn keine personenbezogenen Profile entstehen.
3. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Die klassische Grundlage für Marketing: Der Kunde stimmt aktiv zu. Die Einwilligung muss freiwillig, informiert, spezifisch und eindeutig sein. Vorangekreuzte Kästchen gelten nicht. Die Einwilligung kann jederzeit widerrufen werden.
Beispiel: Newsletter-Anmeldung mit Double-Opt-in. Der Kunde trägt seine E-Mail ein, bestätigt den Link in der Bestätigungsmail, fertig.
4. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Manche Daten müssen Sie speichern, weil Gesetze es verlangen. Steuerlich relevante Belege müssen aufbewahrt werden. Hier besteht nicht nur ein Recht, sondern eine Pflicht zur Speicherung.
Beispiel: Rechnungsdaten müssen Sie zehn Jahre aufbewahren, das verlangt das Steuerrecht. Das ist keine DSGVO-Verletzung, sondern gesetzliche Pflicht.
5 Dos: Was Sie tun sollten
✓ DO 1: Transparenz schaffen
Informieren Sie Kunden klar und verständlich, welche Daten Sie erheben und wofür. Das schafft Vertrauen und ist rechtlich erforderlich.
✓ DO 2: Zweckbindung einhalten
Nutzen Sie Daten nur für den Zweck, für den sie erhoben wurden. Newsletter-Adressen sind für Newsletter da, nicht für Kaltakquise per Telefon.
✓ DO 3: Datenminimierung praktizieren
Erheben Sie nur, was Sie wirklich brauchen. Das Geburtsdatum für die Newsletter-Anmeldung? Unnötig, also nicht fragen.
✓ DO 4: Einwilligungen dokumentieren
Speichern Sie, wann und wie der Kunde zugestimmt hat. Im Streitfall müssen Sie das nachweisen können.
✓ DO 5: Löschkonzept umsetzen
Definieren Sie, wann Daten gelöscht werden, und setzen Sie das automatisiert um. Daten auf Vorrat halten ist nicht erlaubt.
5 Don’ts: Was Sie lassen sollten
✗ DON’T 1: Daten kaufen
Third-Party-Daten sind ein rechtliches Minenfeld. Sie wissen nicht, wie sie erhoben wurden. Finger weg.
✗ DON’T 2: Stillschweigende Einwilligung annehmen
Wer nichts sagt, hat nicht zugestimmt. Vorangekreuzte Boxen sind keine Einwilligung. Opt-out-Verfahren sind nicht DSGVO-konform.
✗ DON’T 3: Daten weitergeben ohne Grundlage
Auch an Partner dürfen Sie Kundendaten nur weitergeben, wenn eine Rechtsgrundlage besteht, in der Regel die Einwilligung des Kunden.
✗ DON’T 4: Tracking ohne Information
Auch auf der eigenen Website oder in der eigenen App müssen Sie über Tracking informieren und in vielen Fällen eine Einwilligung einholen.
✗ DON’T 5: Auskunftsanfragen ignorieren
Kunden haben das Recht zu erfahren, welche Daten Sie über sie haben. Ignorieren Sie solche Anfragen nicht, das kann teuer werden.
Einwilligung richtig einholen
Die Einwilligung ist der Königsweg: Wenn der Kunde informiert zustimmt, dürfen Sie fast alles. Aber die Anforderungen sind streng.
Freiwillig: Der Kunde darf keinen Nachteil haben, wenn er ablehnt. Der Kauf darf nicht von der Newsletter-Anmeldung abhängen.
Informiert: Der Kunde muss wissen, wozu er zustimmt. Allgemeine Formulierungen wie „für Marketingzwecke“ genügen nicht.
Spezifisch: Für unterschiedliche Zwecke brauchen Sie unterschiedliche Einwilligungen. Newsletter und Profiling sind nicht dasselbe.
Eindeutig: Eine aktive Handlung ist erforderlich. Ein Häkchen setzen, einen Button klicken, ein Formular absenden.
Widerrufbar: Der Widerruf muss so einfach sein wie die Einwilligung. Ein Abmeldelink in jeder E-Mail, ein Klick in den Einstellungen.
Anonymisierung vs. Pseudonymisierung
Anonymisierung: Kein Rückschluss auf eine Person möglich. Die DSGVO gilt nicht.
Pseudonymisierung: Rückschluss mit Zusatzinformationen möglich. Die DSGVO gilt weiterhin.
Für die Praxis bedeutet das: Wenn Sie Warenkorbanalysen durchführen, ohne sie auf einzelne Kunden zurückführen zu können, arbeiten Sie mit anonymisierten Daten. Die DSGVO greift dann nicht. Wenn Sie aber eine Kunden-ID mitführen, auch wenn Sie den Namen nicht sehen, sind die Daten nur pseudonymisiert und die DSGVO gilt weiter.
Praktische Umsetzung im Handel
Transaktionsdaten
Kassendaten ohne Personenbezug dürfen Sie frei analysieren. Warenkorbgrößen, Peak-Zeiten, Produktaffinitäten, all das ist unproblematisch, solange keine Kunden-ID dabei ist. Mit Kundenkarte wird es personenbezogen. Dann brauchen Sie eine Rechtsgrundlage, typischerweise das berechtigte Interesse oder die Einwilligung bei Anmeldung zum Treueprogramm.
Digitaler Kassenbon
Der digitale Kassenbon ist ein eleganter Touchpoint. Der Kunde gibt aktiv seine E-Mail oder Telefonnummer an, um den Beleg zu erhalten. Das ist eine klare Handlung, die als Einwilligung für den Belegversand gilt. Für darüber hinausgehende Nutzung, etwa Marketing, brauchen Sie eine separate, ausdrückliche Einwilligung.
Kundenkarten und Treueprogramme
Bei der Anmeldung zum Treueprogramm können Sie weitreichende Einwilligungen einholen. Der Kunde erhält einen Vorteil, Punkte, Rabatte, Exklusivangebote, und Sie erhalten die Erlaubnis, sein Kaufverhalten zu analysieren. Wichtig: Die Einwilligung muss spezifisch sein. Welche Daten werden erhoben? Was passiert damit? Wie lange werden sie gespeichert?
Compliance-Checkliste
Prüfen Sie diese Punkte:
☐ Datenschutzerklärung ist aktuell und vollständig
☐ Verarbeitungsverzeichnis ist geführt
☐ Einwilligungen werden dokumentiert und sind nachweisbar
☐ Löschfristen sind definiert und werden eingehalten
☐ Auftragsverarbeiter-Verträge sind vorhanden
☐ Datenschutzbeauftragter ist bestellt (falls erforderlich)
☐ Prozess für Auskunftsanfragen ist etabliert
☐ Mitarbeiter sind geschult
Fazit: Datenschutz als Wettbewerbsvorteil
Datenschutz ist keine Bremse, sondern ein Qualitätsmerkmal. Wer Kundendaten sauber erhebt und transparent nutzt, baut Vertrauen auf. Vertrauen ist die Grundlage für Datenfreigabe. Je mehr der Kunde Ihnen vertraut, desto eher teilt er Informationen mit Ihnen.
Die Zukunft gehört den First-Party-Daten. Wer sie heute DSGVO-konform aufbaut, hat morgen einen Wettbewerbsvorteil. Wer auf Third-Party-Daten setzt, steht bald ohne Grundlage da.
Datengetrieben und datenschutzkonform: Das ist kein Widerspruch. Das ist die einzig nachhaltige Strategie.
