Neulich hat mich meine Bank angerufen (nicht von einer Durchwahlnummer, sondern von irgendeiner Nummer, vermutlich vom Dienstleister, der die Telefonie-Infrastruktur stellt). Als ich nach wenigen Minuten zurückgerufen habe, kam nur ein matronenhaft bayerisch freundliches „gehms ma moi die Kontonummer“ – klar Datenschutz geht vor. Interessanterweise legen Datenschützer eine Telefonnummer als personenbezogenes Datum aus – wenn ich aber von einer Telefonnummer anrufe, genügt das nicht. Ja, was denn nun?

Ich möchte hier gar nicht auf Datenschutzvorschriften im Detail eingehen (das mache ich mit Michael Schlagintweit und Stefan Kolle in der BoXenstopp Expertenrunde Personalisierung & Datenschutz – Empfehlungen und Fallbeispiele am 7. November 2023), sondern zum Dialog aufrufen: immer wieder höre ich in Gesprächen mit Kunden heraus, dass Datenschutzrollen als „Einbahnstraße“ wahrgenommen werden: man lässt Informationen über Datenfelder und Schutzniveau abnicken (oder „bewerten“), gibt aber keinen Kontext. Zuletzt habe ich bei einem internationalen Konzern eine sehr aufwendige Architekturbeschreibung bekommen, um vermeintliche lokale Datenschutzanforderungen zu erfüllen. Meine Nachfrage, ob das so sein muss, wurde bejaht. Meine weiteren Rückfragen, ob man das denn mal mit Datenschutz diskutiert hat, verneint: der fachliche Anforderer hat das juristisch prüfen lassen und so angefordert.

Wie sagt man: zwei Juristen, drei Meinungen – gerade, weil es eben doch drauf ankommt. Darf die Fluggesellschaft mir Werbe-SMS schicken? Darf die Fluggesellschaft mir auch ohne explizite Zustimmung eine SMS schicken, wenn der Flug ausfällt oder sich das Gate spontan ändert?

Ein für CX spannender Punkt ist die sogenannte Profilbildung – wer erwartet welchen Service? Kanalaffinität: will der Kunde eher im Voicebot oder auf einen Mitarbeiter warten? Kommt der Kunde mit Verweis auf Portal eher gut oder schlecht zurecht? Wollen wir denselben Voicebot-Dialog für mich (der in der Banking-App gerade eine Fehlermeldung bekommt) wie für meinen Nachbarn, der Überweisungsaufträge noch in der Filiale einwirft? Wie gehen wir mit dem Kunden um, der zum fünften Mal innerhalb von zwei Tagen anruft? Voicebot-Dialog abkürzen und direkt zum Mitarbeiter?

Hier muss man zwingend frühzeitig das Gespräch suchen – wofür will man Profile bilden? Welche Entscheidungen werden aufgrund der Profile getroffen, nutzt es oder stört es den Kunden?

Meiner Erfahrung nach ist eine frühe Einbindung des Datenschutzes hilfreich: wir haben teilweise schon vor den ersten Demos Gespräche geführt (z. B. bei einer Landesbank) und den Verwendungszweck, der für die letztlich zu treffende Abwägung notwendig ist, erklärt und diskutiert und in kürzester Zeit positive Indikationen und wertvolle Leitplanken bekommen.

Meinen ersten Kontakt mit Juristerei und Datenschutz hatte ich bei Prof. Dr. Marie-Theres Tinnefeld während meines Studiums an der FH München. Die war echt nett – das sind die meisten Datenschützer – wenn man die Hausaufgaben gemacht hat und die Fragen nach persönlich identifizierbaren Informationen, Speicherorten, Schutzniveau und eben dem Verwendungszweck beantworten kann.

Wenn es gut läuft, fängt das Wochenende anschließend etwas früher an.

Frage: Wie haltet Ihr es mit Eurem Datenschützer? Lästiges Compliance-Thema oder mehrwertige Diskussion?

RefleXionen - die Kolumne über Business, IT, Kunden und alles, was dazwischen passt.

Photo by KAL VISUALS on Unsplash