Soziale Netzwerke bieten für Unternehmen einen reichen Fundus an verwertbaren Kundendaten. Allerdings müssen bei der Analyse von sozialen Bindungen rechtliche Vorgaben eingehalten werden, beispielsweise im Hinblick auf den Datenschutz. [...]
Die Methoden zur Analyse von Sozialen Netzwerken werden immer leistungsfähiger. Anbieter von Datenanalyse-Software bieten inzwischen ausgereifte Komponenten für die Analyse großer Netzwerke an, auch Open-Source-Projekte haben entsprechende Instrumente geschaffen. Unternehmen können sich diese Entwicklungen zunutze machen, selbst wenn sie keine Internet-Communities unterhalten.
Firmen betrachten ihre Kunden im Hiblick auf Customer Relationship Management (CRM) heute zumeist als isoliert agierende Individuen. Die Kommunikation der Kunden untereinander werden für Marketing, Vertrieb oder Risiko-Management nur sehr selten berücksichtigt.
Ist die Nutzung von Daten über soziale Bindungen zwischen Kunden technisch möglich? Haben Unternehmen die dafür notwendigen Informationen? Ist die Analyse der Daten auch datenschutzrechtlich zulässig? Diese Fragen sollen im Folgenden näher beleuchtet werden.
Datenquellen für die Netzwerkanalyse
Um Informationen über Kundennetzwerke nutzen zu können, müssen diese Informationen zunächst datentechnisch erschlossen werden. Ein generell einsetzbares Verfahren ist die Dublettenprüfung auf Haushalts- und Hausebene. So erkennt man Familien- und Wohnverbünde, in denen die Kommunikationsdichte besonders hoch ist. Diese sind besonders gut geeignet für die Informationsverbreitung.
Weitere Datenquellen sind, abhängig nach Branchen, meist zahlreich vorhanden. Viele Unternehmen setzen zur Neukundengewinnung Empfehlungsprogramme ein. Der im Rahmen eines solchen Programms geworbene Kunde und der werbende Kunde kennen sich offensichtlich. In der Telekommunikationsbranche liegen Verbindungsdaten vor. Im Versandhandel gibt es oft Rabatte für Gemeinschaftsbesteller. Für den Firmenkundenbereich gibt es spezialisierte Dienstleister, die Daten über Beteiligungen und Konzernverflechtungen anbieten.
Diese Beispiele zeigen, dass in vielen Fällen bereits Daten über Kundenverbindungen vorliegen, mit wenig Aufwand aus vorliegenden Daten abgeleitet werden oder aus externen Quellen beschafft werden können.
CRM – Kunden werben Kunden
Manche Kunden sind für das Unternehmen wertvoller als andere, und zwar nicht (nur), weil sie besonders viel zum Umsatz oder zum Gewinn beitragen, sondern wegen ihrer sozialen Kontakte zu anderen Kunden. Zufriedene Kunden mit einem großen persönlichen sozialen Netzwerk verbreiten Informationen glaubwürdiger als dies durch Massenkommunikation des Unternehmens jemals möglich wäre. Einem guten Bekannten oder Freund glaubt man im Normalfall eher als einem Unternehmen, selbst wenn die Werbung noch so persönlich gestaltet ist. Aber Vorsicht: Auch für das Unternehmen unerwünschte, negative Botschaften werden durch Netzwerke effektiv weitergegeben.
Wie man es richtig macht, zeigt ein klassisches Beispiel: Das Unternehmen Tupperware baut seinen Vertrieb fast ausschließlich auf Multiplikatoren auf. Kunden laden Freunde und Bekannte zu „Tupperparties“ zu sich nach Hause ein. Dort werden von einem Tupperware-Mitarbeiter neue und bewährte Produkte vorgestellt, die direkt vor Ort bestellt werden können. Der Ausrichter der Party (der „Multiplikator“) erhält – abhängig vom Gesamtumsatz der Party – einen Warengutschein von Tupperware. Der Gastgeber bekommt eine zusätzliche Prämie für jeden Gast, der seinerseits eine Party ausrichtet. Durch dieses Anreizsystem werden systematisch über die Netzwerke zufriedener Kunden neue Kunden gewonnen.
Betrug erkennen, Zahlungsausfälle vermeiden
Betrug wird gerade in wirtschaftlich schwierigen Zeiten zu einem zunehmenden Problem. Eine automatisierte, computergestützte Betrugserkennung ist für Unternehmen vor allem im Massengeschäft unabdingbar. Hier können Netzwerk-Analysen oft entscheidende Beiträge liefern.
Ausgehend von einem erkannten Betrugsfall kann man etwa das lokale Netzwerk eines entlarvten Betrügers nach weiteren Auffälligkeiten durchsuchen. So wird der Suchraum erheblich eingeschränkt und die Chancen, bislang unentdeckte Fälle zu finden, steigen erheblich. Auch die Mustererkennung in Netzwerken („Graph Mining“) kann helfen, Betrugsversuche zu erkennen. Dabei werden Muster in der Struktur des Kunden-Netzwerkes genutzt, um Verdachtsfälle aufzudecken.
Die Risikosteuerung kann von Netzwerkanalysen ebenfalls profitieren. Das bekannte Konzept des Gesamtengagements eines Kunden lässt sich beispielsweise auf Familienverbünde erweitern. Da Familien oft eine wirtschaftliche Einheit bilden, muss das Kreditengagement beziehungsweise das daraus resultierende Risiko im Gesamten betrachtet werden.
Finanzielle Beziehungen und Abhängigkeiten zwischen Unternehmen führen zu Abhängigkeiten der Kreditrisiken. Die Struktur des Netzwerks eines Unternehmens hat großen Einfluss auf die Anfälligkeit für extern verursachte Risiken. Im Extremfall kann bei hochvernetzten Unternehmen das ganze Netzwerk zusammenbrechen, wenn nur ein Unternehmen in Schwierigkeiten gerät. Man spricht dabei auch von „credit contagion“, also der „Ansteckung“ von Krediten. Die Bewertung der Verbindungen zwischen Firmenkunden sollte deshalb immer Bestandteil der Risikosteuerung sein.
Datenschutz beachten
Wie bei jeder Form der Kundendatenverarbeitung spielt das Thema Datenschutz auch bei der Analyse und Nutzung von Daten über Beziehungen zwischen Kunden eine große Rolle. Das deutsche Datenschutzrecht schränkt die Möglichkeiten der Verarbeitung personenbezogener Daten in Unternehmen zum Teil erheblich ein.
Zweck des Datenschutzrechtes ist es, das vom Bundesverfassungsgericht im so genannten „Volkszählungsurteil“ von 1983 aus dem Grundgesetz abgeleitete „Recht auf informationelle Selbstbestimmung“ sicherzustellen. Dieses Recht ermöglicht es grundsätzlich jedem Bürger, für sich selbst zu bestimmen, welche persönlichen Informationen über ihn gespeichert, verarbeitet und genutzt werden – sei es von Behörden oder privatwirtschaftlichen Unternehmen.
Die wesentliche Rechtsgrundlage in Deutschland ist das Bundesdatenschutzgesetz (BDSG), das seit seiner Erstfassung von 1977 mehrfach novelliert wurde, zuletzt im Jahr 2009.
Grundprinzipien des BSDG
Das BDSG regelt ausschließlich den Umgang mit personenbezogenen Daten. Das bedeutet zum einen, dass nur Privatpersonen gesetzlichen Schutz vor der unkontrollierten Verarbeitung ihrer Daten genießen. Für juristische Personen, das heißt unter anderem Unternehmen, gilt dieser Schutz nicht. Im Firmenkundengeschäft hat der Datenschutz also eine untergeordnete Bedeutung und spielt beispielsweise dann eine Rolle, wenn Daten über Geschäftsführer, persönliche Gesellschafter oder Beschäftigte, also über beteiligte Personen, gespeichert werden. Unkritisch im Sinne des Datenschutzes dagegen ist die Speicherung und Verarbeitung von Daten über das Unternehmen selbst.
Damit können zum einen die oben genannten Anwendungen der Netzwerkanalyse bei der Risikosteuerung im Firmenkundengeschäft problemlos angewendet werden. Zum anderen wird nur der Umgang mit Daten geregelt, die eine bestimmte, identifizierbare Person betreffen. Im Sinne des BDSG ist also die Verarbeitung von anonymen Daten, die zwar eine Person betreffen, die aber keinerlei Rückschlüsse auf die Identität der Person zulassen, erlaubt.
Im Einzelhandel werden Kunden manchmal an der Kasse nach ihren jeweiligen Postleitzahlen gefragt, die dann zusammen mit den Listen der jeweils gekauften Waren gespeichert werden. Diese Informationen werden zu Analysezwecken gesammelt, zum Beispiel um das Produktsortiment zu optimieren. Die dabei gespeicherten Daten betreffen zwar bestimmte Personen (die Kunden), deren Identität aber unbekannt ist. Die Daten sind also anonym und können bedenkenlos verarbeitet werden.
Die Verarbeitung einer Information kann demnach je nach Informationsstand für einen Nutzer unzulässig sein (wenn der Nutzer zusätzliche Informationen hat, mit deren Hilfe er auf die Identität der betreffenden Person schließen kann), für einen anderen Nutzen aber zulässig (wenn er keine derartigen Informationen hat).
Oft ist es möglich, durch Anonymisierung oder Pseudonymisierung Daten so zu modifizieren, dass ihre Nutzung zulässig ist. Bei der Anonymisierung werden alle Informationen aus den zu speichernden Daten dauerhaft entfernt, die zur Identifizierung der dahinter stehenden Person notwendig sind. Rückschlüsse auf die Person sind also nicht mehr möglich und der Verwendung der Daten steht aus rechtlicher Sicht nichts mehr im Wege.
Pseudonymisierte Daten enthalten ebenfalls keine Merkmale mehr, aus denen die Identität der Person erkennbar wäre, jedoch kann über ein Pseudonym (z.B. einen künstlichen Referenzschlüssel) der Bezug auf die betreffende Person wieder hergestellt werden. Pseudonymisierung wird neben der Anonymisierung im BDSG explizit als gewünschtes Verfahren genannt und kann die ansonsten unzulässige Verarbeitung von Daten in bestimmten Bereichen (z.B. Planung, Statistik) ermöglichen.
Pseudonymisierung ist insbesondere für Verfahren zur Visualisierung und Kennzahlenberechnung für soziale Netzwerke ein wirkungsvolles Mittel. Der Analyst braucht die Identität der Netzwerkteilnehmer nicht zu kennen, um Aussagen über deren Rolle im Netzwerk abzuleiten. Ihm reichen also pseudonymisierte Daten aus. Gegebenenfalls kann dann für bestimmte, auf Basis der Analysen auffällig gewordene Teilnehmer die Identität wieder hergestellt werden. Wichtig ist dabei, dass die Bedingungen für die Wiederherstellung der Identität im Vorhinein genau festgelegt werden.
Anonymisierung und Pseudonymisierung sind Beispiele dafür, wie das im BDSG formulierte Gebot der Datenvermeidung und Datensparsamkeit umgesetzt werden kann. Grundsätzlich sind nach diesem Gebot niemals mehr personenbezogene Daten zu speichern, als es für die Erreichung des vorgesehenen Zwecks unbedingt erforderlich ist.
Das wichtigste Grundprinzip bei der Verarbeitung personenbezogener Daten besagt, dass die Verarbeitung grundsätzlich verboten ist; erlaubt ist sie nur dann, wenn „… [das BDSG] oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“ Es gibt zwei wesentliche Wege, die Erhebung, Verarbeitung und Nutzung persönlicher Daten zu ermöglichen.
Zulässige Verarbeitung personenbezogener Daten
Der erste Weg – wie oben bereits erwähnt – ist die Einwilligung des Betroffenen, die zusammen mit anderen Erklärungen vorgenommen werden kann – zum Beispiel in den AGB. In diesem Fall muss die Einwilligung dann aber besonders hervorgehoben werden. Diese Möglichkeit steht einem Unternehmen, das Kundendaten auf legale Weise nutzen möchte, in vielen Fällen offen und ist dann eine sichere Methode, auch die beschriebenen Anwendungen der Analyse sozialer Bindungen von Privatkunden auszuschöpfen.
Abzuwägen ist dabei, ob die Einwilligung verpflichtend oder optional formuliert werden soll. Wird sie verpflichtend formuliert, so wird dies gegebenenfalls potenzielle Kunden abschrecken. Ist sie optional, so besteht die Gefahr, dass nur wenige Kunden in die Verarbeitung ihrer Daten einwilligen und so der Wert der Daten insgesamt stark abnimmt. Gerade bei der Betrachtung sozialer Netzwerke spielt die Vollständigkeit der Daten eine große Rolle.
Der zweite Weg ist in §28 BDSG beschrieben: Die Nutzung von personenbezogenen Daten ist auch zulässig, wenn sie ein „Mittel für die Erfüllung eigener Geschäftszwecke“ darstellt. In diesem Fall ist eine Einwilligung der betroffenen Person nicht notwendig.
Nach §28 (1) ist die Datenverarbeitung zulässig, wenn diese in direktem Zusammenhang mit dem Vertrag zwischen dem Betroffenen und dem Nutzer der Daten steht, das heißt zum Beispiel wenn die Datennutzung Voraussetzung für die Erfüllung des Vertrages ist. Daraus ergibt sich aber auch, dass die Erlaubnis nicht mehr gegeben ist, wenn der Zweck des Vertrages erfüllt ist. Da die Nutzung von Kundenverbindungsdaten, wie sie oben beschrieben wurde, normalerweise nicht direkt für die Vertragserfüllung notwendig ist, ist für diesen Fall die Regelung nicht anwendbar.
§28 (2) BDSG sieht jedoch eine weitere Möglichkeit vor: Bei „berechtigten Interessen“ des Unternehmens ist die Verarbeitung personenbezogener Daten ebenfalls zulässig. Dabei ist entscheidend, vor der Verarbeitung der Daten konkret festzulegen, wozu die Daten verwendet werden sollen. Die Daten müssen für die Wahrung der berechtigten Interessen notwendig sein, es reicht also nicht aus, wenn es nur hilfreich wäre, die Daten zu nutzen, die Ziele aber auch ohne Verarbeitung der personenbezogenen Daten erreicht werden könnten.
Die meisten der in diesem Artikel genannten Anwendungen der Analyse sozialer Bindungen können einen Anlass für ein „berechtigtes Interesse“ gemäß §28 (2) bilden. Beispielsweise kann das für Anwendungen im Risikocontrolling und für Betrugserkennung und –management zutreffen, aber auch für Marketing und CRM, wenn dargelegt werden kann, dass ein bestimmter Zweck nur mit Hilfe der Nutzung von Netzwerkdaten erfüllt werden kann.
Datenschutzbeauftragten einbinden
Das deutsche Datenschutzrecht ist sehr komplex, deshalb kann hier nur ein Überblick über die Zulässigkeit der Verarbeitung von Kundenverbindungsdaten gegeben werden, der in keinem Fall Anspruch auf Vollständigkeit erhebt. Im konkreten Fall muss immer sorgfältig geprüft werden, inwieweit die jeweilige geplante Nutzung erlaubt ist.
Wenn ein Unternehmen automatisiert personenbezogene Daten verarbeitet, sieht das BDSG zwingend die Bestellung eines Datenschutzbeauftragten vor. Dieser hat die Aufgabe, die Einhaltung der Datenschutzbestimmungen im Unternehmen sicherzustellen. Er muss insbesondere immer hinzugezogen werden, wenn Daten wie oben beschrieben genutzt werden sollen. Aufgrund seiner Fachkompetenz kann und sollte er darüber beraten, wie ein geplantes Vorhaben datenschutzkonform umgesetzt werden kann.
Die Einhaltung der Datenschutzbestimmungen ist gerade für die Nutzung von Netzwerkdaten entscheidend. Eine widerrechtliche Nutzung dieser Daten kann zum einen erheblichen Image-Schaden für das Unternehmen bedeuten, zum anderen ist sie gegen den Kunden gerichtet und widerspricht somit dem CRM-Gedanken.
Nichtsdestotrotz sollten Unternehmen die neuen Möglichkeiten, die sich durch die legale Nutzung von Netzwerkdaten ergeben, entschlossen nutzen. Das zusätzliche Wissen kann in Marketing und CRM, aber auch im Risikomanagement und bei der Betrugsbekämpfung wichtige, bisher noch nicht bekannte Informationen liefern. Die systematische Analyse sozialer Bindungen wird sich in vielen Fällen lohnen.
Hinweis: Das ausführliche White Paper zum Thema „Analyse sozialer Bindungen: Über Netzwerkdaten zu mehr Kundenwissen“ steht zum kostenlosen Download zur Verfügung oder kann als Broschüre bei mayato angefordert werden.
* Peter Gerngross ist Experte für Data Mining, Business Intelligence und Analytisches CRM beim Analysten- und Beraterhaus Mayato. Der Artikel ist auf Computerwoche.de erschienen.
Be the first to comment