Betrachtet man die jüngsten Entwicklungen rund um das Thema Datenschutz, wird deutlich, dass europäische Unternehmen dem aggressiven Wettbewerb aus Ost und West nur dann etwas entgegen setzen können, wenn der Spagat zwischen einer datenschutzkonformen, innovativen, und geschäftsfördernden Datenverarbeitung gelingt. Zusätzliche Konkurrenz entsteht dabei durch heimische, disruptive Start-Ups, in deren Produkte und Dienstleistungen eine fortschrittliche Nutzung von Daten bereits per Design integriert wurden.
Rechtliche Aspekte verhindern zu oft die vollständige Nutzung von Marketing- und Kundendaten
Datengetriebenes Marketing ist weder für das Marketingteam und die Geschäftsführung, noch für Juristen leicht zu durchschauen. Kein Wunder also, dass allein die Gedanken an die Planung und Implementierung einer neuen Datenplattform oder Marketing-Software bei vielen zu Unwohlsein führt. Hat man sich schließlich überwunden, werden schwierige und knifflige Grundsatzentscheidungen häufig bis zu dem Punkt heraus gezögert, bis das Go-Live kurz bevorsteht. Zu oft kann das Go-Live dann nicht wie geplant stattfinden, und es müssen erhebliche Änderungen vorgenommen werden, die den ursprünglich geplanten Zeitplan verlangsamen. Besonders bei Unternehmen mit einer eher konservativen und risikoaversen Firmenkultur in Bezug auf Datenschutz und Compliance können solche Probleme beobachtet werden.
"Wenn man den Datenschutz nicht von Anfang an in die Prozessgestaltung einbezieht, kann das langfristige Schwierigkeiten in Bezug auf eine nachhaltige Einhaltung des Datenschutzes haben, was im Laufe der Zeit zu einer geringeren Wettbewerbsfähigkeit führt."
Deshalb setzen wir bei Avaus auf den "Privacy-First" Ansatz, um unseren Kunden neben Wettbewerbsvorteilen auch Agilität zu verschaffen. Dies geschieht in der Praxis durch Einsatz der "Privacy by Design"-Methodologie, und zwar in der gesamten, kompetenzübergreifenden Organisation, vom ersten Tag an.
Mit dem "Privacy First"-Ansatz in Kundengespräche zu gehen, hat zunächst einmal viele Fragen aufgeworfen, mich in meiner Überzeugung über dessen Wirksamkeit jedoch nur bestärkt. Denn es wird immer deutlicher, dass die Datenschutzbehörden die Einhaltung der Vorschriften für die Erhebung und Aktivierung von Marketingdaten gemäß der DSGVO verfolgen, während die jüngste Fassung der Datenschutzrichtlinie e-Privacy auch andere Auslegungen zulässt. Nicht zu vergessen, dassdie Ungültigkeitserklärung des EU-US Privacy Shields die Umstände im kommenden Herbst nicht einfacher machen wird. Schaut man sich die Technologielandschaft vieler skandinavischer Unternehmen an, stellt sich immer die Frage, wo die Rechtsgrundlage für die Datenverarbeitung definiert oder die Einwilligungen in einem operativen Format gespeichert sind.
Privacy-by-Design Methodologien in der Praxis
Die Methodologie des "Privacy by Design" wurden nicht erst kürzlich erfunden, werden aber in der Praxis noch recht selten angewandt. Die Organisation IAPP hat gute Arbeit bei der Formulierung der sieben Grundprinzipien von Privacy by Design geleistet. Ich werde sie kurz erläutern und konkrete Beispiele dafür geben, wie sie in der Praxis zur Gestaltung von Prozessen rund um datengesteuertes Marketing eingesetzt werden können. Für eine ausführlichere Beschreibung finden Sie oben einen Link zur offiziellen Formulierung.
1. Proaktivität: Der Ansatz, ob in Bezug auf datenschutzrelevante Fragen proaktiv oder reaktiv vorgegangen werden sollte, ist der größte Unterschied zwischen der Art, wie Unternehmen konventionellen arbeiten, und der Art, wie Unternehmen Privacy First in den Vordergrund stellen. Zur nachhaltigen Wandel bedarf es zwar die Unterstützung der gesamten Organisation, der erste Impuls kann aber auch von einer Anwältin ausgelöst werden, die ein natürliches Interesse an Daten und Technologie hat und anschließend früh in den Prozess einbezogen wird. Ich selbst habe die Erfahrung machen dürfen, fünf Jahre lang eng mit einer Anwältin zusammen zu arbeiten. Obwohl die ersten sechs Monate von eher grundlegendem Wissensaustausch geprägt waren, hatte diese Anwältin nach wenigen Jahren bereits mehr Expertise in Daten und Technologie aufbauen können als viele Digital Manager oder Direktoren, die ich kenne.
"Als Organisation oder Führungskraft können Sie dieses Verhalten leichter fördern oder im Falle des Falles sogar erzwingen."
2. Datenschutz als Standardeinstellung: Der Zweck der Datenerhebung, die Begrenzung und Minimierung der Datenerhebung und die Einhaltung der Aufbewahrungsvorschriften sind die grundlegenden Anforderungen, die sich aus den europäischen Datenschutzvorschriften ergeben. Obwohl das Sammeln, Speichern und Verarbeiten riesiger Datenmengen aus technischer Sicht eine triviale Frage geworden ist, behaupte ich, dass es aus Sicht der organisatorischen Ressourcen nicht trivial ist. Je mehr man versucht, Daten zu sammeln, desto komplexer werden die Datensätze, was wiederum höhere Kosten für Ressourcen und Wartung bedeutet.
Heutzutage ist es verlockend, alle möglichen Informationen zu sammeln und zu speichern, mit dem Motiv, dass sie irgendwann einmal gebraucht werden könnten. Der wachsende Trend zu Data Lakes ist ein Beleg für diesen Trend. Wenn Sie Ihre Datenerfassung auf einen bestimmten Zweck beschränken, tun Sie nicht nur selbst einen Gefallen, sondern erfüllen auch die Vorgaben bezüglich Compliance. Mehr Daten bedeuten nicht klügere Daten, tatsächlich würde ich genau das Gegenteil behaupten. Die Menge der Daten, die Sie zu sammeln versuchen, spiegelt oft auch den Grad der Agilität wider: Je mehr Sie zu sammeln versuchen, desto weniger agil sind Sie und folglich kann sich die Entwicklungsgeschwindigkeit verringern.
3. Datenschutz eingebettet in das Design3. Datenschutz eingebettet in das Design: Ich glaube, dass dies die stärkste Komponente ist, um den Datenschutz in einen Katalysator zu verwandeln, wenn es darum geht, die von der Technologie gebotenen Möglichkeiten zu verstehen und auf innovative Weise zu nutzen. Man könnte es sogar als Kunst bezeichnen, ein Gleichgewicht zu finden zwischen der Achtung der Privatsphäre und der Nutzung der Möglichkeiten, die die neuesten Technologien bieten. Um ein paar Beispiele zu nennen:
-
-
- DieBündelung von Daten und die Kontrolle ihrer Nutzung über eine Zugriffsebene ist ein wirksamer Mechanismus, um sicherzustellen, dass Sie Ihre Daten zunächst auf der Grundlage verschiedener Use Cases, Rechtsgrundlagen und Möglichkeiten der Datenkombination bei der Verarbeitung organisiert haben. Ohne zu viel Bürokratie aufzubauen, ist dies eine Möglichkeit, die Datennutzung im Sinne der Effizienz zu standardisieren und gleichzeitig Maßnahmen zur Risikominderung für die Einhaltung der Vorschriften zu ergreifen.
-
-
-
- Auch wenn Sie auf der Grundlage eines berechtigten Interesses rechtliche Gründe für die Erhebung bestimmter Daten haben, kann der Zugang zu diesen Daten für spezifische Zwecke und Nutzer stark eingeschränkt werden. Gleichzeitig können dieselben Daten in aggregierter Form für einen anderen Zweck verwendet werden, die keine Rückschlüsse auf die Identität der betroffenen Personen zulässt. Gute Datenschutzpraktiken erfordern eine vollständige Transparenz dieser Verarbeitungstätigkeiten, ein Thema, das unter Punkt 5 gesondert behandelt wird.
-
-
-
- Bei der Verarbeitung von Datensätzen, die möglicherweise sensible personenbezogene Daten enthalten oder die Identität preisgeben, können automatisierte Erkennungsmechanismen auf der Grundlage von maschinellem Lernen trainiert werden, um diese problematischen Datenpunkte aus dem Datensatz zu extrahieren, bevor sie auf dem Tisch eines Analysten enden. Diese Entwicklung dieser Art von Automatisierungsprozess ist nach wie vor schwierig und zeitaufwändig und erfordert daher einen guten Business Case.
-
-
-
- Wenn Ihre Systemarchitektur personenbezogene Daten verarbeitet, würde ich empfehlen, vom ersten Tag an pseudonymisierte Identifizierungsmerkmale anstelle von Klartext zu verwenden, um Datenschutzverletzungen zu vermeiden und die allgemeine IT-Sicherheit über Systeme hinweg zu erhöhen. Außerdem beginnen Anbieter von Public-Cloud-Technologien mit der nativen Unterstützung für die Verarbeitung von PII-Daten wie Des-Identifizierung und Re-Identifizierung von PII in großen Datensätzen mit Cloud DLP oder dynamischen Datenmaskierungen .
-
4. Volle Funktionalität: Wie von der IAPP definiert steht es zumindest für mich mit der Bemerkung des Positivsummen- statt des Nullsummenprinzips, genau wie die Erklärung des Ausgleichs zwischen Nutzer Datenschutz- und Geschäftsinteressen auf eine Art und Weise, die lead zu voller Funktionalität führt, ohne die Interessen irgendeiner Partei zu beeinträchtigen. Wenn selbst Datenschützer sagen, dass man keine Kompromisse bei der Funktionalität zugunsten des Datenschutzes eingehen sollte, sollte dies die Messlatte für den Ehrgeiz bei der Arbeit mit Privacy by Design-Methoden hoch ansetzen.
5. End-to-End-Sicherheit: Sowohl der Schutz der Privatsphäre als auch die Sicherheit sollten in Ihre Prozesse integriert sein und nicht erst im Nachhinein entstehen. Eine frühzeitige Berücksichtigung dieser Aspekte ist sowohl einfacher als auch kostengünstiger. Es kann sinnvoll sein, bestimmte datenschutz- und sicherheitsrelevante Prozesse zu kombinieren, da viele Anforderungen sowohl den Datenschutz als auch die Sicherheit betreffen können. In einer Zeit, in der die Prozesse immer schneller in die Cloud verlagert werden, wird die Sicherheit immer wichtiger, aber andererseits wird die Sicherheit auch einfacher zu handhaben sein, sobald Sie vollständig in der Cloud arbeiten.
Wenn man sich die Forschungsdaten ansieht, befinden sich europäische Großunternehmen leider noch in den Anfängen der Umstellung von On-Premise- auf Cloud-Umgebungen. Auch bei den rechtlichen Aspekten ist es sinnvoll, bereits zu Beginn einer Initiative IT-Sicherheitsspezialisten oder eine spezielle Abteilung für IT-Sicherheit einzubeziehen. Es ist ziemlich einfach, über Zugangskontrolle, Pseudonymisierung, Verschlüsselung, Zwei-Faktor-Authentifizierung, Nutzer Gruppenrollen nachzudenken. Ich empfehle dringend, gemeinsam mit Ihrer IT-Abteilung oder einem externen IT-Sicherheitsanbieter wie Nixu.
6. Transparenz: Als Nichtjurist ist es für mich natürlicher, in der Frage der Transparenz die Perspektive der Endnutzer einzunehmen und meine Worte daher nicht im Sinne einer Rechtsberatung zu interpretieren. Ein gutes Beispiel dafür ist die Überprüfung der Art und Weise, wie Unternehmen ihre Datenschutz- und Cookie-Richtlinien verfassen. Am anderen Ende des Spektrums gibt es Beispiele, bei denen wortwörtlich juristische Ratschläge zum Wortlaut der Rechtsvorschriften befolgt werden, die aber für den normalen Verbraucher möglicherweise nicht verständlich sind. Am anderen Ende des Spektrums gibt es Beispiele für nicht konforme Versionen, die sich an den rechtlichen Anforderungen orientieren, aber für den Durchschnittsverbraucher leicht verständlich sind.
Ich persönlich würde gerne Kunde eines Dienstleisters sein, der mir hilft, mein Verständnis zu verbessern und Vertrauen in die Marke aufzubauen. Gleichzeitig machen es die Anbieter von Werbetechnologien den Verbrauchern nicht leicht zu verstehen, wie mit ihren Daten umgegangen wird. Das norwegische unabhängige Forschungsinstitut Forbrukerrådet hat versucht, den Teilen Fluss innerhalb des Ad-Tech-Ökosystems zu erhellen und eine eingehende Analyse veröffentlicht Außer Kontrolle veröffentlicht, die Sie über den obigen Link herunterladen können. Nach der Lektüre auch die Einleitung dieses Berichts, nicht eine einfache Balanceakt überhaupt!
Eine andere Sichtweise auf den Schutz der Privatsphäre ist, dass Privatsphäre und Vertrauen miteinander verwoben sind und nicht getrennt werden können. Ausdrückliche Einwilligungserklärungen können als eine Frage der Transparenz und des Vertrauens betrachtet werden. Wenn Ihre Datenschutz- und Cookie-Richtlinien transparent und für den Kunden leicht zu verstehen sind und wenn der Kunde Ihnen vertraut und glaubt, dass die Erteilung der Einwilligung einen besseren Service bietet, werden die meisten Kunden ihre Einwilligung geben. Andererseits kann schon ein Hauch von Misstrauen dazu führen, dass die Zustimmung verweigert wird. Mangelndes Vertrauen in den Umgang mit Kundendaten ist auch keine gute Grundlage für Ihr Unternehmen, es geht also nicht nur um Vorschriften und Compliance.
7. Respekt vor den Kundendaten und der Privatsphäre: Ein ehemaliger Kollege formulierte die Frage, ob man eine use case einführen sollte oder nicht, so, dass er vor den Medien stehen könnte, wenn etwas schiefgehen würde. Eine sehr praktische Prüfung, ob man etwas in den Grenzen des Respekts vor der Privatsphäre der Kunden tut. Für mich ist damit der Respekt vor den Kundendaten und der Privatsphäre schon weit genug definiert.
Wie Sie sehen, ist die Einhaltung dieser Grundsätze nicht so schwer, wie es vielleicht klingt. Sie können sogar dafür sorgen, dass der Alltag im Umgang mit Daten oder Datenprodukten weniger schmerzhaft ist, wenn man die Datenschutzverordnung als Belastung empfindet.
Das Konzept eines Datenschutzrahmens als Business Enabler erklärt
Um den Grundsätzen gerecht zu werden und die täglichen Abläufe reibungslos zu gestalten, sollten moderne Vermarkter über einen klar definierten Datenschutzrahmen verfügen. Im Folgenden werde ich Ihnen erläutern, was mit diesem Konzept gemeint ist.
Meiner Ansicht nach ist ein Datenschutz-Rahmenwerk ein definierter Satz von Regeln für die Erhebung, Bearbeitung und Erstellung von Datenbeständen oder Anwendungsfällen, die insbesondere aus personenbezogenen Daten bestehen, die unter die Datenschutz-Grundverordnung fallen, einschließlich Daten zum Online-Verhalten. Das Regelwerk sollte transparent dokumentiert, offen zugänglich sein und kontinuierlich aktualisiert werden, wenn sich Änderungen in diesen Prozessen ergeben. Je nach Schweregrad kann es erforderlich sein, sehr detaillierte Definitionen vorzunehmen, z. B. auf der Grundlage der Auswahl in einem Einwilligungsformular, die ein bestimmtes Tag auf einer Website auslöst. Im Großen und Ganzen dient ein Datenschutz-Rahmenwerk als Handschrift, um zu sagen, was getan werden kann und was nicht.
Im Zusammenhang mit dem Datenschutz werden viele komplexe Begriffe wie Datenschutz-Folgenabschätzung, Bewertung des berechtigten Interesses, Datenschutzvereinbarung usw. leicht durcheinander gebracht. Ein Datenschutzrahmen ist nichts, was sich aus der Gesetzgebung ableitet, sondern vielmehr die Dokumentation eines jeden Unternehmens, die die Grenzen des Spielfelds transparent macht und sicherstellt, dass die Unternehmensleitung geeignete Maßnahmen ergriffen hat, um das Verhalten der Organisation zu definieren und anzuweisen. Höchstwahrscheinlich spiegelt der Datenschutzrahmen auch in hohem Maße die Unternehmenskultur wider.
Ein wesentliches Ergebnis einer Initiative zur Definition eines Rahmens für den Schutz der Privatsphäre ist ein gegenseitiges Verständnis innerhalb der Organisation hinsichtlich der Einstellung und der Toleranz gegenüber Risiken. Die Leitprinzipien in einem gut geführten Unternehmen werden direkt oder indirekt von der obersten Führungsebene festgelegt. Damit wird die kulturelle Grundlage für den Schutz der Privatsphäre, die damit verbundenen Risiken und Abhilfemaßnahmen geschaffen. Das offensichtliche öffentliche Auftreten des Datenschutzrahmens gegenüber den Kunden sind Geschäftsbedingungen, Datenschutzhinweise, Cookie-Hinweise und andere datenschutzbezogene Inhalte, in denen Sie erklären, wie ihre Daten verwendet werden. Als Kunde eines Unternehmens können technisch versierte Nutzer auch beobachten, was technisch unter der Oberfläche geschieht, indem sie services mit einfachen Browser-Plug-ins nutzen oder den aktuellen Code lesen. Eine ausgezeichnete Gelegenheit, um Wettbewerber oder andere Branchen zu vergleichen, da die meisten Datenschutzpraktiken für jedermann sichtbar sind.
Nicht zu vergessen - und ich fange an, mich absichtlich zu wiederholen -, dass das Vorhandensein eines Datenschutzrahmens nur durch eine iterative und sich ständig weiterentwickelnde angemessene Dokumentation validiert werden kann. Leider habe ich erlebt, dass die Durchführung von Datenschutzfolgenabschätzungen völlig losgelöst von der eigentlichen Entwicklungsarbeit organisiert wurde, während die Datenschutzbeauftragten sehr zufrieden wären, wenn die Dokumentation systematisch organisiert wäre und die Datenschutzfolgenabschätzungen mit geringem Mehraufwand immer auf dem neuesten Stand wären.
Entscheidungsfindung und Governance sollten immer in der Hand des Unternehmens liegen
Dies mag nicht sonderlich überraschen, aber ein formelles Governance-Modell für Datenverarbeitungspraktiken ist der Schlüssel zu einem "Privacy First"-Konzept. Ich bin zuversichtlich, dass die Mehrheit der größeren Unternehmen unter skandinavisch noch nicht über eine angemessene Governance verfügt. Da dieses Thema an sich sehr umfangreich ist, möchte ich nur die wichtigsten Punkte ansprechen. Zunächst einmal ist es der zentrale Gesichtspunkt eines Privacy-First-Ansatzes, ein Gleichgewicht zwischen Geschäftsmöglichkeiten und potenziellen Compliance-Risiken herzustellen.
Um ein Gleichgewicht herzustellen, muss ein klarer Entscheidungsprozess vorhanden sein, bei dem die endgültigen Entscheidungen innerhalb des Unternehmens und nicht in den Rechtsabteilungen getroffen werden. Damit dies im Geschäftsalltag funktioniert, muss die oberste Führungsebene sowohl die Vorteile als auch die potenziellen Risiken oder Folgen der gewählten Grundsätze des Datenschutzrahmens klar verstehen. Es ist die oberste Führungsebene, die die Risiken im Bereich des Datenschutzes trägt, daher sollte es auf ihrer Agenda stehen, geeignete Prozesse zu organisieren, um ihren Anforderungen gerecht zu werden, um lead Datenschutz als Befähiger und sogar Wettbewerbsvorteil in den intelligentesten Unternehmen zu nutzen.
Die fünf Fragen, die das Topmanagement beantworten muss
Auf der Grundlage einer Vielzahl von Gesprächen und Interviews mit skandinavisch habe ich einige schwierige Fragen identifiziert, die in einem äußerst komplexen Umfeld zu bewältigen sind, ohne diese jedoch zu untergraben.
1. Einen umfassenden und ganzheitlichen Überblick darüber zu gewinnen, wo und wie Kunden- oder personenbezogene Daten verarbeitet werden, mit einem vollständigen Verständnis des Prozessablaufs von Ende zu Ende. Meiner Meinung nach gibt es zwei Hauptgründe für das Fehlen eines solchen Überblicks: die Gesamtkomplexität der Architekturen, in denen Werkzeuge und Technologien übereinander geschichtet sind, und zweitens die Tatsache, dass die Technologieanbieter es nicht leicht machen, die vollständigen Datenprozessflüsse zu verfolgen.
2. Schwierige Entscheidungen darüber zu treffen, welche Rechtsgrundlage für die verschiedenen kundenorientierten Aktivitäten gelten soll und wo die Grenze zwischen berechtigtem Interesse und Erfordernis der Einwilligung zu ziehen ist. Außerdem ist die Sammlung von Einwilligungen nicht einfach, denn es gibt so viele Möglichkeiten, wie es Einwilligungssammler gibt. Um diese Herausforderungen auf eine Weise zu meistern, die zu guten Ergebnissen führt Kundenerlebnis zu bewältigen, bedarf es in der Regel eines starken Unternehmens mit einem ausreichenden Mandat und Ehrgeiz.
3. Ein weit verbreiteter Fehler, dem man leicht verfällt, ist die Vermischung des Verständnisses und der Beschreibungen der End-to-End-Datenverarbeitungsströme bei der Datenschutzfolgenabschätzung mit Tools und Technologien. Im Rahmen einer guten Governance sollten diese beiden getrennt werden. Es ist eine andere Perspektive zu bewerten, ob ein Tool die Compliance- und Sicherheitsanforderungen erfüllt, d. h. Datenflüsse für DPIA-Zwecke zu dokumentieren.
4. Manchmal frage ich mich, ob die oberste Führungsebene großer Unternehmen die Risikolandschaft, mit der sie es bei Fragen des Datenschutzes zu tun hat, vollständig versteht. Es liegt nicht in ihrer Verantwortung, all die komplexen Details zu verstehen, aber es sollte jemanden innerhalb der Organisation geben, dem man vertraut und der in der Lage ist, die Risikolandschaft in einfacher Sprache zu erklären und nicht alle Informationen hinter dicken .ppt-Decks zu verstecken, um Vertrauen zu schaffen. Als CEO würde ich in diese Art von vertrauenswürdigen Beratern investieren.
5. Da die AGILE-Arbeitsweise mit vollständig oder teilweise autonomen Trupps und Stämmen zur Norm wird, ist ein "Privacy First"-Ansatz in der Regel nicht das erste, woran sie denken, es sei denn, ein Agile-Coach hat ein besonderes Interesse an diesem Bereich. Als begeisterter Anhänger der agilen Arbeitsweise sehe ich eine Menge Herausforderungen darin, wie man kontrollierte Datenschutzpraktiken mit totaler Autonomie kombinieren kann. Ich habe noch keine herausragenden Lösungen für diese Herausforderung in den nordischen Ländern gesehen, wenn Sie also eine kennen, dann geben Sie mir bitte einen Hinweis!
*Die in diesem Beitrag dargestellten Ansichten und Meinungen stammen vom Autor und stellen keine rechtsverbindliche Beratung durch Avaus Marketing Innovations dar.
Könnten Sie Unterstützung gebrauchen?
Es gibt keine perfekte Formel für die Definition einer Datenschutz-Strategie, aber wir von Avaus helfen Ihnen gerne dabei, indem wir Ihnen unsere branchenübergreifenden Erfahrungen zur Verfügung stellen.