DSGVO: Die Umsetzung von Privacy by Design & by Default
05 Apr. 2018 | von Anne-Kathrin Stolz
DSGVO: Die Umsetzung von Privacy by Design & by Default im digitalen Dialogmarketing, bei der Datenanalyse und im Kampagnenmanagement
Am 25. Mai 2018 ist es soweit – die Datenschutzgrundverordnung (DSGVO) tritt europaweit in Kraft. Alle Unternehmen, die personenbezogene Daten erfassen oder verarbeiten, werden dadurch stärker als bisher in die Pflicht genommen, relevante Datenverarbeitungsvorgänge vernünftig zu dokumentieren und die Einhaltung des Datenschutzrechtes sicherzustellen.
„Kein Marketing mehr ohne Daten“ lautet ein oft wiederholtes Mantra in der digitalen Wirtschaft. Daten sind ein elementarer Treiber digitaler Geschäftsmodelle und im Marketing. Kunden interagieren heutzutage mit einer steigenden Anzahl von digitalen Anwendungen und erzeugen dabei Daten, die wiederum von Unternehmen zur Optimierung des Marketings, des Services, sowie des generellen Kundenerlebnisses genutzt werden. Der vielgebrauchte Begriff Data-Driven Marketing impliziert es bereits. Wirklich kundenzentrierte Marketingmaßnahmen und Services sind ohne die Nutzung personenbezogener Daten nicht mehr möglich.
Mit der Umsetzung der gesetzgeberischen Vorgaben aus der Datenschutzgrundverordnung wird die Verarbeitung personenbezogener Daten durch die Marketing-Abteilungen deutlich erschwert. An mehreren Stellen adressiert der Gesetzgeber an die Unternehmen, geeignete technische und organisatorische Maßnahmen zu treffen, um das Risiko für die Rechte und Freiheiten natürlicher Personen gering zu halten. Eine Verarbeitung zu Zwecken des Marketings wird daher nicht per se ausgeschlossen. Gleichwohl werden die Voraussetzungen, unter denen kundenzentriertes Marketing zulässig ist, komplizierter.
Privacy als Kriterium bei der Planung von Projekten
Beispielhaft lässt sich dies an dem neuen Instrument der Datenschutz-Folgenabschätzung verdeutlichen, die erforderlich ist, wenn mit einer Datenverarbeitung ein hohes Risiko verbunden ist. Im Rahmen der Datenschutz-Folgenabschätzung werden die hohen Risiken für die Rechte und Freiheiten der Betroffenen einer Prüfung unterzogen und ggf. risikominimierende Maßnahmen abgeleitet, sodass ein bestehendes Restrisiko nicht mehr als hoch zu bewerten ist. Die Datenschutz-Folgenabschätzung dient also der Bewertung von Risiken, deren möglichen Folgen und dem entsprechenden Umgang mit eben jenen. An dieser Stelle tritt der oben beschrieben Zielkonflikt offen zutage. Auf der einen Seite benötigen Marketer immer mehr und spezifischere Daten ihrer Nutzer/Kunden, um erfolgreiches Marketing betreiben zu können, bzw. in manchen Fällen, um überhaupt ihr Geschäftsmodell verfolgen zu können. Auf der anderen Seite müssen sie die Rechte und Freiheiten der betroffenen Personen durch technisch-organisatorische Maßnahmen schützen. Um diesem Konflikt bereits an der Wurzel zu begegnen und die auf den ersten Blick gegenläufigen Interessen in Einklang zu bringen, verlangt die Datenschutzgrundverordnung, dass Unternehmen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei der Umsetzung von Projekten berücksichtigen, welche die Verarbeitung personenbezogener Daten umfassen. Unternehmen sollen organisatorische und technische Maßnahmen ergreifen, um Datenschutz und Datensicherheit zu gewährleisten bzw. die Risiken zu senken. Diese Maßnahmen lassen sich nach Art. 25 der Datenschutzgrundverordnung in drei Säulen unterteilen: Privacy by Design, Privacy by Default sowie Zertifizierung.
In unserem ausführlichen Whitepaper, das in Zusammenarbeit mit der artegic AG entstanden ist, geben wir Ihnen konkrete Handlungsempfehlungen zur Umsetzung der neuen Anforderungen im Dialogmarketing, bei der Datenanalyse und im Kampagnenmanagement.