Daten

Privacy by Design: Datenminimierung, -Beschränkung und -Export

Veröffentlicht am 27 September 2018 | von Maximilian Hermann

0

Der Vorsatz der Datenminimierung besagt, dass nur personenbezogene Daten verarbeitet werden sollen, die für den beabsichtigten Zweck der Verarbeitung auch wirklich notwendig sind. Soll eine Kampagne also z. B. nur nach Geschlecht segmentiert werden, sind dazu keine Daten notwendig, über die sich das Alter der Zielgruppe bestimmen lässt.

Hier gibt es zwei Aspekte, die zu beachten sind.

Das Datenmodell: Es sollte möglich sein, die personenbezogenen Daten im genutzten Datenmodell durch Sammlung, Bündelung oder Entfernung von nicht benötigten persönlichen Informationen zu reduzieren. Ein Beispiel wäre das Geburtsdatum als personenbezogenes Merkmal. Für eine Segmentierung nach Alter ist es üblicherweise nicht notwendig, das genaue Geburtsdatum der einzelnen Nutzer zu kennen. Es reicht, die Geburtsdaten zu Altersgruppen zusammenzufassen.

• 01.02.1999 ◊ Unter 20 Jahre
• 12.05.1985 ◊ 30-35 Jahre
• 23.12.1941 ◊ Über 70 Jahre

Für Geburtstagsmailings hingegen werden genauere Angaben zum Geburtstag der Nutzer benötigt, aber auch hier sind Monat und Tag ausreichend. Das Geburtsjahr kann entfernt werden.
• 01.02.1999 ◊ 01.02.
• 12.05.1985 ◊ 12.05.
• 23.12.1941 ◊ 23.12.

Es gilt, das gesamte Datenmodell auf nicht zwingend benötigte Daten zu prüfen und diese ggf. auf den für den Zweck benötigten Umfang zu beschränken.

Speicherzeitraum: Ein weiterer Punkt, der bei der Datensparsamkeit zu beachten ist, ist der Zeitraum, über den die Daten gespeichert werden und die Sicherstellung, dass dieser den Berechtigungen und den zugelassenen Verwendungszwecken für die Datenverarbeitung entspricht. Es gilt, Daten nur über einen Zeitraum zu speichern, der den erhaltenen Berechtigungen auch angemessen ist. Nach Ablauf dieses Zeitraums sind die Daten zu löschen oder ggf. in einem zugriffsbeschränkten Format zu archivieren (siehe Kapitel „Vorhaltezeiten einhalten und Daten sichern“). Strittig ist die Frage, ob und wann Daten gelöscht werden müssen, die nicht genutzt werden, ob Einwilligungen also „verfallen“ können. Ein Beispiel ist ein Nutzer, der ein Opt-In zum E-Mail-Marketing gegeben hat, danach aber für einen sehr langen Zeitraum nicht angeschrieben wurde. Hier gibt es keine klaren rechtlichen Vorgaben. Auch ist dies eher eine wettbewerbsrechtliche als eine datenschutzrechtliche Frage. Empfehlenswert wäre es jedoch, den Datenbestand halbjährlich darauf zu prüfen, ob er noch verwendet wird.

Beschränkung des Datenzugriffs

Es sollte möglich sein, den Datenzugriff auf das Minimum dessen zu beschränken, was für die Datenverarbeitung im Hinblick auf den vereinbarten Verwendungszweck notwendig ist. Für die Umsetzung gibt es drei verschiedene Möglichkeiten, je nachdem wer auf die Daten zugreifen
muss und zu welchem Zweck dies geschieht.

  1. Durch das Herausfiltern der personenbezogenen Daten, bevor diese überhaupt in die Marketing-Datenbank gelangen, also noch während der Schritte in der Datenverwaltung. Siehe auch den Abschnitt zu Pseudonymisierungstechniken ab Seite 20. Dies ist wahrscheinlich die strikteste Methode.
  2. Durch eine Einschränkung des Datenzugriffs über die Nutzerrechte, um den Datenzugriff auf Nutzerebene einzuschränken. Auf diese Weise könnte z. B. ein Administrator alle Informationen sehen, während die Nutzer im Marketing nur die Daten sehen, die für sie freigegeben sind.
  3. Durch eine Definition der erlaubten Nutzung auf der Datenelement-Ebene des Analysesystems, z. B. für jedes Datenelement. Ein Datenelement kann beispielsweise ein Datenfeld sein, in welchem, numerisch oder anhand von Klassen, das Alter der Nutzer erfasst wird. Es gibt drei Arten dieser Einschränkung, die für das Marketing geeignet sind:
    1. Ist das Element auswählbar – soll es für Selektionen zur Verfügung gestellt werden oder nicht?
    2. Ist es darstellbar, kann es also angesehen werden– soll es dem Nutzer als Volltext angezeigt werden, sollte es verschlüsselt sein oder gar nicht sichtbar?
    3. Ist es exportierbar – soll es möglich sein, das Element aus dem Marketingsystem zu exportieren?

Komplexe Kombinationen, die sich daraus ergeben, sind ebenfalls möglich. So könnte ein Datenelement beispielsweise für Marketingnutzer im Rahmen einer Datensatzanzeige oder Blätterfunktion als  auswählbar, aber nicht sichtbar gesetzt werden.

Zugriffsrechte können sowohl auf Datensatzebene vergeben werden (Zeilen in der Analytics-Technologie) als auch auf Merkmalsebene (Spalten in der Analytics-Technologie).

Die abgebildete Tabelle zeigt beispielhaft, wie eine Auflistung von Datensätzen mit verschiedenen Darstellungsbeschränkungen aussehen könnte. Der Vorname wird als Klartext angezeigt. Der Nachname wird verschlüsselt. Die E-Mail-Adresse wird gar nicht angezeigt, da dem Anwender die notwendigen Berechtigungen fehlen.

Datenexport regulieren

Ein möglicher Risikobereich in jedem System, über das auf personenbezogene Daten zugegriffen werden kann, ist die Datenextraktion bzw. der Datenexport. Um sicherzustellen, dass große Mengen an personenbezogenen Daten nicht ohne Berechtigung exportiert werden, wird Folgendes empfohlen:

  1. Es sollten Einschränkungen für den Dateityp eingerichtet werden. Z. B. könnte festgelegt werden, dass personenbezogene Daten nur als CSV-Datei exportiert werden dürfen und gleichzeitig die Verwendung von CSV-Dateien für Mitarbeiter stark eingeschränkt werden (z. B. kein unverschlüsselter Upload möglich). So wird zwar ein unberechtigter Datenexport nicht verhindert, die unberechtigte Weitergabe jedoch erschwert.
  2. Es kann über sogenannte „Geschwindigkeitsbegrenzungen“ eine Maximalanzahl an Datensätzen festgelegt werden, die Anwender in einem bestimmten Zeitraum exportieren dürfen, z. B. an einem Tag oder in einer Woche. Falls z. B. jemand versucht, missbräuchlich den gesamten Datenbestand herunterzuladen, wird er so daran gehindert, ein Administrator wird über den Versuch informiert und kann ggf. weitere Schritte einleiten.
  3. Ebenso sollte die Möglichkeit, Daten zu exportieren, auf die Arbeitszeiten oder auf bestimmte Zeitfenster beschränkt werden.
  4. Der Speicherort von personenbezogenen Daten sollte beschränkt werden. So könnte z. B. verhindert werden, dass ein Anwender personenbezogene Daten lokal auf seinem Rechner speichert.

Download: Whitepaper zur DSGVO: Privacy by Design & by Default

Dieser Blogbeitrag ist ein Auszug aus unserem neuen Whitepaper DSGVO: Privacy by Design & Privacy by Default. Bitte füllen Sie das Formular aus, um den kostenlosen Download zu erhalten.

Thumb Whitepaper: DSGVO - Privacy by Design & by Default

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Hinweis: Ihre Daten werden nicht an Dritte weitergegeben. Die Einwilligung können Sie jederzeit durch Klick am Ende jeder E-Mail widerrufen.
* Pflichtfeld

Übersicht
Privacy by Design: Datenminimierung, -Beschränkung und -Export
Artikel Name
Privacy by Design: Datenminimierung, -Beschränkung und -Export
Beschreibung
Der Vorsatz der Datenminimierung besagt, dass nur personenbezogene Daten verarbeitet werden sollen, die für den beabsichtigten Zweck der Verarbeitung auch wirklich notwendig sind. Soll eine Kampagne also z. B. nur nach Geschlecht segmentiert werden, sind dazu keine Daten notwendig, über die sich das Alter der Zielgruppe bestimmen lässt.
Autor
artegic AG


Autor:


Die artegic AG unterstützt Unternehmen beim Aufbau von kundenzentriertem, digitalen, Best-In-Class Dialogmarketing. artegic hat über 10 Jahre Erfahrung im Bereich Marketing Engineering. Das Leistungsportfolio umfasst Beratung, IT-Integration und Technologie für Realtime Marketing Automation und Online CRM. artegic ist der führende deutsche Spezialanbieter von Standardsoftware für Realtime Marketing Automation mit E-Mail und Mobile sowie Betreiber einer der größten Software-as-a-Service Plattformen für digitales Marketing in Europa. Mit 65 Mitarbeitern an den deutschen Standorten Bonn und München sowie internationalen Repräsentanzen steht artegic für nachhaltig erfolgreiches Dialogmarketing mit signifikant besseren Ergebnissen und weniger operativem Aufwand. Kern der Lösungen von artegic ist die vielfach prämierte ELAINE Online Dialog CRM Suite für beeindruckendes digitales Cross-Channel Dialogmarketing in Echtzeit. 2015 wurde die Lösung von der Fachpresse zur besten europäischen Marketing Suite für kundenzentriertes Marketing gekürt. Über artegic Technologie stehen rund 82 Prozent der Deutschen Internetnutzer mit Unternehmen in Kontakt. Jeder dritte DAX Konzern sowie internationale Key-Player wie BMW, PAYBACK, RTL, BURDA, REWE, Web.de, und maxdome zählen zu den Kunden von artegic. Weltweit werden jeden Monat über artegic Technologie rund 2,7 Mrd. E-Mails, SMS und Social Media Messages in 141 Länder versandt. artegic ist vom TÜV Rheinland unternehmensweit nach dem internationalen Standard für IT- und Datensicherheit ISO/IEC 27001 zertifiziert. Das 2005 gegründete Fraunhofer Spin-Off wurde vielfach ausgezeichnet für Innovation und die richtungweisende Umsetzung datenschutzrechtlicher Anforderungen u.a. mit dem eco Internet Award, dem Cased Security Award und dem International Business Award (Stevie).

Tags: , ,



Nach Oben ↑