„Kein Marketing mehr ohne Daten“ lautet ein oft wiederholtes Mantra in der digitalen Wirtschaft. Daten sind ein elementarer Treiber digitaler Geschäftsmodelle und im Marketing. Kunden interagieren heutzutage mit einer steigenden Anzahl von digitalen Anwendungen und erzeugen dabei Daten, die wiederum von Unternehmen zur Optimierung des Marketings, des Services, sowie des generellen Kundenerlebnisses genutzt werden. Der vielgebrauchte Begriff Data-Driven Marketing impliziert es bereits. Wirklich kundenzentrierte Marketingmaßnahmen und Services sind ohne die Nutzung personenbezogener Daten nicht mehr möglich.
Mit der Umsetzung der gesetzgeberischen Vorgaben aus der Datenschutzgrundverordnung wird die Verarbeitung personenbezogener Daten durch die Marketing-Abteilungen deutlich erschwert. An mehreren Stellen adressiert der Gesetzgeber an die Unternehmen, geeignete technische und organisatorische Maßnahmen zu treffen, um das Risiko für die Rechte und Freiheiten natürlicher Personen gering zu halten. Eine Verarbeitung zu Zwecken des Marketings wird daher nicht per se ausgeschlossen. Gleichwohl werden die Voraussetzungen, unter denen kundenzentriertes Marketing zulässig ist, komplizierter. Beispielhaft lässt sich dies an dem neuen Instrument der Datenschutz-Folgenabschätzung verdeutlichen, die erforderlich ist, wenn mit einer Datenverarbeitung ein hohes Risiko verbunden ist.
Im Rahmen der Datenschutz-Folgenabschätzung werden die hohen Risiken für die Rechte und Freiheiten der Betroffenen einer Prüfung unterzogen und ggf. risikominimierende Maßnahmen abgeleitet, sodass ein bestehendes Restrisiko nicht mehr als hoch zu bewerten ist. Die Datenschutz- Folgenabschätzung dient also der Bewertung von Risiken, deren möglichen Folgen und dem entsprechenden Umgang mit eben jenen.
An dieser Stelle tritt der oben beschrieben Zielkonflikt offen zutage. Auf der einen Seite benötigen Marketer immer mehr und spezifischere Daten ihrer Nutzer/Kunden, um erfolgreiches Marketing betreiben zu können, bzw. in manchen Fällen, um überhaupt ihr Geschäftsmodell verfolgen zu können. Auf der anderen Seite müssen sie die Rechte und Freiheiten der betroffenen Personen durch technisch-organisatorische Maßnahmen schützen.
Um diesem Konflikt bereits an der Wurzel zu begegnen und die auf den ersten Blick gegenläufigen Interessen in Einklang zu bringen, verlangt die Datenschutzgrundverordnung, dass Unternehmen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei der Umsetzung von Projekten berücksichtigen, welche die Verarbeitung personenbezogener Daten umfassen. Unternehmen sollen organisatorische und technische Maßnahmen ergreifen, um Datenschutz und Datensicherheit zu gewährleisten bzw. die Risiken zu senken. Diese Maßnahmen lassen sich nach Art. 25 der Datenschutzgrundverordnung in drei Säulen unterteilen: Privacy by Design, Privacy by Default sowie Zertifizierung. Art. 25 (1): Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
- Privacy by Design: Es gilt, bereits in der Design-/ Planungsphase eines Projekts das Thema Datenschutz mitzudenken und z. B. Dienstleister und Technologien auszuwählen, die dazu geeignet sind, die Anforderungen aus der Datenschutzgrundverordnung umzusetzen. Art. 25 (2): Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
- Privacy by Default: Die Umsetzung der Anforderungen aus der Datenschutzgrundverordnung wird vereinfacht durch den Einsatz von Technologien, die Datenschutzmaßnahmen als Standardeinstellungen vorkonfiguriert haben. Art. 25 (2): Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
- Zertifizierung: Technologien und Dienstleister können sich nach international anerkannten Standards ihre Konformität mit der Datenschutzgrundverordnung bzw. die Erfüllung bestimmter Datenschutz- und Datensicherheitsanforderungen zertifizieren lassen. Datenverarbeitende Unternehmen sind verpflichtet, Technologien und Dienstleister darauf zu prüfen, ob diese den Anforderungen der Datenschutzgrundverordnung genügen. Durch Zertifizierungen, bzw. die Wahl zertifizierter Dienstleister und Technologien, lässt sich dieser Prozess vereinfachen.
Datenschutz durch Technikgestaltung
Privacy als Kriterium beim Technologieeinsatz
Die Erfassung, Verarbeitung, Analyse und Nutzung der Daten in der Kommunikation setzt den Einsatz von Technologien voraus, z. B. Marketing Automation oder Data
Analytics Technologie. Die Auswahl der richtigen Technologien für das eigene Geschäftsmodell bzw. die eigenen Use Cases ist daher zu einer elementaren Herausforderung für datengetriebene Unternehmen geworden. Neben anderen Kriterien, wie Integrationsfähigkeit, Usability oder Zukunftstauglichkeit, wird der Datenschutz als Auswahlkriterium zunehmend an Bedeutung gewinnen. Die standardmäßige Implementierung von Privacy (by Default) Maßnahmen vereinfacht für viele Anwendungsfälle die Umsetzung der Anforderungen aus der Datenschutzgrundverordnung. Es ist allerdings nicht ausreichend, wenn z. B. die Erfassung der Daten vollständig datenschutzkonform erfolgt, es aber Mängel in der Analytics Technologie oder bei der Übermittlung der Daten an beteiligte Partner gibt. Ein beispielhafter Prozess könnte folgendermaßen aussehen:
Beispiel für datenschutzkonformen Prozess