Willigt ein Nutzer in die Erfassung und Verarbeitung seiner personenbezogenen Daten ein, z. B. Opt-In im E-Mail-Marketing, muss diese Einwilligung präzise protokolliert werden. Das datenverarbeitende Unternehmen muss jederzeit in der Lage sein, nachweisen zu können, dass es für den jeweiligen Nutzungszweck der Daten eine legitime Einwilligung vorliegen hat, welche den Nutzungszweck abdeckt. Die Protokollierung muss mindestens Art und Umfang der Einwilligung (d. h. die konkrete Einwilligungserklärung, welcher der Nutzer zugestimmt hat) sowie Zeitpunkt der Einwilligung, IP-Adresse und ein Identifizierungsmerkmal, wie z. B. die eingegebene
E-Mail-Adresse, umfassen.
Manche Technologien haben die zwingende Protokollierung der geforderten Informationen aus allen genutzten Datenquellen standardmäßig als Privacy by Default implementiert. Unternehmen können so sicher gehen, dass wenigstens die minimal geforderten Informationen vollständig erfasst werden, ohne dass diese Protokollierung manuell konfiguriert werden muss. Die Protokollinformationen werden automatisch in einem nicht veränderbaren Format gespeichert, um Missbrauch durch manuelle Eingriffe zu verhindern sowie in einer separaten Datenbank mit besonders strenger Zugriffsbeschränkung.
Besonders datenschutzfreundlich sind Technologien, die bei der Protokollierung auf sog. Hashed Logging setzen. Dabei werden die personenbezogenen Daten im Protokoll verhasht gespeichert. D. h. dass z. B. anstatt der E-Mail-Adresse nur ein Hash, ein nicht direkt einer Person zuzuordnender Code aus Zahlen und Buchstaben, gespeichert wird. Um die Zuordnung vornehmen zu können, muss bekannt sein, welcher Hash zu welchem personenbezogenen Datum gehört. Zwecks Beweisbarkeit müssen Unternehmen die Protokolle auch dann weiter „aufheben“, wenn sie die personenbezogenen Daten eines Nutzers bereits gelöscht haben. Durch Hashing wird verhindert, dass die Daten des Nutzers weiterhin im Protokoll einsehbar sind. Der Hash kann erst dann wieder dem personenbezogenen Datum zugeordnet werden, wenn dies z. B. im Rahmen einer nachträglichen Beweisführung verlangt wird und das Unternehmen zu diesem Zweck erneut die Daten des Nutzers erhält. Hashing löst damit u. a. den Zielkonflikt zwischen Protokollierungspflicht der Opt-In-Historie und Löschpflicht personenbezogener Daten.

Hashed Logging Prozess

Hashed Logging Prozess

Einfache Konfiguration von Vorhaltezeiten

Wie bereits erwähnt, ist es aus Beweisbarkeitsgründen erforderlich, die erteilten Einwilligungen von Nutzern im digitalen Dialogmarketing zu protokollieren. Daneben kann es noch eine Reihe weiterer Gründe geben, Daten langfristig zu archivieren und/oder zu kopieren, um ein Backup zur Verfügung zu haben. Neben der bereits erwähnten automatischen Speicherung dieser Daten in einem beweissicheren Format mit Zugriffsbeschränkungen und ggf. verhasht, gibt es Technologien, welche die einfache Konfiguration von Speicherfristen für verschiedene Datentypen ermöglichen. Darüber hinaus gibt es Technologien, die bei der Einrichtung des Systems oder dem Anlegen eines neuen Datenbestands direkt auf mögliche Speicherfristen hinweisen und Vorschläge machen.

Ausschnitt Exkurs Aufbewahrungsfristen

Ausschnitt Exkurs Aufbewahrungsfristen

Die restlichen Typen samt Fristen gibt es in unserem kostenlosen Whitepaper.