DSGVO: Handlungsempfehlungen zu Privacy by Design
Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung (DSGVO) eine neue rechtliche Grundlage zum Datenschutz in der Europäischen Union verabschiedet worden. Betroffen sind nahezu alle Unternehmen – in jedem Fall solche, zu deren Geschäftsmodell die Erfassung und Verarbeitung von (personenbezogenen) Daten gehört. Die Europäische Datenschutzgrundverordnung (DSGVO) nimmt Unternehmen verstärkt in die Pflicht, relevante Datenverarbeitungsvorgänge vernünftig zu dokumentieren und ihre Organisation so auszugestalten, dass die Einhaltung des Datenschutzrechts sichergestellt wird. Eine Anforderung, die sich daraus ergibt, ist die Berücksichtigung von Privacy by Design und Privacy by Default bei der Planung und Umsetzung von Projekten. In einem ausführlichen Whitepaper mit dem Softwareanbieter für Datenanalyse und Kampagnenmanagement Apteco GmbH gibt der Digital CRM Anbieter artegic AG Handlungsempfehlungen zur Umsetzung der Anforderungen an Privacy by Design & Privacy by Default aus der DSGVO für digitales Dialogmarketing, Datenanalyse und Kampagnenmanagement.
Mit der Umsetzung der gesetzgeberischen Vorgaben aus der Datenschutzgrundverordnung wird die Verarbeitung personenbezogener Daten durch die Marketing-Abteilungen deutlich erschwert. An mehreren Stellen adressiert der Gesetzgeber an die Unternehmen, geeignete technische und organisatorische Maßnahmen zu treffen, um das Risiko für die Rechte und Freiheiten natürlicher Personen gering zu halten. Eine Verarbeitung zu Zwecken des Marketings wird daher nicht per se ausgeschlossen. Gleichwohl werden die Voraussetzungen, unter denen kundenzentriertes Marketing zulässig ist, komplizierter. Beispielhaft lässt sich dies an dem neuen Instrument der Datenschutz-Folgenabschätzung verdeutlichen, die erforderlich ist, wenn mit einer Datenverarbeitung ein hohes Risiko verbunden ist.
Im Rahmen der Datenschutz-Folgenabschätzung werden die hohen Risiken für die Rechte und Freiheiten der Betroffenen einer Prüfung unterzogen und ggf. risikominimierende Maßnahmen abgeleitet, sodass ein bestehendes Restrisiko nicht mehr als hoch zu bewerten ist. Die Datenschutz-Folgenabschätzung dient also der Bewertung von Risiken, deren möglichen Folgen und dem entsprechenden Umgang mit eben jenen. An dieser Stelle tritt der oben beschrieben Zielkonflikt offen zutage. Auf der einen Seite benötigen Marketer immer mehr und spezifischere Daten ihrer Nutzer/Kunden, um erfolgreiches Marketing betreiben zu können, bzw. in manchen Fällen, um überhaupt ihr Geschäftsmodell verfolgen zu können. Auf der anderen Seite müssen sie die Rechte und Freiheiten der betroffenen Personen durch technisch-organisatorische Maßnahmen schützen.Um diesem Konflikt bereits an der Wurzel zu begegnen und die auf den ersten Blick gegenläufigen Interessen in Einklang zu bringen, verlangt die Datenschutzgrundverordnung, dass Unternehmen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei der Umsetzung von Projekten berücksichtigen, welche die Verarbeitung personenbezogener Daten umfassen. Unternehmen sollen organisatorische und technische Maßnahmen ergreifen, um Datenschutz und Datensicherheit zu gewährleisten bzw. die Risiken zu senken. Diese Maßnahmen lassen sich nach Art. 25 der Datenschutzgrundverordnung in drei Säulen unterteilen: Privacy by Design, Privacy by Default sowie Zertifizierung.
Im Rahmen des Whitepapers "DSGVO: Privacy by Design & by Default" geben die artegic AG und die Apteco GmbH Handlungsempfehlungen zur Umsetzung der Anforderungen der DSGVO durch konkrete Maßnahmen aus den Bereichen Privacy by Design, Privacy by Default und Zertifizierung. Das Whitepaper ist ab sofort zum kostenlosen Download verfügbar unter www.artegic.com/de/whitepaper-dsgvo-privacy-by-design.
Mit der Umsetzung der gesetzgeberischen Vorgaben aus der Datenschutzgrundverordnung wird die Verarbeitung personenbezogener Daten durch die Marketing-Abteilungen deutlich erschwert. An mehreren Stellen adressiert der Gesetzgeber an die Unternehmen, geeignete technische und organisatorische Maßnahmen zu treffen, um das Risiko für die Rechte und Freiheiten natürlicher Personen gering zu halten. Eine Verarbeitung zu Zwecken des Marketings wird daher nicht per se ausgeschlossen. Gleichwohl werden die Voraussetzungen, unter denen kundenzentriertes Marketing zulässig ist, komplizierter. Beispielhaft lässt sich dies an dem neuen Instrument der Datenschutz-Folgenabschätzung verdeutlichen, die erforderlich ist, wenn mit einer Datenverarbeitung ein hohes Risiko verbunden ist.
Im Rahmen der Datenschutz-Folgenabschätzung werden die hohen Risiken für die Rechte und Freiheiten der Betroffenen einer Prüfung unterzogen und ggf. risikominimierende Maßnahmen abgeleitet, sodass ein bestehendes Restrisiko nicht mehr als hoch zu bewerten ist. Die Datenschutz-Folgenabschätzung dient also der Bewertung von Risiken, deren möglichen Folgen und dem entsprechenden Umgang mit eben jenen. An dieser Stelle tritt der oben beschrieben Zielkonflikt offen zutage. Auf der einen Seite benötigen Marketer immer mehr und spezifischere Daten ihrer Nutzer/Kunden, um erfolgreiches Marketing betreiben zu können, bzw. in manchen Fällen, um überhaupt ihr Geschäftsmodell verfolgen zu können. Auf der anderen Seite müssen sie die Rechte und Freiheiten der betroffenen Personen durch technisch-organisatorische Maßnahmen schützen.Um diesem Konflikt bereits an der Wurzel zu begegnen und die auf den ersten Blick gegenläufigen Interessen in Einklang zu bringen, verlangt die Datenschutzgrundverordnung, dass Unternehmen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei der Umsetzung von Projekten berücksichtigen, welche die Verarbeitung personenbezogener Daten umfassen. Unternehmen sollen organisatorische und technische Maßnahmen ergreifen, um Datenschutz und Datensicherheit zu gewährleisten bzw. die Risiken zu senken. Diese Maßnahmen lassen sich nach Art. 25 der Datenschutzgrundverordnung in drei Säulen unterteilen: Privacy by Design, Privacy by Default sowie Zertifizierung.
Whitepaper zum kostenlosen Download
Im Rahmen des Whitepapers "DSGVO: Privacy by Design & by Default" geben die artegic AG und die Apteco GmbH Handlungsempfehlungen zur Umsetzung der Anforderungen der DSGVO durch konkrete Maßnahmen aus den Bereichen Privacy by Design, Privacy by Default und Zertifizierung. Das Whitepaper ist ab sofort zum kostenlosen Download verfügbar unter www.artegic.com/de/whitepaper-dsgvo-privacy-by-design.