Adzine Top-Stories per Newsletter
ANALYTICS

5 Datenschutzregeln für Digital Analytics in DSGVO-Zeiten

Louis-Marie Guérif, 30. May 2022
Bild: Tingey Injury Law Firm – Unsplash

Die österreichischen und französischen Datenschutzbehörden haben kürzlich erklärt, dass Google Analytics gegen die Datenschutz-Grundverordnung verstößt, weil es Daten ohne ausreichende Datenschutzgarantien in Länder außerhalb der EU übermittelt. Obwohl Google zusätzliche Maßnahmen zur Regelung von Datentransfers im Zusammenhang mit Google Analytics ergriffen hat, sind die derzeitigen Verfahren immer noch nicht ausreichend, um die Anforderungen der DSGVO zu erfüllen.

Unternehmen haben jetzt die Möglichkeit, das Vertrauen ihrer Kunden zu gewinnen, indem sie eine Analytics-Lösung wählen, die die Datenschutzgesetze einhält und ihnen Transparenz, Wahlmöglichkeiten und Kontrolle darüber bietet, wie ihre Daten erfasst und verwendet werden. Die Kenntnis dieser fünf übergreifenden Datenschutzregeln wird Ihnen helfen, die richtige Analyselösung für Ihr Unternehmen zu finden.

1. Transparente Datenverarbeitung

Die DSGVO ist eine Verordnung, die die personenbezogenen Daten der europäischen Bürgerinnen und Bürger schützen und es ihnen ermöglichen soll, wieder Vertrauen aufzubauen, wofür diese Daten verwendet werden. Transparenz ist daher das erste grundlegende Element, und die DSGVO verlangt von Organisationen, die personenbezogene Daten verarbeiten, diese Transparenz zu gewährleisten.

Für die digitale Analytik bedeutet Transparenz vor allem Folgendes:

  • Eine klare Qualifizierung der Akteure in der Verarbeitungskette: wer macht was, wer ist wofür verantwortlich, wer ist für die Verarbeitung zuständig, wer ist ein Unterauftragnehmer?
  • Eine genaue Beschreibung der Daten, die verarbeitet werden, wie und zu welchen Zwecken
  • Wie lange werden diese Daten aufbewahrt, wo, mit welchen Garantien im Fall einer Übermittlung in ein ungeeignetes Land?

All diese Informationen müssen in einer Datenschutzvereinbarung dokumentiert werden, die den Verwalter der digitalen Plattform und die Analyselösung in angemessener Weise einbindet und befähigt.

2. Definition von personenbezogenen Daten

Die Definition des Begriffs „personenbezogene Daten“ ist ein grundlegendes Element der DSGVO, da sie es Organisationen ermöglicht, zu bestimmen, ob diese Schutzmaßnahmen auf die von ihnen verarbeiteten Daten angewendet werden müssen oder nicht.

Wie in Artikel 4.1 der DSGVO dargelegt, handelt es sich bei personenbezogenen Daten um alle Informationen, die es ermöglichen könnten, einen einzelnen Nutzer direkt oder indirekt zu identifizieren oder identifizierbar zu machen. Dies gilt insbesondere für Online-Identifier, die ggf. in digitalen Analyselösungen enthalten sind, mit denen eindeutige Identifier erstellt werden können, die mit Verhaltensdaten verknüpft sind.

Es ist wichtig, daran zu denken, dass die DSGVO-Definition von „personenbezogenen Daten“ nicht mit der nordamerikanischen Definition von „persönlich identifizierbaren Informationen“ (bzw. PII) übereinstimmt, sodass Unternehmen bei der Bewertung einer Analyselösung äußerst vorsichtig sein müssen, um die richtige Definition sicherzustellen.

3. Endnutzerrechte

Ein Ziel der Datenschutz-Grundverordnung ist es, den Nutzern die Kontrolle über die Verwendung ihrer personenbezogenen Daten zurückzugeben. Zu diesem Zweck räumt sie den Nutzern bestimmte Rechte ein, u. a. das Recht auf Löschung, Wiederherstellung und Berichtigung der Daten sowie das Recht, die Verarbeitung ihrer Daten abzulehnen.

Unter Berücksichtigung der Definition des Begriffs „personenbezogene Daten“ in der Datenschutz-Grundverordnung müssen Unternehmen daher sicherstellen, dass eine Analyselösung die Browsing-Daten eines Nutzers auf einer Website, einer mobilen Anwendung oder einer beliebigen angeschlossenen Plattform auf der Grundlage aller Arten von Identifikatoren (CRM, E-Mail, eindeutige Identifier usw.) löschen oder wiederherstellen kann.

4. Opt-out und Verwaltung der Zwecke

Neben den bereits erwähnten Nutzerrechten sticht eines besonders hervor: das Recht, die Verarbeitung abzulehnen, das sogenannte „Opt-out“. In der Datenschutz-Grundverordnung ist festgelegt, dass es ebenso einfach sein muss, die Verarbeitung von Daten abzulehnen, wie sie zu akzeptieren.

Da es sich bei den eindeutigen Kennungen von Endgeräten (Cookies oder mobile IDs) in Digital Analytics tatsächlich um personenbezogene Daten handelt, muss eine Analyselösung ein Tool bereitstellen, um die Verwaltung der Zustimmungen auf einfache Weise zu ermöglichen. Die Tagging-Bibliothek der Lösung muss zudem äußerst modular sein, um eine detaillierte Verwaltung der Zwecke für seine Nutzer zu ermöglichen.

5. Unterstützung bei der Einhaltung der Vorschriften

Zusätzlich zu dem bereits genannten Punkt der Transparenz ist die Datenschutz-Grundverordnung in Artikel 28 auch sehr klar in Bezug auf die Tatsache, dass die als Unterauftragnehmer fungierende Analyselösung ihren Kunden, die für die Verarbeitung verantwortlich sind, alle erforderlichen Elemente und Informationen zur Verfügung stellen muss, um die vollständige Einhaltung der Vorschriften nachzuweisen.

Auf dieser Grundlage ist es für Unternehmen unerlässlich, Verträge mit Analyseanbietern abzuschließen, die die Verantwortung für die Einhaltung des Datenschutzes übernehmen, über eine klare und zugängliche Dokumentation verfügen und Experten haben, die bei der Sicherstellung der ordnungsgemäßen Einhaltung mitwirken.

Die DSGVO ist komplex, mit Dutzenden von Artikeln mit Regeln und Standards, die Unternehmen erfüllen müssen, um datenschutzkonform zu bleiben. Wenn Sie diese Schlüsselelemente der heutigen Datenschutzbestimmungen beachten, können Sie sicher beurteilen, welche Analyselösung für Ihr Unternehmen die richtige ist.

Tech Finder Unternehmen im Artikel

Louis-Marie Guérif Über den Autor/die Autorin:

Louis-Marie Guérif ist Group Data Protection Officer bei Piano, der Plattform für digitale Erlebnisse, die jedes Team in die Lage versetzt, sein Publikum zu verstehen und zu monetarisieren. Er leitet den engagierten Ansatz von Piano, die datenschutzfreundlichste Analyselösung auf dem Markt zu sein, und unterstützt Kunden bei der Einhaltung der sich entwickelnden Datenschutzbestimmungen. Mit mehr als zehn Jahren Erfahrung im Bereich Analytics ist Louis-Marie ein Experte für Vorschriften wie DSGVO und ePrivacy und durch Programme zertifiziert, die von Datenschutzbehörden wie der CNIL in Frankreich anerkannt sind. Louis-Marie hat außerdem einen Master-Abschluss in Informationstechnologie und Projektmanagement von der Université Paris IV sowie in International Business von der Université Paris-Sud. Er ist dreisprachig in Englisch, Französisch und Deutsch.

EVENT-TIPP ADZINE Live - Adtrader Conference 2022 vom 29. June 2022 bis 30. June 2022 im Kosmos Berlin

Die Adtrader Conference kehrt nach einem Jahr Pause nach Berlin zurück. - Höchste Zeit, denn der Markt für “Automated & Programmatic Media" entwickelt sich rasant: Die Anzahl und Relevanz neuer anschlussfähiger Mediakanäle wächst und damit die Frage nach einer einheitlichen Adressierbarkeit von Zielgruppen, in einem immer vielfältigeren Programmatic-Media-Kosmos. Auf der Adtrader Conference entwickeln Buyer und Seller Ideen, um ihr Geschäft gemeinsam wachsen zu lassen. Jetzt anmelden!

Das könnte Sie interessieren