Technologie Bewertung

Ein Tech Stack nach dem Privacy First Ansatz

Im Digitalen Marketing kann durch die richtige Auswahl der Tools viel Einfluss auf die Privatsphäre von Nutzer:innen und Kund:innen genommen werden. Hier werden viele personenbezogene Daten gesammelt und verarbeitet. Manche Technologien müssen laut Gesetzt sogar gesondert durchleuchtet werden. Nämlich dann, wenn sie sehr hohe Datenvolumen von identifizierbaren Personen bearbeiten oder besonders schützenswerte Daten oder wenn ein KI-System involviert ist.

Privacy First Marketing stellt sicher, dass Euer TechStack keine personenidentifizierenden Daten durch sogenante „Back Doors” weitergibt, Daten unzureichend geschützt sind oder falsche Technologie Entscheide und Tool-Einstellungen getroffen werden. Übrigens: Alle Daten, die innerhalb einer amerikanischen Infrastruktur bearbeitet werden, sind nicht geschützt vor dem Zugriff amerikanischer Behörden. Egal, wo sie gespeichert sind. 

DSG und DSGVO-Compliance beginnt bei der Sensibilisierung von Mitarbeiter:innen und der richtigen Tech-Auswahl

Schutz und Sicherheit von personenbezogenen Daten durch die richtigen Massnahmen

Überblick über aktive Technologien und eine sinnvolle Basis für Datenschutzvorgänge

Starte jetzt mit dem Privacy Risk Scan Eurer Website

Wie hoch ist das Risiko Eurer Website Daten unbeabsichtigt an Drittanbieter weiterzugeben? Sende mir die URL und erhalte eine kostenlose Privacy Risk Scan per Email. Deine Email-Domain und URL müssen allerdings zusammen gehören.

Einwilligung

7 + 13 =

* Pflichfelder

Was sind technische und organisatorische Massnahmen (TOMs)?

Ihr habt Euch für eine neue Technologie entschieden oder Ihr wollt komplett Privacy First im Marketing werden. Was nun?

Die sogenannten TOMs, das heisst, die Bestimmung der technischen und organisatorischen Massnahmen, helfen dabei, die Datenbearbeitungsprozesse für jede Anwendung zu verdeutlichen und Massanhmen festzulegen, die die Sicherheit gewährleisten. Dieser Vorgang ist wichtig, um den tatsächlichen Schutz der verarbeitenden Personendaten über die Plattformen in Bezug auf Vertraulichkeit, Verfügbarkeit, Korrektheit (Integrität) und Nachvollziehbarkeit kritisch zu definieren. Das kann z.B. in zusätzlichen IT-Sicherheitsvorkehrungen münden oder in einen Prozess, wie Zugriffe auf Plattformen gemanaged werden.

Empfehlenswert ist, dies als Verzeichnis anzulegen, ein sogenanntes „RoPA“ (Record of Processing Activities). Unternehmen unter 250 Mitarbeitern sind in der Schweiz nicht dazu verpflichtet, jedoch erleichtert es Eure Arbeit und das Management Eures TechStacks ungemein. Grössere Unternehmen nutzen dafür auch spezielle Plattformanbieter.

Aus diesen Modulen setzen sich TOM’s zusammen

Egal ob es sich um ein Content Management System handelt, um Marketing Automation oder andere Tools, die Daten bearbeiten, speichern oder versenden, es benötigt eine Art Inventarliste mit dazugehörigem Assessment. Die TOMs und DSFAs sind für die IT, die Geschäftsleitung und das Marketing- oder Kommunikations-Teams alle gleichermassen wichtig. Je nachdem, welches Datenschutzgesetz für ein Unternehmen gilt, können bei Verstössen entweder das Unternehmen oder einzelne Personen gebüsst werden. 

Datenschutz durch Technik

Mit der Nutzung von Technologien sind Risiken verbunden. Durch TOM werden sie schon in der Planungsphase adressiert und der Grundsatz der „Verhälnismässigkeit“ eingehalten.

Datenschutz durch organisatorische Massnahmen

Nur Menschen, die für das Thema sensibilisiert und geschult sind, können Schutzmassnehmen in ihre tägliche Arbeit sinnvoll integrieren.

Datensicherheit

Auch im Eigeninteresse des Unternehmens sollten Massnahmen eingerichtet werden, die Personendaten vor unberechtigten Zugriffen schützen. Ein Cyberangriff mit Datenklau kann hohe Image Schäden anrichten. 

Einen Record of Processing Activities (RoPa) führen

Kein Muss für kleine Unternehmen, aber bei Audits und Datenschutzprüfungen ist das RoPA der zentrale Nachweis. Es zeigt, ob ein Unternehmen seine Datenverarbeitungen kennt, (sicherheits-)rechtlich eingeordnet hat und organisatorisch steuert. Es ist wichtig für die Transparenzpflicht, zum Nachhalten von Dienstleistern, Betroffenenrechten, Löschfristen, DSFA-Pflichten.

Datenschutzfolgen-abschätzung (DSFA) bei hohen Risiken

Besteht ein hohes Risiko für die Persönlichkeit oder die Grundrechte von betroffenen Personen durch Tools, so führe ich eine individuelle Risikobewertungen durch: die DSFA. Die Ergebnisse können durchaus in Eurem Unternehmen zu einem negativen Entscheid gegen die Plattform führen, nämlich dann, wenn das Schadenpotenzial hoch ist.

GAP-Analyse zu den Massnahmen

Aus der RoPA mit den vorgeschlagenen oder bereits implementierten Massnahmen zum Schutz der Daten lässt sich eine GAP-Analyse erstellen. Das hilft zu priorisieren und Empfehlungen oder Entscheide abzuleiten.

So unterstütze ich Marketing, Datenschutz Beauftragte und IT

 Ich analysiere, dokumentiere und spreche Empfehlungen von technischen und organisatorischen Massnahmen (TOM) in Form eines RoPA-Verzeichnisses aus, mache Datenschutzfolgenabschätzungen (DSFA) und sorge dafür, dass Eure Marketing Technologien „Privacy First“ werden.

Dies mache ich im Hinblick auf Eure gesamte Marketing-Infrastruktur. Da ich nicht produktgebunden bin und keinerlei Kommissionen von Tech-Firmen nehme, kann ich Dir transparent aufzeigen, welche datenschutzrechtlichen Risiken ich entdecke und was Ihr beheben solltet. Ich kann Euch Alternativen nennen, auswählen und entscheiden müsst Ihr aber selbst. 

Du benötigst Hilfe bei sehr technischen Datenschutzthemen