Technologie Bewertung
Ein Tech Stack nach dem Privacy First Ansatz
Im Digitalen Marketing kann durch die richtige Auswahl der Tools viel Einfluss auf die Privatsphäre von Nutzer:innen und Kund:innen genommen werden. Hier werden viele personenbezogene Daten gesammelt und verarbeitet. Manche Technologien müssen laut Gesetzt sogar gesondert durchleuchtet werden. Nämlich dann, wenn sie sehr hohe Datenvolumen von identifizierbaren Personen bearbeiten oder besonders schützenswerte Daten oder wenn ein KI-System involviert ist.
Privacy First Marketing stellt sicher, dass Euer TechStack keine personenidentifizierenden Daten durch sogenante „Back Doors” weitergibt, Daten unzureichend geschützt sind oder falsche Technologie Entscheide und Tool-Einstellungen getroffen werden. Übrigens: Alle Daten, die innerhalb einer amerikanischen Infrastruktur bearbeitet werden, sind nicht geschützt vor dem Zugriff amerikanischer Behörden. Egal, wo sie gespeichert sind.
DSG und DSGVO-Compliance beginnt bei der Sensibilisierung von Mitarbeiter:innen und der richtigen Tech-Auswahl
Schutz und Sicherheit von personenbezogenen Daten durch die richtigen Massnahmen
Überblick über aktive Technologien und eine sinnvolle Basis für Datenschutzvorgänge
Starte jetzt mit dem Privacy Risk Scan Eurer Website
Wie hoch ist das Risiko Eurer Website Daten unbeabsichtigt an Drittanbieter weiterzugeben? Sende mir die URL und erhalte eine kostenlose Privacy Risk Scan per Email. Deine Email-Domain und URL müssen allerdings zusammen gehören.
* Pflichfelder
Was sind technische und organisatorische Massnahmen (TOMs)?
Ihr habt Euch für eine neue Technologie entschieden oder Ihr wollt komplett Privacy First im Marketing werden. Was nun?
Die sogenannten TOMs, das heisst, die Bestimmung der technischen und organisatorischen Massnahmen, helfen dabei, die Datenbearbeitungsprozesse für jede Anwendung zu verdeutlichen und Massanhmen festzulegen, die die Sicherheit gewährleisten. Dieser Vorgang ist wichtig, um den tatsächlichen Schutz der verarbeitenden Personendaten über die Plattformen in Bezug auf Vertraulichkeit, Verfügbarkeit, Korrektheit (Integrität) und Nachvollziehbarkeit kritisch zu definieren. Das kann z.B. in zusätzlichen IT-Sicherheitsvorkehrungen münden oder in einen Prozess, wie Zugriffe auf Plattformen gemanaged werden.
Empfehlenswert ist, dies als Verzeichnis anzulegen, ein sogenanntes „RoPA“ (Record of Processing Activities). Unternehmen unter 250 Mitarbeitern sind in der Schweiz nicht dazu verpflichtet, jedoch erleichtert es Eure Arbeit und das Management Eures TechStacks ungemein. Grössere Unternehmen nutzen dafür auch spezielle Plattformanbieter.
Aus diesen Modulen setzen sich TOM’s zusammen
Egal ob es sich um ein Content Management System handelt, um Marketing Automation oder andere Tools, die Daten bearbeiten, speichern oder versenden, es benötigt eine Art Inventarliste mit dazugehörigem Assessment. Die TOMs und DSFAs sind für die IT, die Geschäftsleitung und das Marketing- oder Kommunikations-Teams alle gleichermassen wichtig. Je nachdem, welches Datenschutzgesetz für ein Unternehmen gilt, können bei Verstössen entweder das Unternehmen oder einzelne Personen gebüsst werden.
Datenschutz durch Technik
Mit der Nutzung von Technologien sind Risiken verbunden. Durch TOM werden sie schon in der Planungsphase adressiert und der Grundsatz der „Verhälnismässigkeit“ eingehalten.
Datenschutz durch organisatorische Massnahmen
Nur Menschen, die für das Thema sensibilisiert und geschult sind, können Schutzmassnehmen in ihre tägliche Arbeit sinnvoll integrieren.
Datensicherheit
Auch im Eigeninteresse des Unternehmens sollten Massnahmen eingerichtet werden, die Personendaten vor unberechtigten Zugriffen schützen. Ein Cyberangriff mit Datenklau kann hohe Image Schäden anrichten.
Einen Record of Processing Activities (RoPa) führen
Kein Muss für kleine Unternehmen, aber bei Audits und Datenschutzprüfungen ist das RoPA der zentrale Nachweis. Es zeigt, ob ein Unternehmen seine Datenverarbeitungen kennt, (sicherheits-)rechtlich eingeordnet hat und organisatorisch steuert. Es ist wichtig für die Transparenzpflicht, zum Nachhalten von Dienstleistern, Betroffenenrechten, Löschfristen, DSFA-Pflichten.
Datenschutzfolgen-abschätzung (DSFA) bei hohen Risiken
Besteht ein hohes Risiko für die Persönlichkeit oder die Grundrechte von betroffenen Personen durch Tools, so führe ich eine individuelle Risikobewertungen durch: die DSFA. Die Ergebnisse können durchaus in Eurem Unternehmen zu einem negativen Entscheid gegen die Plattform führen, nämlich dann, wenn das Schadenpotenzial hoch ist.
GAP-Analyse zu den Massnahmen
Aus der RoPA mit den vorgeschlagenen oder bereits implementierten Massnahmen zum Schutz der Daten lässt sich eine GAP-Analyse erstellen. Das hilft zu priorisieren und Empfehlungen oder Entscheide abzuleiten.
So unterstütze ich Marketing, Datenschutz Beauftragte und IT
Ich analysiere, dokumentiere und spreche Empfehlungen von technischen und organisatorischen Massnahmen (TOM) in Form eines RoPA-Verzeichnisses aus, mache Datenschutzfolgenabschätzungen (DSFA) und sorge dafür, dass Eure Marketing Technologien „Privacy First“ werden.
Dies mache ich im Hinblick auf Eure gesamte Marketing-Infrastruktur. Da ich nicht produktgebunden bin und keinerlei Kommissionen von Tech-Firmen nehme, kann ich Dir transparent aufzeigen, welche datenschutzrechtlichen Risiken ich entdecke und was Ihr beheben solltet. Ich kann Euch Alternativen nennen, auswählen und entscheiden müsst Ihr aber selbst.