Was ist DSGVO-Compliance? Hier ist das Mindeste, was Sie wissen müssen

GDPR , oder die Allgemeine Datenschutzverordnung für alle mit Benutzern in Europa, tritt heute in Kraft. Es hat die unglückliche Kombination von EXTREM WICHTIG und SCHWER ZU VERSTEHEN.

Die meisten Conversion-Experten, E-Mail-Vermarkter und allgemeine Online-Vermarkter werden keine Zeit haben, sich durch die Rechtssprache zu wühlen, müssen aber trotzdem aus der Explosionszone herauskommen.

Dieser Artikel soll ein Ausgangspunkt für diese Vermarkter sein.

Es ersetzt nicht die Beratung durch Ihre Rechtsabteilung – Sie sollten sich unbedingt mit Ihren Informationssicherheits- und Rechtsabteilungen zusammensetzen, um die Strategie zu finalisieren. Aber dies sollte Sie in die richtige Richtung weisen und Ihnen helfen, wenn Sie Details zur DSGVO im Klartext erhalten möchten.

Datenminimierung – kein „Greedy Marketer“-Syndrom

Einer der Hauptgründe, warum die EU die DSGVO umsetzt, ist die Art und Weise, wie Daten von Vermarktern gesammelt werden. Wenn Sie fast überall auf der Welt nach Informationen fragen, können Sie im Gegenzug unverhältnismäßig viele Informationen verlangen. Ihre Conversion-Rate wird wahrscheinlich deswegen sinken, aber es gibt keinen rechtlichen Grund, warum Sie dies nicht tun können.

Die DSGVO ändert das.

Hier ist der relevante Teil von Artikel 5 zu den Grundsätzen der Verarbeitung personenbezogener Daten .

Personenbezogene Daten sind:

• in Bezug auf die betroffene Person rechtmäßig, fair und transparent verarbeitet werden („Rechtmäßigkeit, Fairness und Transparenz“);
• für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken nicht vereinbar ist; eine Weiterverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
• angemessen, relevant und auf das Notwendige in Bezug auf die Zwecke beschränkt, für die sie verarbeitet werden („Datenminimierung“);

Das bedeutet, dass Sie noch mehr Gründe haben, nur die Daten zu sammeln, die Sie benötigen .

• Sie benötigen diese E-Mail-Adresse, um dem Benutzer das angeforderte PDF weiterzuleiten
• Sie möchten die Telefonnummer, das Unternehmen, für das sie arbeiten, die Unternehmensgröße und die physische Adresse, um ihr Profil in Ihrem Marketingautomatisierungssystem zu erstellen

Diese zusätzlichen Dinge, die Sie wollen? Sie sind kein Freiwild mehr, wenn Sie Benutzer in Europa haben.

Sie müssen genau angeben, wofür Sie die Daten verwenden, und nur die Daten erfassen, die Sie vom Benutzer benötigen.

Opt-in-Zustimmung – keine Standardabonnements

Einige Vermarkter spielen diese Zustimmungsspiele mit Besuchern:

• Benutzer können sich beim Ausfüllen eines Formulars abmelden, aber das Opt-in-Kontrollkästchen ist vorab aktiviert
• Benutzer werden automatisch angemeldet, und Benutzer müssen das Unternehmen manuell benachrichtigen, dass sie sich nicht für ein bestimmtes Programm anmelden möchten
• Die Sprache im Opt-in-Programm ist so vage, dass Benutzer sich möglicherweise für mehrere Dinge anmelden, ohne es zu merken

All diese Spielchen setzen Unternehmen dem Risiko der Nichteinhaltung aus. Hier sind die relevanten Teile von Artikel 7, Bedingungen für die Zustimmung :

Wenn die Verarbeitung auf einer Einwilligung beruht, muss der Verantwortliche nachweisen können, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat.

Wird die Einwilligung der betroffenen Person im Rahmen einer schriftlichen Erklärung erteilt, die auch andere Angelegenheiten betrifft, so ist das Einwilligungsersuchen in einer von den anderen Angelegenheiten klar unterscheidbaren Form, in verständlicher und leicht zugänglicher Form mit eindeutigen und zu formulieren einfache Sprache. Jeder Teil einer solchen Erklärung, der einen Verstoß gegen diese Verordnung darstellt, ist nicht bindend.

Für Sie bedeutet dies, dass diese Consent-Spiele nicht mehr praktikabel sind, wenn Sie Benutzer in Europa haben.

Sie müssen sich darüber im Klaren sein, wofür sich die Benutzer entscheiden. Wenn Sie möchten, dass sie sich für Ihren Newsletter anmelden UND ihnen Produktpromos zeigen möchten, möchten Sie, dass sie beiden Dingen separat zustimmen, und Sie müssen dies ausdrücklich angeben.

Denken Sie an diese vier Dinge:

• Die Zustimmung sollte aktiv gegeben werden
• Benutzer sollten in klarer Sprache darüber informiert werden, wofür sie sich anmelden
• Schweigen und vorab angekreuzte Kästchen gelten nicht als Zustimmung
• Die Zustimmung zu einer Aktivität gilt nicht als Zustimmung zu anderen Aktivitäten

Widerruf der Einwilligung – Besucher nicht durch Reifen springen lassen

Eine andere Sache, an der Sie arbeiten müssen, ist, Benutzern die Möglichkeit zu geben, sich von Ihren Programmen abzumelden. Artikel 7 fährt fort:

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Vor Erteilung einer Einwilligung wird die betroffene Person darüber informiert. Der Widerruf muss so einfach sein wie die Einwilligung.

Wenn Sie E-Mail-Blasts in Form von Produktwerbung oder Newslettern haben, sollten diese immer klare Möglichkeiten für die Leute haben, sich von Ihren Programmen abzumelden. Und die sollten sichtbar sein.

Früher war es aus Conversion-Sicht besser, nur Leute in Ihrer Datenbank zu haben, die dabei sein WOLLEN. Nun, das ist auch aus rechtlicher Sicht besser.

Technologie-Stack – keine Sicherheit, keine Namen

Wenn Sie schnell und locker mit allem gespielt haben, das personenbezogene Daten enthält, sollten Sie Ihren Technologie-Stack besser schnell aufrüsten. Das bedeutet, dass Sie keine sensiblen Kundeninformationen und keinen Profilaufbau ohne Vorkehrungen für die Pseudonymisierung oder verwandte Technologien haben können.

Excel-Dateien, die mit echten Namen und sensiblen Informationen im Unternehmen herumschwirren, sollten schon immer ein Tabu sein, aber jetzt haben Sie mehr Gründe, dies zu verhindern.

Artikel 25, Data Protection by Design and by Default , enthält Bestimmungen, die für Unternehmen mit geringer Sicherheit ziemlich hart sind:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Zusammenhänge und der Zwecke der Verarbeitung sowie der mit der Verarbeitung verbundenen Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche sowohl zum Zeitpunkt der Bestimmung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen, wie z Art und Weise und die notwendigen Garantien in die Verarbeitung zu integrieren, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.

Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und ihre Zugänglichkeit. Insbesondere soll durch solche Maßnahmen sichergestellt werden, dass personenbezogene Daten nicht ohne Zutun des Einzelnen einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden.

Fazit: Wenn Sie persönlich identifizierbare Informationen speichern möchten, müssen Sie dafür sorgen, dass diese Informationen sicher sind.

DSGVO-Compliance: Ein komplexes Tier

Vermeiden Sie Strafen. Wenn Sie mit der Einhaltung der DSGVO im Rückstand sind, müssen Sie mindestens Folgendes tun:

• eine Prüfung, wie viele Daten Sie sammeln und ob Sie Datenminimierung vornehmen müssen,
• ein Durchlauf darüber, wie Sie personenbezogene Daten in anonyme Daten umwandeln, und
• eine Überprüfung, wie explizit Sie die Zustimmung zur Verwendung von Besucherdaten einholen möchten