Der Stand des Datenschutzes im Jahr 2024
Veröffentlicht: 2023-09-11Früher war Marketing ein relativ unkomplizierter Beruf. Weder einfach noch einfach, aber es gab eine gewisse Klarheit über die Grenzen der Rolle. Dies galt insbesondere für die Kommunikation. Vor dem Aufkommen von Online und Digital gab es relativ wenige Kommunikationskanäle. In den letzten Jahrzehnten und insbesondere in den letzten fünf bis zehn Jahren haben sich die Möglichkeiten für Marketingprofis, insbesondere im Bereich Datenschutz, rasant erweitert.
Die Einführung der Datenschutz-Grundverordnung (DSGVO) der EU am 25. Mai 2018 war in vielerlei Hinsicht eine Reaktion auf diesen technologischen Ausbau. Der europäische Gesetzgeber wollte eine Reihe von Grundsätzen schaffen, die die Daten der Bürger schützen würden. Seitdem hat die DSGVO anderen Regionen auf der Welt den Ton vorgegeben, ihren eigenen Ansatz zur Datenregulierung zu prüfen.
Als einer der größten Nutzer personenbezogener Daten in unseren Unternehmen ist es für uns Vermarkter die Pflicht, sicherzustellen, dass wir über ein solides Verständnis der Best Practices im Datenschutz verfügen. Insbesondere müssen wir die Grundlagen richtig hinbekommen. In diesem kurzen Artikel werde ich einige der Schlüsselbereiche identifizieren, auf die Marketingleiter und ihre Teams jetzt achten sollten.
Profi-Tipp : Hören Sie sich Steven Roberts‘ „Data Protection 101“ im DMI-Podcast an.
„Transparenz ist ein zentrales Prinzip der DSGVO. Vermarkter, die KI-Tools verwenden, die personenbezogene Daten verarbeiten, müssen in der Lage sein, klar und einfach zu erklären, wie diese Daten verwendet werden. „ Steven Roberts
Ein sich schnell veränderndes Datenschutz-Ökosystem
Die DSGVO hat weltweit zu einer Vielzahl ähnlicher Gesetze geführt, mit neuen Gesetzen in Ländern wie China, Singapur und Südafrika.
Der California Consumer Privacy Act (CCPA) ist das bekannteste einer Reihe lokaler und staatlicher Gesetze in den USA . Dies hat zu einem komplexeren internationalen Datenschutz-Ökosystem beigetragen.
Im Vereinigten Königreich erwägt die britische Regierung eine Überarbeitung der britischen DSGVO mit einem neuen Datengesetz, das derzeit entwickelt wird (Stand: September 2023). Unternehmen, die mit dem Vereinigten Königreich Handel treiben, müssen diese Entwicklung genau beobachten, insbesondere wenn sie sich auf die Angemessenheitsentscheidung zwischen der EU und dem Vereinigten Königreich* auswirkt.
In Europa werden derzeit zahlreiche angrenzende EU-Rechtsvorschriften eingeführt. Das beinhaltet:
- Das Gesetz über digitale Märkte
- Das Gesetz über digitale Dienste
- Eine KI-Verordnung. Letzteres ist in einer Zeit der rasanten Verbreitung und Nutzung von KI-Technologien wie ChatGPT besonders dringlich.
Derzeit laufen auch Diskussionen über eine Überarbeitung der aktuellen Datenschutzrichtlinie für elektronische Kommunikation, die allgemein als nicht mehr zweckmäßig angesehen wird. Alle diese Rechtsvorschriften haben das Potenzial, Auswirkungen auf die Datenverarbeitungsaktivitäten von in der Europäischen Union tätigen Vermarktern zu haben.
Der Datenschutz muss von Anfang an einbezogen werden
Laut Chiefmartech.com gibt es mehr als 11.000 Marketing-Technologieplattformen; eine Zahl, die von Jahr zu Jahr wächst. Viele dieser Technologien nutzen personenbezogene Daten, um verschiedene Verbrauchergruppen effektiver zu erreichen und anzusprechen.
Vermarkter, die eine neue Plattform oder auch neue Strategien zur Verwendung personenbezogener Daten in Betracht ziehen, sollten sicherstellen, dass der Datenschutz von Anfang an berücksichtigt wird. Dabei ist der Grundsatz des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Data Protection by Design and Default) der DSGVO ausschlaggebend. Eine der besten Möglichkeiten, diesem Grundsatz nachzukommen, ist die Durchführung einer sogenannten Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA).
Dabei handelt es sich um einen zweistufigen Prozess. Zunächst wird eine Pre-DPIA durchgeführt, bei der eine Reihe hochrangiger Fragen gestellt wird, um zu beurteilen, ob das Projekt das Potenzial hat, erhebliche Datenschutzrisiken mit sich zu bringen. Wenn solche Risiken identifiziert werden, muss eine vollständige DSFA durchgeführt werden. An diesem Punkt erfolgt eine detaillierte Analyse des Projekts, einschließlich der Konsultation der wichtigsten Interessengruppen. Ein solcher Ansatz ermöglicht eine Neukalibrierung eines Projekts, wenn die Datenschutzrisiken zu hoch sind, oder die Annahme von Abhilfemaßnahmen zur Reduzierung des Risikoniveaus.
Beispiele für Vermarkter könnten die Einführung einer neuen First-Party-Data-Strategie oder die Einführung einer CRM-Plattform sein. Es gilt allgemein als bewährte Vorgehensweise, dass alle neuen Marketinginstrumente, die personenbezogene Daten nutzen könnten, einer DSFA unterzogen werden sollten.
KI und Datenschutz
Plattformen für künstliche Intelligenz (KI) erfreuen sich bei Vermarktern immer größerer Beliebtheit und ermöglichen Aktivitäten wie automatisierte Website-Chatbots. Die Einführung von ChatGPT und anderen großen Sprachmodellen (LLMs) bietet Vermarktern ein erhebliches Potenzial zur Steigerung ihrer Produktivität. Beispielsweise die Erstellung von Blogs und Artikeln als Teil einer Content-Marketing-Strategie.
Vermarkter, die eine solche Technologie in Betracht ziehen, müssen sich der Datenschutzrisiken bewusst sein. Transparenz ist ein zentrales Prinzip der DSGVO. Vermarkter, die KI-Tools verwenden, die personenbezogene Daten verarbeiten, müssen in der Lage sein, klar und einfach zu erklären, wie diese Daten verwendet werden. Dies stellt eine erhebliche Herausforderung dar, da es oft nicht einfach ist, genau zu erkennen, wie Daten von der KI-Technologie verarbeitet werden.
Darüber hinaus gibt Artikel 22 der DSGVO Einzelpersonen das Recht, gegen automatisierte Entscheidungen, die möglicherweise rechtliche Auswirkungen haben, Widerspruch einzulegen. Zum Beispiel „automatische Ablehnung eines Online-Kreditantrags oder E-Recruiting-Praktiken ohne jegliches menschliches Eingreifen.“ In diesen Fällen haben sie das Recht auf menschliches Eingreifen als Teil des Entscheidungsprozesses.
Angesichts der potenziellen Datenschutzbedenken, die sich aus dem Einsatz von KI ergeben, musste Google nach einer Intervention der irischen Datenschutzkommission (DPC) die Einführung eines neuen KI-Chatbots, Bard, verschieben. Die Kommission erklärte, dass der Technologieriese weitere Informationen darüber liefern müsse, wie die Datenschutzrechte der EU-Bürger geschützt würden. Anschließend führte Google Bard in der EU ein, nachdem das DPC eine Reihe von Änderungen vorgenommen hatte, insbesondere erhöhte Transparenz und Änderungen bei den Kontrollen für Benutzer.
„Datencompliance ist eine fortlaufende Reise. Die erste Priorität besteht darin, die Grundlagen richtig zu machen. „ Steven Roberts
Erhöhte Bußgelder und Verbraucherbewusstsein
Als Vermarkter sind wir die Stimme des Verbrauchers und für den Schutz der Marke und des Rufs unserer Unternehmen verantwortlich. Verbraucher sind sich ihrer Datenschutzrechte stärker bewusst. Ein großer Teil davon ist auf die Publizität im Zusammenhang mit hohen Geldstrafen zurückzuführen.
Nach Angaben der Anwaltskanzlei DLA Piper haben die EU-Aufsichtsbehörden in den zwölf Monaten ab dem 28. Januar 2022 Geldbußen in Höhe von 1,6 Milliarden Euro verhängt. Dieser Trend setzte sich im Jahr 2023 fort, insbesondere mit der Verhängung einer Geldbuße in Höhe von 1,2 Milliarden Euro durch die irische DPC gegen Meta wegen der Übertragung von EU-Nutzern „Personenbezogene Daten in die USA übertragen, ohne dass angemessene Datenschutzmechanismen vorhanden sind.
Im April 2023 verhängte das britische Information Commissioner's Office (ICO) eine Geldstrafe von 12,7 Millionen Pfund gegen TikTok wegen Verstößen im Zusammenhang mit dem Missbrauch von Kinderdaten.
Unterdessen hat es in den USA mehr politische Auseinandersetzungen zum Thema Datenschutz gegeben, mit Versuchen, TikTok auf staatlicher Ebene zu verbieten, beispielsweise in Montana, und einer deutlich härteren neuen Führung bei der FTC, die Amazon verklagt, weil es Kunden ohne Zustimmung bei Prime angemeldet hat. In Irland sind Mitarbeiter von Regierungs- und Staatsbehörden verpflichtet, die TikTok-App von offiziellen Geräten zu entfernen; Darüber hinaus wurden auch in Ländern wie dem Vereinigten Königreich und den Niederlanden Beschränkungen eingeführt.
Es ist erwähnenswert, dass AdTech und verhaltensorientierte Werbung zwar Prioritäten bei der Durchsetzung des DPC und anderer Aufsichtsbehörden darstellten, in vielen Wirtschaftszweigen jedoch Strafen gegen Unternehmen verhängt wurden. wenn auch nicht auf dem atemberaubenden Niveau, das wir bei Technologieunternehmen gesehen haben.
Übermittlung internationaler Daten
Internationale Datenübertragungen bereiten Unternehmen, die personenbezogene Daten aus der Europäischen Union übertragen möchten, erhebliche Kopfschmerzen. Es handelt sich um einen Aspekt des Datenschutzes, der in den letzten Jahren erhebliche Veränderungen erfahren hat. Im Juli 2020 entschied der Europäische Gerichtshof, dass die bestehende Privacy-Shield-Vereinbarung für Datenübermittlungen zwischen der EU und den USA ungültig sei. Seit dieser Entscheidung, bekannt als Schrems II , suchen beide Gerichtsbarkeiten nach einem alternativen Mechanismus, der DSGVO-konform ist.
Ein neues Datenschutzrahmenwerk wurde Anfang Juli von der Europäischen Union verabschiedet. Dies ist zwar zu begrüßen, es bleibt jedoch abzuwarten, ob dies auf ähnliche Herausforderungen seitens der Befürworter des Datenschutzes stoßen wird, wie es bei den beiden Vorgängern der Fall war. In der Zwischenzeit mussten Unternehmen alternative Ansätze finden, beispielsweise die Verwendung von Standardvertragsklauseln (sog. SCCs)***.
Für Unternehmen, die mit dem Vereinigten Königreich Handel treiben, hat die britische Regierung ihre Absicht bekundet, bestimmte Aspekte der britischen DSGVO zu rationalisieren, mit dem Ziel, die derzeitigen Vorschriften für Unternehmen weniger belastend zu gestalten****.
So bleiben Sie über den Datenschutz informiert
Viele Vermarkter haben Schwierigkeiten, mit diesem Tempo des Wandels Schritt zu halten, insbesondere diejenigen in KMU, die möglicherweise nicht auf die gleichen Ressourcen zugreifen können wie Teams in großen multinationalen Unternehmen.
Es lohnt sich, uns daran zu erinnern, dass die Datenkonformität ein fortlaufender Prozess ist. Die erste Priorität besteht darin, die Grundlagen richtig zu machen. Vor diesem Hintergrund sind für eine wirksame Datenschutzkultur in einem Unternehmen mehrere Aspekte von entscheidender Bedeutung:
1. Training ist wichtig
Die Schulung muss regelmäßig und kontinuierlich erfolgen, sowohl für neue als auch für bestehende Mitarbeiter. Dies ist besonders wichtig angesichts des Ausmaßes der Abwanderung, das wir derzeit in vielen Marketingfunktionen beobachten, sowie der Geschwindigkeit der Entwicklung im Bereich Compliance im Allgemeinen. Einige Experten schätzen, dass 90 % aller Datenschutzverletzungen auf menschliches Versagen zurückzuführen sind. Um diesem Risiko entgegenzuwirken, ist eine Schulung unerlässlich.
2. Kennen Sie die 6 Rechtsgrundlagen und 7 Grundprinzipien der DSGVO
Viele der Verstöße, die wir in den letzten fünf Jahren gesehen haben, hätten reduziert oder beseitigt werden können, wenn Unternehmen die folgenden Fragen berücksichtigt hätten:
- Erstens: Gibt es eine klare Rechtsgrundlage für die Verarbeitung dieser personenbezogenen Daten?
- Zweitens: Steht die Verarbeitung im Einklang mit den Grundsätzen der DSGVO?
3. Stellen Sie den Ton von oben ein
Alle Unternehmen lassen sich von der Führungsebene leiten. Der Vorstand und das Führungsteam müssen den Eindruck erwecken, dass sie mit Worten und Taten eine starke Datenschutzkultur im gesamten Unternehmen offen unterstützen und befürworten.
4. Führen Sie detaillierte Aufzeichnungen und Prozesse ein
Rechenschaftspflicht ist eines der übergeordneten Prinzipien der DSGVO. Artikel 30 der Verordnung erfordert eine genaue Aufzeichnung als Teil einer wirksamen Datenschutzkultur. Darüber hinaus erzielen Unternehmen erhebliche Produktivitäts- und Effizienzvorteile, wenn im Vorfeld klare Prozesse für Aspekte wie Zugriffsanfragen von Personen und die Meldung von Datenschutzverletzungen vorhanden sind.
5. Verstehen Sie die höheren Compliance-Anforderungen für Kinder- und Sonderkategoriedaten
Vermarkter müssen die zusätzlichen Compliance-Anforderungen berücksichtigen, wenn es um die Daten von Minderjährigen und auch um eine Reihe von Daten besonderer Kategorien gemäß der DSGVO geht.
Abschluss
Der Datenschutz hat sich in den letzten Jahren rasant weiterentwickelt. Die Einführung der DSGVO im Jahr 2018 hat zu einem stärkeren Bewusstsein der Verbraucher und höheren Strafen für nicht konforme Unternehmen geführt. Es war auch der Auslöser für eine Welle ähnlicher Gesetze auf internationaler Ebene in Ländern wie China, Singapur und Südafrika. Dieses Tempo des Wandels und die damit verbundene zunehmende Komplexität machen es für Vermarkter und ihre Unternehmen von entscheidender Bedeutung, eine wirksame Datenschutzkultur zu etablieren.
Neue, datenintensive Technologien wie KI verstärken diesen Bedarf nur noch. Durch die Konzentration auf die richtigen Grundlagen, regelmäßige Schulungen zu den Kernaspekten der Verordnung, klare Prozesse und Aufzeichnungen sowie die Unterstützung durch die Unternehmensspitze sind Vermarkter und ihre Teams gut aufgestellt, um sicherzustellen, dass sie die Vorschriften einhalten.
Anmerkungen
* Der im Jahr 2021 vereinbarte Angemessenheitsbeschluss der EU besagt im Wesentlichen, dass im Vereinigten Königreich ein ähnliches Datenschutzumfeld wie in der EU herrscht. Die Entscheidung soll nach vier Jahren überprüft werden und könnte gefährdet sein, wenn davon ausgegangen wird, dass das Vereinigte Königreich vom derzeit geltenden Datenschutzniveau abgewichen ist.
** Erwägungsgrund 71 DSGVO
*** Bei Einbindung in einen Vertrag können Standardvertragsklauseln die Einhaltung der DSGVO-Datenübermittlungspflichten gewährleisten.
**** Der Gesetzentwurf zum Datenschutz und zu digitalen Informationen (Nr. 2).