Edition #001 Compliance

Entwickelt, um die konforme Nutzung von Daten zu gewährleisten & Business-Entscheidungen zu unterstützen.

Personalisierung und Datenschutz sind keine Gegensätze

Compliance

·

10 Min Lesezeit

Teilen

Celestine Bahr & Tilman Harmeling

Director Legal, Compliance and Data Privacy & Senior Expert Privacy, Usercentrics

Portrait Celestine Bahr & Tilman Harmeling

Wie können Datenschutz und personalisierte Angebote auf Dauer nebeneinander bestehen? Celestine Bahr und Tilman Harmeling von Usercentrics geben Antworten.

Welche rechtlichen Risiken sehen Sie, insbesondere für kleine Unternehmen, wenn sie versuchen, eine datenbasierte Geschäftsstrategie aufzubauen?

Celestine Bahr: Kleine Unternehmen oder Start-ups verfügen in der Regel über großes Fachwissen in ihrem spezifischen Geschäftsfeld. Sie sind Experten im Aufbau ihrer Geschäftsstrategie. Oft ist auch eine große Marketing- und Social-Media-Affinität und großes technisches Know-how vorhanden - vor allem im E-Commerce oder SaaS. Kleine Unternehmen verfügen jedoch in der Regel nicht über das Wissen, die Ressourcen oder die finanziellen Mittel (z. B. Datenschutzexperten, Rechtsanwälte, Informationssicherheitsexperten), um ihre datenbasierte Geschäftsstrategie aus rechtlicher, datenschutzrechtlicher und IT-Sicherheitsperspektive zu überprüfen.

Dies kann dazu führen, dass die marketing- und vertriebsorientierte Strategie gut funktioniert, aber erhebliche Lücken im Datenschutz und in der IT-Sicherheit bestehen. Solche Unternehmen starten dann aus den oben genannten Gründen mit einem eher bedenklichen Konzept, auf dem alle weiteren Prozesse und Strukturen aufbauen.

Damit besteht für kleine Unternehmen ein erhebliches Risiko, nicht datenschutzgerecht oder IT-sicherheitskonform zu wachsen. Werden später Rechts- oder andere Berater mit dem notwendigen Know-how hinzugezogen, kann es sehr schwierig und kompliziert sein, bestehende Strukturen und Prozesse aufzubrechen, um sie datenschutzkonform zu verändern.

Als Rechtsanwalt und Legal Counsel für Unternehmen würde ich kleinen Unternehmen immer empfehlen, in der Gründungsphase nicht zu sparen, sondern sich von Anfang an kompetente Berater:innen ins Boot zu holen, die helfen, datenschutzkonforme Prozesse zu implementieren. Es ist auch hilfreich, professionelle Tools einzusetzen, um die notwendige und vorschriftsmäßige Skalierbarkeit zu erreichen. Dies trägt dazu bei, dass kleine Unternehmen von Anfang an gesetzeskonform sind und homogen wachsen können. Diese Prozesse und Strukturen sollten auch regelmäßig von Expert:innen überprüft werden, vor allem dann, wenn sich kleine Unternehmen noch in der Wachstumsphase und somit in ständigem Wandel befinden.

Tilman Harmeling: Das ist nicht so einfach zu beantworten. Aufgrund der hohen Komplexität der DSGVO selbst und des sich verändernden Marktumfelds gibt es viele potenzielle Fallstricke.

Ein gutes Beispiel ist das Ende der Cookies von Drittanbietern. In der Vergangenheit haben sich viele Unternehmen auf Cookies von Drittanbietern verlassen. Ihre Adtech-Strategien sind darauf aufgebaut. Es ist kompliziert, dies nun durch eine Datenstrategie zu ersetzen, z. B. durch First-Party-Lösungen.

Dies kann vor allem für kleinere Unternehmen aus vielen Gründen eine Herausforderung sein. Sie haben ein kleineres Publikum als große Unternehmen, wodurch ihnen weniger Daten zur Verfügung stehen. Außerdem verfügen sie in der Regel nicht über die internen Ressourcen, um diese Art von Daten zu verarbeiten.

Bite Mark

"Und vor allem stellt sich die Frage: Bin ich (noch) gesetzeskonform? Neue Wege der Rückverfolgung erfordern neues Fachwissen. Die Unternehmen können sich nicht mehr auf altes Wissen verlassen."

Tilman Harmeling

Senior Expert Privacy, Usercentrics

Welche greifbaren Vorteile bringen Daten den Unternehmen im Jahr 2023? Welches sind die wichtigsten Daten-Fallstricke, die es zu vermeiden gilt?

Tilman Harmeling: Ich würde nicht unbedingt sagen, dass sich der Nutzen von Daten verändert hat. Unternehmen wollen immer noch mehr Produkte verkaufen, das Nutzerverhalten verstehen oder ihre Website, App oder ihr Produkt verbessern. Wir sehen immer noch viele Technologien von Drittanbietern, die in den Martech-Stack unserer Kund:innen integriert sind. Aber das wird sich ändern.

Bite Mark

"Eine große Herausforderung wird dann der Aufwand sein, den Unternehmen im Zeitalter des Datenschutzes für die Erstellung und Auswertung von Daten betreiben müssen. Wie viel Zeit und Ressourcen werden dafür erforderlich sein, und welchen Wert wird dies am Ende haben?"

Tilman Harmeling

Senior Expert Privacy, Usercentrics

Können Datenschutz und personalisierte Angebote auf Dauer nebeneinander bestehen? Oder schließen sie sich in der Realität gegenseitig aus?

Celestine Bahr: In der Online-Werbebranche ist es beim Einsatz personalisierter Werbung wichtig, den Nutzer:innen zu erklären, wie die Daten über ihre Online-Aktivitäten verwendet werden, um die ihnen präsentierte Werbung zu verbessern. Außerdem müssen die Nutzer:innen eine sinnvolle Wahlmöglichkeit haben, wie diese Daten verwendet werden.

Personalisierung und Datenschutz werden oft als Gegensätze angesehen: Man kann nicht beides haben und muss sich für das eine oder das andere entscheiden. Dem stimme ich nicht unbedingt zu. Eher das Gegenteil ist oder kann der Fall sein.

Auf der einen Seite wird unsere Gesellschaft immer digitaler und datengesteuerter. Auf der anderen Seite sind viele Menschen bei der Nutzung dieser Angebote verunsichert, verbunden mit der Angst, den Überblick oder die Kontrolle über ihre Daten zu verlieren. Wir hören von “Dark Patterns”, Datenskandalen, Data Brokerage und vielem mehr.

Gleichzeitig werden immer mehr Vorschriften entwickelt, die globale und europäische Standards setzen (z. B. DSGVO und ePrivacy-Richtlinie oder das BDSG und TTDSG in Deutschland). Diese Gesetze stärken die Grundrechte der Bürgerinnen und Bürger im Allgemeinen und die Quasi-Definition eines Grundrechts auf Datenschutz im Besonderen und stellen elementare soziale Mechanismen und zukünftige Technologien mit eingebauten Regeln bereit.

Durch das Sammeln von Daten an verschiedenen Stellen kann letztlich ein möglichst klares Bild geschaffen werden. Dazu gehören zum Beispiel das Online-Verhalten, die Einkaufsgewohnheiten, die Anfragen an virtuelle Assistenten oder auch das Bewegungsmuster eines Fahrzeugs. Im Rahmen der Online-Werbung wird dann versucht, mit Hilfe eines solchen Profils und dem damit verbundenen Targeting die Ausspielung von Werbung so nah wie technisch möglich an den oben beschriebenen Idealzustand heranzuführen.

Bei richtiger Anwendung kann dies datenschutzkonform und zum Vorteil der Nutzer:innen geschehen, da ihnen Werbung angezeigt wird, die ihren Interessen entspricht.

Bite Mark

"Zusammenfassend kann man sagen, dass der Datenschutz, insbesondere im Rahmen der DSGVO, ein Mechanismus ist, der es den Nutzer:innen erstmals ermöglicht, tatsächlich und individuell an der digitalen Gesellschaft teilzunehmen und sie zumindest theoretisch mit anderen Parteien gleichzustellen."

Celestine Bahr

Director Legal, Compliance & Data Privacy, Usercentrics

Tilman Harmeling: Das können und sollten sie. Wir sehen im Markt viele Ansätze von Unternehmen, die versuchen, Lösungen zu finden, die dieses Miteinander möglich machen. Ein Beispiel wäre die Gruppierung von Personen oder die Kohortenbildung. Dazu braucht man nicht unbedingt viele persönliche Attribute. Manchmal reicht es aus, nur nicht-personenbezogene Daten zu aggregieren, um eine Datenstrategie zu erfüllen. Das Stichwort lautet Datenminimierung. 

Neben der Frage, wie viele Daten tatsächlich benötigt werden, stellt sich aber auch die Frage, was Unternehmen im Austausch für Daten anbieten. In der Regel wünschen sich die Nutzer:innen relevante Empfehlungen, spezielle Angebote, ein tolles Nutzererlebnis und all das. Wenn der Datenaustausch dies bieten kann, können beide Seiten zufrieden sein. Aber natürlich muss er regelkonform und transparent sein.

Wie können Unternehmen mit datenbasierten Geschäftsmodellen mit Compliance-Anforderungen in großem Umfang umgehen?

Celestine Bahr: Saubere Prozesse und Strukturen, regelmäßige Überprüfungen der bestehenden Organisation und geeignete technische Tools können helfen, die Compliance auf einem hohen Niveau zu halten und eine gute Basis für Skalierbarkeit zu schaffen.

Portrait Celestine Bahr
Portrait Celestine Bahr

Über Celestine Bahr

Celestine Bahr ist seit Juni 2022 Director Legal, Compliance & Data Privacy bei Usercentrics. In dieser Funktion ist sie für sämtliche rechtliche Fragestellungen des Unternehmens verantwortlich, insbesondere in den Bereichen IT- und Datenschutzrecht, Compliance, Vertragsrecht und Wettbewerbsrecht. Zuvor war sie als Director Legal, Compliance & Data Privacy bei AMORELIE in den Bereichen IT- und Datenschutzrecht, Compliance, Vertragsrecht, Wettbewerbsrecht, Arbeitsrecht und Produktrecht tätig. Zudem arbeitete sie jeweils vier Jahre in der Rechtsabteilung bei der Deutsche Telekom AG und der STRATO AG, wo sie sich auf das IT- und Datenschutzrecht spezialisierte. Sie ist seit 2009 zugelassene Rechtsanwältin und betreibt ihre Einzelkanzlei in Berlin, in der sie hauptsächlich Sachverhalte in den Gebieten IT- und Datenschutzrecht sowie Arbeitsrecht betreut. Sie wurde beim TÜV zur Datenschutzbeauftragten ausgebildet, ist Mediatorin und verfügt über abgeschlossene Fachanwaltsausbildungen in den Bereichen IT-Recht und Arbeitsrecht.

Portrait Tilman Harmeling
Portrait Tilman Harmeling

Über Tilman Harmeling

Tilman Harmeling ist Experte für Datenschutz und seit 2018 Teil des Usercentrics-Teams. Während seiner Zeit beim europäischen Marktführer für Consent Management, sammelte er eine Vielzahl von Erfahrungen darüber, wie Datenschutzmärkte funktionieren. Als Senior Expert Privacy ist es sein Ziel, Chancen in der Datenschutzlandschaft zu finden und zu verstehen. Daher arbeitet er nicht nur mit global tätigen Unternehmen und Universitäten zusammen, sondern referiert auf Events wie PrivSec Global, OMR, BCG MarTech Series, Leadership Beyond Borders oder DMEXCO regelmäßig über Themen, wie den wachsenden Einfluss und die Auswirkungen von User Trust auf und in Unternehmen, Transparenz beim Umgang mit Nutzerdaten und relevante Entwicklungen im Bereich Consent Management.

Logo Usercentrics
Logo Usercentrics

Über Usercentrics

Usercentrics ist einer der weltweiten Marktführer im Bereich Consent Management Platforms (CMP). Usercentrics unterstützt Unternehmen dabei, Nutzereinwilligungen für ihre Websites und Apps einzuholen und diese so zu verwalten und zu dokumentieren, dass sie globale Datenschutzbestimmungen einhalten können. Gleichzeitig ermöglicht das Unternehmen mit seinen Lösungen hohe Zustimmungsraten und den Aufbau vertrauensvoller Kundenbeziehungen. 

Usercentrics unterstützt Kunden wie Daimler, ING Diba und Konica Minolta bei der Einhaltung der Datenschutzbestimmungen, ist in mehr als 180 Ländern aktiv, hat ein Netzwerk von über 2.000 Vertriebspartnern und verarbeitet täglich mehr als 100 Millionen Nutzereinwilligungen. 

Erfahre mehr auf usercentrics.com/de

Bite in das Ryte Universum

Abonnieren unseren Bites Newsletter, lasse Dich inspirieren und erhalte die neuestens Trends & Artikel direkt in Deine Mailbox.

RyteThe #1 Platform for Website Quality Management

Ryte Bites zeichnet sich durch eine einzigartige Perspektive auf die Digitalisierung der Industrie aus und bietet damit einer neuen Generation an Web Changern eine digitale Heimat. Jede Ausgabe packt innovative Perspektiven, die unsere heutige Vorstellung von digitalem Erfolg aufrütteln und dazu ermutigen, das Web zum Besseren zu gestalten.