Adobe Analytics und die Datenschutz-Grundverordnung (DSGVO).

Rechte eurer Kundinnen und Kunden als betroffene Personen.

Die DSGVO gewährt Einzelpersonen (betroffenen Personen) zusätzliche Rechte zum Zugriff auf Informationen, die von Unternehmen über sie vorgehalten werden. Als Verantwortliche für die Datenverarbeitung solltet ihr darauf vorbereitet sein, entsprechenden Anfragen (z. B. bezüglich Datenzugriff und Datenlöschung) nachzukommen.

Vorschläge von Adobe:

• Überprüft bestehende Workflows für Verbraucherrechte, interne Prozesse und Anlaufstellen, um festzustellen, inwiefern die Erfassung von Analysedaten auf die aktuellen Prozesse abgestimmt ist.
• Erarbeitet ein Verfahren für die Entgegennahme und die Beantwortung von Anfragen von betroffenen Personen. Erwägt die Entwicklung eines automatisierten Tools für die Verwaltung dieser Anfragen.
• Überlegt, wie ihr Identifizierungsmerkmale von betroffenen Personen erfassen möchtet (z. B. per Datenschutz-Alias oder Web-basiertem Formular).
• Berücksichtigt Authentifizierungs- und Validierungsanforderungen, insbesondere da Daten in Adobe Analytics oft als indirekt identifizierbare Daten beschrieben werden können (z. B. IP-Adressen oder Cookie-IDs statt authentifizierter Daten, etwa wenn eine Anwenderin oder ein Anwender eine E-Mail-Adresse angibt).
• Ermittelt, welche Rolle von Adobe bereitgestelltes JavaScript spielen kann, um bestimmte Formen der Identitätsbestimmung zu ermöglichen.
• Führt eine Datenprüfung durch, bevor ihr betroffenen Personen Zugriff auf ihre Daten gewährt. Dokumentiert die Vorkehrungen, die ihr getroffen habt, um ein Audit-Protokoll zu erstellen.

Einwilligungen.

Für bestimmte Analysen müssen Unternehmen ggf. Einwilligungen einholen. Adobe Analytics-Kundinnen und -Kunden sind dafür verantwortlich, welche Daten wie in Adobe Analytics importiert werden. Mit Blick auf die DSGVO solltet ihr in Erfahrung bringen, welche Datenquellen und zugehörigen Datentypen sich am besten für eure Use Cases eignen. Ermittelt, ob für das jeweilige Szenario Einwilligungen erforderlich sind.

Um zu prüfen, ob eine Einwilligung erforderlich ist, und um eine entsprechende Methode zu entwickeln, solltet ihr Folgendes berücksichtigen:

• Bestimmt, welche Daten ihr derzeit und künftig erfassen möchtet.
• Legt fest, wie ihr die Daten verwenden und auf welcher Rechtsgrundlage ihr sie verarbeiten werdet.
• Entscheidet für die Fälle, in denen eine Einwilligung erforderlich ist, wie ihr als Verantwortliche für die Datenverarbeitung die Einwilligung einholen möchtet, sofern euer derzeitiges Verfahren nicht ausreichend ist. Dies kann intern oder mithilfe eines externen Consent Managers erfolgen. Eine Liste mit Anbietern für entsprechende Datenschutztechnologien, von denen einige die Unterstützung durch Consent Manager anbieten, findet ihr hier.
• Entscheidet, ob ihr ein kontextbezogenes und markenbezogenes Erlebnis für die Einwilligung gestalten möchtet (Stichwort „Experiential Privacy“ also Datenschutz als Teil des Erlebnisses), und ermittelt gleichzeitig den besten Ansatz für die Berücksichtigung von Verbraucher-Opt-outs oder den Widerruf von Einwilligungen.

Datenminimierung und Datenspeicherung.

Um den DSGVO-Grundsatz der Datenminimierung zu berücksichtigen (d. h. die Beschränkung der Datenerfassung auf das für einen bestimmten Zweck erforderliche Maß), solltet ihr eure Datenerfassungsverfahren überprüfen.

Evaluiert die Kosten für die Aufbewahrung, Sicherung und Beantwortung von Anfragen von Einzelpersonen und wägt sie gegen eure geschäftlichen Anforderungen ab. Führt hierfür die folgenden Schritte durch:

• Überprüft eure aktuellen Tags und Cookies, um sie auf die jeweiligen Use Cases abzustimmen. Passt eure Verfahren zur Datenerfassung an eure Marketing-Ziele an.
• Zieht in Betracht, ungenutzte Daten aus eurer Instanz von Adobe Analytics zu entfernen.
• Informiert euch über eure Adobe Analytics-Richtlinien zur Vorratsdatenspeicherung und setzt euch mit eurem Adobe-Support-Kontakt in Verbindung, um sicherzustellen, dass eure Datenspeicherfrist angemessen ist.

Data Governance.

Data Governance hilft beim Festlegen des Rahmens für die Definition von Strategien, Prozessen, Richtlinien und Technologien für den Umgang mit Daten. Wir empfehlen, im Hinblick auf Data Governance proaktiv vorzugehen. Einer der zahlreichen Vorteile dieses Ansatzes: Ihr könnt Anfragen von betroffenen Personen bezüglich Datenzugriff oder -löschung leichter nachkommen und schafft ein positives, differenziertes Kundenerlebnis.

Adobe empfiehlt, die Prozesse zur Verwaltung eurer Daten mithilfe der folgenden Schritte zu überprüfen:

• Definiert eure Strategie und Verfahren zur Identitätsbestimmung, wie zuvor beschrieben.
• Bringt in Erfahrung, welche Daten ihr durch Adobe Analytics erfasst und warum, an wen ihr sie weitergebt, wie lange ihr sie aufbewahrt und welche Sicherheitsmaßnahmen zum Schutz der Daten angewendet werden. Dies kann zudem bei der Aufzeichnung von Datenverarbeitungsvorgängen hilfreich sein.
• Nutzt die von Adobe Analytics bereitgestellten Tools zur Kennzeichnung von Daten, um eure Verfahren und Richtlinien für Data Governance zu operationalisieren.
• Sofern für euren Use Case zutreffend (z. B. bei bestimmten EU-Besuchenden), setzt euch proaktiv mit eurem Adobe-Support-Kontakt in Verbindung, um das letzte Oktett von IP-Adressen zu verschleiern bzw. sie nach der ersten Verarbeitung vollständig zu löschen.
• Verwaltet ggf. den Lebenszyklus von E-Marketing-Tags oder Webbeacons mit einem Tag-Management-System wie Adobe Experience Platform Launch.
• Entwickelt einen Prozess zur Überprüfung einer geänderten Adobe Analytics-Nutzung, um dauerhaft die Einhaltung gesetzlicher Vorgaben sicherzustellen.