Kontext: Die Datenschutz-Grundverordnung DSGVO
In 2018 war die DSGVO unter Online Marketern das vorherrschende Thema. Aber die Marketer haben schlechtes Marketing dafür gemacht. Die Anwälte haben ihnen gezeigt, wie das geht. Denn die hatten auf einmal alle Hände voll zu tun.
Disclaimer: keine Rechtsberatung
Disclaimer: Wir sind keine Anwälte und geben keine Rechtsberatung. Die hier dargestellten Punkte sind in jedem Fall für den Einzelfall vor der eigenen Umsetzung zu prüfen. Wir zeigen nur eine Denkrichtung.
Kern der DSGVO
Der Kern der DSGVO ist der Umgang mit personenspezifischen Daten. Das sind Daten, aus denen ein Rückschluss zu einer Person geschlossen werden kann. Es ist hierbei völlig egal, ob dieses Datum auf dem ersten Blick so aussieht. Wenn in einem Postleitzahlgebiet nur eine Person wohnt, ist diese konkrete PLZ damit ein personenspezifisches Datum. Der geltende Konsens für Deutschland ist die sogenannte Mikrozelle der Post. Wenn immer mehr als 6 Personen durch die Verknüpfung aller Merkmale identifiziert werden können, gelten die Merkmale und ihre maximale Verknüpfung als nicht personenspezifisch.
Was viele Marketer aber in den meisten Diskussionen über die DSGVO übersehen: Sie brauchen gar nicht immer personenspezifische Daten.
Drei Daten Klassen: Anonym, pseudonymisiert, personenspezifisch
Es gibt drei Klassen von Daten:
- anonym
- pseudonymisiert
- personenspezifisch
Für diese gelten in der Sammlung und Verarbeitung unterschiedliche Regeln.
In der Realität werten die meisten Marketer nämlich gar keine personenspezifischen Daten aus, sondern nur anonymisierte:
- wie viele Sales hatte ich gestern?
- welche Tracking Codes hatten welche Conversion Rate?
Problem der Erfassung
Das Problem ist, dass sie häufig personenspezifisch erfasst werden. Und genau da setzen wir an. Weil das eben meistens gar nicht nötig ist.
Prinzip der Datensparsamkeit
Die meisten wissen nämlich gar nicht, was sie irgendwann mal mit den Daten machen wollen. Und das ist nunmal keine Sparsamkeit.
Es gibt noch einen weiteren sehr wichtigen Grund, sich über die sparsame Erfassung von Daten so früh wie möglich Gedanken zu machen:
Die Kosten des Verlustes von Daten
Die DSGVO beginnt gerade erst, Bußgelder von Firmen einzufordern, die nicht sorgsam mit den Daten umgegangen sind. Das ist ausführlich diskutiert worden. Dazu kommt das Recht der Verbraucher auf Schadensersatz. Verkürzt gesagt muss man davon ausgehen, dass jedes personenspezifisch erfasste Datum einen monetären Wert hat, sowohl für das Unternehmen, als auch für die Person.
Der Verlust eines solchen Datenfeldes (Ein Datensatz besteht aus mehreren Feldern) ist mit 100€ minimal anzusetzen.
Also ist eine E-Mail Liste von 10 000 Empfängern ein Wert und Risiko von ca. 1 Mio. Euro.
Wenn die gesammelten Daten von mir aber gar nicht genutzt werden, kippt das Risiko / Wert Verhältnis zu 100% Risiko. Jeder, der mit Daten umgeht, muss sich dessen bewusst sein.
Also ist es manchmal schlauer, gewisse Daten gar nicht erst zu erfassen oder länger als unbedingt nötig zu haben.
Wer sich mit Information Security auseinandersetzt, weiss, dass der Verlust von Daten keine Frage des "Ob", sondern eher des "Wann" ist. Und da sollte der Schaden möglichst gering gehalten werden.
Konsequenzen
Aus diesen Überlegungen scheint es völlig abwegig, nicht eine privacy by design Strategie zu wählen.
Ein zweiter Punkt erscheint auch häufig unterschätzt: Wenn wir mal annehmen, dass jede E-Mail einen Wert und ein Risiko von 100€ darstellt, kann man die Erhebung und die Abmeldungen ganz neu betrachten.
Strategisch gesehen wird die Nähe zum Kunden immer wichtiger. Also hat der respektvolle Umgang mit ihm einen hohen Wert. Wenn sich der Kunde allerdings abwendet, bedeutet das auch einen Wertverlust.
Wenn wir also einem Feld wie zum Beispiel dem Constent einen theoretischen Wert von 100 € geben, wie viel Euro vernichten Sie dann gerade pro Tag durch eine gespeicherte Ablehnung? 50% Quoten sind wohl üblich.
Wir glauben deshalb, es ist besser, dann zu fragen, wenn dem Nutzer auch ein Wert entsteht.