print logo
- Anzeige -

Die Digitale Fee und der DSGVO-Riese

Es war einmal eine digitale Fee. Ihr Name war Anna und sie verdiente sich ihren Unterhalt mit einer Online-Bäckerei.
Rasmus Skjoldan | 08.05.2018
DSGVO © Pixabay
 

Anna backte die köstlichsten Backwaren, von ausgefallenen Cupcakes und Scones bis hin zu Donuts und Snickerdoodles. Sie widmete sich ihren Kunden mit liebevoller Aufmerksamkeit: Sie gab ihre Namen, Post- und E-Mail-Adressen in ihre Customer-Relationship-Management (CRM) Software ein, verfolgte ihre Vorlieben anhand von Cookie-Daten in ihrem Online-Shop und nutzte ihr Content-Management-System (CMS), um personalisierte Angebote zu erstellen. Die Bestellungen gingen stetig ein und das Geschäft lief gut.

Dann trat eines Tages der DSGVO-Riese bei ihr ein. Der Riese war nicht böse, aber einige globale Unternehmen waren gefährlich nahe daran, ihren Zugang zu den persönlichen Daten der Bürger zu missbrauchen. Also führte der Riese eine neue Verordnung mit einem einzigen Ziel ein: den Menschen die Kontrolle über ihre persönlichen Daten zu geben. Unternehmen, die gegen die Verordnung verstießen, würden mit massiven Geldstrafen belegt werden, die ihre Existenz zerstören könnten.

Anna war besorgt. Ihre Kunden, deren Daten und Vorlieben waren die Lebensader ihres Geschäfts. Wie sollte sie ihre Waren verkaufen, ohne Zugang zu diesen Informationen zu haben?

Was wollte der Riese wirklich, fragte sie sich, während sie die Seiten der Verordnung durchsah. Eine Stimme schien ihr zuzuflüstern: Stelle das Individuum in den Mittelpunkt der Reise durch deinen Web-Auftritt. Zeige deinen Kunden, dass du ihre Privatsphäre und persönlichen Daten wertschätzt.

Mach es einfach
Anna erkannte, dass sie vieles vereinfachen sollte. Zuerst einmal würde sie nur die persönlichen Daten sammeln, die sie wirklich brauchte, und so wenig Daten wie möglich speichern. Genauso wie ihre frisch gebackenen Brote und Kuchen hatten auch Daten ein Verfallsdatum. Wenn sie festlegte, wie lange sie die Daten behalten würde, konnte sie sicher sein, dass sie stets mit frischen Daten arbeitete, denen sie mehr vertrauen konnte. Warum sollte sie die Lieblingsbrote von vor zwei Jahren aufnehmen, wenn die alte Frau Graves in der Zwischenzeit eine Glutenunverträglichkeit entwickelt hatte? Sie würde Namen und Adressen brauchen, wenn es um die Auslieferung der Leckereien ging, aber sie brauchte nicht unbedingt viele Daten, um mit der Personalisierung zu beginnen. Umfassende Verhaltensdaten und inhaltliche Vorlieben könnten geeigneter sein. War es wirklich wichtig, eine Kategorie „ältere Damen in Nordengland“ zu haben? Konnte sie das nicht unter „Leute, welche die supersüße und trockene Variante mögen“ verbuchen? Anna begann, sich ihre Daten eher als große Segmente denn als spezifische Deskriptoren vorzustellen.

Reduziere die Zersplitterung
Während sie das Datenaufkommen minimierte, sah Anna, dass sie die Zersplitterung ihrer Datenquellen reduzieren musste. Überall gab es persönliche Daten: in ihren CRM-, CMS-, Analyse- und Marketing-Automatisierungs-Tools. Brauchte sie wirklich alle? Weil den Kunden nun das „Recht auf Vergessenwerden“ und das „Recht auf Löschung“ per Gesetz zugesprochen wurde, muss sie ihnen zeigen können, über welche ihrer Daten sie verfügte, und diese dann, falls nötig, vollständig löschen. Es war viel einfacher, ihre Programme mit weniger Daten zu füttern und eine geringere Verflechtung anzustreben. Anna beschloss, ihre Tools auf nur drei zu reduzieren: CRM, CMS und eine KI-Suchmaschine.

Verschlüsselungselfen
Während ihrer Nachforschungen stieß Anna auf zwei magische Wörter: „Pseudonymisierung und Verschlüsselung.“ Sie würde persönliche Daten speichern, so dass sie nicht sofort als von einem bestimmten Individuum stammend identifiziert werden konnten. Wenn Kunden ihre Online-Bäckerei besuchten, „hashte“ sie die Namen zum Zeitpunkt der Erfassung auf der Website und zeichnete ihre Details als lange, aber einzigartige Ketten bedeutungsloser Daten auf. Anstatt personenbezogene E-Mail-Adressen oder Benutzer-IDs zu speichern, würde sie vom System generierte allgemeine Kennungen verwenden, um Personen zwischen den Datenquellen zu verfolgen. Wenn sich beispielsweise ein Kunde auf seiner Website für einen Newsletter angemeldet hatte, könnte eine universell eindeutige Kennung (UUID) nach dem Zufallsprinzip generiert und sowohl an ihre CRM- als auch an ihre KI-Engine gesendet werden. Dieser gemeinsame Bezeichner wurde zu Annas Schlüssel für die Synchronisierung von Daten zwischen den Systemen und für die Personalisierung. Und das Beste: Die UUID selbst konnte nicht direkt mit einer Person verknüpft werden.

Erlange Einwilligungen mit Charme
Der DSGVO-Riese hatte die Handhabung der Einwilligung in aller Ausführlichkeit abgehandelt und verfügt, dass diese „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ sein sollte. Haben wir das nicht schon immer gemacht, wunderte sich Anna und überflog die aktuelle Cookie-Richtlinie auf ihrer Website. Nein, das würde nicht reichen. Schweigen, gebündelte oder einzelne Einwilligungen zählten nicht und sie konnte nicht davon ausgehen, dass die Kunden der Datensammlung zugestimmt hatten, nur weil sie weiterhin auf ihrer Website surften. Auf vorab angekreuzte Einwilligungs- oder Ablehnungs-Kästchen und den Slogan „Ich stimme jeder zukünftigen Verwendung meiner persönlichen Daten zu“ musste sie wohl verzichten.

Anna erkannte, dass sie ihren Kunden eine echte Wahlmöglichkeit bieten musste. Sie musste ihnen klar und einfach verständlich machen, welche Daten sie sammelte und wofür sie diese verwendete. Die Handhabung von Einwilligungserklärungen wurde zum Herzstück der Reise der Kunden zu ihrem Web-Auftritt. Der GDPR-Riese hatte die Verwendung personenbezogener Daten nicht verboten. Alles, was er wollte, war ein verantwortungsvoller und ethischer Umgang mit den Daten.

Anna überprüfte, ob ihre digitalen Werkzeuge den Anforderungen entsprachen. Sie musste Einwilligungen aufzeichnen können, um zu zeigen, welche Kunden ihre Einwilligung für was, wann und wie gegeben hatten (per E-Mail oder Online, Formular usw.). Dafür gab es zwei Gründe: Erstens musste sie den Kunden zeigen können, welche ihrer Daten sie mit welcher Begründung gesammelt hatte, und dann musste sie es ihnen einfach machen, ihre Einwilligung jederzeit zu widerrufen. Zweitens musste sie, wenn der DSGVO-Riese ein Audit durchführte, zeigen können, warum und wie sie welche Arten von Kundendaten verarbeitet hatte.

Anna stattete ihr CMS klug mit einer Funktion aus, die die Einverständniserklärung protokollierte, und wiederum mit der Personalisierungsfunktion verbunden war. So konnte sie die Einwilligung ihrer Kunden zur Datennutzung erfassen und gleichzeitig einen Audit-Trail erstellen, den sie bei Bedarf abrufen konnte.

Die magische Kraft der künstlichen Intelligenz
Die Reise der Kunden auf ihrer Website beginnt mit der Einverständniserklärung und ihrer Übermittlung, sagte Anna zu sich selbst. Sie sah, dass sie mit einer klaren und einfachen Sprache ihren Kunden einen einfachen und unkomplizierten Einwilligungsprozess anbieten konnte. Sie brauchte nicht alle Daten über ihre Ernährungsgewohnheiten, Geburtstage und Jubiläen. Sie würde zunächst einfach fragen, welche Blogs oder Videos sie gerne sehen würden. Dann würde sie ihre Kunden besser kennenlernen und an jedem Touchpoint ein persönliches Element aufbauen. Sie musste sich nicht an den Geburtstag von Frau Schmidt erinnern und sich damit herumquälen, sie mit dem perfekten Kuchen zu überraschen. Die intelligente KI-Engine konnte erkennen, was Frau Smith gefallen würde und sie mit dem richtigen Geschenk erfreuen. Anna könnte relevante Inhalte ohne persönliche Daten effektiv verteilen oder, wenn man so will, personalisieren, ohne persönlich zu werden.

Der DSGVO-Riese würde zufrieden sein. Anna würde nicht nur ihre Marketingbotschaften absetzen, sondern den Kunden auch ihren Wünschen entsprechende passende Angebote machen. Durch die Verordnung hatte sie sich darauf konzentriert, die einfachen Dinge gut zu machen. Sie konnte all diesen Lärm der Daten, die sie nicht wirklich brauchte, vermeiden, die erhobenen Daten auf das Wesentliche reduzieren und trotzdem ihre Kunden mit köstlichem Kuchen und Gebäck gewinnen.