DSGVO-Compliance-Checkliste: Die nicht-juristische Ausgabe für Verlage

Am 25. Mai 2018 tritt die DSGVO in Kraft und jeder, der Daten von EU-Bürgern sammelt, speichert und verarbeitet, gerät ins Rampenlicht. Alle müssen sich daran halten – oder mit Strafen rechnen.

Die Folgen sind gravierend genug, um die gesamte Ad-Tech-Industrie unter Druck zu setzen – die stark auf Benutzerdaten angewiesen ist und nun die Zustimmung der Benutzer benötigt. explizit Zustimmung – in stiller Panik. Dazu gehören auch Verlage, die ihr EU-Publikum durch Werbung monetarisieren.

Da noch drei Monate verbleiben, ist es an der Zeit, an einem eigenen Compliance-Plan zu arbeiten. Um loszulegen, Hier ist eine menschenlesbare Checkliste zur Einhaltung der DSGVO für Herausgeber.

Was du brauchen wirst:

• Gesetzliche Grundlage: Im Grunde genommen gültig Grund, weiterhin das zu tun, was Sie (und Ihre „Verarbeiter“) mit den Daten von EU-Bürgern tun. Zu den Rechtsgrundlagen gehören ausdrückliche Zustimmung, berechtigtes Interesse (was KEINE Freikarte ist, hören Sie auf zu hoffen), vertragliche Grundlage, gesetzliche Verpflichtung usw.

Empfohlene Lektüre: Rechtsgrundlage der Verarbeitung (Quelle: ICO.org UK)

• Anbieter-Liste: Jeder „Datenverarbeiter“ (Ad-Tech-Anbieter sowie Analyse- und Tag-Management-Plattformen) auf Ihrer Website benötigt die ausdrückliche Zustimmung des Benutzers, um dessen Daten weiterhin verwenden zu dürfen. Der „Datenverantwortliche“ (Herausgeber) muss diese Zustimmung einholen. Wenn Sie nicht wissen, wer über Ihre Seiten Daten sammelt, verwenden Sie ein Tool wie Evidon Trackermap.
• Datenschutzhinweise: Oder eine Einwilligungserklärung, wenn dies Ihre Rechtsgrundlage ist. Hier verpflichten Sie sich zum Transparenzprinzip der DSGVO, indem Sie den Besuchern klar und deutlich mitteilen, was sie preisgeben (Daten) und warum (Ihre Rechtsgrundlage), an wen (alle Verarbeiter, mit denen Sie diese Daten teilen), wie lange diese Daten gespeichert werden usw.
• Fähigkeiten zur Aufzeichnungsführung: Bei der Einhaltung der DSGVO geht es vor allem darum, Aufzeichnungen darüber zu führen, was Sie mit den Ihnen zur Verfügung stehenden Daten machen, um Ihre Verantwortung nachweisen zu können.
• Ein Team aus Entwicklern und ein Anwalt/DSGVO-Berater genehmigen Ihren Spielplan, bevor Sie mit der Umsetzung beginnen.

Wenn Sie das alles verstanden haben, fahren Sie mit den folgenden Schritten fort:

1. Überprüfen und dokumentieren: Daten-, Verarbeitungs- und Freigabeaktivitäten

Es klingt zwar drollig, aber es ist einer der einfacheren Schritte, um Compliance zu erreichen. Außerdem ist es nicht optional. Richard Lam, der am DSGVO-Compliance-Projekt seiner Organisation arbeitet, sagt:

Die DSGVO erfordert eine umfassende Datenhaltung. Dokumentieren Sie daher alles: welche personenbezogenen Daten Sie verarbeiten und auf welcher Rechtsgrundlage dies geschieht. Dokumentieren Sie den Prozessablauf der personenbezogenen Daten – wo sie gespeichert sind, wer die Kontrolle über sie hat, mit wem sie geteilt werden usw. Formalisieren Sie dann einen Prozess für den Fall, dass Sie eine Anfrage zum „Recht auf Löschung“ erhalten.

– Richard Lam, Leiter Programmatic und Ad Ops, Network-N

Der Zweck dieser Aufzeichnungen besteht darin, nachzuweisen, dass Sie für die Daten innerhalb Ihrer Organisation verantwortlich sind. Dies hat jedoch auch den zusätzlichen Vorteil, dass es Ihnen hilft, zu erkennen, was getan werden muss und wo, um vor Ablauf der Frist DSGVO-konform zu sein.

2. Aktualisieren Sie Ihren Datenschutzhinweis

Die erste Regel der DSGVO besteht darin, mit Besuchern über Ihre Gewohnheiten bei der Datenerfassung und -verarbeitung zu sprechen ehrlich.

Damit die Verarbeitung fair ist, muss der Datenverantwortliche (die Organisation, die die Kontrolle über die Datenverarbeitung hat) den betroffenen Personen (den Personen, auf die sich die Daten beziehen) bestimmte Informationen zur Verfügung stellen, um deren Daten weiterhin verwenden zu können.

– ICO.org Großbritannien

Dies gilt unabhängig davon, ob Sie die Daten direkt von der betroffenen Person (Ihrem Besucher) oder von einem Zweit- oder Drittpartner erhalten. Solange die Daten, die Sie haben, von einem EU-Bürger stammen, MÜSSEN Sie ihnen Folgendes offenlegen:

• wer der Datenverantwortliche ist; zur Information: es ist der Herausgeber,
• warum ihre Daten verarbeitet werden müssen;
• wer die Daten verarbeitet (mit wem sie geteilt werden),
• Alle anderen Informationen, die im Sinne der Transparenz offengelegt werden sollten, wie etwa die Auswirkungen der genannten Verarbeitung („Online-Tracking“), wie die Datenerfassung funktioniert („Cookies auf Ihrem Gerät“) usw.

Empfohlene Lektüre: Gute und schlechte Beispiele für Datenschutzhinweise (Quelle: ICO.org UK)

Die Verlage werden feststellen, dass sie für die weitere Funktionsfähigkeit ihrer Werbesysteme Zustimmung als Rechtsgrundlage. Die gute Nachricht ist, dass diese Grundlage auch die Einhaltung einer aktualisierten ePrivacy-Richtlinie abdeckt, die am selben Tag wie die DSGVO in Kraft treten soll (obwohl die Chancen dafür gering sind).

Um gültig zu sein, MUSS die Zustimmung folgende Eigenschaften haben: freiwillig, spezifisch, informiert, detailliert, Opt-in und eindeutig. In diesem Zusammenhang gilt: Schweigen, bereits angekreuzte Kästchen oder Untätigkeit gelten NICHT als Zustimmung.

Perimeter (ein Zustimmungsanbieter) hat einen nützlichen Drahtrahmen für eine DSGVO-konforme Zustimmungsmitteilung veröffentlicht:

Dann müssen Sie sicherstellen, dass eine einmal erteilte Einwilligung auch leicht zurückgezogen werden kann. Richard Lam sagt dazu:

Sie möchten eine Double-Opt-in-Methode implementieren. Ich bin der Meinung, dass Verlage jeder Größenordnung mit einem aktiven Entwicklerteam/Mitarbeitern/Personen in der Lage sein sollten, intern etwas Funktionierendes zu schaffen. Daran arbeiten wir selbst, und ich weiß, dass einige große Verlage wie The Guardian und News UK dasselbe tun. Wenn Sie keine Entwickler haben, können Sie immer einen Zustimmungsanbieter nutzen.

Wenn Sie die Websites nicht besitzen und betreiben, aber über Werberechte verfügen, müssen Sie Ihre Einwilligungserklärung im gesamten Netzwerk implementieren – auch auf Websites, die Sie nicht besitzen/betreiben, für die Sie aber exklusive Werberechte besitzen. Stellen Sie sicher, dass eine detaillierte Deaktivierung auf einer Website auf allen Websites in diesem Netzwerk gespeichert wird.

Beachten Sie, dass Sie die Zustimmung eines Elternteils oder Erziehungsberechtigten benötigen. überprüfbare Zustimmung zur Erfassung und Verarbeitung von Daten von Kindern unter 16 Jahren (kann im Vereinigten Königreich auf ein Mindestalter von 13 Jahren gesenkt werden). Transparenz gilt auch für Kinder, daher muss Ihre Datenschutzerklärung in einer für Kinder verständlichen Sprache verfasst sein.

3. Legen Sie fest, was Sie tun werden, wenn Ihre Benutzer ihre DSGVO-Rechte ausüben

Wie würden Sie reagieren, wenn jemand die Löschung seiner persönlichen Daten verlangt oder darauf zugreifen möchte? Können Ihre Systeme Ihnen dabei helfen, die Daten eines Benutzers innerhalb von 30 Tagen zu finden und zu löschen?

Literatur-Empfehlungen: Individual Rechte und Unterabschnitte (Quelle: ICO.org UK)

Richard Lam berichtet über den Prozess, den sein Team eingeführt hat.

Dieser Teil unserer Checkliste ließ sich am einfachsten abhaken, da er den derzeit im Rahmen des Datenschutzgesetzes geltenden Richtlinien für Anträge auf Auskunft über personenbezogene Daten (SAR) entspricht.

Wir planen, auf unserer Unternehmenswebsite ein Kontaktformular bereitzustellen, über das Benutzer Kontakt aufnehmen können. Die Anfrage geht an eine zentrale Person hier, die für SAR- und Datenlöschungsanfragen verantwortlich ist. Wir senden den Benutzern dann ein Formular zum Ausfüllen. Sie reichen dann einen Ausweis zusammen mit dem ausgefüllten und unterschriebenen Formular ein und wir verarbeiten es.

Da die Einwilligung „leicht widerruflich“ sein muss, wird dieses Kontaktformular auch mit sämtlichen Datenschutzrichtlinien auf unseren eigenen und von uns betriebenen Websites verknüpft.

Denken Sie daran, dass, wenn der Benutzer anfordert Zugang Um ihre Daten zu erhalten, müssen Sie die personenbezogenen Daten in einer „allgemein verwendeten und maschinenlesbaren Struktur“ kostenfrei (es sei denn, die Anfrage wiederholt sich) und innerhalb von dreißig Tagen bereitstellen.

4. Datenschutzverletzungen verhindern und melden

Dies ist es, was die meisten in der Lieferkette verwirrt. In einem so labyrinthischen System wie programmatisch – wo Daten gesammelt und weitergegeben werden, ohne Rücksicht auf leichtfertige Fragen wie Herkunft oder individuelle Rechte – Wie soll man Datenlecks verhindern??

Die Komplexität von Lumascape ist mit der DSGVO nicht vereinbar. Shubham Grover, Produktspezialist bei AdPushup, erläutert, was Publisher sinnvollerweise tun können, um Datenlecks vorzubeugen und sich davor zu schützen:

1. Erlauben Sie einem SSP niemals, ohne Ihre Zustimmung Partner (für den Nachbesetzungsbedarf) hinzuzufügen.
2. Nehmen Sie Kontakt mit allen Ihren Technologieanbietern und Partnern auf und kommunizieren Sie Ihre Datenschutzrichtlinien, d. h. Erwartungen an den Umgang mit Daten, was erlaubt ist und was nicht usw.
3. Überprüfen Sie alle aktuellen Vereinbarungen und Partnerschaften zum Datenaustausch. Überarbeiten Sie Verträge mit Partnern im Hinblick auf die DSGVO.
4. Entfernen Sie alle personenbezogenen Daten (wie in der DSGVO definiert), bevor Sie sie verarbeiten oder an andere Unternehmen (wie Google Analytics oder Mixpanel) weitergeben.
5. Nehmen Sie alle Anbieter in Ihre Datenschutzerklärung auf, die derzeit über Sie Daten erfassen und verarbeiten.

Überwachen Sie Ihre digitalen Eigenschaften weiterhin, um sicherzustellen, dass keine unbefugten Personen heimlich die Daten Ihrer Benutzer abhören. Bedenken Sie, dass „das Unterlassen einer erforderlichen Meldung eines Verstoßes zu einer Geldstrafe sowie zu einer Geldstrafe für den Verstoß selbst führen kann.“

Dies ist im größeren Maßstab vielleicht nicht narrensicher, zeigt aber, wie sehr Ihnen der Schutz der Datenschutzrechte Ihrer Besucher tatsächlich am Herzen liegt.

5. Datenschutzbewertungen und Personal

Du bist fast fertig.

Im Rahmen der DSGVO ist „Privacy by Design“ eine ausdrückliche gesetzliche Anforderung für diejenigen, die mit Benutzerdaten umgehen. Das bedeutet, dass PIAs oder „Datenschutz-Folgenabschätzungen“ (DPIAs) in Situationen obligatorisch sind,

• wo eine neue Technologie/Plattform implementiert wird;
• wenn die Wahrscheinlichkeit besteht, dass ein Profiling-Vorgang erhebliche Auswirkungen auf Einzelpersonen hat; oder
• wenn besondere Kategorien von Daten (in großem Umfang) verarbeitet werden

 Empfohlene Lektüre: Durchführung von PIAs: Verhaltenskodex (PDF-Link)

Wenn Sie bei Ihrer Beurteilung zu dem Schluss kommen, dass die Datenverarbeitung ein „hohes Risiko für Einzelpersonen“ darstellt und Sie diese Risiken nicht bewältigen können, müssen Sie sich an die DSGVO-Aufsichtsbehörde (SA) in Ihrem Mitgliedsstaat wenden, um Ratschläge zum weiteren Vorgehen zu erhalten.

Ich möchte noch einmal betonen, dass die Durchführung von Datenschutz-Folgenabschätzungen in den oben genannten Situationen ist eine gesetzliche Anforderung.  Jetzt ist ein guter Zeitpunkt, dies zu einer organisatorischen Praxis zu machen. Erwägen Sie die Ernennung einer Person, die für die Einhaltung des Datenschutzes und die Risikobewertung verantwortlich ist.

Und das ist es.

Was passiert, wenn die DSGVO in Kraft tritt? Spekulationen darüber haben wenig Sinn. Bedenken Sie, dass Datenschutz und Tracking die Hauptanliegen bei der frühen Einführung von Adblock waren und bis heute einer der Hauptgründe sind. Man kann davon ausgehen, dass viele Besucher aus der EU nicht zweimal mit der Wimper zucken werden, bevor sie sich von sämtlichem Tracking/Cookies abmelden, sobald sie die Wahl haben.

Publisher, die über jahrelange Daten zu Zielgruppensegmenten in der EU verfügen, haben allen Grund zur Panik, denn ohne Zustimmung sind ihre Daten nicht mehr nutzbar. „Ich an meiner Stelle würde ernsthaft erwägen, diese Daten zu verkaufen“, sagt Shubham. „DSPs werden sie (in gehashter Form) dringend benötigen, um kontextbezogene Targeting-Segmente zu erstellen, die bereit sind, mehr Geld als üblich zu zahlen (Daten zur Zielgruppenerweiterung).“

Mit dem zunehmenden Einsatz von kontextbezogenem Targeting werden Nischenverlage möglicherweise feststellen, dass sie weniger wahrscheinlich Renditeverluste erleiden. Richard Lam, der Programmatic- und Ad-Ops für ein in Großbritannien ansässiges vertikales Gaming-Netzwerk verwaltet, sagt: „Ich kann mir vorstellen, dass Nachrichtenverlage in Panik geraten, insbesondere wenn sie massiv in Zielgruppen-Targeting, DMP und Datenwissenschaftler investiert haben. Sie hatten Hunderte verschiedener Zielgruppen-Töpfe für das Targeting. Also ja, ich schätze, wenn ich in dieser Lage wäre, würde ich es sicherlich aufgeben.“

Aber es ist nicht alle Hoffnung verloren. „Jedes Unglück hat auch sein Gutes. Es wird Benutzer geben, die Cookies akzeptieren. Damit werden First-Party-Daten für die Herausgeber zu Gold“, sagt er.

Ressource:

ICO.org.uk Vorbereitung auf die DSGVO 12-Schritte-Anleitung (PDF-Link)

Hier sind einige empfohlene Lektüren, um mehr über das Thema zu verstehen:

• Eine DSGVO-Checkliste für alle, die keine Lust mehr auf DSGVO-Checklisten haben
• Wie Ad Tech nach der DSGVO aussieht
• DSGVO-Einwilligungszeichenfolge: Alles, was ein Verlag wissen muss

Shubham Grover

Shubham ist ein digitaler Vermarkter mit umfangreicher Erfahrung in der Werbetechnologiebranche. Er verfügt über umfassende Erfahrung in der Programmbranche und leitet Geschäftsstrategien und Skalierungsfunktionen, einschließlich, aber nicht beschränkt auf, Wachstum und Marketing, Betrieb, Prozessoptimierung und Vertrieb.