Web-Tracking und Risikomanagement
Das systematische Abwägen von Risiken, die ein Unternehmen kontrolliert eingehen kann, heisst Risikomanagement. Datenschutz-Risiken beim Tracking sollten dabei nicht übersehen werden.
Ein funktionierendes Risikomanagement ist ein Steuerungsinstrument zur Erreichung der Unternehmensziele. Für grössere Unternehmen ist es Pflicht, für andere sinnvoll: Risiken zu identifizieren, analysieren, behandeln und überwachen. Dabei geht es nicht nur um finanzielle, strategische oder die Informationssicherheit betreffende Risiken. Auch Datenschutz, also der Schutz der Persönlichkeit vor verletzenden Datenbearbeitungen, birgt Risiken.
Datenschutzrisiken beim Tracking
Werden beim Web-Tracking «Cookies» auf ein Endgerät gespielt, gilt der User in der Regel via IP-Adresse als bestimmbare Person und als Folge ist das Schweizer Datenschutzrecht anwendbar. Ein Schweizer Websitebetreiber unterliegt rasch auch EU-Datenschutzrecht, wenn er seinen EU-Traffic trackt oder gezielt Angebote in diesen Raum ausspielt. Die datenschutzrechtlichen Anforderungen sind vielfältig: Informationspflichten, Betroffenenrechte, Dateninventar, Datensicherheit oder die Cookie-Consent-Frage (EU ja, CH nein) u.v.m. Das Datenschutzrecht verlangt hier regelmässige Risikoanalysen, wobei Datenschutzrisiken einzuschätzen auch für Spezialisten nicht einfach ist.
Ein Schreckgespenst sind Big-Tech-Datentransfers ins Ausland und potenzielle Behördenzugriffe. Obwohl die Wahrscheinlichkeit als gering gilt, wäre damit ein Klumpenrisiko verbunden: Auskunftsbegehren, EDÖB-Meldung, Klagen, Reputationsverlust, sehr hohe Bussenandrohung (EU) und neu persönliche Bussen in der Schweiz. Auch Standarddatenschutzklauseln bieten keinen sakrosankten Schutz, wie die Rekordbusse aus Irland zeigt. Ein weiteres Risiko ist die Zusicherung der Anonymisierung von IP-Adressen in Datenschutzerklärungen, denn diese ist relativ, da sie erst nach Übermittlung ins Data-Center stattfindet.
Wie werden Datenschutzrisiken behandelt?
Die scheinbar günstigste und einfachste Behandlung ist das Akzeptieren eines Risikos, was unter Angabe von Gründen (fehlende Ressourcen) formell dokumentiert werden muss. Risiken transferiert man klassisch über eine Versicherung. Cyber- und D&O-Versicherungen lehnen jedoch die Deckung von persönlichen Bussenrisiken ab.
Der richtige Weg geht über das Reduzieren. Dabei wird der risikobasierte Ansatz des Datenschutzrechts respektiert, wonach Schutzmassnahmen in Funktion zur Verletzungswahrscheinlichkeit und möglichen Auswirkungen getroffen werden. Im Vordergrund steht hier der Beizug einer europäischen Tracking-Lösung. Neben geschärfter Privacy-Awareness und Data-Centern vor Ort, sind solche Lösungen mit erstklassigen Features ausgestattet. Datennähe und Datenhoheit werden besonders von Unternehmen aus sensiblen und regulierten Branchen geschätzt. Sodann ist Vermeiden eine Option, indem auf eine Tracking-Technologie gesetzt wird, die ohne Cookies auskommt und trotzdem brauchbare Marketing-Daten liefert. Unternehmen, die Tracking-Risiken systematisch behandeln, wählen oft einen Mix: Cookie-Tracking dort, wo der Consent vorhanden oder nicht nötig ist und Cookieless Tracking dort, wo er nicht vorliegt.
Autor: Thomas Michel, Information Security Officer bei Capture Media.
Weitere Informationen gibt es hier.
