So wählen Sie ein datenschutzkonformes A/B-Testing-Tool aus (Unser Leitfaden für deutsche Optimierer)

Verbraucher gewinnen mehr Bewusstsein und Kontrolle über ihre persönlichen Daten, da Datenschutzgesetze weltweit in Kraft treten. Die EU hat beispielsweise 2018 die wegweisende Datenschutz-Grundverordnung (DSGVO) verabschiedet, um die Datenschutzbestimmungen zu verschärfen, und Kalifornien hat 2020 den California Consumer Privacy Act (CCPA) durchgesetzt.

A/B-Testing-Unternehmen ergreifen jetzt zusätzliche Maßnahmen, um diese neuen Regeln einzuhalten. Beispielsweise bitten viele Benutzer um Zustimmung, bevor sie sie zu einer Mailingliste hinzufügen, stellen leicht zugängliche Datenschutzerklärungen und Offenlegungen bereit und geben Benutzern die Möglichkeit, auf ihre persönlichen Daten zuzugreifen, sie zu ändern oder zu löschen.

Trotz des Mangels an digitaler Privatsphäre in der heutigen Welt bleibt Deutschland dem Schutz der persönlichen Daten seiner Bürger verpflichtet, wobei Gesetze wie das ehemalige Bundesdatenschutzgesetz (BDSG) als eines der strengsten der Welt gelten.

Der folgende Leitfaden führt Sie durch alle Datenschutzgesetze in Deutschland, damit Sie bei der Auswahl eines A/B-Testing-Tools die fundierteste Entscheidung treffen können.

Auswahlkriterien für den Datenschutz

Das Datenschutzrecht, erstmals 1970 in Deutschland verabschiedet, hat sich seitdem zu einem zentralen Menschenrecht entwickelt, das von den Datenschutzbehörden der 16 deutschen Länder und des Bundes getragen wird. Bei der Auswahl einer A/B-Testing-Plattform ist es wichtig, die folgenden Gesetze einzuhalten:

• Die EU-Datenschutz-Grundverordnung (DSGVO) (2018)
  
  
  • Zum Schutz der Daten von EU-Bürgern eingerichtet.
• Bundesdatenschutzgesetz (BDSG) (2018)
  
  
  • Ändert die DSGVO und ermöglicht Ausnahmen von individuellen Rechten beim Umgang mit personenbezogenen Mitarbeiterdaten.
• Bundesgesetz zur Regulierung des Datenschutzes und der Privatsphäre in der Telekommunikation und den Telemedien (TTDSG) (2021)
  
  
  • Kombiniert das Telekommunikationsgesetz (1996) und das Telemediengesetz (2007), die den Zugriff auf Telekommunikationsdaten (wie geschäftliche E-Mail-Konten, Geschäftstelefone oder den Verlauf von Internetbrowsern) verbieten und gemäß Artikel 5 Absatz 3 Cookie-Zustimmungsanforderungen festlegen. von ePrivacy.
• ePrivacy (Cookie-Gesetz) (2002)
  
  
  • Gewährleistet „Datenschutz und Vertraulichkeit in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation“.

Die folgenden Kriterien dienen als Orientierungshilfe bei der Auswahl einer in Deutschland konformen A/B-Testing-Plattform

1. Wie hat sich das A/B-Testunternehmen auf die Datenkonformität vorbereitet?

Wie haben sie sich auf die DSGVO-, BDSG- und TTDSG-Gesetze vorbereitet?

Wenn Sie Ihre Top-Auswahl eingegrenzt haben, stellen Sie sicher, dass sie in der Lage sind, das Verfahren kurz zu beschreiben, welche Bereiche betroffen waren und welche Maßnahmen eingeleitet wurden. Wenn nicht alle geplanten Maßnahmen vollständig umgesetzt wurden, müssen sie ihren Umsetzungsstand erläutern können.

Dabei erhalten Sie einen Überblick über die verwendeten Ansätze sowie deren Selbsteinschätzung hinsichtlich ihrer Position zur Umsetzung der verschiedenen Gesetze.

Häufig zu beantwortende Fragen sind

1. Waren alle wesentlichen Unternehmensbereiche beteiligt, die mit personenbezogenen Daten arbeiten (z. B. Personalwesen, IT, Vertrieb/Kundenbetreuung, Marketing)?
2. Gibt es Belege dafür, dass Schulungen zu diesen Gesetzen durchgeführt wurden?
3. Sind alle vom Unternehmen geplanten Maßnahmen umgesetzt?

Zum Beispiel hat Convert eine öffentliche Roadmap veröffentlicht, in der wir klar angeben, welche Maßnahmen ergriffen wurden, um DSGVO-konform zu werden (für jeden erforderlichen Artikel).

Eine ähnliche Roadmap sollte für jede A/B-Testplattform vorhanden sein, die Sie in Betracht ziehen.

2. Verfügt das A/B-Testing-Tool über Aufzeichnungen zu Verarbeitungsaktivitäten?

Es ist wichtig, dass das von Ihnen ausgewählte Tool alle Geschäftsvorgänge zur Verarbeitung personenbezogener Daten in ein Verzeichnis der Verarbeitungstätigkeiten aufgenommen hat.

Fragen Sie sich Folgendes:

1. Ist klar, dass das Verzeichnis der Verarbeitungstätigkeiten regelmäßig überprüft und erforderlichenfalls aktualisiert wird?
2. Entspricht diese Aufzeichnung den gesetzlichen Anforderungen des Art. 30 DSGVO?
   
   
   1. Geben sie den Namen und die Kontaktdaten der verantwortlichen Person an?
   2. Sind die Zwecke der Verarbeitung angegeben?
   3. Sind die Kategorien betroffener Personen (z. B. Mitarbeiter, Kunden etc.) und die Kategorien personenbezogener Daten (z. B. Mitarbeiterstammdaten, Bewerberdaten, Kundenkontaktdaten, Bonitätsdaten etc.) beschrieben?
   4. Wird eine Erklärung zur Übermittlung personenbezogener Daten an ein Drittland oder an eine interne Organisation abgegeben?
   5. Sind die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien angegeben?

Nachfolgend finden Sie ein Beispiel für die Aufzeichnungen, die Convert für jede Datenverarbeitungsaktivität führt.

3. Auf welcher Rechtsgrundlage verarbeitet das A/B-Testing-Tool personenbezogene Daten?

Gemäß Artikel 6 der DSGVO muss es Rechtsgrundlagen geben, auf die sich das Unternehmen bei der Verarbeitung personenbezogener Daten stützt.

Stellen Sie sich folgende Fragen:

1. Sind die Rechtsgrundlagen in ihrer Datenschutzerklärung erwähnt?
2. Sind die Einwilligungserklärungen leicht verständlich (dh wird der Inhalt der betroffenen Person bei der Erklärung der Einwilligung klar und einfach dargestellt)?

Es gibt mehrere Rechtsgrundlagen, auf die sich Convert stützt, die in unserer Datenschutzrichtlinie veröffentlicht sind. Sie konzentrieren sich auf die DSGVO und beinhalten

• Vertrag : Wir erfüllen unsere vertraglichen Pflichten Ihnen gegenüber (z. B. wenn Sie sich als Kunde registrieren, bei uns einkaufen oder unsere Dienste nutzen).
• Zustimmung : Kunden müssen zustimmen, bevor wir ihre personenbezogenen Daten auf eine bestimmte Weise verwenden können (z. B. wenn sie domänenübergreifendes Tracking aktivieren, mehrere Domänen unter einem Projekt hinzufügen, die Zielgruppensegmentierung aktivieren oder eine zusätzliche Protokollierung anfordern).
• Gesetzliche Verpflichtung : Wir sind gesetzlich verpflichtet, bestimmte Dokumente bereitzustellen (z. B. Kopien von Rechnungen und Zahlungsinformationen).
• Berechtigtes Interesse: Wir verwenden Ihre personenbezogenen Daten nur so, wie Sie es vernünftigerweise erwarten würden, mit minimalen Auswirkungen auf die Privatsphäre oder wenn es eine zwingende Rechtfertigung gibt.

4. Hat das A/B-Testing-Tool eine Datenschutz-Folgenabschätzung ?

DPIAs (Datenschutz-Folgenabschätzungen) unterstützen Organisationen bei der Identifizierung, Bewertung und Minderung oder Minimierung von Datenschutzrisiken im Zusammenhang mit der Datenverarbeitung. Sie sind besonders wichtig, wenn eine neue Datenverarbeitungstechnik, ein neues System oder eine neue Technologie eingeführt wird.

DSFAs fördern auch den Grundsatz der Rechenschaftspflicht, weil sie Organisationen dabei unterstützen, die Standards der DSGVO einzuhalten und nachzuweisen, dass ausreichende Maßnahmen ergriffen wurden, um die Einhaltung sicherzustellen.

Wussten Sie, dass das Versäumnis, bei Bedarf eine DSFA durchzuführen, einen Verstoß gegen die DSGVO darstellt, der mit Bußgeldern von bis zu 2 % des weltweiten Jahresumsatzes einer Organisation oder 10 Millionen Euro geahndet werden kann, je nachdem, welcher Betrag höher ist?

Als Teil des GDPR-Projekts von Convert entwickelte Convert einen Leitfaden für Mitarbeiter und eine Vorlage zur Durchführung von DSFAs. Dies dient dazu sicherzustellen, dass Verarbeitungsvorgänge mit einem zu erwartenden hohen Risiko für die Rechte und Freiheiten der Betroffenen identifiziert werden.

5. Wird ein Datenschutzbeauftragter bestellt?

Die Hauptverantwortung des Datenschutzbeauftragten (DPO) besteht darin, sicherzustellen, dass die personenbezogenen Daten der Mitarbeiter, Kunden, Anbieter oder anderer Personen (auch als betroffene Personen bezeichnet) ihrer Organisation in Übereinstimmung mit den geltenden Datenschutzbestimmungen verarbeitet werden. Die DSGVO verlangt von jeder EU-Organisation und -Stelle die Einrichtung eines Datenschutzbeauftragten.

Um die Qualifikationen des Datenschutzbeauftragten eines Unternehmens und seine Einbindung in die Organisation zu klären, fragen Sie sich:

1. Kann den Unterlagen die aktuelle und ausreichende Fachkunde des DSB entnommen werden? (Beurteilen Sie ihre Aus- und Weiterbildung im Datenschutz, Umfang/Dauer ihrer Erfahrung im Datenschutz, ihre Berufsausbildung (z. B. Rechtsanwalt, Informatiker) und ihre Mitarbeit in etablierten Datenschutznetzwerken.
2. Gibt es eine Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten? auf der Website des Unternehmens? Sind die Kontaktdaten des Datenschutzbeauftragten dort leicht zu finden?

6. Wie stellt das A/B-Testing-Unternehmen sicher, dass es Datenschutzverstöße rechtzeitig an die Aufsichtsbehörde meldet?

Jede deutsche Organisation ist gemäß Artikel 33 DSGVO verpflichtet, personenbezogene Daten sicher aufzubewahren und innerhalb von 72 Stunden angemessen auf Datenschutzverletzungen zu reagieren (was in einigen Fällen die Meldung von Verletzungen an den Datenschutzbeauftragten beinhalten kann).

Um die Gefahr von Verletzungen von Personen, Schäden am operativen Geschäft und erhebliche finanzielle, rechtliche und Reputationskosten zu vermeiden, ist es entscheidend, im Falle tatsächlicher, möglicher oder vermuteter Verstöße gegen die Datensicherheit oder Vertraulichkeit schnell zu handeln.

Wenn Sie nach einem datenschutzkonformen A/B-Testtool suchen, stellen Sie sich diese Fragen:

1. Ist der Prozess zur Meldung von Datenschutzverstößen nachvollziehbar dargestellt?
2. Sind die Verantwortlichkeiten (wer macht was) im Meldeprozess klar geregelt?
3. Wird die 72-Stunden-Frist spürbar berücksichtigt?
4. Ist klar, dass die Mitarbeiter auf diesen Prozess aufmerksam gemacht wurden?

Convert verfügt über eine eigene Eskalationsrichtlinie für Verletzungen des Schutzes personenbezogener Daten, die unter [email protected] angefordert werden kann.

7. Wo speichert das A/B-Testing-Tool Daten?

Österreich hat kürzlich die Verwendung von Google Analytics untersagt, weil ihre Daten in den USA gespeichert werden, wo der Datenschutz eingeschränkter ist. Am sichersten ist es, eine A/B-Testing-Plattform zu finden, die Daten legal in der EU speichert.

Sie sollten in der Lage sein, herauszufinden, wo die Daten in der Datenschutzrichtlinie der Organisation gespeichert sind. Im Allgemeinen befinden sich Informationen zur Datenspeicherung in den Abschnitten „Unterauftragsverarbeiter“ und „Dienste von Drittanbietern“. Wenn Sie diese Informationen nicht leicht finden können oder unklar sind, wenden Sie sich zur Klärung an die Organisation.

8. Berücksichtigt das A/B-Testing-Tool Do Not Track (DNT)-Einstellungen?

Für Benutzer, die um ihre Privatsphäre besorgt sind, verfügen mehrere Browser über eine „Do Not Track“-Funktion, die aktiviert werden kann, um Websites und Analysetools anzuweisen, das Benutzerverhalten nicht mehr zu verfolgen.

Grundsätzlich sollte diese Einstellung verhindern, dass der Browser eines Besuchers „Cookies“ akzeptiert, die Vermarkter und andere Unternehmen über ihre Online-Gewohnheiten und -Interessen informieren. Websites sind jedoch technisch nicht an diese Einschränkungen gebunden. Daher ist es wichtig, ein A/B-Testtool zu finden, das sich um die Privatsphäre der Benutzer kümmert und die Extrameile geht, um sicherzustellen, dass ihre Systeme diese Anforderungen erfüllen.

Convert unterstützt „Do Not Track“, da wir der Meinung sind, dass eine einfache Methode zur Kontrolle der Verwendung von Endbenutzerinformationen von entscheidender Bedeutung ist. Wir nehmen DNT ernst als Signal von Ihnen und Ihren Endbenutzern, wie wir Daten verwenden sollten.

Convert bietet Benutzern die folgenden Optionen:

1. Nicht verfolgen (Tracking deaktivieren)
2. Verfolgen (Tracking aktivieren)
3. Null (keine Präferenz)

Standardmäßig verwenden Webbrowser „Null“, was darauf hinweist, dass der Endbenutzer nicht angegeben hat, ob er verfolgt werden möchte oder nicht. Wenn „Nicht verfolgen“ ausgewählt ist, lädt Convert die Skripte/Erfahrungen nicht und lädt stattdessen die anderen beiden Optionen.

In Ihrer Projektkonfiguration gibt es eine Zeile mit der Aufschrift: „Respect Do Not Track Browser Settings“, die standardmäßig deaktiviert ist, aber über das Dropdown-Menü geändert werden kann.

9. Ermöglicht das A/B-Testing-Tool anonymisiertes Tracking?

Durch die Anonymisierung können A/B-Testtools die DSGVO einhalten und gleichzeitig Daten für die Berichterstellung verfolgen. Gemäß DSGVO-Richtlinien können A/B-Testing-Tools bestimmte Daten sammeln, solange sie „so anonymisiert werden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist“. Dies ist wichtig für Unternehmen, die demografische Daten verfolgen möchten, die nicht persönlich identifizierbar sind.

Die Datenanonymisierungsoption in Convert Experiences ermöglicht Ihrer Website, alle eingehenden und historischen Daten über die Namen der Bucket-Erfahrungen/-Variationen Ihrer Besucher zu bereinigen, sodass Marketing- und IT-Teams wichtige Tracking-Daten aufbewahren können, ohne die Privatsphäre zu gefährden.

10. Was speichert das A/B-Testing-Tool in seinen Serverprotokollen?

Nach der DSGVO gilt eine IP-Adresse als personenbezogenes Datum. Wenn die Serverprotokolle Ihres A/B-Testing-Tools die IP-Adressen Ihrer Besucher enthalten, enthalten sie personenbezogene Daten.

Hier sind grundlegende Richtlinien für DSGVO-konforme Serverprotokolle:

1. Die einfachste Lösung, um DSGVO-konforme Protokolle zu führen, besteht darin, überhaupt keine Protokolle zu führen.
2. Wenn Serverprotokolle erforderlich sind, bewahren Sie sie so kurz wie möglich auf. Erstellen Sie eine Rotationsrichtlinie für Serverprotokolle, die ältere Protokolle automatisch löscht.
3. Wenn sie Protokolle ohne IP-Adressen oder andere personenbezogene Daten sammeln, sind sie DSGVO-konform.
4. Sie können unter bestimmten Bedingungen Protokolle ohne Zustimmung sammeln, müssen Sie jedoch in ihrer Datenschutzerklärung darüber informieren.

Live-Protokolle in Convert Experiences verfolgen in Echtzeit, wie Endbenutzer mit Webseiten interagieren. Sie erfassen Informationen wie den Zeitstempel, wenn ein Ziel ausgelöst wird, den ausgelösten Ereignistyp, die dem Endbenutzer angezeigte Variation und vieles mehr. Live-Protokolle gelten als DSGVO-konform, da sie keine IP-Adressen oder andere PII-Daten speichern.

11. Wem gehören die Daten?

Eine der Hauptanforderungen der DSGVO ist, dass geeignete Maßnahmen zur Verarbeitung personenbezogener Daten vorhanden sind. Daten im Zusammenhang mit einer Verbrauchertransaktion in der EU müssen physisch in der EU oder einem Land mit Datenschutzmaßnahmen gespeichert werden, die die DSGVO als angemessen erachtet (es sei denn, der Benutzer stimmt zu, seine Daten anderswo zu speichern).

Diese Regel stellt Unternehmen, die nicht in der EU ansässig sind, vor einige Herausforderungen, obwohl einige dieser Probleme durch ein Analysepaket mit einer klaren Dateneigentumsrichtlinie gemildert werden können.

Convert gibt Benutzern Sicherheit, indem es eine definierte Eigentumserklärung an Ort und Stelle hat. Darin heißt es, dass wir „keine Daten ohne die ausdrückliche schriftliche Zustimmung des Kunden an Dritte weitergeben“ und „alle Daten von Kunden, die sich vom Dienst abmelden, auf Anfrage löschen“.

12. Kann das A/B-Testing-Tool in Ihren aktuellen Tech-Stack integriert werden?

Sie sollten sicherstellen, dass ein neues A/B-Testtool gut mit dem Rest Ihres Tech-Stacks funktioniert, wie z. B. Ihrem CMS (Content-Management-System) und Ihrer E-Commerce-Plattform. Das Verbinden Ihres aktuellen Tech-Stacks mit einer neuen Lösung könnte kostspielig sein. Stellen Sie daher sicher, dass Sie eine Liste aller aktuellen Tools erstellen, die Sie verwenden, und prüfen Sie, ob Sie dieselben Integrationen mit dem neuen Tool entweder über Integrationen oder APIs wiederherstellen können.

Beachten Sie bei der Durchführung Ihrer Studie die folgenden Fragen:

1. Wie gut und wie schnell lässt sich das von Ihnen gewählte Tool in den Rest Ihres Systems, wie z. B. Ihr CRM, integrieren?
2. Gibt es autorisierte Integrationen, um solche Verbindungen zu ermöglichen? Wenn nicht, dürfen Sie den Code ändern, damit er für Sie funktioniert?
3. Ist es möglich, Ihre Daten bei Bedarf mühelos in ein anderes Tool zu konvertieren?
4. Gibt es Hinweise auf Vendor Lock-in oder Probleme bei der Datenverlagerung zu einem anderen Anbieter?

13. Gibt es eine Option zum Selbsthosten des A/B-Testskripts?

Die Wahl zwischen Software-as-a-Service (SaaS) und Selbsthosting kann schwierig sein. Unter Berücksichtigung von Kosten, Einfachheit und Komfort ist es sinnvoll, den Großteil der Software über die Cloud bereitzustellen. SaaS ist jedoch möglicherweise nicht die beste Wahl für einige Unternehmen und Organisationen, wie Regierungen und Banken.

Eine A/B-Testlösung vor Ort ist die bevorzugte Option für Unternehmen, die die volle Kontrolle über ihre Daten und ihren Speicherort wünschen. Es wird auch das einfachste in Bezug auf die DSGVO-Konformität sein.

Stellen Sie sich diese klärenden Fragen:

1. Darf Ihr A/B-Testtool eine Cloud-gehostete Lösung verwenden?
2. Verfügen Sie über die Ressourcen, um das Tool in Ihrer Infrastruktur zu hosten?
3. Wissen Sie, welche Datenlimits mit Ihrem Plan verbunden sind?

14. Sind internationale Datenübertragungen erlaubt?

Datenübertragungen sind heute so verbreitet, dass die meisten Menschen nicht einmal wissen, dass sie stattfinden. Trotzdem können sie schwierig zu handhaben sein und sollten in der ursprünglichen Datenerfassungsvereinbarung vereinbart werden (ähnlich wie der Datenspeicherort).

Bis vor kurzem nutzten Unternehmen das Privacy-Shield-Framework, um Daten aus der EU und der Schweiz ohne vorherige Zustimmung in die USA zu übermitteln. Im Jahr 2020 entschieden europäische Richter jedoch, dass der amerikanische Datenschutz unzureichend war, wodurch das Rahmenwerk ungültig wurde, obwohl diese riskanten Datenübertragungen immer noch aus anderen rechtlichen Gründen erfolgen.

Um potenzielle Bedrohungen zu vermeiden, könnten A/B-Testunternehmen die Strategie des Data Protection by Design anwenden (auf die wir im nächsten Abschnitt eingehen werden). Andernfalls können sie einfach um Zustimmung bitten und angeben, wo die Daten gespeichert und verschoben werden.

15. Wird Data Protection by Design und Default eingehalten?

Das Konzept von Privacy by Design ist das Herzstück datenschutzfreundlicher A/B-Testing-Tools.

Wir ziehen es vor, Eingriffe in die Privatsphäre zu verhindern , anstatt sie im Nachhinein zu behandeln, und wir verwenden Datenminimierung und Zweckbindung, um proaktiv zu bleiben.

Datenminimierung bedeutet, dass nur Daten verarbeitet werden, die zur Erreichung eines bestimmten Zwecks erforderlich sind, während sich die Zweckbindung darauf bezieht, das Ziel der Datenverarbeitung vor der Verarbeitung zu ermitteln, zu erfassen und Personen zu informieren.

Einmal erhobene und verarbeitete Daten sollten nur für die Dauer der Aufgabe aufbewahrt werden, für die sie erhoben wurden.

Data Protection by Design erfordert den Einsatz technischer und organisatorischer Sicherheitsvorkehrungen in der Planungsphase der Verarbeitung. Auf diese Weise können Organisationen sicherstellen, dass Datenschutz- und Sicherheitsmechanismen von Anfang an vorhanden sind. Die spezifischen Verfahren variieren je nach Anwendungsfall, aber sie können Datenanonymisierung, Datenüberwachung oder das Hinzufügen neuer Datenschutzfunktionen zu A/B-Testsoftware umfassen.

Welche A/B-Testplattformen sind also datenschutzfreundlich?

Wenn Sie nach einer Möglichkeit suchen, Daten von Ihrer Website, Ihrem digitalen Produkt oder Ihrer mobilen App in Deutschland zu sammeln und zu analysieren, ist die von Ihnen gewählte Plattform entscheidend.

Die meisten A/B-Testlösungen wurden nicht im Hinblick auf den Datenschutz entwickelt, und während die großen Plattformen bestimmte Dinge richtig machen (wie Datenanonymisierung und -eigentum), sind sie in anderen Bereichen (wie Datenlokalisierung) unzureichend.

Glücklicherweise besteht heutzutage eine große Nachfrage nach A/B-Testsoftware, mit der Sie Erlebnisse auf Ihrer Website ausführen und gleichzeitig den Datenschutz wahren können. Das bedeutet, dass heute mehr datenschutzfreundliche A/B-Testing-Tools verfügbar sind als je zuvor. Eine kurze Zusammenfassung finden Sie in der folgenden Tabelle mit den wichtigsten Kennzahlen.