Optimizely Privacy: Wie geht Optimizely mit dem Datenschutz um?
Veröffentlicht: 2022-02-09
Da A/B-Testplattformen immer ausgefeilter werden, steigen auch die damit verbundenen Datenschutzbedenken.
Optimizely ist eine der beliebtesten Optimierungsplattformen im Bereich A/B-Tests, daher ist es wichtig, seine Haltung zum Datenschutz zu verstehen. Mit großer Macht kommt große Verantwortung. Und mit großer Verantwortung geht auch ein größeres Bedürfnis nach Privatsphäre einher.
In diesem Artikel bewerten wir, wie Optimizely mit dem Datenschutz umgeht und was Sie wissen müssen, bevor Sie sich für diese Plattform für digitale Erlebnisse entscheiden.
Beginnen wir mit der Analyse, ob Optimizely heute die wichtigsten Datenschutzgesetze einhält.
Ist Optimizely DSGVO-konform?
Die Datenschutz-Grundverordnung (DSGVO) ist eine zentrale Verordnung, die darauf abzielt, den Datenschutz und die Privatsphäre in der Europäischen Union und im Europäischen Wirtschaftsraum zu stärken und zu vereinheitlichen. Optimizely verwendet die erforderlichen geschäftlichen und technologischen Datenschutzkontrollen, um Daten zu schützen und die DSGVO einzuhalten.
Wie ist Optimizely bereit für die DSGVO?
Die Einhaltung der DSGVO ist ein wesentlicher Bestandteil des Services und Designs von Optimizely. Hier sind einige Schritte, die unternommen wurden, um DSGVO-konform zu werden:
- Identifizierte Produkt- und Geschäftsbereiche, die von der DSGVO betroffen sind
- Ernennung eines Datenschutzbeauftragten (DSB)
- Hat seine Datenverarbeitungsvereinbarung umgeschrieben
- Verbesserte und geänderte Produkte, Dienstleistungen, Prozesse und Verfahren, um die DSGVO-Anforderungen zu erfüllen
- Überprüfung seiner Unterauftragsverarbeiter
- Vollständige Konformität abgeschlossen und der Datenschutzbehörde (DPA) mitgeteilt
Ist Optimizely bereit, die ePrivacy-Verordnung zu handhaben?
Die ePrivacy-Verordnung (ePR) ist ein bevorstehendes Datenschutzgesetz, das die Regeln für die Cookie-Einwilligung, das Direktmarketing und die Kommunikation zwischen Unternehmen (B2B) ändern soll. Anders als die DSGVO regelt sie sogar nicht personenbezogene Daten in der elektronischen Kommunikation.
Während sich Unternehmen mit der DSGVO auseinandersetzen, ist es interessant zu sehen, ob sie für diese neue Verordnung bereit sind. Um festzustellen, ob Optimizely für den Umgang mit ePrivacy gerüstet ist, müssen wir zunächst die gesammelten Daten bewerten.
Besucherdaten
Verfolgt optimiert Besuche auf einer Website und sammelt Informationen über das Benutzerverhalten. Diese aggregierten Informationen werden als „Besucherdaten“ bezeichnet und beinhalten:
- User-Agent-Daten: Daten, die auf den Eigenschaften eines Geräts basieren, einschließlich Details über den Webbrowsertyp und die Betriebssysteme, die Besucher verwenden.
- Webadresse : Informationen zum Standort einer Webseite.
- Ereignisdaten: Protokolliert das Benutzerverhalten und untersucht, ob ein Besucher auf einer Website auf eine Schaltfläche geklickt oder eine ähnliche Aktion durchgeführt hat. Dies kann auch benutzerdefinierte Attribute und Ereignis-Tags umfassen.
- Zeitstempel: Das Datum und die Uhrzeit, zu der ein Ereignis eintritt.
- Endbenutzer-ID (oder Besucher-ID): Eine zufällig generierte Identifikationsnummer (ID), die einem Besucher pro Projekt zugewiesen wird. Dies entspricht dem OptimizelyEndUserId-Cookie für Experimente und Personalisierung.
- Experiment- und Variations-IDs: Bestimmen Sie, wohin der Besucher beim Besuch einer Website gegangen ist.
- Externe Geodaten: Elemente, die mit der IP-Adresse eines Besuchers verknüpft sind, einschließlich Land, Stadt, Region usw.
Optimizely organisiert seine Dienste so, dass seine Kunden Datenkategorien angeben können, die sie teilen und erhalten möchten. Diese Kategorien geben nicht unbedingt die Benutzeridentität preis. Wenn die von Optimizely gesammelten URLs jedoch personenbezogene Daten (PII) wie Name oder Telefonnummer enthalten oder wenn sie auf Seiten mit PII verlinken, können diese Informationen ebenfalls erfasst werden.
Als offene Plattform stellt Ihnen Optimizely zusätzliche Besucherdaten wie Wiederholungskäufer-Attribute zur Verfügung. Es sammelt Daten basierend auf bestimmten Funktionen und Konfigurationen, wie z. B.:
- Dynamische Kundenprofile (DCP)
- Attribute auflisten
- Adaptive Zielgruppen
- Feature-Flags
- Integrationen
Um die Menge der erfassten personenbezogenen Daten zu minimieren, verbietet Optimizely Besuchern die Angabe zusätzlicher personenbezogener oder sensibler Informationen, wie z. B. Gesundheitsinformationen.
Produktnutzerdaten
Optimizely sammelt einige grundlegende Informationen wie Benutzername, Name, geschäftliche E-Mail, Arbeitskontakt, Berufsbezeichnung usw., wenn Benutzer ein Konto erstellen oder sich für das Webinar oder den Newsletter anmelden. Diese werden Produktnutzerdaten genannt und wie folgt aufgeschlüsselt:
- Bei der Registrierung und Erstellung eines Kontos: Optimizely-Besucher können Produkt- und Leistungsbeschreibungen lesen, ohne personenbezogene Daten preiszugeben. Sie müssen jedoch ein Konto erstellen und ein Profil einrichten, um mit Optimizely Geschäfte zu tätigen und Kunde zu werden. Bei der Anmeldung werden Sie nach Ihrem Namen, dem Namen Ihrer Organisation, ihrer Anschrift und Ihrer E-Mail-Adresse gefragt. Außerdem müssen Sie ein Passwort auswählen. Sobald Sie ein registrierter Benutzer sind, können Sie Ihr Profil aktualisieren und weitere Informationen wie einen Spitznamen und bestimmte Benutzereinstellungen angeben.
- Bei Anmeldung zu einem Webinar oder Bestellung eines Newsletters: Sowohl Besucher als auch Kunden können sich für ein Optimizely-Webinar anmelden oder einen Newsletter anfordern. Optimizely speichert nur E-Mail-Adressen als Referenz.
ePrivacy schränkt das Sammeln von PII-Daten ein, und da Optimizely Benutzern erlaubt, diese Daten über Besucherdaten an URLs weiterzugeben, ist es nicht wirklich ePrivacy-konform. Stattdessen hat es noch einen langen Weg vor sich, um sich auf viele anstehende Vorschriften vorzubereiten.
Ist Optimizely eine gute Wahl für datenschutzbewusste Marken in der EU?
Wie bereits erwähnt, ist die ePrivacy-Verordnung noch kein Datenschutzgesetz. Sobald es jedoch verabschiedet ist, wird es innerhalb von 20 Tagen nach seiner Veröffentlichung im EU-Amtsblatt angenommen, gefolgt von einer zweijährigen Schonfrist vor der Inkraftsetzung.
Daher wird die ePrivacy-Verordnung entgegen der Meinung der meisten Unternehmen die DSGVO ergänzen, nicht ersetzen, wenn sie in Kraft tritt.
Bis zum Stichtag können also alle datenschutzbewussten Marken in der EU und weltweit Optimizely nutzen. Optimizely muss sich jedoch anschnallen und einige kohärente Änderungen an den gesammelten Daten vornehmen, um für Unternehmen mit hohen Datenschutzstandards relevant und geeignet zu bleiben.
Welcher Anbieter von A/B-Testing-Tools hat die beste Erfolgsbilanz, wenn es um die Achtung der Privatsphäre der Benutzer geht? Sehen Sie, wie Optimizely im Vergleich zu Convert Experiences, VWO und AB Tasty abschneidet.
Optimieren Sie die HIPAA-Konformität
Gesundheitsdienstleister haben aufgrund der mit Gesundheitsinformationen verbundenen Datensicherheitsrisiken Probleme mit der Bereitstellung personalisierter Inhalte über digitale Plattformen. Der Health Insurance Portability and Accountability Act (HIPAA) entlastet die Gesundheitsunternehmen und gibt ihnen einige dringend benötigte Orientierungshilfen.
Es schützt geschützte Gesundheitsinformationen (PHI), wie Name, Adresse, Kontaktdaten und mehr, die an einen Drittanbieter weitergegeben werden.
Ist Optimizely HIPAA-konform?
Um HIPAA-konform zu sein, müssen alle Drittanbieter und Gesundheitsdienstleister ein Business Associate Agreement (BAA) abschließen, einen schriftlichen Vertrag zum Schutz sensibler Gesundheitsdaten.
Muss Optimizely HIPAA-konform sein?
Ob Optimizely HIPAA-Konformität verlangt, hängt von der Art der Daten ab, die es sammelt und verwendet. Im Wesentlichen ist Optimizely nicht HIPAA-konform und gibt die Nichteinhaltung in seinen Nutzungsbedingungen ausdrücklich an.
HIPAA-Nichteinhaltung . Der Kunde erkennt an, dass Optimizely kein Geschäftspartner oder Subunternehmer ist (wie diese Begriffe in HIPAA definiert sind) und dass der Optimizely-Dienst nicht HIPAA-konform ist. „HIPAA“ bezeichnet den Health Insurance Portability and Accountability Act und zugehörige Ergänzungen und Vorschriften in ihrer aktualisierten oder ersetzten Fassung. „Geregelte Daten“ umfassen HIPAA-regulierte Daten und Daten, die unter den Gramm-Leach-Bliley Act (oder zugehörige Regeln oder Vorschriften) in der aktualisierten oder ersetzten Fassung fallen.
Wie kompensiert Optimizely die Nichteinhaltung von HIPAA?
Die Inhaltsempfehlungen von Optimizely gehen auf Bedenken hinsichtlich der Datensicherheit ein und gleichen ihre Nichteinhaltung von HIPAA auf folgende Weise aus:
- Speichern von PHI: Die Personalisierung während der Sitzung erfordert keine PHI, um Inhalte zu personalisieren.
- Cross-Personalisierung: Die Personalisierung wird beendet, wenn eine Sitzung abläuft.
- Episerver Content Intelligence: Es liefert Ihnen First-Party-Intent-Daten bei jedem Website-Besuch, damit Sie die Wirkung Ihres Engagements skalieren können.
- Skalierung der Personalisierung : Regeln können mit der sich ändernden Patientenlandschaft und dem medizinischen Fortschritt nicht Schritt halten. Optimizely verwendet Algorithmen für maschinelles Lernen (ML), um zu entscheiden, wer welche Inhalte erhält, ohne Ihr Team mit endlosen „Wenn/Sonst“-Regeln zu verzetteln.
Optimizely-Episerver Content Recommendations schafft Abhilfe und bietet eine effektive Lösung für übergreifende Personalisierung und dynamisches Gesundheitswesen.
Können sich Besucher vom Optimizely-Tracking abmelden?
Besucher können das Optimizely-Tracking ganz einfach über den Optimizely-API-Aufruf deaktivieren.
Was bedeutet Abmeldung?
- Der Benutzer wird nicht in ein Experiment hineingezogen
- Sie sehen keine Variationsänderungen
- Project JS wird auf der Seite nicht ausgeführt
- Der Benutzer wird nicht verfolgt
- Sie bleiben abgemeldet (d. h. alle oben genannten Punkte gelten), wo immer Optimizely läuft
Verwendung von Optimizely Web ohne Tag Manager
Wenn Sie auf Ihrer Website keinen Tag Manager verwenden, können Sie Optimizely anweisen, einen Website-Besucher nicht zu verfolgen, indem Sie ein Cookie namens optimizelyOptOut auf „true“ setzen. Optimizely sucht nach diesem Cookie, bevor der Inhalt des JavaScript-Snippets ausgeführt wird. Es ist besser, die offiziell unterstützte OptOut-API zu verwenden, als das Cookie direkt zu setzen.
Sie müssen den Code über dem Optimizely-Snippet auf Ihrer Seite einfügen. Andernfalls wird das Javascript-Snippet ausgeführt und setzt Tracking-Cookies und Speicherelemente Ihrer Besucher.
Sehen wir uns an, wie die optOut-API verwendet wird.
<Skript>
window["optimieren"] = window["optimieren"] || [];
window["optimieren"].push({
"type": "optOut",
"isOptOut": wahr
});
</script>
<script src="https://cdn.optimizely.com/js/{project_id].js"></script>Wenn sich ein Besucher für das Cookie-Tracking entscheidet, können Sie das Tracking dieses Besuchers wieder aktivieren, indem Sie den Wert des optimizelyOptOut-Cookies auf „false“ umschreiben.
Wenn Sie beispielsweise ein Cookie-Banner anzeigen (ein Overlay-Element, das die Zustimmung zum Besucher-Tracking einholt), können Sie den Wert des OptOut-Cookies auf „false“ umschreiben, nachdem Sie die Zustimmung mit dem folgenden Code erhalten haben.
window["optimieren"] = window["optimieren"] || [];
window["optimieren"].push({
"type": "optOut",
"isOptOut": falsch
});Binden Sie diese API technisch in die Logik ein, die ausgeführt wird, wenn der Besucher dem Tracking zustimmt.
Verwendung von Optimizely Web mit einem Tag Manager
Mit einem Tag Manager können Sie bedingte Logik verwenden, um das JavaScript-Snippet von Optimizely nur dann zu laden, wenn ein Besucher seine Zustimmung erteilt.
Da ein Cookie-Opt-In nicht in allen Regionen oder für alle Cookies erforderlich ist, setzt Optimizely das OptimizelyOptOut-Cookie nicht standardmäßig. Als Websitebesitzer sind Sie dafür verantwortlich, zu entscheiden, ob Sie dieses Cookie setzen oder bei Bedarf eine der oben genannten Methoden verwenden müssen.
Wenn Sie optimizelyOptOut standardmäßig auf „true“ setzen (wie oben angegeben), wird das Optimizely-Snippet nur dann „normal“ ausgeführt (verfolgt Besucher auf Ihrer Website), wenn die OptOut-API auf „false“ gesetzt ist.
Bei den Opt-in-Lösungen wird das Optimizely-JavaScript-Snippet beim Neuladen der Seite aktiviert, nachdem sich ein Besucher angemeldet hat, da es beim erstmaligen Laden der Seite deaktiviert wird.
Optimierter Full Stack
Optimizely Full Stack ist für Experimente nicht auf Cookies angewiesen, daher wirken sich die cookiebezogenen Anforderungen der ePrivacy-Verordnung nicht auf diese Funktion aus.
Dennoch sollten Full-Stack-Nutzer in der EU sicherstellen, dass sie die DSGVO einhalten. Unternehmen müssen „berechtigte Interessen“ an der Verarbeitung personenbezogener Daten innerhalb der EU haben.
Als Datenverantwortlicher liegt es in der Verantwortung eines Unternehmens, die gesetzlichen Verpflichtungen zur Verarbeitung der Einwilligung zu erfüllen, bevor es personenbezogene Daten in ein Optimizely Full Stack-Experiment einbezieht.
Dazu müssen Sie deutlich machen, dass Ihre Experimente Bemühungen von Erstanbietern beinhalten, um die Benutzererfahrung zu verbessern, und dass Sie Benutzerdaten nicht an Dritte (z. B. Werbepartner) weitergeben werden.
Sie sollten Benutzer auch von Full-Stack-Experimenten ausschließen, wenn sie ihre Zustimmung widerrufen.
Wie schlägt sich Optimizely im Datenschutz gegenüber seinen Konkurrenten?
Optimizely ist zwar ein Gigant für digitale Erlebnisse, muss aber dennoch auf seine Alternativen achten, insbesondere im Umgang mit dem Datenschutz. Es hat auch eine lange Tradition, Kunden über plötzliche Preisänderungen im Unklaren zu lassen. Kein Wunder also, dass sich viele Unternehmen nach alternativen Anbietern umsehen.
Als Referenz vergleichen wir die Datenschutzoptionen von Optimizely mit denen von Convert Experiences und VWO. Wir prüfen auch:
- Der Serverstandort jedes Tools
- Wie sie Cookies von Drittanbietern behandeln
- Standardmäßiges domainübergreifendes Tracking
- Ob sie es Benutzern ermöglichen, sich vom Tracking abzumelden
| Optimiert | Erfahrungen umwandeln | VWO | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Einmalige Anmeldung (SSO) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| EU-basierte Server | X | ✓ | X | ||||||||||||||||||||
| Nicht-PII-Cookie-Lebensdauer | 6 Monate | 6 Monate | 100 Tage | ||||||||||||||||||||
| Cookies von Drittanbietern | ✓ | X | ✓ | ||||||||||||||||||||
| Browsereinstellung nicht verfolgen | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Opt-out-Funktion | ✓ | ✓ | ✓ | ||||||||||||||||||||
| DSGVO-Compliance In-App-Leitfaden | X | ✓ | X | ||||||||||||||||||||
| Auftragsverarbeitungsvereinbarung (AVV) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| PCI-DSS-Konformität | ✓ | ✓ | ✓ | ||||||||||||||||||||
| ePrivacy-Compliance | X | ✓ | X | ||||||||||||||||||||
| Datenanonymisierung | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Domainübergreifendes Tracking standardmäßig erlaubt | ✓ | X | ✓ | ||||||||||||||||||||
| Segmentierung standardmäßig erlaubt | ✓ | X | ✓ | ||||||||||||||||||||
| Recht auf Vergessenwerden | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Benachrichtigungen über Datenschutzverletzungen | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Benennung eines Datenschutzbeauftragten | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Grenzüberschreitende Datenübertragungen | EU-US und SwissU.S. Privacy Shield-Frameworks | EU-US und SwissU.S. Privacy Shield-Frameworks | EU-US und SwissU.S. Privacy Shield-Frameworks | ||||||||||||||||||||
| Datenschutz durch Design und Voreinstellungen | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Sensible personenbezogene Daten | X | X | X |
Welche Änderungen hat Optimizely nach der Übernahme von Episerver am Datenschutz vorgenommen?
Im September 2020 gab Episerver die Übernahme von Optimizely bekannt. Ein Jahr später stellte sich Episerver als Optimizely wieder vor, um die Markenbekanntheit zu steigern.
Die Übernahme von Optimizely und das Rebranding eröffneten Möglichkeiten für Episerver- und Optimizely-Kunden, da der Bedarf an Personalisierungs- und Handelsfunktionen immer deutlicher wurde.
In Sachen Datenschutz ist Optimizely seit der Übernahme deutlich gewachsen.
- Episerver respektiert Privacy by Design und Default. Es veröffentlicht jede Woche neue Richtlinien, um sicherzustellen, dass es mit der DSGVO und anderen geltenden Datenschutzgesetzen konform bleibt.
- Es veranstaltet jährliche Treffen, Schulungen, Seminare, Webinare und Bildungsreihen zu Datenschutz, Sicherheit, Privatsphäre und personenbezogenen Daten.
- Episerver hat auch die Datenverarbeitungsvereinbarung (DPA) von Optimizely für alle neuen anwendbaren Anbieter aktualisiert, um die Einhaltung der Datenschutz- und Datenschutzbestimmungen zu unterzeichnen und sicherzustellen.
- Episerver hat die Datenschutzerklärung und Richtlinie von Optimizely für Auskunfts- und Löschungsanfragen betroffener Personen gemäß der DSGVO und dem California Consumer Privacy Act (CCPA) verbessert und bietet den Einwohnern der EU und Kaliforniens Zugriffs- und Löschungsrechte. Es verfügt jetzt über ein klares Modell, um die Einwilligung einzuholen und Informationen bei Bedarf zu entfernen.
- Das Security Incident Response Team (SIRT) von Episerver kann potenzielle Sicherheits- oder Datenschutzvorfälle behandeln. Es stuft alle Sicherheitsvorfälle mit hoher Priorität (P1) ein und eskaliert sie an das dedizierte Team.
- Episerver hat das Episerver Trust Center eingeführt, das einheitliche Sicherheits-, Compliance- und Datenschutzkontrollen zum Schutz von Kundendaten hervorhebt.
Episerver hat Optimizely überarbeitet und die Messlatte für DSGVO-Compliance und Datenschutzpraktiken höher gelegt, um eine starke Rechtsgrundlage zu schaffen.
Episerver hat die Einhaltung der DSGVO zu einer alltäglichen Priorität sowohl in der Produktentwicklung als auch in Managed Services weltweit gemacht.
Peter Yeung, Vice President, General Counsel und Global Data Protection Officer, Episerver
Peter fügte hinzu, dass Episerver auf eine lange Geschichte von Pionierleistungen in stark regulierten Branchen und Ländern zurückblicken kann, was zu Lösungen geführt hat, die unter Berücksichtigung von Compliance entwickelt wurden. Es kombiniert jahrelange umfassende Erfahrung und Kenntnisse in der Cloud-Infrastruktur mit einem starken Engagement für Datenschutz, Sicherheit und Compliance.
Sich den Herausforderungen der Zukunft stellen
Optimizely hat große Anstrengungen unternommen, um die DSGVO, CCPA, das Allgemeine Gesetz zum Schutz personenbezogener Daten (LGPD) und andere geltende Datenschutzgesetze einzuhalten.
Es hat sich nach seiner Übernahme zwar verstärkt für Datenschutz und -sicherheit eingesetzt, berücksichtigt aber kaum die kommende ePrivacy-Verordnung. Optimizely muss zum Experimentieren und Sammeln von Daten aufsteigen.
Daten steuern alles von der Entwicklung einer Testhypothese über die Bereitstellung einer personalisierteren Benutzererfahrung bis hin zur Nachverfolgung der Wirksamkeit eines Tests. Das bedeutet, dass Experimentierteams dem Datenschutz Priorität einräumen müssen.
Die DSGVO befasst sich nur mit allgemeinen (personenbezogenen) Daten, während ePrivacy beabsichtigt, die DSGVO zu ergänzen und den Datenschutz umfassend abzudecken und zu prüfen. Die ePrivacy-Verordnung umfasst Marketing, eine ganze Liste von Tracking-Technologien (einschließlich, aber nicht beschränkt auf Cookies), und zielt darauf ab, Profiling und verhaltensbezogene Werbung mit Transparenz und positiver Zustimmung zu bekämpfen.
Solange Optimizely ePrivacy nicht berücksichtigt, fehlt ein wesentliches Puzzleteil. Und selbst wenn es heute losgeht, wird es nicht einfach sein, dieses Stück auf die Beine zu stellen.
