Cookies, Consent, und die DSGVO: Die Rolle des Datenschutzes in einer Product Analytics-Strategie.

Die Erfassung und Nutzung personenbezogener Daten ist das Kernelement der Produktanalyse. Der Datenschutz sollte bei der Entwicklung jeder Analysestrategie im Vordergrund stehen. Angesichts der sich ständig weiterentwickelnden Vorschriften wie DSGVO, CNIL, LGPD, ePrivacy-Richtlinie (Cookie-Richtlinie), etc. ist es wichtig, einen flexiblen Data-Stack aufzubauen, der alle Datenschutzbestimmungen erfüllt. 

Wie kannst du dich also auf den Auswahlprozess eines neuen Tools vorbereiten, der voraussichtlich die Zusammenarbeit mit Compliance-, Sicherheits- und Rechts- Teams beinhaltet. Betrachte es als eine gute Gelegenheit, deine Analysestrategie einem Stresstest zu unterziehen und um sicherzustellen, dass du eine datenschutzkonforme Product Analytics Lösung einsetzt. 

Warum der Aufwand?

Product Teams spielen eine entscheidende Rolle bei der Förderung des Datenschutzes 

In den letzten Jahren gab es enorme Verschärfungen der Datenschutzanforderungen. Von der in 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO/GDPR) über die Einführung des kalifornischen CCPA bis hin zur Verabschiedung der brasilianischen LGPD sind die Regeln für die Erfassung, Verarbeitung und Analyse von Daten immer komplexer, stärker lokalisiert und anspruchsvoller geworden.

Während einige Skeptiker sagen, dass diese Trends die effiziente Nutzung von Produktanalyse-Daten behindern, sieht Mixpanel diese als Chance für mehr durchdachte und individuelle Analysen. Die Berücksichtigung des Datenschutzes hat zur Folge, dass Product Teams ihre Analysen besser durchdenken und nur die Daten sammeln, die zur Beantwortung ihrer Fragen erforderlich sind.  

Product Teams spielen eine entscheidende Rolle bei der Förderung des Datenschutzes. Der Artikel konzentriert sich darauf, dich für die Einhaltung der europäischen Datenschutzgesetze zu rüsten. 

Die ePrivacy-Richtlinie gewinnt immer mehr an Bedeutung, doch viele konzentrieren sich nur auf die GDPR/DSGVO

Viele Menschen, die im Bereich Produktdesign und Produktentwicklung arbeiten, haben schon von der allgemeinen Datenschutz-Grundverordnung der EU oder “GDPR” gehört. In Deutschland auch DSGVO genannt. Die GDPR schreibt vor, dass Unternehmen, die mit personenbezogenen Daten arbeiten, eine Reihe von Anforderungen erfüllen müssen, darunter: 

1. Klare Information darüber, was mit den personenbezogenen Daten gemacht wird 
2. Sicherstellen, dass es eine “rechtmäßige” Grundlage für die Verwendung der Daten gibt
3. Abschluss geeigneter Verträge mit anderen Parteien, an die personenbezogenen Daten weitergeben werden
4. Beantwortung aller Anfragen von Einzelpersonen zur Auskunft ihrer Daten 

Bei Nichtbeachtung drohen bis zu 20 Mio. Euro Strafe. Damit wird klar, warum für Compliance- und Rechtsabteilungen die Einhaltung der DSGVO so wichtig ist. Im Folgenden werden die wichtigsten Bestimmungen der DSGVO genauer betrachtet. Zuvor solltest du dir jedoch bewusst machen, dass die DSGVO eine große, komplexe Herausforderung darstellt, die aber letztlich zu bewältigen ist. 

Trotz Ihrer Größe und Komplexität ist die DSGVO nicht die einzige Verordnung zur Einhaltung des Datenschutzes in Europa. Im Jahr 2002 verabschiedete die Europäische Kommission eine Richtlinie zur Regelung der Verwendung von Cookies, die sogenannte ePrivacy-Richtlinie. 

Die e-Privacy Richtlinie gewinnt mehr an Bedeutung, denn immer mehr Aufsichtsbehörden verlangen den Nachweis einer informierten Zustimmung für die Platzierung von Cookies (z.B. Cookie-Banner) und die Möglichkeit für Personen, ihre Zustimmung aus beliebigen Gründen und jederzeit zu widerrufen.

Werde selbstsicher in der Zusammenarbeit mit Datenschutzexperten

Es gibt umfangreiche, langweilige Bücher über die DSGVO und die ePrivacy-Richtlinie. Man könnten Stunden damit verbringen die Details der einzelnen Bestimmungen zu erläutern, doch das Ziel ist es nicht, dich zu einem Datenschutzexperten zu machen. Stattdessen soll dir dieser Artikel ermöglichen eng mit deinen Datenschutzexperten und Anwälten zusammenzuarbeiten, damit du in der Lage bist erstklassige Produkte entwerfen, erstellen und teilen zu können.  

Schlüsselbegriffe  

Was sind Cookies?

Aufsichtsbehörden, Anwälte und Compliance-Beauftragte sprechen heutzutage alle über Cookies. Unter Cookies versteht man im Allgemeinen kleine Textdateien, die auf dem Computer eines Website-Besuchers gespeichert werden und die dann von einem Browser gelesen werden, um Informationen auf dem Rechner des Nutzers zu speichern oder davon abrufen zu können. Das EU-Recht verfolgt jedoch einen breiten Ansatz und wie in Artikel 5(3) der ePrivacy-Richtlinie dargelegt, sind Cookies alles, was auf den lokalen Gerätespeicher eines Website-Besuchers oder App-Nutzers zugreift. Basierend auf der weitreichenden Auslegung der rechtlichen Definition von Cookies durch die EU werden auch die SDKs von Mixpanel als “Cookies” betrachtet. 

Warum bereitet diese weit gefasste Definition von Cookies so viel Kopfzerbrechen? Wie erwähnt, stammt die Antwort aus der ePrivacy-Richtlinie. Gemäß der Datenschutzrichtlinie für elektronische Kommunikation wird das Setzen eines Cookies – einschließlich der Mixpanel SDKs – als Verletzung der Privatsphäre angesehen. Nach der Richtlinie verletzt jede Technologie, die auf den Computerspeicher eines Website-Besuchers zugreift, die Datenschutzrechte des Nutzers. Diese Verletzung löst bei den Kollegen von der Rechtsabteilung und der Compliance-Abteilung Bedenken aus. Mixpanel kann dir dabei helfen tiefe Einblicke in die Produktnutzung zu gewinnen bei gleichzeitiger Einhaltung der Datenschutzvorschriften. 

Es ist wichtig zu erwähnen, dass das EU-Recht die Verwendung von Cookies nicht verbietet oder untersagt. Stattdessen erlaubt es Website-Besitzern oder -Publishern die Verwendung von Cookies, wenn der Website-Besucher eine gültige, überprüfbare Zustimmung erteilt. Ein sogenanntes “Cookie Banner” ist die sichtbarste Darstellung zur Erlangung dieser Zustimmung. Die meisten Unternehmen, darunter auch Mixpanel, verwenden diesen Ansatz auf ihren Websites.  

First vs. Third-Party Cookies

Wenn über Cookies (oder SDKs) gesprochen wird, dreht sich das Gespräch schnell um sogenannte “First-” und “Third-Party” Cookies. Kurz gesagt werden First-Party Cookies direkt auf der Website vom Eigentümer gespeichert. Sie werden verwendet, um Daten darüber zu sammeln, wie der Besucher auf der Website navigiert. In der Regel sind die gesammelten Daten nur für den Website-Besitzer zugänglich. Wenn sich zum Beispiel ein Kunde auf der Mixpanel Plattform anmeldet, wird ein Cookie verwendet, um zu erfassen, wie der Besucher die Software nutzt, um dann beispielsweise zu analysieren, was funktioniert und was nicht. 

Third-Party Cookies dagegen werden von anderen Domains erstellt oder gehören in der Regel anderen Parteien wie Facebook, Twitter, Google oder Drift. Diese Cookies werden den Besuchern einer Website von diesen dritten Partei mitgegeben. In diesem Fall könnte ein Besucher der Mixpanel-Website (der die Cookies akzeptiert) der Website erlauben, ein Twitter-Cookie an den Browser dieses Besuchers zu senden.  

Bei den Mixpanel SDKs handelt es sich im allgemeinen um Third-Party Cookies. Wie bereits erwähnt, ist dies eine Folge der breiten EU-Interpretation, die ähnliche Tracking-Technologien so behandelt, als würden sie unter die Definition von Cookies fallen. Aus diesem Grund sollten einige Product Teams Alternativen zu Mixpanel SDKs in Betracht ziehen, wie z.B. die Verwendung des serverseitigen Trackings von Mixpanel oder die Erstellung von Proxys, um Daten über die Ingestion-API an Mixpanel zu senden. 

Stelle sicher, dass deine Rechts- und Compliance-Teams verstehen, dass die Verwendung von SDKs nur eine der Möglichkeiten ist, um Zugang zu den leistungsstarken Analyse-Tools von Mixpanel zu erhalten. 

Notwendige vs. optionale Cookies

Die verwendeten Begriffe können ein wenig variieren, aber im Allgemeinen gibt es zwei übergreifende Gruppen von Cookies: notwendige und optionale Cookies. In den letzten Jahren gab es unter den Datenschutzbehörden der EU einen Beschluss zu “notwendige Cookies”. Dabei handelt es sich um Cookies oder SDKs, die als so grundlegend für den Betrieb einer Website oder Anwendung angesehen werden (z.B. für die Anmeldung, Rechnungsinformationen oder den Inhalt des Warenkorbs), dass die Betreiber von Websites oder Anwendungen keine Zustimmung für deren Verwendung benötigen. Der einzige Haken an der Sache ist, dass die Nutzer im Vorfeld über deren Verwendung informiert werden müssen. Alle anderen Cookies erfordern eine gültige Zustimmung der Nutzer, selbst wenn die Daten nur statistisch und anonymisiert erhoben werden, um die User Experience oder Funktionalität der Website zu verbessern.

Consent Management

Consent Management ist einer der anspruchsvollsten Aspekte des EU-Datenschutzes. In der EU ist das Eigentum an den eigenen persönlichen Daten ein grundlegendes Bürgerrecht. Das bedeutet, dass jeder Einzelne das Recht hat, zu bestimmen, wie, wann und sogar ob die Daten verarbeitet oder verwendet werden dürfen. Dieses Recht wird oft als “Consent” (Einwilligung) bezeichnet. 

Was eine gültige Einwilligung (valid consent) nach der DSGVO ist, ist relativ eindeutig. Für Product Teams, die die Mixpanel SDKs nutzen möchten, werden im Folgenden die wichtigsten Anforderungen an die Einwilligung aufgeführt. Diese muss:

• zustimmend (d.h. es muss sich um eine positive Handlung des Besuchers handeln, eine stillschweigende Zustimmung oder ein Vorab-Ankreuzen der Auswahl wird nicht nicht gern gesehen)
• freiwillig erteilt (d.h. der Besucher hat die Möglichkeit die Zustimmung abzulehnen) und 
• spezifisch und informierend sein (d.h. der Besucher versteht wozu er seine Einwilligung gibt, einschließlich der Fragen, von wem, wofür und wo seine Daten verarbeitet werden und er kann seine Zustimmung jederzeit widerrufen).

Rechts- und Compliance-Teams verbringen eine Menge an Zeit mit Fragen der Einwilligung. Dieser Fokus ist sinnvoll, denn ohne die Zustimmung einer Person zur Verwendung ihrer persönlichen Daten fehlt dem Product Team möglicherweise das gesetzliche Recht, diese Daten zu verwenden. 

Product Teams sollten eine Strategie für das Consent Management ausarbeiten und mit ihren Compliance- und/oder Rechtsabteilungen zusammenarbeiten, um die Consent Management Funktionen einer Anlysemöglichkeit frühzeitig zu bewerten. Somit riskieren sie nicht, Tools ohne Datenzugang zu erwerben. 

Die gute Nachricht: Mixpanel hilft Product Teams dabei, die Herausforderung des Consent Managements zu meistern. Mixpanel hat eine leistungsstarke Opt-In- und Opt-Out-Funktionalität entwickelt, die es den Kunden ermöglicht, die Tracking Entscheidungen von Einzelpersonen zu berücksichtigen und gleichzeitig eine beständige, freiwillig gegebe und spezifische Zustimmung zu erhalten. Anders ausgedrückt: Wenn du dich mit der Rechtsabteilung und der Compliance-Abteilung über Fragen der Einwilligung unterhältst, hält dir die integrierte Einwilligungsfunktion von Mixpanel den Rücken frei.

Rechte des Betroffenen 

Das Ziel der EU-Verordnung zum Schutz der Privatsphäre und des Datenschutzes ist es, dem Einzelnen die Kontrolle über seine persönlichen Daten zu gewährleisten. Die Haftung von Unternehmen, die mit personenbezogenen Daten arbeiten, ist eine ernste Angelegenheit (d.h. bis zu 20 Millionen Euro oder bis zu 4 % ihres weltweiten Gesamtumsatzes des vergangenen Geschäftsjahres, je nachdem welcher Betrag höher ist). 

Ein ganzes Kapitel der DSGVO dreht sich um die Rechte der betroffenen Personen. Im Großen und Ganzen umfassen diese (1) das Recht auf transparente Informationen, (2) das Recht auf Auskunft, (3) das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung, (4) das Recht auf Datenübertragbarkeit, (5) das Widerspruchsrecht und (6) das Recht keiner Entscheidung zu unterliegen, die auf einer automatisierten Verarbeitung einschließlich Profiling beruht. 

Diese Zugriffsrechte verpflichten die Product Teams dazu, den Rechts- und Compliance-Teams detailliert darzulegen, wie eine Analyselösung personenbezogene Daten erfasst, verarbeitet und speichert. Diese benötigen die detaillierten Informationen, um Datenschutzrichtlinien zu erstellen, regulatorische Fragen zu beantworten und den Anwendern bei der Ausübung ihrer Rechte zu helfen. Je mehr Details und Kontext ein Product Team zur Verfügung stellen kann, desto schneller können die Rechts- und Compliance-Teams Datenschutzrichtlinien anpassen und sich auf die Einhaltung anderer rechtlicher Verpflichtungen vorbereiten. 

Senden von Daten ins Ausland 

Für viele in der EMEA-Region ansässigen Kunden ist das Versenden von Daten ins Ausland (insbesondere in die USA) nach Schrems II zu einem Albtraum geworden. Im Juli 2020 erließ der Gerichtshof der Europäischen Union (CJEU) ein Urteil, das das sogenannte “Privacy Shield” für ungültig erklärte. Zum Kontext: Viele multinationale Unternehmen verließen sich zuvor auf “Privacy Shield” als legalen Weg, um Daten aus Europa in amerikanischen Rechenzentren zu verarbeiten. Mixpanel war eines dieser Unternehmen. Nach Schrems II mussten Unternehmen, wie auch Mixpanel, einen anderen Weg finden. 

Product Teams sollten damit rechnen, dass Rechts- und Compliance-Abteilungen nach Datentransfers fragen, insbesondere wenn sie mit amerikanischen Unternehmen wie Mixpanel zusammenarbeiten. Wie die meisten Unternehmen verlässt sich Mixpanel nun auf eine Reihe von Rechtsdokumenten, die als Standardvertragsklauseln (SCC) bezeichnet werden, gekoppelt mit bestimmten zusätzlichen Zusicherungen, um Daten aus Europa zu übermitteln. Die SCCs von Mixpanel gelten automatisch für Kunden, die sich über unsere Online-Nutzungsbedingungen bei Mixpanel anmelden. 

Das Beste daran? Product Teams müssen keine Daten aus Europa heraus senden, um Mixpanel zu nutzen. Denn Mixpanel speichert und verarbeitet die Daten innerhalb der EU. 

Wie Mixpanel bei der Risikobewältigung hilft 

Serverseitige und Cookie-freie Implementierung

Eine der besten Eigenschaften von Mixpanel ist seine Flexibilität. Da Daten entweder über SDKs oder über Ingestion-APIs gesammelt werden können, kann Mixpanel so konfiguriert werden, dass Informationen über die Serverseite gesammelt werden. Diese Art der Bereitstellung beseitigt die oben genannten Cookie-Herausforderungen, da man nicht auf den lokalen Speicher der Website-Besucher oder App-Nutzer zugreift. 

First Party Tracking

Wie das serverseitige Tracking funktionieren auch die SDKs von Mixpanel als First-Party-Tracker. Diese Fähigkeit ermöglicht es die Daten direkt an einen Server zu senden, der zuerst vom Kunde kontrolliert wird, und dann an Mixpanel. Mixpanel lässt sich mit einer sehr fortschrittlichen, Cloud-basierten Version von Microsofts Excel vergleichen. In dieser Analogie nimmt Mixpanel einfach die vom Kunden freigegeben Daten und führt eine sehr fortschrittliche statistische Analyse und Visualisierung durch. Mixpanel verwendet die Daten nicht weiter und gibt die Daten niemals an Dritte zur Datenanreicherung, zum AD-Targeting, zur Platzierung von Werbung oder zu anderen Zwecken weiter. 

Individuelle Datenerfassung 

Eine weitere Funktion der SDKs, die Product Teams bei der Arbeit mit den Rechts- und Compliance-Abteilungen helfen kann, ist die Anpassung der Datenerfassung durch die SDK-Anpassungsoptionen von Mixpanel. Vom vollständigen anonymen Tracking bis hin zur Begrenzung der erfassten Datenmenge können Product Teams das SDK von Mixpanel so konfigurieren, dass nur das erfasst wird, was benötigt oder rechtlich zulässig ist. Dank dieser Flexibilität können Product Teams die  Rechts- und Compliance-Abteilungen bei der Bewältigung datenbezogener Risiken unterstützen und die Menge der gesammelten Daten von anderen code-losen oder auto-tracking-ähnlichen Lösungen reduzieren. Stelle dir Mixpanel als Scheinwerfer vor, nicht als die Hausbeleuchtung. 

Die Produkte von Mixpanel geben die vollständige Kontrolle darüber, welche Daten Product Teams sammeln können und für welche Zwecke. Zusätzlich verfügt Mixpanel über ein starkes CSM Team sowie Professional Services-Team, das neue Kunden bei der Konfiguration und Implementierung von Mixpanel unterstützt, um ihre Anforderungen zu erfüllen.  Eine Plattform zur Verwaltung individueller Rechte ermöglicht die Verwaltung von Anfragen der Endnutzern und Anfragen, die sie im Namen der Endnutzer von unseren Kunden erhalten. Gemäß unserer Data Processing Addendum (DPA) werden die Kunden benachrichtigt, wenn solche Anträge auf die Erteilung einer Auskunft über personenbezogene Daten (DSARs) ihre Endbenutzer betreffen. Mixpanel führt für die Endnutzer inter eine Triage aller DSARs durch und nutzen die individuelle Rechteverwaltungsplattform, um die für Compliance-Zwecke ergriffenen Maßnahmen aufzuzeichnen und zu dokumentieren. 

Leistungsstarkes Consent Management

Mixpanel hilft dir deine Datenschutz-Verpflichtungen zu erfüllen, indem es keine Informationen von Personen sammelt oder verarbeitet wenn diese dem Tracking nicht zustimmen. Die SDKs von Mixpanel machen es den betroffenen Personen außerdem leicht, sich jederzeit abzumelden.

Datenresidenz

Die Datenresidenz, auch als „Datenlokalisierung“ bezeichnet, ist eines der leistungsstarken Werkzeuge, die den Kunden von Mixpanel zur Verfügung stehen, um Datenschutzrichtlinien und -vorschriften zu erfüllen. Mixpanel bietet die Möglichkeit, Kundendaten zum Hosting, zur Speicherung und zur Verarbeitung an unsere EU-Rechenzentren zu senden, ohne dass die in den USA verfügbaren Produktfunktionen verloren gehen. Mit anderen Worten: Kunden, die Mixpanel nutzen, sind nicht schlechter dran, wenn sie sich dafür entscheiden, alle ihre Daten lokal zu halten. Mixpanel ist die einzige fortschrittliche Analyselösung, die die Daten innerhalb von Europa speichert sowie verarbeitet. 

Du benötigst mehr Informationen?  Nimm an unserem Datenschutzprogramm teil. 

Unser Datenschutz-Team unterhält sich gerne mit Kunden und tauscht sich mit anderen Datenschutz- und Compliance-Fachleuten aus. Wenn dein Team nach Unterstützung sucht, hilft Mixpanel dabei, Risiken zu besprechen, Branchentrends zu diskutieren und Lösungen zu finden.