Vertrauenshebel Datenschutz: Welche Daten werden bei Echtzeit-Personalisierung verarbeitet?

datenschutz, mehr vertrauen, prudsys, prudsys RDE, Omnichannel, Handel, E-Commerce, Echtzeit, Personalisierung

Durch die nahezu tägliche Veröffentlichung von Nachrichten zu den Themen Überwachung, Datenklau und NSA-Spionage werden viele Kunden immer unsicherer beim Onlinekauf. Welche Daten werden erhoben? Wo werden sie gespeichert und wer nutzt sie wofür? Keine Frage, Datenschutz und Sicherheit sind hier zentrale Themen. Doch was bedeutet das für prudsys Empfehlungen im Onlineshop?

Der Server der prudsys RDE kommuniziert mittels HTTP Requests mit dem Webshop. Mit diesen Abfragen werden Informationen wie Produkt- oder Kategorie-IDs, aber auch Session- und User-IDs an den Server gesendet. Produkt- und Kategoriestammdaten sind typischerweise keine personenbezogenen Daten. Laut BDSG sind „personenbezogene Daten [..] Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“ Dazu gehören z.B. Namen, Adressdaten, E-Mail oder auch IP-Adressen.

Transaktionsdaten enthalten die Aktionen des Nutzers im Shop. Dazu gehören z.B. Klicks oder Käufe. Die Menge der Transaktionsdaten stellt die Historie eines Nutzers dar, die zur Personalisierung im Shop verwendet werden kann. Bei der Speicherung der Transaktionsdaten kann es sich um eine Verarbeitung von personenbezogener Daten handeln. Dies ist danach zu bewerten, ob es sich bei der übermittelten Session- oder User-ID um ein personenbeziehbares Datum handelt.

Session- und User-IDs werden in der Regel vom Webshop vergeben. Da auch die (deutschen) Webshops strengen Datenschutzbestimmungen unterliegen, enthalten diese IDs in der Regel keine personenbeziehbaren Daten. Eine gängige Methode ist eine Hashwert-Verschlüsselung der E-Mail-Adresse des Kunden. Dabei wird sichergestellt, dass die Werte nicht auf die ursprüngliche Adresse zurückgeführt werden können. Werden die IDs durch prudsys selbst generiert, handelt es sich dabei um zufällig vergebene Buchstaben-/Zahlenkombinationen oder ebenfalls eine Hashwert-Verschlüsselung.

Alle Transaktionsdaten werden mit diesen anonymen IDs gespeichert. Eine Ermittlung der ursprünglichen E-Mail-Adresse ist nicht möglich, sofern die Hash-Methode sicher ist. Es werden keine weiteren personalisierten Daten übermittelt. Die gleiche Datengrundlage wird für alle RDE Module verwendet.

Fazit: Sofern der Webshop-Betreiber sichere Verfahren der Session- und User-ID-Generierung einsetzt, ist die Empfehlungsberechnung ebenfalls datenschutzrechtlich abgesichert. Die prudsys RDE arbeitet sehr datensparsam, d.h. es werden nur Daten verarbeitet, die tatsächlich zur Empfehlungsberechnung notwendig sind.

Gastautorin: Jana Ludwig | prudsys AG

Weiterführender Beitrag:

Recommendation Engine inside: Erfolgsfaktor Verhaltensdaten

0 Kommentare

Ihr Kommentar

Sie haben weitere Anmerkungen zu diesem Thema?
Wir freuen uns auf eine spannende Diskussion.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.