Datenschutzkonformes E-Mail-Marketing

Gabriel Fechir

Gabriel Fechir

DynaCampaign Best Practices Teil 2: Pseudonymisierungskonstrukt mit DynaCampaign Bordmitteln

E-Mail-Marketing ist in vielen Unternehmen fester Bestandteil der Kundenkommunikation. Um zu verhindern, dass eine Marketing-Kampagne aufgrund von Verstößen gegen datenschutzrechtliche Anforderungen platzt, sollten aktuelle Datenschutzrichtlinien am besten von Anfang an in der Planung berücksichtigt werden. Die gestiegenen Ansprüche an den Datenschutz wirken sich daher stark auf jeden einzelnen Marketier aus.

Neben Aspekten, wie des grundsätzlichen Erhebens von Daten oder des Permission Managements hinsichtlich der verfügbaren Ausspielungskanäle, so steht auch der Umgang mit den Kundendaten im eigenen Haus im Blickpunkt. Dabei wird immer häufiger darauf geachtet, personenbezogene Daten nur einem möglichst kleinen Mitarbeiterkreis zugänglich zu machen, um den Missbrauch dieser Daten vorzubeugen.

Für Kampagnenmanagement Systeme bedeutet dies, dass diese Daten prinzipiell vorhanden sein müssen, um die Ausführung der Kundenkommunikation überhaupt erst zu ermöglichen. Denn ohne Namen für die Ansprache oder die E-Mail-Adresse für den Versand wäre eine Kampagnenplanung und -durchführung nicht umsetzbar. Es ist jedoch möglich, wenngleich diese Daten vorhanden sein müssen, die Sichtbarkeit dieser Daten für Kampagnenmanager einzuschränken. So kann die volle Funktionalität des Kampagnenmanagements dennoch genutzt werden, jedoch wird dabei kein Einblick in Daten wie Namen, E-Mail-Adressen oder Telefonnummern gewährt.

Wie kann DynaCampaign dies abbilden?

DynaCampaign bietet unterschiedliche Konstrukte an. Eine relativ einfache Möglichkeit, welche für SQL Server basierte Installationen möglich ist, möchte ich heute kurz vorstellen.

Dabei ist seitens DynaCampaign kein entscheidender Eingriff erforderlich. Es muss lediglich sichergestellt werden, dass der Datenbank-User für das Frontend (z.B. der Marketier) und der User für den Agent (bzw. die DynaCampaign Job Steuerung) voneinander abweichen. Über die Berechtigungen dieser beiden User erfolgt letztlich die Steuerung. Zentraler Baustein ist eine Ansicht, welche in Abhängigkeit des angemeldeten Users, entweder den Klartext-Wert anzeigt oder das Feld mit einem sogenannten gehashten Wert. Hierbei geht es also um die Verschlüsselung eines Klartextes. Eine Rekonstruktion des ursprünglichen Inhaltes aus dem Hash-Wert ist nicht möglich.

Die Logik dieser Ansicht lässt sich wie folgt darstellen:

create view v_customer as
select
id,
case
when USER_NAME() = ‚DynaCampaign-Frontend‘ then email_hash
when USER_NAME() = ‚DynaCampaign-Agent‘ then email
else NULL end as email
from customer

Im Frontend wird so nie eine E-Mail-Adresse im Klartext angezeigt, da hier immer das Feld mit dem Hash-Wert zur Anzeige kommt. Bei der Erstellung der Exportdatei für den Ausspielungskanal wird aber automatisch der Klartext-Wert ermittelt. Hierbei muss natürlich beachtet werden, dass diese Datei in einem Verzeichnis abgelegt wird, auf das der Frontend-User keinen Zugriff hat.

Zu beachten gilt, dass dies nur eine einfache Variante der Pseudonymisierung darstellt und mit DynaCampaign prinzipiell auch wesentlich striktere Umsetzungen realisierbar sind, die es z. B. ermöglichen, Klartext-Daten vollständig aus einer CRM-Datenbank zu entfernen.

Gerne stellen wir Ihnen die Lösungen auf Nachfrage im Detail vor und geben Empfehlungen z.B. hinsichtlich Hashfunktionen.

Das könnte Sie auch interessieren