Wie können Sie Ihre digitalen Inhalte mit einem Digital Asset Management System DSGVO-konform machen?

Überlegen Sie einmal, wie viele verschiedene Arten von Inhalten Ihr Unternehmen jeden Tag nutzt. Einerseits ist es absolut richtig  all diese Inhalte als ‘Assets’ zu bezeichnen. Denn sie sind das Rückgrat Ihres Unternehmens, und jeder in Ihrem Team verlässt sich auf sie, um seine Arbeit zu erledigen und neue Kunden zu gewinnen

Wenn Sie aber andererseits nicht sorgfältig mit der Verwaltung dieser digitalen Assets umgehen, kann Ihr Unternehmen für Verstöße gegen die DSGVO oder andere Bestimmungen zum Schutz von Personenrechten verantwortlich gemacht werden.

In einem vorherigen Artikel habe ich bereits erläutert, was die DSGVO für Ihren digitalen Content und dessen Metadaten bedeutet. Im Folgenden gehe ich der Frage nach, wie ein Digital Asset Management-System (DAM) die Einhaltung der DSGVO und ähnlicher Datenschutzbestimmungen durch Ihr Unternehmen sicherstellen kann.

Ob Sie Ihr vorhandenes DAM evaluieren oder nach Alternativen suchen – hier finden Sie eine Checkliste mit acht wichtigen Fragen, um sicherzustellen, dass Ihre digitalen Assets DSGVO–konform sind..

1. Wo werden die Daten heute gespeichert? 

Die erste Frage auf unserer Liste mag recht einfach klingen, aber ich glaube, es ist die am schwierigsten zu beantwortende Frage. Ist Ihr digitaler Content zentral an einem einzigen Ort gespeichert oder gibt es Dateien mit personenbezogenen Daten (PII), die über das Netzwerk verteilt und an verschiedenen Orten gespeichert sind?

Meiner Erfahrung nach haben Sie wahrscheinlich digitalen Content, der über viele verschiedene Standorte verteilt ist – von dem einiges in Ihrem Unternehmen möglicherweise unbekannt ist. Content-Wildwuchs ist für ein Unternehmen ein schwieriges Problem, da die Mitarbeiter ihre Gewohnheiten ändern und ihre aktuelle Arbeitsweise ändern müssten. 

Die Tatsache, dass es so viele Cloud-Dienste gibt, macht den Content-Wildwuchs zu einer echten Herausforderung für normale IT-Abteilungen. Dies ist einer der Gründe, warum viele Unternehmen einen Datenbeauftragten benennen, der außerhalb ihrer IT-Abteilungen tätig ist.

Ich habe bereits in meinem vorherigen Artikel mehrere Herausforderungen, die den Content-Wildwuchs betreffen, angesprochen – siehe „Wie können Sie Ihr Team mit einem Audit zur legalen Verwendung von digitalem Content mit ins Boot holen?“ Und der einzige Weg dafür ist da durchzugehen. Sie müssen auf die Ängste und Bedenken Ihres Teams eingehen und dann einen neuen Plan für ein effizientes und sicheres digitales Content-Management kommunizieren.

Unternehmen können den Wert ihrer digitalen Assets maximieren, indem sie ihren Content zentralisieren und einen Standardprozess für die Freigabe, das Hochladen in ihr DAM und die gemeinsame Nutzung erstellen. Die Zentralisierung Ihres Contents ist ein wichtiger Schritt in Richtung besserer Compliance, höherer Datensicherheit und produktiveren Arbeitens.

2. Welche personenbezogenen Daten (PII) werden erfasst?

Es ist wichtig, dass Sie eine klare Vorstellung davon bekommen, wie PII-Daten erfasst, markiert und gespeichert werden. Metadaten – Informationen zu einem digitalen Asset – lassen sich auf zwei Arten definieren:

  • Explizite Daten: Hier sind Informationen klar benannt und ableitbar, wie Dateien in Ordnern innerhalb des Betriebssystems benannt und gekennzeichnet werden. Beispielsweise könnte die Namenskonvention persönliche Daten offenlegen, wenn der Netzwerkpfad zum Bild auf den Namen einer Person verweist. PII-Daten könnten so ähnlich vorhanden sein, wie bei einem Asset, das in seinem Dateinamen oder in den allgemeinen Metadatenfeldern wie ‘Beschreibung’, ‘Beschriftung’ und ‘Schlagwörter’ näher beschrieben wird.  
  • Implizite Daten: Einige Programme und Geräte, die Bilddaten erfassen oder aufzeichnen können, können auch sensible Metadaten einbetten, von denen man vielleicht gar nicht weiß, dass sie vorhanden sind.

Ein gutes Beispiel für implizite Metadaten sind geografische Informationen. Diese geografischen Daten können von einigen Digitalkameras, unter anderem auch Smartphones, erstellt und in Fotos und Videos eingebettet werden. Wenn Sie die Bedeutung impliziter Metadaten in Frage stellen, lesen Sie bitte den Artikel Twelve Million Phones, One Dataset, Zero Privacy der New York Times. Wenn Unternehmen ihre geografischen Daten nicht schützen, kann dies weitreichende Konsequenzen haben.

Falls Ihr Unternehmen benutzergenerierte Inhalte speichert, insbesondere Bilder, die auf Smartphones aufgenommen wurden, müssen Sie auf diese Metadaten achten. Einigen Unternehmen können geografische Daten wertvolle Erkenntnisse liefern. Für Unternehmen, die mit dem Militär, der Regierung oder dem Naturschutz zu tun haben, kann es jedoch sehr gefährlich sein, versehentlich den Standort einer Person preiszugeben. 

3. Wie greifen Mitarbeiter auf digitalen Content zu?

Wie Sie den Zugriff auf Ihre digitalen Assets verwalten, ist der Schlüssel zur Einhaltung der DSGVO und der anderen Datenschutzbestimmungen. Durch die Zentralisierung der Inhalte in einem DAM können freigegebene Dateien problemlos mit Ihren internen Teamkollegen oder externen Partnern gemeinsam genutzt werden.  

Natürlich reicht es nicht aus, Inhalte einfach in einem DAM zu speichern. In vielen Fällen würden Unternehmen davon profitieren, ihren Content und die Metadaten innerhalb eines DAM zu kategorisieren, um mit der DSGVO konform zu sein. Sobald Sie Content in einem DAM zentralisiert und den Zugriff in Ihrem Team geregelt haben, können Sie nachvollziehen, wer welchen Content wie oft verwendet. Die besten DAMs bieten Unternehmen die Flexibilität, Content so zu zentralisieren, dass er für sie funktioniert. Zudem machen sie es einfacher, diesen Content zu finden und mit den betreffenden Parteien gemeinsam zu nutzen.

Sustrans ist eine britische Wohltätigkeitsorganisation, die Menschen dazu bewegen will, mehr zu Fuß zu gehen und mit dem Rad zu fahren. Sobald Sustrans damit angefangen hatte, mit dem Portfolio-DAM zu arbeiten, entdeckte die Organisation zwei wichtige Fakten über ihren Content:

  1. Durch die Erstellung eines zentralen Repositorys für digitalen Content konnten alle Benutzer, die diesen benötigten, besser darauf zugreifen.
  2. Durch die Zentralisierung aller ihrer Dateien in einem DAM wurde es für sie viel einfacher, die Datenschutzgesetze zu beachten.

Die Verwaltung des digitalen Contents ist aber erst der Beginn. Beim Verwalten des Zugriffs auf diese digitalen Inhalte, erkennen Sie die echten Vorteile.

4. Haben Sie das ausdrückliche Einverständnis erhalten, Bilder von Personen zu verbreiten, die in diesen Dateien identifizierbar sind?

Für viele Unternehmen scheint der Gedanke, die Zustimmung von Mitarbeitern einzuholen, deren Bild auf einem Foto erscheinen könnte, übertrieben oder völlig abwegig. Ein Einverständnis sollte jedoch niemals vorausgesetzt werden. Die Verwendung des Bildes einer Person sollte in keinster Weise Bedingung für deren Beschäftigung, Aufnahme, Teilnahme, Mitgliedschaft oder Zugehörigkeit jeglicher Art sein.  

Das ausdrückliche Einverständnis ist aus zwei Gründen erforderlich:

  1. Um zu bestätigen, dass alle in der Aufnahme gezeigten Personen damit zufrieden sind, wie die Informationen gespeichert werden
  2. Diese Personen müssen auch darüber informiert werden, wie die Organisation den Content, in dem ihre Bilder auftauchen, verwendet.

Beachten Sie bitte, dass die Einverständniserklärungen selbst, eine andere Art von digitalem Asset darstellen. Viele Unternehmen, die sich auf DAM-Lösungen verlassen, fordern jetzt, dass die Originalversionen der Einverständniserklärungen gescannt und dann zusammen mit den Bildern von diesem Fotoshooting gespeichert werden. Einige Unternehmen, bei denen es zu Streitigkeiten über die Einverständiserklärung gekommen ist, sind bei der Beauftragung von Fotografien noch weiter gegangen. Diese Teams fordern nun bei jedem Fotoshooting, dass das Model die unterschriebene Einverständniserklärung im ersten Bild hochhält, um spätere Verwechslungen hinsichtlich der Identität des Unterzeichners zu vermeiden.  

5. Wie werden die Daten verwendet?  

Ob es sich um eine Kundenreferenz handelt, die in den sozialen Medien verbreitet wird, eine Präsentation vor Ihrem Verwaltungsrat oder etwas dazwischen – PII-Daten können in Bildern und Videos vorhanden sein, die für ein breites Publikum bestimmt sind. Sie sollten auch die folgenden Arten von Content prüfen:

  • Fallstudien von Kunden
  • Eventvideos und -fotos
  • Webinare
  • Schulungsvideos
  • Pressemitteilungen

Dabei handelt es sich keineswegs um eine vollständige Liste. Ihre Einverständniserklärungen müssen alle möglichen Fälle berücksichtigen, in denen personenbezogene Daten eventuell als Metadaten gespeichert werden. Achten Sie darauf, dass Sie diese verschiedenen Fälle in Ihren Rechtsverträgen festhalten, wenn Sie mit Models, Fotografen und Videofilmern von Drittanbietern und anderen Personen arbeiten, die eventuell in Ihren digitalen Assets vorkommen.

6. Gibt es Methoden und Vorgehensweisen zum Ändern, Bereinigen oder Löschen von PII-Daten?

Metadaten für jede einzelne Datei hinzuzufügen, anzuhängen oder zu bearbeiten, ist natürlich ziemlich zeitaufwendig. Ein DAM-System vereinfacht diese Schritte, indem es zuerst die Dateien markiert, die bestimmte vertrauliche Begriffe enthalten. Und indem Sie diese Dateien anschließend stapelweise bearbeiten oder löschen können. Dies funktioniert auch dann, wenn Sie Hunderte oder Tausende von Dateien gleichzeitig aktualisieren müssen.

Aber manchmal reichen selbst solche Stapelbearbeitungsfunktionen nicht aus. Beispielsweise verlangen viele Unternehmen, dass bestimmte Metadaten zu Dateien hinzugefügt und gleichzeitig andere Begriffe gelöscht werden, die alle auf bestimmten Kriterien basieren. Wenn Sie solche Vorgänge mit Tausenden von digitalen Assets gleichzeitig ausführen müssen, kann ein DAM-System wie Extensis Portfolio, das auf demselben System wie Corbit läuft, so konfiguriert werden, dass sich wiederholende Aufgaben automatisiert, menschliche Fehler ausgeschlossen und die Compliance gewährleistet werden.

Diese Art von Maßnahmen kann auch auf Dateien ausgedehnt werden, die von Dritten stammen. Extern erstellte Dateien, die per E-Mail, FTP und auf anderen Wegen übermittelt werden, können abgefangen und bis zu ihrer Freigabe zurückgehalten werden, bevor sie in das DAM eines Unternehmens aufgenommen werden. Wenn diese extern erstellten Dateien nicht den DSGVO-Richtlinien entsprechen, können sie alternativ automatisch abgelehnt werden. Außerdem können E-Mail-Benachrichtigungen ebenfalls automatisiert werden, um die Kommunikation zwischen den DAM-Administratoren und Erstellern von Content zu vereinfachen.

7. Werden digitale Assets länger als nötig aufbewahrt?

Die Verwaltung Ihrer digitalen Assets zur Gewährleistung der Metadatenintegrität ist ein wichtiger Aspekt bei der Beachtung der DSGVO. Allerdings ist Content nicht statisch. Jedes Ihrer digitalen Assets hat einen . Dieser erstreckt sich vom ersten Audit und seiner Erstellung bis zu dem Zeitpunkt, ab dem es nicht mehr benötigt wird. Dabei muss Ihr Content jederzeit den DSGVO-Richtlinien entsprechen. Das ist die Grundlage für ein effektives Lebenszyklusmanagement von digitalen Assets. Es gibt mehrere gute Gründe, digitale Assets auszurangieren:

  • Wenn in einem DAM Content ergänzt und nie entfernt wird, kann die Verwaltung des Systems zu einem administrativen Albtraum werden.
  • Wenn ein Asset weder gefunden werden kann noch brauchbar ist – ob aus funktionellen oder rechtlichen Gründen –, wird es fraglich, ob es einen Wert hat, es aufzubewahren.
  • Bestimmte Informationen können auch zeitlich beschränkt sein – sowohl zum Zeitpunkt der Erfassung als auch im Zuge der Änderung von Gesetzen und Vorschriften.

Gehen Sie am besten nach bewährten Methoden für das Lebenszyklus-Management von digitalen Assets vor, damit Ihr DAM jetzt und in Zukunft eine wertvolle Ressource ist.

8. Prüfen wir unsere Metadaten und halten wir sie auf dem neuesten Stand?

Compliance kann nicht einfach vorausgesetzt werden. Zu Beginn kann Ihnen ein komplettes Audit Ihres Content-Management-Systems dabei helfen, nötige Aktualisierungen zu ermitteln. Sie müssen jedoch auch regelmäßig Audits durchführen und neue Gesetze auf dem Schirm haben, um zu gewährleisten, dass Sie gesetzeskonform sind. Beispielsweise können sich die gesetzlichen Verpflichtungen zur Aufbewahrung bestimmter PII-Daten für eine festgesetzte Dauer ändern. Diese Verpflichtungen können jedoch auch das ‘Recht einer Person auf Vergessenwerden’ gemäß DSGVO außer Kraft setzen.  

Fazit

Kein DAM allein kann die hundertprozentige Einhaltung der DSGVO gewährleisten. Sie benötigen immer noch die richtigen Prozesse und müssen Ihr Team in der korrekten Etikette für digitalen Content schulen. Das richtige DAM macht die Arbeit Ihrer Mitarbeiter sowie Ihre Prozesse effizienter. Und wenn alle drei Hand in Hand gehen, verfügen Sie über alle Tools, die Sie zur Beachtung der DSGVO und etwaiger neuer Gesetze benötigen