Expertenbeitrag: Wer kontrolliert die Daten? Kontrollieren die Daten uns?

Wir stehen am Anfang einer Revolution im Onlinemarketing. Data-driven Advertising wird die Werbung online und offline revolutionieren, weil es die Aussteuerung von interessensbasierter Werbung ermöglicht. Die Werbung findet die passende Zielgruppe überall und zur richtigen Zeit im Internet, User erhalten dynamisch Werbung für die Produkte, die wirklich interessant sind.

Möglich wird dies in großem Stil durch 3rd-Party-Data. In diesem Jahr werden laut Forrester Research in den USA bereits Kampagnen für 2 Mrd. US$ auf Basis von 3rd-Party-Data online ausgespielt, womit data-driven Advertising bereits auf 5% US-Marktanteil kommt. Dieser Marktanteil wird sich in kurzer Zeit sehr schnell auf 20-30% steigern lassen und somit einen relevanten Anteil an Sichtkontakten eines jeden Users ausmachen.

Bis dahin sollten wir die Zeit nutzen, um die wichtigen Fragen zur Nutzung von Daten zu klären. Datenschutz, Privatsphäre und die Frage wem eigentlich die Daten gehören und wer diese Daten kontrolliert zählen zu den wichtigsten Themen rund um die Erhebung, Verarbeitung und Nutzung von 3rd-Party-Data.
Grundsätzlich unterscheiden wir 3rd-Party-Data, also Daten die wir von einer anderen Partei beziehen, in zwei unterschiedliche Arten: personenbezogene und nicht-personenbezogene Daten.

Personenbezogene Daten ermöglichen den Bezug zu einer real existierenden Person. Eine Quelle für die Erhebung personenbezogener Daten ist u.a. ein soziales Netzwerk, bei dem ein User sich mit seinem vollständigen Namen registriert und dann seine Vorlieben und Interessen mit seinem Netzwerk teilt. Mit jedem „teilen“ oder „liken“ entsteht ein weiterer personenbezogener Datensatz.

Nicht-personenbezogene Daten werden anonymisiert erhoben und lassen somit keinen Bezug zu einer realen Person zu. Ein User wird durch die Anonymisierung zu einer ID, die nur seinem Endgerät bspw. PC, Tablet oder Handy zugeordnet werden kann. Ein nicht personenbezogener Datensatz müsste daher korrekterweise endgerätebezogener Datensatz genannt werden, da sich damit nur ein spezifisches Endgerät identifizieren lässt.
Ein Beispiel dafür ist Retargeting, welches anonyme Daten interpretiert und in interessensbasierte Werbung für den Nutzer des Endgerätes umsetzt.

Aber wem gehören die Daten und wer hat die Kontrolle?

Zunächst gilt das Prinzip, derjenige der Daten erhebt ist auch Eigentümer. In o.a. Beispiel vom sozialen Netzwerk bedeutet dies: Die Nutzung des Netzwerkes ist kostenlos aber nicht umsonst für den User, denn in den Nutzungsbedingungen des Netzwerkes tritt der User das Recht an seinen Daten an das soziale Netzwerk ab und erhält für den Besitzübergang (oder die Übertragung eines Nutzungsrechts) eine Gegenleistung: die entgeltfreie Nutzung des Netzwerkes.
Im Beispiel des Retargeters gibt es zwei mögliche Eigentümer: a) ein durch Auftragsdatenverarbeitung klar geregeltes Besitzverhältnis, welches den Advertiser als Auftraggeber der eigentlichen Erhebung zum Inhaber macht, oder b) eine Abtretung dieser Daten an den Retargeter als Teil der Entlohnung für die Erbringung seiner Dienstleistung.

Da im (Re)targeting ausschließlich mit endgerätebezogenen Daten gearbeitet wird, welche dem User den Schutz der Privatsphäre durch Anonymisierung gewährleisten, sind die tatsächlichen Besitz- und Kontrollverhältnisse aus Sicht des einzelnen Users vernachlässigbar. Er hat keinen Missbrauch „seiner“ Daten zu befürchten, kann aber dennoch die vielen Vorteile individualisierter und personalisierter Angebote/Targetings im Internet wahrnehmen.
Endgerätebezogene Daten stellen somit für Industrie und User einen akzeptablen Konsens dar, um die Interessen beider Parteien zu beiderseitigem Vorteil zu wahren ohne auf die Besitz- oder Kontrollverhältnisse näher eingehen zu müssen.

Handelt es sich jedoch um personenbezogene Daten, spielen die Besitzverhältnisse eine wichtige Rolle, da der Schutz der Privatsphäre nicht gewährleistet ist, solange Firmen als Inhaber oder Kontrollorgan personenbezogener Datensätze kommerzielle Interessen verfolgen.
Für personenbezogene Daten muss das Besitz- & Kontrollverhältnis klar und verständlich definiert werden, da der User mit Besitzübergang seiner Daten auch die Kontrolle und den Schutz seiner Privatsphäre einer Institution überlässt, welche andere Werte und Interessen verfolgt.
Da in einem sozialen Netzwerk eine Anonymisierung der Daten schwer oder gar nicht (nach)vollziehbar ist, stehen in diesem Fall wenige Optionen für ein Modell unter Wahrung der Privatsphäre zur Verfügung. Hier bedarf es einer eindeutigen rechtlichen Regelung, die jedoch in der Praxis wiederum schwer nachzuvollziehen ist, oder einer eigenständigen Kontrollinstanz, welche die korrekte Erhebung und Verarbeitung von personenbezogenen Daten prüft und hinterfragt.

Eine mögliche Alternative ist, die Daten als Public Domain der Kontrolle und Nutzung der Allgemeinheit zur Verfügung zu stellen. Die Masse besitzt ergo ihre eigenen Daten und bietet so die bestmögliche Kombination aus Kontrolle, Transparenz und Nutzungsmöglichkeiten. Ein Vielaugenprinzip, das die Interessen eines Einzelnen wahrt aber dennoch das Potential der großen Datenmengen zum Vorteil aller erschließt.

Andreas Schwibbe ist übrigens auch als Panelteilnehmer auf der d3con Data Driven Display Advertising Conference vertreten. Wer mehr zum Thema hören und den Autor dieses Artikels live sehen will, kann sich hier noch schnell anmelden. Die Konferenz finden am Freitag, 30.03.2012 in Hamburg statt: