6 rechtliche FAQs zu Data Clean Rooms

Die meisten Führungskräfte großer Marken und Medienagenturen (60 Prozent) sind laut einer weltweiten Ogury-Studie der Meinung, dass das Tracking von Nutzer:innen bald überflüssig sein wird. Gemeint ist damit natürlich das Ende des Third Party Cookies in Chrome und die diversen diskutierten vor allem ID-basierten Lösungen, die den Cookie ersetzen sollen. In der Branche findet ein Umdenken statt, weg vom Online Tracking der User hin zu einem datenschutzkonformen, aber trotzdem zielgenauen Targeting. Doch – und das zeigt die Studie auch – über 40 Prozent der Entscheider:innen sind nicht mit den Targeting-Lösungen vertraut, die unabhängig von Werbe-IDs funktionieren.

Alternativen sind da

Während Contextual Targeting schon fast als alter Hut im Marketing gilt, ist semantisches Targeting die Weiterentwicklung dessen. Das prominenteste Beispiel für eine Werbe-ID-freie Lösung ist derzeit sicher Google Topics.

Ein weiterer viel diskutierter Ansatz ist das Targeting auf Basis von First-Party-Daten. Doch kommt hier die natürliche und richtige Skepsis ins Spiel, diese wertvollen Daten mit weiteren Beteiligten teilen zu müssen. Ein wichtiger Punkt, der mit sogenannten Datenkollaborationslösungen auf Basis von Data Clean Rooms umgangen werden kann, und bereits vielfach in der Praxis verwendet wird. First-Party-Daten können mit dieser Technologie für Planung, Targeting und Measurement genutzt werden, ohne sie zu teilen oder auch nur anderen Parteien in Rohform zugänglich zu machen.

Doch nicht nur mit alternativen Targeting-Lösungen im Allgemeinen, auch mit Data Clean Rooms im Speziellen sind viele Marketing-Verantwortliche noch nicht wirklich vertraut. Gerade die rechtlichen Aspekte sorgen für immer wiederkehrende Fragen – auf die es im Grunde recht einfache Antworten gibt:

1. Wer ist der Data Controller und wer der Data Processor?

Data Controller und Data Processor sind entscheidende Begrifflichkeiten in der DSGVO und damit auch in einem Data Clean Room. Das Unternehmen, das First-Party-Daten zur Verfügung stellt, ist der Data Controller. Das Unternehmen hat die Kontrolle und bestimmt den Zweck und die Mittel der Verarbeitung. Der:die Data-Clean-Room-Anbieter:in wird zum Data Processor. Er:sie stellt eine Plattform für die Datenverarbeitung zur Verfügung und handelt nur auf Anweisungen hin.

Wichtiger Hinweis: Es gibt auch durchaus Anbieter:innen von Data Clean Rooms, die sowohl eigene Datenprodukte anbieten wie auch teilweise eigene Daten vermarkten. Je nach Einsatz kann dann durchaus auch ein solcher Anbieter Controller sein, mit allen rechtlichen (und kommerziellen) Konsequenzen.

Wird mit anderen Parteien zusammengearbeitet, betrachten sich diese oft als unabhängige Data Controller im Rahmen der Zusammenarbeit. In manchen Fällen sind hierbei Vereinbarungen über die gemeinsame Nutzung von Daten erforderlich (siehe Frage 6).

2. Wie erfährt der User, wofür seine Daten verwendet werden?

Die Datenverarbeitung mit Data-Clean-Room-Anbieter:innen sollte unkompliziert und damit für den Einzelnen leicht zu erklären sein. Häufig decken die aktuellen Datenschutzhinweise vieler Unternehmen die wichtigsten Einsatzszenarien bereits ab:

⦁ Aggregierte/statistische Forschung und Analyse (Insights)
⦁ Gezielte Werbung ermöglichen (Aktivierung)

Als Data Processor müssen Anbieter:innen in den Datenschutzhinweisen nicht namentlich genannt werden. Solange die Art der Einsatzszenarien des Data Clean Rooms abgedeckt ist, genügen sie den Transparenzanforderungen der DSGVO.

3. Braucht es die Zustimmung der betroffenen Personen, um Daten in den Data Clean Room hochzuladen?

Das berechtigte Interesse wird überwiegend als ausreichende Rechtsgrundlage für „Insights“ angesehen, bei denen personenbezogene Daten auf einer aggregierten statistischen Ebene verwendet werden und damit keine Rückschlüsse mehr zu einer bestimmten Person möglich sind.

Beim Thema „Aktivierung“ gehen die Meinungen in den verschiedenen Rechtsordnungen auseinander, ob man sich auf ein berechtigtes Interesse berufen kann. Der Europäische Datenschutzausschuss hat bestätigt, dass die Berufung auf ein berechtigtes Interesse für Marketing-Aktivitäten dann möglich ist, wenn Organisationen sicher sind, dass ihre Verwendung personenbezogener Daten verhältnismäßig ist, nur minimale Auswirkungen auf die Privatsphäre hat und Einzelpersonen nicht überrascht wären oder wahrscheinlich widersprechen würden. Der genutzte Data Clean Room sollte daher die Privatsphäre und den Datenschutz im Fokus haben, um dieses Gleichgewicht zu gewährleisten.

4. Werden Daten außerhalb des Europäischen Wirtschaftsraums übermittelt?

Das hängt von den gewählten Anbieter:innen ab. In der Regel landen die Daten in einer der großen Clouds. Hier sollte es die Wahlmöglichkeit geben, wo die Daten gehostet werden sollen.

5. Müssen wir eine Datenschutz-Folgenabschätzung durchführen?

Wahrscheinlich hat die Mehrheit der Unternehmen für die Art von Datenverarbeitung, die über den Data Clean Room erfolgt, bereits eine DSGVO-konforme Datenschutzfolgenabschätzung durchgeführt. Dies schon deswegen, weil diese Art der Datenverarbeitung in anderen Zusammenhängen bereits stattgefunden hat. Sollte dem nicht so sein, ist das ratsam. Da der:die Data-Clean-Room-Anbieter:in jedoch genau weiß, wie die Daten verarbeitet werden, können die Risiken vollständig bewertet, durch den Einsatz gemindert und die Durchführung einer Folgeabschätzung unterstützt werden.

6. Werden die First-Party-Daten mit mehreren Parteien geteilt?

Sobald die Daten übermittelt sind, werden sie nicht an andere Dritte weitergegeben. Außer bei bestimmten technischen Problemen – und dann auch nur mit expliziter schriftlicher Vereinbarung – greift der Data Controller nicht auf die Daten zu oder nutzt sie für eigene Zwecke.

Dritte können die Daten nur dann nutzen, wenn der Data Controller seine Erlaubnis dazu erteilt. Durch präzise Berechtigungen wird die Nutzung so eingeschränkt, dass für Insights Dritte nur statistische Daten des Datensatzes einsehen können, oder eine Abfrage zu Überschneidungen zwischen Datensätzen durchführen können. Dazu zählt beispielsweise die geschlechtsspezifische Aufschlüsselung gemeinsamer Kund:innen, was zu einem aggregierten statistischen Ergebnis führt. Wichtig ist dabei: Es findet keine Datenübermittlung in diesem Szenario statt, so dass in der Regel auch kein Data Sharing Agreement nötig ist.

Bei der Aktivierung der Daten für das Targeting werden nur diejenigen Personen angesprochen, die beiden Parteien bereits bekannt sind. Der Werbetreibende gibt dem Publisher beispielsweise vor, welche Personengruppe er ansprechen möchte, und der Publisher erhält eine Liste seiner eigenen IDs, die mit diesen Personen verknüpft sind. Der Werbetreibende weiß nicht, welche Personen angesprochen werden, erfährt also nichts Neues und erhält keine personenbezogenen Daten. Der Publisher erhält zur Aktivierung der Analyseergebnisse eine Liste seiner eigenen IDs und erfährt nichts darüber, warum diese Personen angesprochen werden, sodass es nur einen sehr begrenzten Datentransfer gibt. Partner:innen, die Aktivierungen vornehmen, schließen in der Regel ein Data Sharing Agreement ab, um den begrenzten Datentransfer vertraglich abzudecken.

Data Clean Rooms sind nur auf den ersten Blick ein Buch sieben Siegeln – wer sich näher mit ihnen beschäftigt, erkennt, dass viele rechtliche und damit unternehmerische Voraussetzungen bereits geschaffen sind. Generell gilt es jetzt, sich mit den Alternativen zum Third Party Cookie auseinanderzusetzen und die Grundlagen zu schaffen, das eigene Marketing zukunftssicher aufzustellen.