Adzine Top-Stories per Newsletter
DISPLAY ADVERTISING - Privacy

Data Exchanges, Realtime Bidding und Datenschutz – wie passt das zusammen?

Christoph Bauer, 17. Juli 2012

Im Bereich Datenschutz ist das deutsche Gesetz sehr strikt und regelt genau, wer was mit personenbezogenen Daten tun darf und wie dabei die betroffenen Personen geschützt werden. Wir erläutern, wie das zusammenpasst mit der Entwicklung, dass sich in der Online-Wirtschaft Data Exchanges entwickeln, bei denen Daten in großen Mengen meist in Form von cookiebasierten Profilen ausgetauscht und beim Realtime Bidding (RTB) sogar in Echtzeit genutzt werden.

Nun, die deutschen Regelungen (das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG)), welche weitestgehend mit dem europäischen Recht harmonisiert sind, regeln insbesondere alle Verfahrensweisen für die Nutzung von sog. „personenbezogenen Daten“. Die Verarbeitung von anonymen Daten fällt dagegen aus dem Anwendungsbereich des BDSG, aber auch der europäischen Regelungen heraus, ein handwerklicher Fehler, den die RTB-Anwender ausnutzen. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, also Daten, über die eine konkrete natürliche Person identifiziert werden kann. Dabei kommt es gar nicht darauf an, ob man wirklich eine Person konkret identifiziert, es reicht vielmehr die bloße Möglichkeit aus.

Sollte dies der Fall sein, d. h., man kann eine Person aus den vorhandenen Daten identifizieren, wenn man dies wollte, so muss eine Einwilligung (Opt-in) für diese Daten vorliegen. Sollte nun keine Einwilligung vorliegen, drohen neben Abmahnungen erhebliche Strafen und sogar strafrechtliche Konsequenzen. Für die Online-Wirtschaft bedeutet dies, dass es für die Erhebung, Übermittlung, Speicherung und Verarbeitung von personenbezogenen und personenbeziehbaren Daten regelmäßig einer vorherigen Einwilligung (Opt-in) bedarf.

Bei der Verarbeitung der sogenannten anonymen Daten wird dagegen keine Einwilligung benötigt. Denn diese fallen aus dem Anwendungsbereich der Datenschutzgesetze heraus. „Anonymisieren“ ist nach dem BDSG das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Mit solchen anonymen Daten darf man weitgehend tun und lassen, was man möchte. Aus diesem Grund kommt der Anonymisierung von Daten, d. h. der Unkenntlichmachung von Daten, sodass eine Person nicht mehr erkennbar und damit reidentifizierbar ist, große Bedeutung zu. Dies gilt auch für Data Exchanges. Denn dann darf man derart anonymisierte Daten erheben, übermitteln, speichern und auch verarbeiten, ohne über eine vorherige Einwilligung zu verfügen – von wem sollte man die Einwilligung auch einholen, die Daten sind ja anonym.

Darüber hinaus ist für die Online-Branche die sog. „ePrivacy-Richtlinie“ relevant. Sie regelt unter anderem das sogenannte Cookie-Law, also ein Zustimmungserfordernis eines Users beim Einsatz von Cookies (d. h. eine vorherige Zustimmung und keine nachträgliche Einwilligung). Diese EU-Richtlinie hätte bis zum Mai 2011 in deutsches Recht umgesetzt werden müssen.

Der deutsche Gesetzgeber hatte sich jedoch dazu entschieden, die geltenden Regelungen des TMG nicht anzufassen, vermutlich um der Online-Wirtschaft, die in Konkurrenz zu den US-amerikanischen Unternehmen stehen, nicht allzu große Hürden in den Weg zu legen. Die offizielle Begründung: Das TMG regele bereits die Inhalte der ePrivacy-Richtlinie. Eine Änderung sei daher nicht erforderlich. Gesetzesinitiativen des Bundesrates, aber auch der Bundestagsfraktion der SPD zur Änderung des TMG blieben ohne Erfolg. „… so ein Glück“, dachten folglich alle Teilnehmer der Online-Branche, „… gerade noch einmal mit einem blauen Augen davongekommen“.

Ganz so einfach ist es jedoch nicht: Die Datenschutzbeauftragten der Länder sehen das nämlich ganz anders. Tatsächlich ignorieren die Landesbeauftragten für Datenschutz diese Situation, zum Teil leiten sie sogar gegen einzelne Unternehmen bereits Ermittlungsverfahren ein. Nach ihrer Ansicht gilt die ePrivacy-Richtlinie inzwischen in Deutschland nämlich auch ohne Umsetzung durch den Gesetzgeber mit Ablauf der Umsetzungsfrist unmittelbar. Sie müsse nicht mehr durch ein gesondertes Gesetz umgesetzt werden und sei folglich schon heute in Deutschland anwendbar.

Dies führt nun für Data Exchanges zu zwei sehr wesentlichen Fragestellungen: 1. Verarbeiten sie ausschließlich anonyme Daten? Und 2. gilt für Data Exchanges das Cookie-Law?

Zu der ersten Frage der anonymen Daten ist zu sagen, dass es anerkannte Verfahren der Anonymisierung gibt, die auch von Datenschutzbehörden (z. B. ULD, EuroPriSe) akzeptiert werden. Allerdings sind dies keine Standardverfahren, da es viele verschiedenen Systeme und verschiedene Umsetzungswege gibt. Deshalb gehen viele Unternehmen dazu über und lassen sich ihre Technik und Prozesse gutachterlich bewerten, damit sie vor allzu heftigen Anfragen von Datenschutzbehörden geschützt sind.

Zu der zweiten Frage, ob für Cookies ein Opt-in vorliegen muss, ist zu sagen, dass es auch hier unterschiedliche Meinungen gibt, da die Rechtslage nicht 100 % eindeutig ist. Aufgrund der Unklarheit der Rechtslage hat die digitale Wirtschaft (IAB Europe, BVDW) das „IAB Europe OBA Framework“ entwickelt, ein Selbstregulierungsverfahren, d. h. kein Gesetz. Diese Selbstregulierung bewirkt für den Internetnutzer Transparenz, viele Informationen über Cookies und genutzte Daten sowie systematische Opt-out-Funktionen für alle Cookies. Damit werden Internetnutzer in die Lage versetzt, sehr leicht Cookies und damit das Bilden von anonymen Daten abzuschalten.

Für Data Exchanges empfiehlt sich daher jedenfalls, das vorgeschlagene OBA Framework umzusetzen und die ordnungsgemäße Umsetzung von unabhängiger Stelle überprüfen zu lassen. Damit würden Data Exchanges das umsetzen, was State-of-the-art in der Behandlung der Internetnutzer hinsichtlich Cookies und der Sammlung anonymer Daten ist. Dies führt dann zwar zu keinem Garantieschutz gegen die unklare Rechtslage, aber es ist das Beste, was zurzeit getan werden kann.

Aus den Überlegungen ergeben sich für Data Exchanges aus datenschutzrechtlicher Sicht insgesamt zwei sehr wichtige Empfehlungen, nämlich erstens alle Daten mittels eines allgemein akzeptierten Verfahrens zu anonymisieren und zweitens jedenfalls das IAB Europe OBA Framework zu unterschreiben und es genauestens einzuhalten.

Über den Autor:
Christoph Bauer ist gemeinsam mit Frank Eickmeier Gründer und Inhaber von ePrivacyconsult GmbH, Datenschutzberatung für digitale Medien. Die Schwerpunkte sind „Privacy by Design“ und ePrivacyseal, das Datenschutz-Siegel, das für vorbildlichen Datenschutz verliehen wird.

Bild Prof. Dr. Christoph Bauer Über den Autor/die Autorin:

Christoph Bauer ist gemeinsam mit Frank Eickmeier Gründer und Inhaber von ePrivacyconsult GmbH, Datenschutzberatung für digitale Medien. Die Schwerpunkte sind „Privacy by Design“ und ePrivacyseal, das Datenschutz-Siegel, das für vorbildlichen Datenschutz verliehen wird.

EVENT-TIPP ADZINE Live - ADZINE CONNECT Video Advertising (fka PLAY Video Advertising Summit) 2024 am 21. November 2024

ADZINE CONNECT Video Advertising (ehemals PLAY Video Advertising Summit) ist die hochkarätige Fachkonferenz für Videowerbung, Technologie, Daten, Kreation und Medien, auf der sich Marketing-Entscheider:innen, digitale Medien und Branchenexpert:innen connecten. (Seit 2016) Jetzt anmelden!