Datenschutz und Personalisierung – ein Überblick

Die Personalisierung beginnt mit der Adressierung von Werbung und reicht von der Werbeselektion bis zur Analyse und Profilierung. Hierbei kann Big Data, Smart Data oder Künstliche Intelligenz zum Einsatz kommen. Es kann sich um First Party Data, Second Party Data oder Third Party Data handeln. Aus datenschutzrechtlicher Sicht hat diese Begrifflichkeit zwar keine unmittelbare Auswirkung, aber was sich hinter den Schlagwörtern „verbirgt“ muss datenschutzrechtlich im Detail hinterfragt werden.

Personalisierung, Profilierung, Second & Third Party Data

Bei der datenschutzrechtlichen Beurteilung der Personalisierung des Marketings prallen – noch vor der unterschiedlichen Vorstellung davon, was möglich sein muss – Begriffswelten aufeinander. Das Datenschutz- recht hat seine eigene Betrachtungsweise der Vorgänge. Es stellt zentral darauf ab, ob und wie personenbezogene Daten verarbeitet werden. Welche Bezeichnung in der „Marketingwelt“ hierfür verwendet wird, ist nicht maßgeblich. Es gibt kein begriffliches „Matching“. Datenschutzrechtlich kommt es allein darauf an, was konkret mit den Daten getan wird.

Die deutschen Datenschutzaufsichtsbehörden haben beispielsweise zur sogenannten Reichweitenmessung in der Orientierungshilfe Telemedien 2021 [1] ausdrücklich herausgestellt, dass der Begriff „Reichweitenmessung“ viel zu unterschiedlich verstanden und genutzt wird, als dass sich allein am Begriff eine datenschutzrechtliche Bewertung festmachen ließe.

Kurzum: Begriffe und Bezeichnungen sind „Schall und Rauch“. In der Praxis besteht die erste, aber unvermeidbare Herausforderung darin, die Personalisierung so konkret und detailliert zu beschreiben, dass ein verständiger Dritter versteht, was gemacht wird. Ohne dies ist eine datenschutzrechtliche Prüfung nicht belastbar möglich.

Datenschutzrecht – Überblick

Eine Personalisierung erfordert die Verarbeitung personenbezogener Daten. Das führt zu Anwendung des Datenschutzrechts. Aber – und das ist entscheidend – die Anwendung des Datenschutzrechts bedeutet nicht zwingend das Verbot oder die Unzulässigkeit. Es bedeutet aber die Beachtung und Umsetzung weiterer Anforderungen.

Tipp für die Praxis: Binden Sie die datenschutzrechtliche Betrachtung von Anfang an in die Planung der Marketingstrategie und -maßnahme ein.

Anonymisierung und Pseudonymisierung

Das Datenschutzrecht greift, sofern und soweit personenbezogene Daten verarbeitet werden [2]. Hierunter fallen alle Informationen über eine bestimmte oder bestimmbare natürliche Person [3].

Vermeiden Sie diese Stolperfalle: Das Datenschutzrecht unterscheidet nicht nach B2C und B2B, sondern danach, ob der Bezug zu einem Menschen hergestellt werden kann. Dies kann sich bei juristischen Personen auch mittelbar durch Ansprechpersonen ergeben. Es ist zutreffend, dass Anonymität beziehungsweise Anonymisierung dazu führt, dass das Datenschutzrecht nicht zur Anwendung kommt. Häufig wird im Alltag jedoch nicht beachtet, was Anonymisierung im Sinne des Datenschutzrechts bedeutet: Anonym sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann [4]. Gerade im Kontext des Marketing zeigt sich recht häufig, dass eine solche echte Anonymisierung gerade nicht gewollt ist.

Entscheidend für den Personenbezug und die Anonymisierung ist damit gleichermaßen, ob die Person bestimmbar ist, auf welche sich die Informationen beziehen. In der juristischen Fachwelt ist heftig umstritten, was für eine solche Bestimmbarkeit und damit für die Anwendung des Datenschutzrechts gegeben sein muss [5].

Die Details sind umstritten und sprengen den Rahmen dieses Beitrags. Sie lassen sich aber an Beispielen verdeutlichen: Die deutschen Datenschutzaufsichtsbehörden stellen sich immer wieder auf den Standpunkt, dass dynamische IP-Adressen für einen Webseitenbetreiber ein personenbezogenes Datum sind. Dem lässt sich entgegenhalten, dass der Webseitenbetreiber die konkrete Person, welche die IP-Adresse nutzt, nicht eindeutig identifizieren kann, denn er kann – anders als der Internetzugangsanbieter des Nutzers – den Zusammenhang nicht ohne Weiteres herstellen.

Ein anderes Beispiel, das hieran anknüpft und für das die Bewertung des Personenbezugs umstritten ist, ist der Einsatz von Google Analytics. Die deutschen Datenschutzaufsichtsbehörden führen in ihrem Beschluss „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ vom 12.05.2020 [6], welchem die Standardeinstellungen mit Stand 11.03.2020 zugrunde liegen, Folgendes aus: „Die Kürzung der IP-Adresse stellt eine zusätzliche Maßnahme gem. Art. 25 Abs. 1 DSGVO zum Schutz der Nutzer dar, sie führt jedoch nicht dazu, dass die vollständige Datenverarbeitung anonymisiert erfolgt. Beim Einsatz von Google Analytics werden neben der IP-Adresse weitere Nutzungsdaten erhoben, die als personenbezogene Daten zu bewerten sind, wie zum Beispiel Identifizierungsmerkmale der einzelnen Nutzer, die auch eine Verknüpfung beispielsweise mit einem vorhandenen Google-Account erlauben. Aus diesem Grund ist in jedem Fall der Anwendungsbereich der DSGVO eröffnet, sodass Anwender von Google Analytics auch dann verpflichtet sind, die Anforderungen der DSGVO zu beachten, wenn sie die Kürzung der IP-Adressen veranlasst haben. In der Datenschutzerklärung ist der Umstand, ob die Kürzung der IP-Adressen veranlasst ist, entsprechend anzugeben.“ [6] Das macht deutlich, dass die Verneinung eines Personenbezugs beim personalisierten Marketing eher die Ausnahme sein wird.

Wenn im Marketingalltag von Anonymisierung gesprochen wird, handelt es sich häufig im datenschutzrechtlichen Sinn (nur) um eine Pseudonymisierung. „Pseudonymisierung“ ist nach der gesetzlichen Definition die „Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden, handelt es sich häufig im datenschutzrechtlichen Sinn um eine Pseudonymisierung“ [7].

Das Datenschutzrecht ist bei einer Pseudonymisierung weiterhin uneingeschränkt anwendbar und das ist der entscheidende Unterschied zu einer Anonymisierung. Auch wenn die Pseudonymisierung in der Praxis nicht das Datenschutzrecht unbeachtlich macht, ist die Möglichkeit im Interesse der datenschutzrechtlichen Zulässigkeit stets zu prüfen und umzusetzen.

Auch wenn die Auswertung von Informationen nicht direkt einer konkreten Person zugeordnet ist, aber dazu erfolgt, diese Informationen danach einer Person zuzuordnen, greift spätestens mit dieser Zuordnung das Datenschutzrecht. Auch in solchen Fällen erfolgt damit eine Verarbeitung nicht in einem „datenschutzfreien Raum“.

Zusammengefasst: Bei einer (bloßen) Pseudonymisierung ist das Datenschutzrecht – anders als bei einer Anonymisierung – weiterhin uneingeschränkt anwendbar. Allerdings kann sie die datenschutzrechtliche Zulässigkeitsbewertung positiv beeinflussen.

Was ist der Gegenstand der datenschutzrechtlichen Bewertung

Das Datenschutzrecht gilt für die Verarbeitung personenbezogener Daten. Das ist nach der gesetzlichen Definition in Art. 4 Nr. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Damit ist klar, dass es keine Tätigkeit in Bezug auf personenbezogene Daten gibt, die nicht durch die DSGVO erfasst ist.

Aber dennoch kann datenschutzrechtlich keine pauschale Bewertung erfolgen, sondern die Verarbeitung zur Personalisierung muss mit der „Brille des Datenschutzrechts“ in ihre einzelnen Verarbeitungsschritte „zerlegt“ und jeder Schritt für sich datenschutzrechtlich bewertet werden:

• Die Auswertung ist nicht ein einzelner Vorgang, sondern es sind mehrere Vorgänge. Es werden Daten erhoben – entweder direkt für das Marketing oder aus anderen Gründen. Diese Daten werden dann dem entsprechend zum Marketing gespeichert oder die aus anderen Gründen erhobenen Daten werden unter Änderung des Verarbeitungszwecks zum Marketing gespeichert. Dabei werden die Daten zur gemeinsamen Auswertung zusammengeführt. Danach werden die Daten ausgewertet. Die hieraus gewonnene Erkenntnis ist ein neues personenbezogenes Datum, das gespeichert wird. Dann werden die Daten schließlich für das eigentliche Marketing genutzt. Hierauf erfolgende Reaktionen werden wiederum erfasst. … Alle diese Schritte sind datenschutzrechtlich auf ihre Zulässigkeit zu prüfen.
  
  
• Die unterschiedlichsten Daten werden zusammengetragen, die nicht stets (nur) für das Marketing erhoben werden, sondern häufig aus anderen Beziehungen des Unternehmens zum Betroffenen stammen (beispielsweise Bestellungen) und von Drittanbietern. Das zwingt zu verschiedenen datenschutzrechtlichen Prüfungen.
  
  
• Der eigentliche Clou steckt nicht nur im Zusammentragen der Daten, sondern in ihrer intelligenten Auswertung. Gerade diesem für die betroffene Person risikobehafteten Vorgang ist unter der DSGVO besondere Aufmerksamkeit zu schenken.

Die datenschutzrechtliche Bewertung muss daher als Bestandteil der strategischen Planung und des Aufbaus des Marketings verstanden werden.

 

Der zweite Teil des Artikels folgt in Kürze.

 

Literatur

[1] DSK (2021): Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem Dezember 2021 (OH Telemedien 2021). – https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf – Zugriff 02.10.2022

[2] Siehe 2 Abs. 1 DSGVO.

[3] Siehe 4 Nr. 1 DSGVO.

[4] Siehe Erwägungsgrund 26 DS-GVO

[5] Ausführlich und grundlegend: Eckhardt, (2020): IP-Adresse als personenbezogenes Datum – neues Öl ins Feuer Personenbezug im Datenschutzrecht – Grenzen der Bestimmbarkeit am Beispiel der IP-Adresse, CR 2011, 339; siehe auch: Bf DI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29.06.2020. – https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Konsultationsverfahren/1_Anonymisierung/Positionspapier-Anonymisierung.pdf;jsessionid=79310023165FFB2F9D31AFDF5F29E5DF.intranet231?blob=publicationFile&v=4 – Zugriff 02.10.2022

[6] DSK (2020): Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – 12.05.2020: Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich – https://www.datenschutzkonferenz-online.de/media/dskb/20200526_beschluss_ hinweise_zum_einsatz_von_google_analytics.pdf – Zugriff 02.10.2022

[7] Gesetzliche Definition des 4 Nr. 5 DSGVO