Big Data – wem gehören eigentlich die Daten in den DMPs?

Die Funktionsweise von DMPs (Data Management Platforms) wurde bereits in unzähligen Artikeln hinreichend beschrieben. Ein Thema wurde dabei allerdings immer etwas vernachlässigt: Datenhoheit. Welche Daten werden eigentlich in einer DMP zusammengeführt und wem gehören eigentlich diese Daten? Wie gehen intensive Nutzer von DMPs vor, um sich rechtlich abzusichern?

In einer Data Management Platform (DMP) fließen in Bruchteilen von Sekunden unzählige Daten wie z.B. Soziodemografische und Userverhalten zusammen, werden für das Zielgruppen-Targeting ausgewertet und zielgerichtet an das Realtime Advertising (DSP) weitergeleitet. Hier zählen eben nicht nur die Geschwindigkeit und Reichweite, sondern auch die Qualität der erhobenen Daten. Oftmals haben nur 10% der Daten die Qualität, welche sich lohnt weiter zu bearbeiten. Dabei erheben Unternehmen zum einen ihre eigenen User-Daten (1st-Party Daten) oder erhalten zum anderen die Daten von einem Drittanbieter (3rd-Party Daten). In selteneren Fällen greifen sie auf 1st-Party Daten anderer Anbieter zurück (2nd-Party Daten). Diese drei unterschiedlichen Datenquellen lassen die berechtigte Frage zu, wer eigentlich die Datenhoheit über die verschiedenen Daten innehat.

Wer die Musik bestellt …

… der bezahlt sie auch, sagt der Volksmund. Und damit gehört sie ihm auch. So einfach könnte man es im Hinblick auf die Datenhoheit auf einen Nenner bringen: Wer als Webseitenbetreiber die Datenerhebung beauftragt, dem gehören die Daten auch, der hat also die Datenhoheit. Eine DMP ist eine cloudähnliche Plattform, auf der Daten zum Zwecke der simultanen Auswertung gesammelt werden. Betreiber solcher DMPs sind Auftrag nehmende Dienstleister und ihre Auftraggeber sind Unternehmen, die in Echtzeit gezielte Werbung für bestimmte Nutzergruppen unter ihren Usern schalten möchten.

1st-Party Daten – Auftraggeber und –nehmer mit klar verteilten Rollen

1st-Party Daten werden auf der eigenen Unternehmensseite erhoben und vom DMP-Dienstleister gesammelt und ausgewertet. Hier ist eindeutig festgelegt, wer Auftraggeber und Auftragnehmer ist: Unternehmen X beauftragt Agentur Y als Betreiber einer DMP mit der Datenerhebung. Damit ist X Auftraggeber und Y Auftragnehmer. Die Datenhoheit liegt bei X. Geregelt wird das Ganze über eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung (ADV), mit der der Auftraggeber Rahmenbedingungen und Anforderungen der Datenerhebung durchsetzen kann und muss.

2nd- und 3rd-Party Daten – vertauschte Rollen bei Auftragnehmer und -geber

Bei 2nd- und 3rd-Party Daten kommen Drittanbieter ins Spiel, welche die Daten erheben und sie einem Unternehmen zur Auswertung zur Verfügung stellen. Unternehmen X beauftragt nach wie vor die DMP-Agentur Y. Nur diesmal sollen Daten von Drittanbieter Z ausgewertet werden. In diesem Fall ist Z der Auftraggeber der Daten, dem die Datenhoheit obliegt, und X der Auftragnehmer. Agentur Y tritt in diesem Fall lediglich als Subauftragnehmer von X auf. Über einen Vertrag werden Nutzungsrechte der bei Z erhobenen Daten an Y geregelt, dies kann je Fall stark variieren.

Die schriftliche Vereinbarung zur ADV – Fehler mit teuren Folgen

Nach § 11 des Bundesdatenschutzgesetzes (BDSG) ist der Auftraggeber für die Verarbeitung personenbezogener Daten durch eine dritte Stelle (z.B. DMP) für die Einhaltung gesetzlicher Bestimmungen zum Datenschutz verantwortlich. Damit der Auftragnehmer sich an alle Vorschriften hält, müssen diese klar in einer Vereinbarung zur Auftragsdatenverarbeitung geregelt sein. Doch hier liegen auch die Tücken. Wird eine Vereinbarung zur ADV aufgrund formaler Fehler nicht ordnungsgemäß ausgeführt, kann ein Bußgeld bis zu 50.000,- Euro fällig werden. Es reicht bei weitem nicht, Art und Umfang der zu erhebenden Daten in der Vereinbarung zu regeln. Es müssen nach § 9 BDSG auch technische und organisatorische Maßnahmen zur Einhaltung des Datenschutzes angegeben werden.

Welche Rolle spielt der User hierbei?

Wer sich von einem Fotograf fotografieren lässt, kennt das Spiel: die Bildrechte liegen beim Fotografen, denn das Bildmodell hat seine Rechte an den Lichtbildner abgetreten. Wer ohne seines Wissens fotografiert wird, behält jedoch das Recht am eigenen Bild. Er ist berechtigt, einer Bildveröffentlichung zu widersprechen. Wie verhält es sich hier analog mit den personenbezogenen Daten der User, über die diese Daten erhoben werden? Gehören diese Daten tatsächlich dem Unternehmen, das sie erhebt oder hat der User nicht auch ein gewisses Recht an seinen Daten? Die meisten Unternehmenswebseiten, die Userdaten erheben, haben in ihren Datenschutzbestimmungen auf ihrer Webseite die Erhebung und Verarbeitung von Daten bereits festgelegt. Für den Fall, dass ein User dem nicht zustimmen möchte, kann er entweder auf einen Opt-Out-Link klicken oder das Zustimmungshäkchen für die Datenschutzbestimmungen deaktivieren. Alternativ stellen DSPs bei der Auslieferung der Ads ein sogenanntes OBA Piktogramm zur Verfügung, über das er sich im Rahmen des Selbstregulierungsprozesses aus der Datenerhebung austragen kann. In jedem Fall muss der User aktiv der Verwendung seiner Daten widersprechen. Tut er das nicht, gibt er damit stillschweigend sein Einverständnis für die Datenverwendung. Und damit gehören die Daten dem Unternehmen, das sie erhebt.

OBA-Piktogramme – die einfache und faire Kennzeichnung von Online-Werbung

Online Behavioural Advertising (OBA) oder zu deutsch Nutzungsbasierte Online-Werbung ist der Oberbegriff für den zielgerichteten Einsatz von Displaywerbung. Im Rahmen des OBA gibt es eine freiwillige Selbstregulierung, die Usern das Erkennen von der Erhebung von Nutzerdaten erleichtert. In Deutschland ist der Zentralverband der deutschen Werbewirtschaft (ZAW) im Allgemeinen und der ihm unterstellte Deutsche Datenschutzrat Online-Werbung (DDOW) im Besonderen für die Selbstregulierung zuständig. Webseitenbetreiber können sich also dazu entschließen, ihren Usern die zielgerichtete Werbung und die dafür notwendige Datenerhebung transparent darzustellen. Wer sich dazu bereit erklärt, dem wird für die eigene Webseite ein internationales OBA-Piktogramm zur Verfügung gestellt, das dem Verbraucher sofort anzeigt, wo er alle relevanten Informationen zu seiner Datenverwendung findet. In diesem Rahmen werden Usern auch Ausstiegsmöglichkeiten zur Verfügung gestellt, mit denen sie leicht und bequem aus der Datenerhebung aussteigen können.