Data Clean Rooms?
Unternehmen stehen durch die DSGVO vor erheblichen rechtlichen Herausforderungen, wenn es um den Datenabgleich geht. „Data Clean Rooms“ bieten jedoch eine Lösung, um den sicheren Austausch von Daten zu ermöglichen. Dabei ist es entscheidend, die verschiedenen Schritte der Datenverarbeitung voneinander zu trennen und die entsprechenden Rechtsgrundlagen klar herauszuarbeiten.
Rechtliche Hürden beim Datenabgleich
Die Frage, ob Kunden, die Produkt A kaufen, möglicherweise auch Interesse an Produkt B haben, oder ob Reisende einer bestimmten Airline auch an einem speziellen Hotel interessiert sind, ist für Unternehmen von großem Marketingwert. Der Abgleich personenbezogener Daten zwischen verschiedenen Firmen zu solchen Zwecken birgt jedoch erhebliche datenschutzrechtliche Risiken. Gemäß der DSGVO ist für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich, wie beispielsweise die Zustimmung zur Nutzung von Werbe- oder Drittanbieter-Cookies. Alternativ kann die Datenverarbeitung auch für die Erfüllung eines Vertrags notwendig sein, dessen Vertragspartei die betroffene Person ist (Art. 6 Abs. 1 b) DSGVO). Werden die Daten für einen anderen Zweck als den ursprünglich vorgesehenen verwendet, greift zusätzlich Art. 6 Abs. 4 DSGVO, der die Bedingungen für eine solche Zweckänderung regelt. Unternehmen sind daher verpflichtet, diese rechtlichen Vorgaben streng einzuhalten.
Probleme bei traditionellen Datenaustauschmethoden
In der Praxis wird häufig versucht, durch Anonymisierung der Daten datenschutzrechtliche Hürden beim Austausch zu umgehen. Allerdings schränkt dies die Möglichkeiten eines detaillierten Datenabgleichs erheblich ein. Ein weiteres Problem traditioneller Methoden besteht darin, dass beim Austausch Kopien von Daten erstellt und weitergegeben werden. Die Kontrolle über diese Datenkopien geht dabei oft verloren. Ein einfaches Beispiel wäre das Übergeben einer physischen Kopie einer Kundenliste, auf der bestimmte Informationen unkenntlich gemacht wurden.
Vorteile von Data Clean Rooms
Moderne Technologien haben den Austausch von Daten in den letzten Jahren stark vereinfacht. Eine innovative und zunehmend verbreitete Methode sind sogenannte „Data Clean Rooms“. Diese virtuellen Räume erlauben es den beteiligten Parteien, die Kontrolle über ihre „First-Party-Daten“ zu behalten, während gleichzeitig eine Bearbeitung der Daten, wie beispielsweise Analysen oder Segmentierungen, möglich ist.
Der Zugang zu diesen Datenräumen wird durch spezifische Zugriffsrechte geregelt, vergleichbar mit Schlüsseln zu einem physischen Raum, auf die nur bestimmte Personen zugreifen können. Das Besondere daran: Auch wenn eine Partei keinen Zugang zu den fremden Daten hat, kann sie dennoch durch Anfragen an die Daten teilnehmen. So könnte eine Partei beispielsweise erfragen, wie viele Frauen über vierzig in den letzten sechs Monaten ein bestimmtes Produkt gekauft haben, ohne die Daten selbst zu sehen. Die erhaltenen Antworten basieren auf aggregierten und anonymisierten Daten und lassen keine Rückschlüsse auf Einzelpersonen zu.
Rechtsgrundlagen von Data Clean Rooms unter der DSGVO
Data Clean Rooms sollen nicht nur den sicheren Austausch von Daten ermöglichen, sondern auch datenschutzrechtliche Anforderungen erfüllen. Neben der Verantwortungszuordnung im Datenschutz steht insbesondere die Frage nach den notwendigen Rechtsgrundlagen im Fokus.
Dabei ist zwischen den verschiedenen Verarbeitungsschritten zu unterscheiden. Zunächst werden „First-Party-Daten“ von einer Partei erhoben, was eine eigene Rechtsgrundlage erfordert, etwa die Einwilligung gemäß Art. 6 Abs. 1 a) DSGVO oder die Erfüllung eines Vertrags nach Art. 6 Abs. 1 b) DSGVO. Werden diese Daten in einen Data Clean Room eingestellt, stellt dies eine Verarbeitung im Sinne des Art. 4 DSGVO dar, für die ebenfalls eine Rechtsgrundlage erforderlich ist. Dies kann entweder die ursprüngliche Einwilligung abdecken, oder es wird ein berechtigtes Interesse des Unternehmens gemäß Art. 6 Abs. 1 f) DSGVO geltend gemacht. In diesem Fall muss zusätzlich geprüft werden, ob die Voraussetzungen des Art. 6 Abs. 4 DSGVO erfüllt sind, da es sich um eine Zweckänderung handelt.
Die weitere Bearbeitung und der Abruf der Daten durch eine andere Partei dürften im Regelfall ebenfalls auf Art. 6 Abs. 1 f) DSGVO basieren. Dies stellt in der Regel weniger rechtliche Probleme dar, insbesondere dann, wenn die Daten so bearbeitet wurden, dass kein Personenbezug mehr möglich ist.
Data Clean Rooms: Eine vielversprechende Lösung
Es gibt verschiedene Anbieter von Data Clean Rooms, die in ihrer Komplexität und den möglichen Prozessen variieren können. Mehrere Parteien können in solchen Räumen kooperieren und Daten sicher austauschen. Natürlich ergeben sich im Einzelfall spezifische rechtliche Fragestellungen. Bevor sich Unternehmen jedoch in die Details vertiefen, sollten sie zunächst verstehen, dass Data Clean Rooms grundsätzlich eine rechtssichere Möglichkeit zur umfassenden Datenkollaboration bieten – eine echte Win-win-Situation.
Bildrechte: kostenloses Bild von Pixabay: Ai Generiert Datenzentrum Rechner - Kostenloses Bild auf Pixabay - Pixabay
Inhaltslizenz: Zusammenfassung der Inhaltslizenz (pixabay.com)