Die DSGVO stellt Unternehmen beim Thema Datenabgleich vor rechtliche Herausforderungen. „Data Clean Rooms“ können die rechtssichere Datenkollaboration erleichtern. Wichtig ist, die einzelnen Schritte der Datenverarbeitung zu trennen und die entsprechenden Rechtsgrundlagen sauber herauszuarbeiten.
Der Inhalt im Überblick
Rechtliche Herausforderungen beim Datenabgleich
Wenn sie Gegenstand A kauft, will sie auch B? Haben Kund:innen, die mit einer bestimmten Airline in den Urlaub fliegen, Interesse an unserem Hotel? Aus Unternehmenssicht ist es oft attraktiv, personenbezogene Daten mit anderen Unternehmen zu Marketingzwecken abzugleichen. Dies stellt Unternehmen aber vor datenschutzrechtliche Herausforderungen. Die Verarbeitung personenbezogener Daten benötigt gemäß DSGVO eine Rechtsgrundlage. Bekanntestes Beispiel dürfte die Abfrage der Einwilligung in die Nutzung von Werbe- bzw. Drittanbieter-Cookies sein. Die Ausgangsdaten könnten auch für die Erfüllung eines Vertrags erforderlich sein, dessen Vertragspartei die betroffene Person ist (Art. 6 Abs. 1 b) Alt. 1 DSGVO). Dann regelt der Art. 6 Abs. 4 DSGVO die Voraussetzungen einer Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden. Unternehmen müssen sich an diese rechtlichen Vorschriften halten.
Probleme bei herkömmlichen Methoden des Datenaustauschs
In der Praxis ist eine herkömmliche Methode, datenschutzrechtliche Hürden beim Datenaustausch zu umgehen, die Daten vor ihrer Übergabe zu anonymisieren. Das mindert aber die Möglichkeiten des Datenabgleichs. Ein weiterer Nachteil besteht, wenn bei herkömmlichen Methoden Kopien von Daten zum Austausch angefertigt und übermittelt werden. Hiermit verliert die Partei, die die Daten herausgibt, üblicherweise die Kontrolle über diese Kopien. Ein simples Praxisbeispiel wäre die physische Kopie einer Kundenliste mit händisch vorgenommenen Schwärzungen.
Die Vorteile von Data Clean Rooms
Technologie hat solche Datenabgleiche in den letzten Jahren stetig vereinfacht. Eine innovative Lösung, die immer mehr Anwendung findet, sind sog „Data Clean Rooms“. Die technische Gestaltung dieser virtuellen Räume ermöglicht einerseits, dass die Parteien Kontrolle über ihre „First-Party-Daten“ behalten und andererseits, dass die Daten bearbeitet werden können (Analyse, Segmentierung etc.).
Die Kontrolle über die eigenen „First-Party-Daten“ wird durch Zugriffsregelungen gewährleistet – wie die Schlüssel zu einem physischen Raum (oder verschiedenen Aktenschränken in diesem Raum), die nur eine Partei bzw. nur ein festgelegter Personenkreis hat. Das Besondere: obwohl die andere Partei keinen „Schlüssel“ hat und die fremden Daten darum nicht selbst einsehen kann, ist eine Datenkollaboration möglich. Die andere Partei kann z.B. bestimmte Abfragen stellen. Sie steht (metaphorisch) dann zwar vor einer verschlossenen Tür und kann auf die Daten nicht zugreifen. Sie könnte aber fragen: „Wie viele Frauen über vierzig haben in den letzten sechs Monaten euer Produkt gekauft?“ und darauf eine Antwort erhalten. Diese Antwort lässt keinen Rückschluss auf einzelne Kundinnen zu, die Informationen sind aggregiert und anonymisiert worden. Die fragende Partei konnte eine Antwort erhalten, ohne die relevanten Daten selbst einzusehen.
Data Clean Rooms: Rechtsgrundlagen nach der DSGVO
Data Clean Rooms wollen sichere Räume für einen effektiven Datenabgleich sein. Interessant ist daher nicht nur die Zuordnung der datenschutzrechtlichen Verantwortlichkeiten, sondern insbesondere die Frage der Rechtsgrundlagen.
Hierbei sind einzelne Vorgänge zu unterscheiden. Die in einem Data Clean Room verwendeten Daten wurden regelmäßig zunächst von einer Partei erhoben („First-Party-Daten“). Sie werden dann in den Raum eingestellt, dort in einer bestimmten Weise bearbeitet (z.B. anonymisiert und aggregiert) und dann durch eine andere Partei abgerufen.
Die Erhebung der First-Party-Daten erfordert eine eigene Rechtsgrundlage. Hier können unterschiedliche Varianten des Art. 6 DSGVO einschlägig sein, z.B. die Einwilligung nach Art. 6 Abs. 1 a) DSGVO oder die Erfüllung eines Vertrages nach Art. 6 Abs. 1 b) Alt. 1 DSGVO.
Auch das Einstellen personenbezogener Daten in einen Data Clean Room ist eine Verarbeitung im Sinne des Art. 4 DSGVO, auch hier ist also eine Rechtsgrundlage erforderlich. Das könnte noch die ursprünglich gegebene Einwilligung sein, wenn sie diesen Vorgang mit abdeckt. Es ist aber auch möglich, dass die Rechtsgrundlage ein berechtigtes Interesse des Unternehmens ist, Art. 6 Abs. 1 f) DSGVO. Dies erfordert dann eine Abwägung im Einzelfall zu Gunsten der Interessen des Unternehmens, die Daten in den Clean Room einzustellen. Wichtig ist: Hier müssen dann zusätzlich die Voraussetzungen des Art. 6 Abs. 4 DSGVO erfüllt sein, weil es sich um eine datenschutzrechtliche Zweckänderung handelt.
Die weitere Bearbeitung der Daten und deren Abruf dürften im Regelfall auf Art. 6 Abs. 1 f) DSGVO beruhen. Das ist weniger problematisch, insbesondere wenn die Daten so bearbeitet wurden, dass für die andere Seite kein Personenbezug herstellbar ist.
Das Vorliegen einer Rechtsgrundlage muss mithin sauber herausgearbeitet werden, dürfte Unternehmen in der Regel aber vor keine größeren Hürden stellen.
Data Clean Rooms – Eine attraktive Option
Für Data Clean Rooms gibt es verschiedene Anbieter. Die Clean Rooms und die hier möglichen Prozesse können unterschiedlich komplex ausgestaltet sein. Auch kann eine Mehrzahl von Parteien hier zusammenarbeiten. Natürlich stellen sich im konkreten Fall die unterschiedlichsten Rechtsfragen. Bevor sich Unternehmen aber mit den Einzelheiten auseinandersetzen, ist erst einmal wichtig, zu verstehen: hier gibt es grundsätzlich eine rechtssichere Möglichkeit zur umfassenden Datenkollaboration. Wenn das kein Win-win ist.