Unser Datenschutz im Rahmen des Consentric-Verfahrens für Sie erklärt!

Transparenz im Umgang mit Ihren Daten
Europäische Sicherheit- und Datenschutz-Standards

Verantwortungsvoller Umgang mit Ihren Daten

Uns ist es wichtig, dass Sie sich bei uns wohlfühlen und uns Ihre Daten mit einem guten Gefühl anvertrauen. Daher möchten wir Sie transparent darüber informieren, welche Ihrer Daten bei uns erhoben werden und wie wir damit umgehen.

Die Deutsche Post AG (DPAG) betreibt das Consentric-Verfahren zur Ermittlung von statistischen Kennwerten und zur Zielgruppenbildung für eine werbliche Ansprache (offline / online). Nachfolgend geben wir Ihnen eine Übersicht zu den verschiedenen Phasen der Datenverarbeitung. Diese Datenverarbeitung betreibt die DPAG nicht allein, sondern in Zusammenarbeit mit verschiedenen Partnern. Dabei werden – je nach Phase der Datenverarbeitung – sowohl personenbeziehbare als auch nicht personenbeziehbare – Daten verarbeitet.

Hinsichtlich der Datenverarbeitungen, für die die jeweiligen Partner allein verantwortlich sind, werden Sie in den jeweiligen Datenschutzhinweisen der Partner bzw. Nutzer des Consentric-Verfahrens informiert.

I. Zur datenschutzrechtlichen Konzeption des Consentric-Verfahrens

Das Consentric-Verfahren der DPAG wurde von Beginn an vor dem Hintergrund datenschutzrechtlicher Anforderungen entwickelt und zielt darauf ab, so wenig wie möglich personenbeziehbare Daten zu verarbeiten. Mit dem Consentric-Verfahren verknüpft die DPAG unter Einschaltung diverser Partner ein auf dem Endgerät eines Nutzers gespeichertes Cookie mit einer Mikrozelle der Deutschen Post Direkt GmbH („DP Direkt“). Diese Mikrozelle enthält nur eine Aussage zu einer Gruppe – durchschnittlich 6,6 Haushalte – so dass die Cookie-Kennung (Cookie-ID) keiner Einzelperson zugeordnet werden kann. In einer Mikrozelle wurden verschiedene Adressen aggregiert, so dass mit dem Consentric-Verfahren eine datenschutzkonforme Verknüpfung eines Endgerätes mit einer Mikrozelle als geografischer Verortung erfolgt ist.

Für die technische Abwicklung hat die DPAG entsprechende Dienstleister beauftragt, die ein vorgegebenes Konzept umsetzen. Dieser erste Prozessschritt ist das sog. „Markierungsverfahren“, wo die DPAG in Zusammenarbeit mit verschiedenen Partnern diese Verknüpfung erstellt. Im Anschluss kann die DPAG diese Verknüpfung von Cookie-Kennung und Mikrozellen-Nummer in verschiedener Weise datenschutzkonform nutzen, was unter II.3 und II. 4 dargelegt wird.

II. Datenschutzrechtliche Hinweise zum Consentric-Verfahren

1. Verantwortlicher, Ansprechpartner im Fall von Datenschutzanfragen

Verantwortliche i.S.d. EU-Datenschutzgrundverordnung („DS-GVO“) in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen des hier beschriebenen Consentric-Verfahrens sind – sofern nicht nachfolgend abweichend dargestellt – der jeweilige Partner und/oder – je nach beschriebenem Verfahren - die Deutsche Post AG (DPAG). Je nach Verfahrensabschnitt verarbeitet die DPAG aber nur anonyme Daten.

Soweit die Deutsche Post AG und der jeweilige Partner personenbezogene Daten als Verantwortliche im o.g. Sinne verarbeiten, haben sie in einer Vereinbarung zum Datenschutz die Verantwortlichkeit für die Einhaltung datenschutzrechtlicher Vorgaben festgelegt. Auf Nachfrage stellt die DPAG den Betroffenen eine Darstellung der wesentlichen Regelungen dieser Vereinbarung im gesetzlich vorgegebenen Umfang zur Verfügung.

Sollten Sie zudem weitere Nachfragen zum Umgang mit personenbezogenen Daten haben, insbesondere Auskunft über verarbeitete personenbezogene Daten wünschen oder weitere Rechte geltend machen wollen (vgl. hierzu nachfolgend unter Ziffer 5 im Detail), wenden Sie sich bitte zunächst an den Partner, der an dem Consentric-Verfahren teilnimmt. Das Recht, Ihre Betroffenenrechte auch gegenüber der Deutschen Post AG geltend zu machen, bleibt hiervon unberührt. Kontaktdaten der DPAG finden Sie nachfolgend unter Ziffer 6.

2. Das Markierungsverfahren: Beschreibung einzelner Verarbeitungstätigkeiten

Ausgangspunkt ist das sogenannte Markierungsverfahren, welches aus zwei Teilen besteht:

a) Zur Verwendung der Anschrift durch den Adressmatching-Partner
Zu Beginn des Markierungsverfahrens verwendet ein Partner der DPAG die bei ihm hinterlegte Liefer-/oder Rechnungsadresse und lässt sie durch einen beauftragten Dienstleister einer anonymen Mikrozelle der Deutschen Post Direkt GmbH zuordnen. Als Ergebnis dieses Abgleichs (Adressmatching) wird eine Kennziffer in verschlüsselter Form bei einem weiteren Dienstleister hinterlegt. Die verwendete Liefer-/oder Rechnungsadresse wird umgehend gelöscht. Es erfolgt auch keine Rückmeldung der ermittelten Kennziffer an den Partner der DPAG. Rechtsgrundlage für diese Nutzung der Anschrift in gemeinsamer Verantwortung des Partners und der Deutschen Post AG ist Art. 6 Abs. 1 S. 1 lit f) DSGVO. Verantwortlich für diesen ersten Verarbeitungsschritt – der Nutzung der hinterlegten Anschrift zum Zwecke des Abgleichs mit der Mikrozellen-Datenbank – ist somit der Partner als Betreiber der Webseite. Gleiches gilt auch für die nachfolgend beschriebene Verpixelung der Webseite und Weiterleitung der Anfrage eines Users / Nutzers an die Deutsche Post AG zur nachfolgenden Markierung mittels Cookie.

b) Einwilligung zum Speichern und Auslesen eines Cookies
Parallel zur Ermittlung der relevanten Mikrozelle erfolgt die Markierung eines Endgerätes (PC, Tablet, Mobile Device) mittels Cookies. Hierzu hat die Deutsche Post AG einen Dienstleister mit der Speicherung und dem späteren Auslesen des Consentric-Cookies in dem jeweils genutzten Endgerät beauftragt. Ergänzend hierzu hat die DPAG die Firma diva-e und deren Service IntelliAd mit der Speicherung eines weiteren Cookies auf dem verwendeten Endgerät beauftragt, welches für nachfolgende Anwendungsfälle (siehe Ziff. 3 und 4) genutzt wird. Beide Cookies sind indirekt einer anonymen Mikrozelle der Deutschen Post Direkt GmbH zugeordnet. Weitergehende Daten, wie etwa Name oder sonstige Profil- und Nutzungsdaten, werden zu den Cookies nicht erhoben bzw. gespeichert. Das Consentric-Cookie hat eine Laufzeit von 12 Monaten. Das für die DPAG über IntelliAd gesetzte Cookie hat nur eine Laufzeit von drei Monaten. Die Frist zur Berechnung beginnt bei jedem Aufruf des Cookies durch den Dienstleister der Deutschen Post AG neu zu laufen. Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft über diese Webseite widerrufen:
https://pixel.consentric.de/optout
https://login.intelliad.com/optout.php

Die Markierung des Endgerätes erfolgt aufgrund einer Einwilligung des Betroffenen, die eine Speicherung und das Auslesen von Cookies für folgende Zwecke umfasst:

Messung von Zugriffen auf Webseiten, die der Nutzer besucht hat und die an dem Consentric -Verfahren der Deutschen Post AG teilnehmen, zur anonymen Ausweisung in Statistiken;
Messung von Zugriffen auf Webseiten, die der Nutzer besucht hat und die an dem Consentric -Verfahren der Deutschen Post AG teilnehmen, zur Ermittlung von relevanten, anonymen Mikrozellen der Deutschen Post Direkt GmbH;
Weitergabe von Cookie-Kennungen an Partnerunternehmen zum Zweck der Zielgruppenbildung für die Ausspielung von Online-Werbung. Die für diesen Zweck verwendeten Cookie-Kennungen wurden vorab aufgrund der mittelbar zugeordneten Mikrozelle als relevante Zielgruppe ausgewählt;
Abgleich mit Cookies anderer Anbieter („Cookie Matching“). Die auf meinem Endgerät gespeicherte Cookie-Kennung eines Drittanbieters darf an die Deutsche Post AG weitergeleitet, dort zur eigenen Cookie-Kennung gespeichert und zur Umsetzung der zuvor genannten Zwecke verwendet werden.

3. Die Anwendung des Verfahrens in der Praxis – „Online to Offline“

Sobald das Markierungsverfahren abgeschlossen ist, kann die Zuordnung einer Cookie-Kennung zu einer Mikrozellen-Kennung von werbetreibenden Unternehmen genutzt werden. Ein Anwendungsfall ist die Erfassung des Online-Zugriffsverhaltens auf eine Webseite und die Ausweisung auf Ebene von Mikrozellen.

a) Ermittlung von Online-Kennungen und Zuordnung zur Mikrozelle
In einem Anwendungsfall können teilnehmende Unternehmen eine Webseite mit einem marktüblichen Tracking versehen, wodurch der Zugriff auf eine Webseite einer Mikrozelle zugeordnet werden kann.

Im Rahmen einer Zugriffsmessung durch ein teilnehmendes Unternehmen als Webseitenbetreiber, der das Consentric-Verfahren einsetzt, wird zunächst der Aufruf der Webseite erfasst. Hierbei kann ein Cookie durch den Webseitenbetreiber auf dem verwendeten Endgerät des Users gelesen oder ggf. auch neu gesetzt werden. Dies erfolgt in Verantwortung des Webseitenbetreibers. Rechtsgrundlage ist die Einwilligung des Betroffenen.

Im Nachgang überlässt der Webseitenbetreiber die Cookie-Kennung, die mit Einwilligung des Betroffenen gesetzt worden ist, einem Dienstleister der DPAG. Dieser Dienstleister kann dann die Zuordnung der Cookie-Kennung zu einer Mikrozelle vornehmen. Über diesen Schritt wird ermittelt, welcher Zugriff auf eine Webseite einer Mikrozelle zuzuordnen ist. Damit die DPAG die einzelnen Messungen auch Auftraggebern zuordnen kann, wird für jede Messung eine Auftragsnummer, verbunden mit dem jeweiligen Messzeitraum, vergeben. Weitergehende Daten, wie etwa Interessen oder Vorlieben werden nicht erfasst. Das Verfahren ist begrenzt auf die Umrechnung einer Cookie-Kennung zu einer Mikrozellen-Kennung.

Bei den Mikrozellen-Kennungen handelt es sich um anonyme Daten. Eine mögliche Personenbeziehbarkeit der vom Webseitenbetreiber verwendeten Cookies, z.B. aufgrund sonstige Profil- und Nutzungsdaten, kann nicht ausgeschlossen werden und liegt in der Verantwortung des Webseitenbetreibers. Für das Verfahren „Online to Offline“ ist nur die anonyme Cookie-Kennung für die Umrechnung erforderlich.

b) gemeinsame Verantwortung zwischen dem Webseitenbetreiber/werbetreibenden Unternehmen und der Deutschen Post AG
In Bezug auf die Weiterleitung der auf der Webseite des werbetreibenden Unternehmens ausgelesenen Cookie-Kennung an die Deutsche Post AG zur Umrechnung in eine Mikrozellen-Kennung besteht zwischen dem Webseitenbetreiber/werbetreibenden Unternehmen und der Deutschen Post AG eine gemeinsame Verantwortung nach Art. 26 DSGVO und sind daher beide gemeinsam für den Schutz der personenbezogenen Daten der Betroffenen verantwortlich. Die gemeinsame Verantwortlichkeit begrenzt sich auf die Weiterleitung der ausgelesenen Cookie-Kennung an die Deutsche Post AG zur Teilnahme an dem Consentric-Verfahren (Umrechnung in eine Mikrozellen-Kennung). Die einzelnen Prozessabschnitte teilen sich hierbei wie folgt auf:

Das werbetreibende Unternehmen ist für die Verpixelung/den Einbau eines Skripts auf seinen Webseiten und Weiterleitung der Cookie-Kennung nebst Kampagneninformation an die Deutsche Post AG verantwortlich. Die Deutsche Post AG ist für den Betrieb des Consentric-Verfahrens und die Vorgaben an das werbetreibende Unternehmen für die Weiterleitung der Cookie-Kennungen an die Deutsche Post AG verantwortlich. Mithilfe der Cookie-Kennung kann erkannt werden, dass Sie eine an der Messung teilnehmende Webseite besuchen. Diese Information wird dann auf Basis der anonymen Mikrozelle der Deutschen Post Direkt GmbH aggregiert. Damit kann sie Ihnen nicht mehr zugeordnet werden. Zu keinem Zeitpunkt werden einzelne Nutzer namentlich identifiziert. Ihre Identität bleibt also geschützt.

Sollten Sie weitere Nachfragen zum Umgang mit personenbezogenen Daten haben, insbesondere Auskunft über verarbeitete personenbezogene Daten wünschen oder weitere Rechte geltend machen wollen, wenden Sie sich bitte zunächst an den Betreiber der Webseite/das werbetreibende Unternehmen. Dessen Kontaktdaten finden Sie jeweils auf der Webseite des werbetreibenden Unternehmens unter „Datenschutz“. Das Recht, Ihre Betroffenenrechte (siehe Ziffer 5.) auch gegenüber der Deutschen Post AG unter Consentric@deutschepost.de (weitere Kontaktdaten siehe unter Ziffer 6.) geltend zu machen, bleibt hiervon unberührt.

c) Weitergehende postalische Services der Deutschen Post Direkt GmbH
Die Deutsche Post Direkt GmbH („DP Direkt“) ist ein spezialisierter Dienstleister, der es werbetreibenden Unternehmen ermöglicht, ihre Werbung an den Adressbestand der DP Direkt zu verschicken. Damit die Unternehmen auch über entsprechende Selektionskriterien für die Bestimmung der Zielgruppe verfügen, können dies werbetreibende Unternehmen anhand einer Auswahl von anonymen Mikrozellen und den vermuteten Eigenschaften einer Mikrozelle vornehmen. Die DP Direkt verfügt über datenschutzkonforme Verfahren, wie anhand der Auswahl einer Mikrozelle eine postalische Werbung verschickt werden kann. Dieser Auswahlprozess einer Mikrozelle wird aufgrund des Consentric-Verfahrens erleichtert, da dann schon aufgrund des vorgelagerten Messverfahrens automatisch angezeigt wird, welche Mikrozellen für ein werbetreibendes Unternehmen interessant sind. So kann der Aufruf einer Webseite den Versand eines postalischen Werbeschreibens auslösen.

Diese Datenverarbeitung findet in ausschließlicher datenschutzrechtlicher Verantwortung der DP Direkt statt. Weitere Einzelheiten erhalten Sie unter: postdirekt.de/datenschutz

4. Die Anwendung des Verfahrens in der Praxis – „Offline to Online“

Ein weiterer Anwendungsfall, der auf Grundlage des Markierungsverfahrens stattfindet, ist die Nutzung der Zuordnung einer Mikrozellen-Kennung zu einer Cookie-Kennung durch werbetreibende Unternehmen. Hier finden folgende Datenverarbeitungen statt.

a) Ermittlung von Online-Kennungen durch Auswahl einer Mikrozelle
Zu einer anonymen Mikrozelle ist ein durchschnittlicher Wahrscheinlichkeitswert hinterlegt. Dieser Wert kennzeichnet eine vermutete Eigenschaft von den Adressen, die zu einer Mikrozelle zusammengefasst sind. Werbetreibende Unternehmen können anhand der verfügbaren Auswahlkriterien die Mikrozellen ermitteln lassen, die über die gewünschten Eigenschaften verfügen. Über das Consentric-Verfahren kann ein gesondert von der DPAG beauftragter Dienstleister zu diesen ermittelten Mikrozellen die relevanten Cookie-Kennungen berechnen. Zur Cookie-Kennung wird in dieser Phase der Datenverarbeitung nur die Zuordnung zu einem werbetreibenden Unternehmen vermerkt, aber keine weitergehenden Merkmale (Interessen, Vorlieben) gespeichert.

Die Verantwortlichkeit für diesen Prozessschritt liegt bei der DPAG. Bis zu diesem Zeitpunkt werden nur anonyme Daten verarbeitet.

b) Weitergabe von Online-Kennungen zur werblichen Ansprache im Internet
Mit der Bereitstellung der ermittelten Cookie-Kennungen an ein werbetreibendes Unternehmen oder einen von einem werbetreibenden Unternehmen beauftragten Dienstleister wechselt die datenschutzrechtliche Verantwortlichkeit für die weitere Datenverarbeitung. Die bereitgestellten Cookie-Kennungen können von den werbetreibenden Unternehmen als Selektionsfilter für die Aussteuerung ihrer Online-Werbekampagne verwendet werden.

Mit der Übergabe der Cookie-Kennungen verarbeitet der Partner die erhaltenen Cookie-Kennungen in seiner Verantwortung. Dies erfolgt regelmäßig auf Grundlage einer Einwilligung des Betroffenen.

5. Betroffenenrechte

Jeder betroffenen Person stehen unter bestimmten Voraussetzungen folgende Rechte gegen den jeweils Verantwortlichen zu:

ein Recht auf Auskunft (Art.15 DSGVO): ein Recht auf Auskunft darüber, (i) ob betreffende personenbezogene Daten verarbeitet werden und (ii) auf Auskunft über entsprechende Daten, einschließlich Informationen zum Zweck der Verarbeitung, der Kategorien der personenbezogenen Daten und der Datenempfänger oder Kategorien von Empfängern sowie geplante Speicherfristen;

ein Recht auf Berichtigung (Art. 16. DSGVO), ein Recht auf Löschung (Art. 17.DSGVO) und Recht auf Einschränkung (Art. 18.DSGVO): ein Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung, z.B. aus folgenden Gründen: (i) wenn die Richtigkeit der personenbezogenen Daten bestritten wird, (ii) die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt werden, oder (iii) die Einwilligung, auf die sich die Verarbeitung stützte, widerrufen wurde;

ein Recht auf Widerruf einer Einwilligung für die Zukunft (Art. 7. Abs.3 DSGVO): wenn die Verarbeitung der personenbezogenen Daten auf einer Einwilligung beruht, das Recht, ihre Einwilligung jederzeit zu widerrufen, ohne dass hierdurch die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung vor deren Widerruf beeinträchtigt wird;

ein Recht auf Widerspruch (Art. 21 DSGVO): werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Maßnahmen einzulegen;

das Recht, der Verarbeitung in besonderen gesetzlich vorgesehen Fällen aus Gründen, die sich auf die besondere Situation des Betroffenen beziehen, zu widersprechen.: In diesem Fall hat die betroffene Person dem jeweiligen Verantwortlichen die Informationen zu ihrer besonderen Situation mitzuteilen. Nach der Prüfung der durch die betroffene Person mitgeteilten Gründe wird der jeweilige Verantwortliche entweder die Verarbeitung der personenbezogenen Daten beenden oder die zwingenden schutzwürdigen Gründe für die Verarbeitung darlegen;

ein Recht auf Beschwerde (Art. 77 DSGVO): ein Recht darauf, gerichtlich gegen eine Verletzung von Betroffenenrechten vorzugehen sowie Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen;

Datenübertragbarkeit (Art.20 DSGVO): soweit gesetzlich einschlägig, ein Recht darauf, sie betreffende personenbezogene Daten, die sie einem Verantwortlichen bereitgestellt hat, (i) in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und (ii) diese Daten einem anderen Verantwortlichen ohne Behinderung durch den vorherigen Verantwortlichen zu übermitteln; soweit technisch möglich, hat die betroffene Person auch das Recht, die Übertragung der Daten direkt vom vorherigen Verantwortlichen an einen anderen Verantwortlichen zu verlangen.

Betroffene Personen können (i) Ihre Rechte wie zuvor beschrieben jederzeit ausüben, (ii) jegliche in diesem Zusammenhang bestehenden Fragen an die Verantwortlichen richten, und (iii) eine Beschwerde in Bezug auf die Verarbeitung personenbezogener Daten erheben, indem sie den entsprechenden Verantwortlichen kontaktieren.

6. Kontaktdaten – Deutsche Post AG

Hinsichtlich der Datenverarbeitungen, für die die DPAG verantwortlich ist, gelten folgende Kontaktdaten:

Deutsche Post AG, Charles-de-Gaulle-Straße 20, 53113 Bonn;
Einzelheiten finden Sie hier.

Für einen Kontakt zum (Konzern-)Datenschutzbeauftragten nutzen Sie bitte diese E-Mail: datenschutz@dpdhl.com

Für die Geltendmachung von Betroffenenrechten, speziell hinsichtlich Auskunft, Sperrung und/oder Löschung von Daten, nutzen Sie bitte diese E-Mail: Consentric@deutschepost.de

Betroffene Personen können allgemeine Anfragen, Anliegen oder Kommentare zum Datenschutz an die Deutsche Post AG richten. Nutzen Sie hierzu das Kontaktformular.

Sofern Betroffene die Deutsche Post AG kontaktieren, werden die mitgeteilten Informationen zur Bearbeitung der Anfrage verarbeitet und in der Regel gelöscht, sobald die Anfrage bearbeitet wurde und keine vertragliches Erfordernis oder weiteres berechtigtes Interesse an der Verarbeitung der Daten besteht. Sofern gesetzliche Aufbewahrungsfristen bestehen, werden die jeweiligen Daten entsprechend dieser Fristen gespeichert.

Bonn, den 30.11.2020

Post & DHL

Werde-einer-von-uns.de