Für das Adressmatching werden Straße, Hausnummer und Postleitzahl zusammen mit einem sogenannten Hashwert im Wege der Auftragsdatenverarbeitung an einen beauftragten Dienstleister – die Deutsche Post Dialog Solutions GmbH (DPDS) – weitergeleitet. Hier findet dann ein sogenannter „Waschabgleich“ statt, in dem eine Zuordnung der angelieferten Adressdaten zu einer Mikrozelle vorgenommen wird. Die Mikrozellendatenbank wird von der Deutschen Post Direkt GmbH (DP Direkt) verwaltet.

Das Ergebnis des Abgleichs wird verschlüsselt. Diese verhashte Kennziffer wird separat gespeichert und an einen Online Systempartner weitergeleitet, der diesen Hashwert der ID eines Cookies zuordnet, den er im Endgerät eines Users setzt. Zudem kann die verhashte Kennziffer der Mikrozelle zugeordnet werden.

Adressen gehen in keinem Fall zur DPAG über. Die DPAG ist nur der „Prozess-Owner“, d. h. die DPAG gestaltet den gesamten Datenverarbeitungsprozess und hat – sofern aus datenschutzrechtlicher Sicht erforderlich - über entsprechende Verträge einzelne Unternehmen damit beauftragt, konkrete Datenverarbeitungen eigenverantwortlich bzw. im Auftrag der CONSENTRIC Adressmatching Partner durchzuführen. Diese Verträge verhindern, dass Daten zur DPAG übergehen. Vielmehr wird hier die DPDS als beauftragter Dienstleister für die Teilnehmer an CONSENTRIC Adressmatching tätig:

Im Rahmen des Adressabgleichs findet durch die DPDS nur eine Verortung der Adressen in einer Mikrozelle statt. Die verwendete Adresse wird unmittelbar verworfen. Wie zuvor ausgeführt, wird im Wege der Auftragsverarbeitung für den CONSENTRIC Adressmatching-Partner in der Cloud nur eine verhashte Kennziffer gespeichert, die aus der Adresse und einem zusätzlichen Wert, der mit der Adresse geliefert wird, errechnet wird. Der Name des Betroffenen wird in keiner Phase der Datenverarbeitung verwendet.

Die Anwendung des Datenschutzrechts setzt voraus, dass Daten zu einem Betroffenen gespeichert werden (sog. „personenbeziehbare Daten“). Hier sind grundsätzlich alle Informationen zu berücksichtigen, die der Betroffene selbst oder über einen Dritten vernünftigerweise erlangen kann. Sobald eine Aussage zu einer ausreichend großen Gruppe getroffen wird, liegt keine Aussage zu einer einzelnen Person mehr vor.

Sobald eine Aussage zu einer Gruppe getroffen wird, sind die Daten nicht personenbeziehbar, so dass auch die datenschutzrechtlichen Bestimmungen nicht anwendbar sind. Diese datenschutzrechtliche Vorgabe ist Grundlage für die Mikrozellen-Logik der DP Direkt GmbH. Hier werden Grundaussagen nicht zu einer einzelnen Person gespeichert, sondern zu einer Personengesamtheit, so dass keine datenschutzrelevanten Angaben vorliegen. Die Mikrozellen-Logik wurde auch schon den Datenschutz-Aufsichtsbehörden vorgestellt und nicht beanstandet.

Beim TRIGGERIMPULS Verfahren sind zwei Bereiche zu trennen: Zunächst wird im Rahmen des CONSENTRIC Verfahrens eine relevante Zielgruppe (z.B. Webseitenbesucher, die nicht gekauft haben) gemessen. Diese Zielgruppe wird aber nur auf Ebene der Mikrozellen ausgewiesen. Damit ist der Einsatz des CONSENTRIC Verfahrens beendet.

Der nachgelagerte Prozess des Abgleichs einer Mikrozelle und Ansprache von Betroffenen durch die DP Direkt ist ein eingespielter Prozess, der in der datenschutzrechtlichen Verantwortung der DP Direkt erfolgt. Die DP Direkt verfügt über einen Grundbestand an Adressen für eine schriftliche Ansprache zu Werbezwecken.

Die DSGVO erlaubt die Verwendung von Namen und Anschrift des Betroffenen für schriftliche Werbezwecke ohne dessen Einwilligung. Auf Grundlage von Art. 6 (1) f DSGVO dürfen Betroffene für werbliche Zwecke angeschrieben werden. Auch eine teiladressierte Ansprache („An die Bewohner des Hauses XXX“) ist zulässig, sofern der Betroffene keinen Widerspruch – etwa durch Anbringen eines Schildes am Briefkasten („Keine Werbung“) geäußert hat.

Die DP Direkt verfügt über keine Opt-Ins, da diese für eine schriftliche Werbeansprache nicht erforderlich sind. Einwilligungen in eine werbliche Ansprache sind etwa im Bereich des Telefonmarketings, des Faxmarketings bzw. grundsätzlich auch für den Bereich des E-Mail-Marketing erforderlich.

Das gesamte CONSENTRIC Adressmatching Verfahren ist darauf aufgebaut, dass eine Vielzahl von Anbietern und deren Systeme genau vorgegebene Datenverarbeitungsprozesse vornehmen. Es handelt sich um reine „Maschine-zu-Maschine-Kommunikation“. Es werden auch lediglich Kennzeichen verwendet, ohne dass diese Kennzeichen von den beteiligten Unternehmen tatsächlich einer Person zugeordnet werden können. Mit dieser Aufteilung einzelner Aufgaben auf unterschiedliche Dienstleister wird die Anonymität der Daten gewährleistet. Der Austausch von Daten im CONSENTRIC Adressmatching Verfahren beschränkt sich auf eine reine Übertragung von Kennziffern mittels vorab definierter Schnittstellen. Weitergehende Merkmale – etwa Aussagen zu Vorlieben, Interessen etc. – sind mit den Kennziffern nicht verknüpft.

Die Datenerhebung durch die DP Direkt erfolgt im Wege der Auftragsverarbeitung nach Art. 28 DSGVO. Dementsprechend wird die DP Direkt für diesen Bereich als externer Dienstleister tätig und arbeitet nur nach Weisung des Auftraggebers.

Die DP Direkt nimmt nur eine entsprechende Verortung der Anschriften in der Mikrozellen-Datenbank vor, da nachgelagert nicht die Anschriften einzelner Personen verwendet werden, sondern nur Mikrozellen. Dies erfolgt vor dem Hintergrund, dass hier ein Personenbezug im weiteren Ablauf des Verfahrens verhindert werden soll.

Response-Ergebnisse werden nur auf Ebene der Mikrozelle ausgewiesen und reportet.

Die DP Direkt verwendet die Adressdaten zunächst nur für die Verortung in der Mikrozelle. Im Anschluss werden diese Daten dann gelöscht. Hier arbeitet die DP Direkt als beauftragter Dienstleister nach Art. 28 DSGVO.

Nach Kampagnenende erhält der Auftraggeber die Auswertung der entsprechenden Ergebnisse im Rahmen einer Kampagnenauswertung.

Das gesamte Verfahren ist darauf ausgerichtet, nur anonyme Daten zu verwenden. Der Name des Nutzers wird in keinem Fall verwendet. Von Interesse ist hier allein die Adresse zur Verortung im Rahmen einer Mikrozelle. Nach der Verortung wird die Anschrift umgehend gelöscht. Die sonstigen Angaben werden nur zu einer Mikrozelle und nicht zu einer einzelnen Person gespeichert. Auch die eingesetzte Cookie-ID ist in diesem Fall nicht personenbeziehbar, da sie nur Rückschlüsse auf eine Mikrozelle ermöglicht.

Zu Beginn des Markierungsverfahrens muss der CONSENTRIC Adressmatching Partner die Straße, Hausnummer und Postleitzahl für eine Verortung in der Mikrozelle verwenden. Parallel hierzu muss für bestimmte Anwendungen das Unternehmen, das die CONSENTRIC Services nutzen möchte, die DP Direkt im Rahmen einer Auftragsverarbeitung beauftragen, eine Verortung in der Mikrozelle vorzunehmen. Dies sind die einzigen personenbeziehbaren Daten, die im Rahmen des Verfahrens verwendet werden.

Es besteht zuerst nur Anpassungsbedarf bei den Verträgen zur Auftragsverarbeitung und den Hinweisen zum Datenschutz des CONSENTRIC Adressmatching Partners.

Nach einer Stellungnahme der deutschen Datenschutzaufsichtsbehörden bedarf es auch für den Einsatz von Cookies einer Einwilligung des Betroffenen. Das Telemediengesetz könne nach dem 25.5.2018 nicht mehr angewendet werden, da die DSGVO dies ausschließe. Die sog. „Interessenabwägungklausel“ in Art. 6 Abs. 1 S. 1 f) DSGVO stelle keine ausreichende Rechtsgrundlage für die Speicherung von Cookies dar, da hier die schutzwürdigen Interessen des Betroffenen überwiegen. Dies ergebe sich aus der Wertung des Gesetzgebers in Art. 5 Abs. 3 EU-Datenschutzrichtlinie elektronische Kommunikation.

Vor diesem Hintergrund sollten CONSENTRIC Adressmatching-Partner für die Speicherung von Cookies eine Einwilligung des Betroffenen hierzu einholen. Ausreichend aus Sicht der Deutschen Post AG ist es, wenn ein entsprechender Banner mit einem Hinweis auf den Umfang der Nutzung von Cookies vorhanden ist und der Betroffene das Setzen von Cookies unterbinden bzw. eine Einwilligung widerrufen kann. Dem CONSENTRIC Adressmatching Partner wird ein entsprechender Mustertext zur Einbindung in die allgemeine Einwilligungsklausel zur Verfügung gestellt.

Ob durch die Einführung der Datenschutzverordnung elektronische Kommunikation weiterer Anpassungsbedarf (zum Beispiel Cookie-Opt-In) besteht oder vielleicht doch Ausnahmevorschriften im Rahmen des Gesetzgebungsverfahrens eingeführt werden, wird sich im Laufe des Gesetzgebungsverfahrens entscheiden.

Weitergehender Anpassungsbedarf könnte bei einer Verpixelung der Webseite bestehen, die im Rahmen von Use-Cases vorgenommen wird. Auch hier müsste – sofern die aktuell diskutierte Fassung der ePrivacy Verordnung so umgesetzt wird – eine Einwilligung des Users eingeholt werden.