Mit der CONSENTRIC Adressmatching Technologie werden identifizierte Kunden von Adressmatching Partnern mit einem CONSENTRIC Cookie markiert und über eine Kennziffer der entsprechenden Mikrozelle zugeordnet. Besucht ein so mittels Cookie markierter Nutzer die Webseiten eines Werbetreibenden und entspricht dieser markierte Nutzer der relevanten Zielgruppe (z.B. Besucher, der sich für ein bestimmtes Produkt interessiert und nicht gekauft hat) wird dieser Nutzer ohne Verwendung personenbezogener Daten anhand des CONSENTRIC Cookies wiedererkannt.

Für das Adressmatching werden vom Adressmatching Partner die Straße, Hausnummer und Postleitzahl der identifizierten Kunden zusammen mit einer Kennziffer im Wege der Auftragsverarbeitung an die Deutsche Post Dialog Solutions GmbH (DPDS) als beauftragtem Dienstleister weitergeleitet. In dem nachfolgenden, sogenannten „Waschabgleich“ werden die angelieferten Adressdaten in der entsprechenden Mikrozelle verortet. Bei der Mikrozelle handelt es sich um eine geografische Bezugsgröße, in der sich mindestens 5 Haushalte (im Schnitt 6,6 Haushalte) befinden und die somit keine Rückschlüsse auf einzelne Personen zulässt. Die zugrunde liegende microdialog-Datenbank wird von der Deutsche Post Direkt GmbH (DP Direkt) verwaltet und enthält keine personenbezogenen oder personenbeziehbare Daten, weshalb bei der Bildung der Mikrozelle eine Personenbeziehbarkeit ausgeschlossen ist.

Als Ergebnis wird eine Mikrozellen-ID mit einem Zufallswert, der aus den angelieferten Adressdaten des Adressmatching Partner gebildet wird, verknüpft. Für die Markierung des Kunden wird nun der CONSENTRIC Cookie mit der Kennziffer im Browser des Kunden gesetzt. Diese Kennziffer ermöglicht nur eine Zuordnung des vom Kunden verwendeten Endgerätes zu einer Mikrozelle. Weitergehende Verhaltensdaten zum Nutzer werden nicht verarbeitet.

In einem nachgelagerten Prozess kann ein so markierter Nutzer, der im Nachgang die verpixelten Webseiten eines Werbetreibenden besucht, über die Kennziffer wieder der jeweiligen Mikrozelle zugeordnet werden.

Das Adressmatching – der Abgleich der Anschrift mit der Mikrozellen-Datenbank – erfolgt auf Grundlage des „berechtigten Interesses“ nach Art. 6 Abs. 1 S. 1 f) DSGVO. Diese Rechtsgrundlage dient gerade der werblichen Nutzung der Anschrift, so dass - auch nach hinreichender Prüfung der Juristen und Experten während der Entwicklung der CONSENTRIC Adressmatching Technologie – für diesen Schritt keine Einwilligung des Nutzers eingeholt werden muss.

Das Adressmatching erfordert im nächsten Schritt aber auch die Verknüpfung des vom Nutzer verwendeten Endgerätes mit einer Mikrozelle. Hierzu wird ein Cookie auf dem Endgerät des Nutzers durch ein von der Deutschen Post AG beauftragten Dienstleister gespeichert. Nach dem Urteil des EuGH in dem Fall „Planet49“ muss auch für das Speichern und Auslesen nicht personenbeziehbarer Cookies eine aktive Einwilligung vorliegen. Daher holen die Adressmatching-Partner eine Einwilligung für das Setzen von Cookies durch die Deutsche Post AG ein.

Mit Einführung der DSGVO und der ePrivacy-VO sind die AV-Verträge und die Informationspflichten der Adressmatching Partner nach Art. 12 ff. DSGVO entsprechend angepasst worden. Aufgrund der Wertungen des EuGH im Verfahren „Planet49“ holt der Adressmatching-Partner für das Setzen und Auslesen von Cookies durch die Deutsche Post AG eine Einwilligung ein. Nach den Entscheidungen des EuGH zur Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO werden auch entsprechende Vereinbarungen zur Gemeinsamen Verantwortlichkeit geschlossen. Da das Gesetzgebungsverfahren zur Einführung der ePrivacy-VO noch nicht abgeschlossen ist, wird sich erst zukünftig entscheiden, ob noch weitergehender Anpassungsbedarf besteht. Unter anderem könnte bei der Verpixelung der Webseiten im Rahmen von Use-Cases eine Einwilligung des Users eingeholt werden müssen, sofern die aktuell diskutierte Fassung der ePrivacy-VO so umgesetzt würde.

Die CONSENTRIC Adressmatching Technologie wurde unter der Beachtung des Datenschutzrechts und der Implementierung eines wirksamen Datenschutzmanagementsystems entwickelt. Die datenschutzrechtliche Zulässigkeit des Messverfahrens ist von der ADCERT Privacy Audit GmbH zertifiziert worden. Die Zertifizierung des Markierungsverfahrens als grundlegendes Element der Consentric-Anwendung bestätigt, dass das Verfahren in besonderem Maße datenschutzkonform ist und die Datenschutzbestimmungen nachhaltig umgesetzt werden.

Im Rahmen des Adressmatching Prozesses wird der Nutzer mit einem CONSENTRIC Cookie markiert, in dem nur eine Kennziffer gespeichert wird. Zu dieser Kennziffer werden keine weiteren Verhaltensdaten gespeichert, wie es sonst im Webtracking üblich ist. Diese Kennziffer ermöglicht eine Zuordnung zu einer Mikrozelle durch die Deutsche Post Direkt GmbH. Bei der Mikrozelle ist eine Personenbeziehbarkeit ausgeschlossen. Gleichwohl ist nach dem EuGH-Urteil in Sachen „Planet49“ eine Einwilligung auch für das Speichern und Auslesen von nicht personenbeziehbaren Cookies erforderlich.

Zu Beginn des CONSENTRIC Adressmatching Prozesses werden die Adressdaten (Straße, Hausnummer, PLZ und Ort) vom Adressmatching Partner (z.B. eCommerce Plattformen) vollautomatisch an die Deutsche Post Dialog Solutions GmbH (DPDS) übertragen und zur Ermittlung der Mikrozellen-ID verwendet. Im Verlauf dieses Prozesses hat niemand Zugriff auf diese Daten. Direkt im Anschluss an diese Übertragung werden die Adressdaten den entsprechenden Mikrozellen bei der Deutsche Post Direkt GmbH (DP Direkt) zugeordnet und vollautomatisch gelöscht. Ab diesem Zeitpunkt existieren bei der DPAG und deren Tochterunternehmen keine personenbezogenen Daten mehr im Rahmen dieses Verfahrens.

Die Adressdaten stammen von den Adressmatching Partnern der Deutschen Post AG. Hierbei handelt es sich um bekannte große Online-Shops, bei denen die Nutzer ein Konto mit Ihrer jeweiligen Liefer- und Rechnungsadresse angelegt oder im Rahmen einer Bestellung die Adressdaten hinterlegt haben. Die Adressen der Kunden müssen den Adressmatching Partnern bereits vor dem eigentlichen Adressmatching-Prozess bekannt sein. Es handelt sich hierbei folglich nicht um Kundendaten des Werbetreibenden, der eine Neukundenkampagne mit TRIGGERIMPULS oder AUDIENCE IMPULS plant.

Ausschließlich die jeweilige Adresse und eine Kennziffer werden über einen beauftragten Dienstleister - die Deutsche Post Dialog Solutions GmbH - an die Deutsche Post Direkt GmbH übermittelt. Dort findet durch die Zuordnung der Adressdaten zu der entsprechenden Mikrozelle und der gleichzeitigen Löschung dieser Adressdaten die Anonymisierung statt. Diese Mikrozelle wird nun über eine Zufallszahl dem CONSENTRIC Cookie zugeordnet. Dieses Cookie wird durch einen von der Deutschen Post AG beauftragten Dienstleister gesetzt. Auslöser hierfür ist die Verpixelung der Webseite des Adressmatching Partners, die zum Setzen des Cookies führt. Mit Hilfe dieses CONSENTRIC Cookies ist ein späteres Wiedererkennen des Endgerätes im Rahmen der verschiedenen Consentric-Anwendung möglich, ohne dass die personenbezogenen Daten des Nutzers verarbeitet werden. Dieser Adressmatching Prozess ist gemäß DSGVO datenschutzkonform und zertifiziert.

Adressdaten gehen zu keinem Zeitpunkt zur DPAG über. Die DPAG ist nur der „Prozess-Owner“, d. h. die DPAG gestaltet den gesamten Datenverarbeitungsprozess und hat über entsprechende Verträge einzelne Unternehmen damit beauftragt, die konkrete Datenverarbeitung durchzuführen. Diese Verträge verhindern, dass personenbezogene Daten zur DPAG übergehen. Zur Ermittlung der einer Adresse zugehörigen Mikrozelle erfolgt durch die Deutsche Post Dialog Solutions GmbH (DPDS) ein sog. „Waschabgleich“. Die hierfür verwendeten Adressdaten werden direkt nach der Ermittlung der zugehörigen Mikrozelle automatisch gelöscht.

Die gesamte CONSENTRIC Adressmatching Technologie ist darauf ausgerichtet, nur anonyme Daten zu verwenden. Der Name des Kunden wird in keinem Fall verwendet. Mit der Markierung des Kunden durch das CONSENTRIC Cookie wird zeitgleich dessen Adresse für den Abgleich mit der microdialog-Datenbank der Deutsche Post Direkt GmbH herangezogen. Nach der Verortung der Adresse in der entsprechenden Mikrozelle, bei der eine Personenbeziehbarkeit ausgeschlossen ist, wird die Adresse umgehend gelöscht. Ein genauer Rückschluss von einem Besucher zu einer Adresse ist so für die beteiligten Unternehmen nicht möglich. Bei der späteren Erkennung des Besuchers auf der Website des Werbetreibenden kann dem Besucher über die Cookie ID und die entsprechende Kennziffer nur die dazugehörige Mikrozelle zugeordnet werden. Die für einen Werbetreibenden relevanten Mikrozellen werden somit durch das Verhalten einzelner Nutzer ausgewählt, ohne dass bekannt ist, wer aus der Mikrozelle konkret eine Webseite aufgerufen hat. Auf diesem Ergebnis aufbauend kann ein seit längerer Zeit am Markt eingeführter Prozess der DP Direkt genutzt werden. Die Ansprache einzelner Mikrozellen mit schriftlicher Werbung. In diesem Prozess werden in datenschutzrechtlicher Verantwortung der DP Direkt die ermittelten Mikrozellen den postalischen Adressen zugeordnet, wovon einer dieser Haushalte dem Haushalt des Besuchers entspricht. An diese Mikrozellen werden dann die Werbeschreiben verschickt.

Bei den Adressmatching Partnern unserer CONSENTRIC Adressmatching Technologie handelt es sich u.a. um einige der größten eCommerce Plattformen in Deutschland. Bezüglich unserer Datenpartner sind wir zur Verschwiegenheit verpflichtet, weshalb wir hier keine konkreten Websites benennen.

Nach Vorgaben des EuGH zur sog. Gemeinsame Verantwortlichkeit sehen wir diese Anforderungen auch in der Zusammenarbeit mit dem Adressmatching Partner als erfüllt an. Zudem erfordert die Markierung des vom Kunden verwendeten Endgerätes mittels Cookie eine Einwilligung, die vom Adressmatching Partner eingeholt wird. Hierzu hat es eine entsprechende Anpassung der Verträge gegeben.

Voraussetzung für die Erkennung von Nutzern ist eine individuelle, temporäre Verpixelung der relevanten Webseiten des Werbetreibenden. Besucht ein Nutzer, dessen Browser im Vorfeld während des Adressmatching Prozesses mit einem CONSENTRIC Cookie markiert wurde, die entsprechenden Seiten, wird dieser im Rahmen des Webtracking erkannt. Im Folgeprozess kann der Nutzer wieder einer Mikrozelle zugeordnet werden.

Im vorgelagerten Adressmatching Prozess wurde der Browser des Nutzers mit einem CONSENTRIC Cookie markiert, in dem eine Kennziffer gespeichert wird. Sobald dieser Nutzer eine verpixelte Webseite des Werbetreibenden besucht, wird er mittels Webtracking des beauftragten Tracking Dienstleisters erkannt. Das Webtracking – etwa durch IntelliAd - ist gesondert zu beauftragen. Zudem muss für dieses Webtracking ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen werden. Im Rahmen des Webtracking werden über ein Cookie weitere Informationen, wie z.B. Impressions, Klicks oder Conversions, sowie die anonymisierte IP-Adresse des Besuchers erfasst.

IP-Adressen werden beim Einsatz des Webtracking automatisch anonymisiert, d. h. bei einer vierteiligen IP-Adresse wird das letzte Oktett automatisch durch die Zeichenfolge „123“ ersetzt. Im nachgelagerten Prozess findet eine Umrechnung der im Rahmen des Tracking gemessenen Cookie-ID in eine Mikrozellen-ID statt. Dies ist ein Prozess, der außerhalb des Tracking-Verfahrens durch einen von der DPAG beauftragten Dienstleister stattfindet.

Die gesamte CONSENTRIC Adressmatching Technologie ist darauf aufgebaut, dass eine Vielzahl von Anbietern und deren Systeme genau vorgegebene Datenverarbeitungsprozesse durchführen. Bei dem Austausch dieser Daten handelt es sich um eine reine „Maschine-zu-Maschine-Kommunikation“, bei der lediglich Kennziffern verwendet werden, ohne dass diese Kennziffern von den beteiligten Unternehmen tatsächlich einer Person zugeordnet werden können. Mit dieser Verteilung einzelner Aufgaben auf unterschiedliche Dienstleister wird die Anonymität der Daten gewährleistet. Die einzelnen Dienstleister, die zur Abwicklung dieses Verfahrens eingesetzt werden, verfügen nur über ein begrenztes Wissen hinsichtlich der zu verwendenden Daten. Keine Stelle ist dabei in der Lage, sämtliche Daten zusammenzuführen und gespeicherte Daten für ein umfassendes Persönlichkeitsprofil einzusetzen. Im Gegensatz zu sonstigen Trackingverfahren geht es bei der CONSENTRIC Adressmatching Technologie nicht darum, Verhaltensmuster oder eine Customer-Journey zu ermitteln. Insofern handelt es sich hierbei nicht um klassisches User-Tracking.

Die Datenschutzgrundverordnung (DSGVO) erlaubt die Verwendung von Namen und Anschrift von Personen für schriftliche Werbezwecke ohne deren Einwilligung. Nach Art. 6 Abs. 1 S. 1 f) DSGVO dürfen betroffene Personen für werbliche Zwecke angeschrieben werden, sofern diese nicht ausdrücklich widersprochen haben. Auch eine teiladressierte Ansprache („An die Bewohner des Hauses XXX“) ist zulässig, sofern die betroffene Person keinen Widerspruch – etwa durch Anbringen eines Schildes am Briefkasten („Keine Werbung“) – geäußert hat. Die DP Direkt verfügt über einen Grundbestand an Adressen für eine schriftliche Ansprache zu Werbezwecken. Dieser Datenbestand kann für eine postalische Ansprache für Werbezwecke verwendet werden. Hierzu beauftragt die DP Direkt im Wege der Auftragsverarbeitung div. Lettershops, die dann das angelieferte Werbematerial an die vorab ausgewählten Anschriften verschicken.

Das Datenschutzrecht regelt die Erhebung und Verarbeitung personenbezogener Daten von natürlichen Personen. Hierbei sind sämtliche Informationen, die sich auf eine identifizierbare Person beziehen, zu berücksichtigen. Sobald aber Aussagen zu einer ausreichend großen Gruppe getroffen werden, handelt es sich nicht mehr um personenbeziehbare Informationen und die Speicherung und Verarbeitung dieser Informationen fällt nicht unter das Datenschutzrecht. Auf dieser Grundlage basiert die Mikrozellen-Logik der Deutsche Post Direkt GmbH, mit der einzelne Adressen in Mikrozellen verortet und im Folgeprozess ausschließlich diese Mikrozellen Informationen genutzt werden. Die zugrunde liegenden microdialog-Datenbank enthält keine personenbezogenen oder personenbeziehbare Daten, weshalb bei der Bildung der Mikrozelle eine Personenbeziehbarkeit ausgeschlossen und eine Zuordnung auf einzelne Adressen oder Personen nicht möglich ist. Diese Mikrozellen-Logik wurde den Datenschutz-Aufsichtsbehörden vorgestellt und erst kürzlich als gesetzeskonform eingestuft (siehe Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit aus dem Jahr 2018, Seite 134).

Jede einzelne Mikrozelle besteht aus mindestens 5 und im Schnitt 6,6 Haushalten, einzelne Haushalte können folglich keine Mikrozelle bilden. Aus diesem Faktor ergibt sich die Streuweite, aus der sich erfahrungsgemäß auch Streugewinne ergeben können, da sich eine Mikrozelle oftmals aus ähnlichen Haushalten nach dem Prinzip „Gleich und Gleich gesellt sich gern“ zusammensetzt.

Verantwortliche Stelle im Sinne des Datenschutzrechts ist Deutsche Post Direkt GmbH, Junkersring 57, 53844 Troisdorf. Dort erreichen Sie auch deren Datenschutzbeauftragten. Die Deutsche Post Direkt GmbH verarbeitet auf der Grundlage von Artikel 6 Abs. 1 S. 1 f) DSGVO die Adressdaten und Selektionsmerkmale für Zwecke der Direktwerbung von Unternehmen sowie zur Prüfung der Richtigkeit von Adressbeständen anderer Unternehmen. Weitere Informationen sind unter folgender URL abrufbar: www.postdirekt.de/datenschutz

Im Rahmen des Adressmatching – der Zuordnung einer Anschrift zu einer Mikrozelle der DP Direkt – werden ausschließlich die Anschriften der Kunden eines Adressmatching-Partners verwendet. Da eine verlässliche Zuordnung einer Anschrift zu einer Mikrozelle gewünscht ist, werden beim Adressmatching keine Daten aus sonstigen öffentlichen Quellen verwendet.

Da für die schriftliche Werbeansprache keine explizite Zustimmung erforderlich ist, verfügt die DP Direkt über keine Opt-Ins. Einwilligungen in eine werbliche Ansprache sind etwa im Bereich des Telefonmarketing, des Faxmarketing bzw. grundsätzlich auch für den Bereich des E-Mail-Marketings erforderlich.

TRIGGERIMPULS ist grundsätzlich für die Interessentenansprache konzipiert, um auf aufgrund eines online durch Besuch der Website geäußerten Interesses Neukunden zu gewinnen. Für den Ausschluss von Bestandskunden aus der Marketingkampagne stehen zwei Verfahren zur Verfügung. Bei der Messung der relevanten Webseiten Besucher können die Besucher, die im aktuellen Messzeitraum einen Kauf auf der Website abgeschlossen haben, als Kunden identifiziert und für den Versand ausgeschlossen werden. Darüber hinaus kann vor und optional während dem Versandzeitraum ein Abgleich gegen eine vom Werbetreibenden bereitgestellte Bestandskundenliste und/oder Blacklist erfolgen. Aufgrund der strikten Datentrennung bei der CONSENTRIC Adressmatching Technologie wird dieser Listenabgleich durch die Deutsche Post Direkt GmbH oder durch einen beauftragten Dienstleister durchgeführt.

Die Datenverarbeitung durch die DP Direkt - etwa zum Abgleich gegen Bestandskunden im Rahmen einer Neukundenkampagne - erfolgt auf Basis der Auftragsverarbeitung nach Art. 28 DSGVO. Dementsprechend wird die DP Direkt für diesen Bereich als externer Dienstleister tätig und arbeitet nur auf Weisung des Auftraggebers.

Die Deutsche Post Direkt GmbH arbeitet als beauftragter Dienstleister nach Art. 28 DSGVO. Hier ist es Aufgabe des Verantwortlichen – somit des Werbetreibenden – die Löschregeln vorzugeben. Nach Kampagnenende erhält der Auftraggeber eine Auswertung der entsprechenden Ergebnisse im Rahmen einer Kampagnenauswertung.