Datenschutzkonforme Messung

Beim Messverfahren auf Basis der CONSENTRIC Adressmatching Technologie werden zu keinem Zeitpunkt einzelne Nutzer namentlich identifiziert. Die Identität der Internetnutzer bleibt immer geschützt. Die wichtigsten Fragen beantworten wir Ihnen hier.

Die CONSENTRIC Adressmatching Technologie wurde unter der Beachtung des Datenschutzrechts entwickelt. Die datenschutzrechtliche Zulässigkeit des Messverfahrens ist von der ADCERT Privacy Audit GmbH zertifiziert worden. Die Zertifizierung des Messverfahrens der crossmedialen Mediennutzung bestätigt, dass das Verfahren in besonderem Maße datenschutzkonform ist und die Datenschutzbestimmungen nachhaltig umgesetzt werden.
 

Wie funktioniert das Messverfahren auf Basis der CONSENTRIC Adressmatching Technologie?

Im Rahmen des Messverfahrens wird Ihre bei einem Kooperationspartner der CONSENTRIC Adressmatching Technologie hinterlegte Liefer- oder Rechnungsadresse einer so genannten Mikrozelle der Deutschen Post Direkt GmbH, einer Tochtergesellschaft der Deutschen Post, zugeordnet. Im Durchschnitt umfasst eine Mikrozelle 6,6 Haushalte und lässt somit keine Rückschlüsse auf einzelne Personen zu. Dieser Datenabgleich wird ausgelöst, sobald Sie sich auf der Homepage des Kooperationspartners angemeldet haben. Als Ergebnis des Datenabgleichs liegt eine zufällig generierte Kennziffer vor, die in einer Datenbank hinterlegt wird. Parallel zu diesem Datenabgleich mit der Deutschen Post Direkt GmbH wird auf Ihrem Rechner ein Cookie gespeichert, der auf die zufällig generierte Kennziffer verweist. Das Cookie hat eine Gültigkeit von 6 Monaten.

Das Internet-Nutzungsverhalten wird in aggregierter Form ausgewiesen, wobei aber keine personenbezogenen Daten – wie etwa Ihr Name oder Ihre E-Mail Adresse – in dieser statistischen Übersicht verwendet werden. Eine Profilbildung ist ausgeschlossen. IP-Adressen werden verschlüsselt im Rahmen des technisch notwendigen Datentransfers übertragen, aber nicht in dem weiteren Verfahren verwendet.

Persönliche Daten werden geschützt:

  • Durch die Aggregierung auf Mikrozellenebene ist eine Profilbildung zu einzelnen Internetnutzern ausgeschlossen. Es werden nur aggregierte Aussagen über das Internet-Nutzungsverhalten genutzt.
  • Zu keinem Zeitpunkt werden einzelne Nutzer namentlich identifiziert. Die Identität bleibt immer geschützt.

Hier können Sie sich ausführlich über die ADCERT Privacy Audit GmbH informieren: www.adcert.eu.

Sie können hier der Messung unter folgendem Link widersprechen.
Sie können hier der Messung – insbesondere auch der Speicherung des Cookies in Ihrem Browser – auch explizit zustimmen.

CONSENTRIC - Fragen und Antworten

Hier erhalten Sie umfangreiche Informationen zum Datenschutz.

Wie funktioniert das CONSENTRIC Adressmatching (Grundlage für TRIGGERIMPULS und CAMPAIGN INSIGHTS)?

Für das Adressmatching werden Straße, Hausnummer und Postleitzahl zusammen mit einem sogenannten Hashwert, also einer anonymisierten Kennziffer, im Wege der Auftragsdatenverarbeitung an einen beauftragten Dienstleister – die Deutsche Post Dialog Solutions GmbH (DPDS) – weitergeleitet. Hier findet dann ein sogenannter "Waschabgleich" statt, in dem eine Zuordnung der angelieferten Adressdaten zu einer Mikrozelle vorgenommen wird. Die Mikrozellendatenbank wird von der Deutschen Post Direkt GmbH (DP Direkt) verwaltet.

Das Ergebnis des Abgleichs – eine weitere Kennziffer – wird separat gespeichert und ermöglicht die Zuordnung eines temporär vergebenen Token zu einer Mikrozelle.

Welche Daten werden in der Amazon Cloud gespeichert? Erfolgt dies außerhalb der EU?

In der Amazon Cloud (AWS) wird eine mehrfach verhashte, also anonymisierte Kennziffer gespeichert. Diese dient allein dem Zweck, für wiederkehrende Kunden nicht erneut Kennziffern für das weitere Verfahren zu berechnen, sondern auf einen vorab bestehenden Bestand zuzugreifen. Ergänzend ist anzumerken, dass dieser Adressbestand nur eine Gültigkeit von sechs Monaten hat und dann automatisiert gelöscht wird.

Es lässt sich schon sehr gut darüber diskutieren, ob die mehrfach verhashte Kennziffer, die in der Cloud gespeichert wird, überhaupt personenbeziehbar ist. Dennoch wurde zur Absicherung ein Vertrag zur Auftragsdatenverarbeitung
nach § 11 Bundesdatenschutzgesetz (BDSG) geschlossen. In diesem Vertrag wurde auch festgelegt, dass die Daten nur in Irland gehostet werden und die EU nicht verlassen.

Wann erfolgt die Löschung von Adressen im Rahmen des Adressmatching Prozesses? Gehen Adressen zur Deutsche Post AG (DPAG) über?

Adressen gehen in keinem Fall zur DPAG über. Die DPAG ist nur der "Prozess-Owner", d.h. die DPAG gestaltet den gesamten Datenverarbeitungsprozess und hat über entsprechende ADV-Verträge (ADV: Auftragsdatenverarbeitung) einzelne Unternehmen damit beauftragt, die konkreten Datenverarbeitungen durchzuführen. In diesen Verträgen ist aber nicht vorgesehen, dass Daten zur DPAG übergehen. Vielmehr wird hier die DPDS als beauftragter Dienstleister tätig:

Im Rahmen des Adressabgleichs findet durch die DPDS nur eine Verortung der Adressen in einer Mikrozelle statt. Im Nachgang wird die verwendete Adresse verworfen. In der Cloud wird nur eine verhashte Kennziffer gespeichert, die aus der Adresse und einem zusätzlichen Wert, der mit der Adresse geliefert wird, verbunden wird. Der Name des Betroffenen wird in keiner Phase der Datenverarbeitung verwendet.

Was steckt hinter der Mikrozellen-Logik aus datenschutzrechtlicher Sicht?

Die Anwendung des Datenschutzrechts setzt voraus, dass Daten zu einem Betroffenen gespeichert werden (sog. "personenbeziehbare Daten"). Hier sind grundsätzlich alle Informationen zu berücksichtigen, die der Betroffene selbst oder über einen Dritten vernünftigerweise erlangen kann. Sobald aber eine Aussage zu einer Gruppe getroffen wird, liegt keine Aussage zu einer einzelnen Person mehr vor. In diesem Fall sind die Daten nicht personenbeziehbar, so dass auch die datenschutzrechtlichen Bestimmungen nicht anwendbar sind. Diese datenschutzrechtliche Vorgabe ist Grundlage für die Mikrozellen-Logik der DP Direkt. Hier werden Grundaussagen nicht zu einer einzelnen Person gespeichert, sondern zu einer Personengesamtheit, so dass keine datenschutzrelevanten Angaben vorliegen. Die Mikrozellen-Logik der DP Direkt ist seit 2001 am Markt etabliert und wurde den Datenschutz-Aufsichtsbehörden vorgestellt und nicht beanstandet.

Auf welcher Rechtsgrundlage basiert das TRIGGERIMPULS Verfahren (Messen und Anschreiben)?

Beim TRIGGERIMPULS Verfahren sind zwei Bereiche zu trennen: Zunächst wird im Rahmen des CONSENTRIC Verfahrens eine relevante Zielgruppe gemessen. Diese Zielgruppe wird aber nur auf Ebene der Mikrozellen ausgewiesen. Damit ist der Einsatz des CONSENTRIC Verfahrens beendet.

Der nachgelagerte Prozess des Abgleichs einer Mikrozelle und Ansprache von Betroffenen durch die DP Direkt ist ein eingespielter Prozess, der in der datenschutzrechtlichen Verantwortung der DP Direkt erfolgt. Die DP Direkt verfügt über einen Grundbestand an Adressen für eine schriftliche Ansprache zu Werbezwecken.

Warum dürfen Personen voll- bzw. teiladressiert angeschrieben werden?

Das BDSG erlaubt die Verwendung von Namen und Anschrift des Betroffenen für schriftliche Werbezwecke ohne dessen Einwilligung. Nach § 28 Abs. 3 BDSG dürfen Betroffene für werbliche  Zwecke angeschrieben werden. Auch eine teiladressierte Ansprache ("An die Gartenfreunde des Hauses XXX") ist zulässig, sofern der Betroffene keinen Widerspruch - etwa durch Anbringen eines Schildes am Briefkasten ("Keine Werbung") geäußert hat.

Wie wurden von der DP Direkt Opt-Ins für die Datenbank eingeholt?

Die DP Direkt verfügt über keine Opt-Ins, da diese auch nicht für eine schriftliche Werbeansprache erforderlich sind. Einwilligungen in eine werbliche Ansprache sind etwa im Bereich des Telefonmarketing, des Faxmarketing bzw. grundsätzlich auch für den Bereich des E-Mail-Marketing erforderlich.

Wer sind die Dritten, die zur Leistungserbringung herangezogen werden und was machen sie genau?

Das gesamte CONSENTRIC Verfahren ist darauf aufgebaut, dass eine Vielzahl von Anbietern und deren Systeme genau vorgegebene Datenverarbeitungsprozesse vornehmen. Es handelt sich um reine "Maschine-zu-Maschine-Kommunikation". Es werden auch lediglich Kennzeichen verwendet, ohne dass diese Kennzeichen von den beteiligten Unternehmen tatsächlich einer Person zugeordnet werden können. Mit dieser Aufteilung einzelner Aufgaben auf unterschiedliche Dienstleister wird die Anonymität der Daten gewährleistet.  Der Austausch von Daten im CONSENTRIC Verfahren beschränkt sich auf eine reine Übertragung von Kennziffern mittels vorab definierter Schnittstellen.

Was passiert mit meinen Adressdaten, wenn sie bei der DP Direkt hochgeladen werden? Was passiert mit meinen Response-Ergebnissen nach der Kampagne?

Die Datenerhebung durch die DP Direkt erfolgt im Wege der Auftragsdatenverarbeitung nach § 11 BDSG. Dementsprechend wird die DP Direkt für diesen Bereich als externer Dienstleister tätig und arbeitet nur nach Weisung des Auftraggebers.

Die DP Direkt nimmt nur eine entsprechende Verortung der Anschriften in der Mikrozellen-Datenbank vor, da nachgelagert nicht die Anschriften einzelner Personen verwendet werden, sondern nur Mikrozellen. Dies erfolgt vor dem Hintergrund, dass hier ein Personenbezug im weiteren Ablauf des Verfahrens verhindert werden soll.

Response-Ergebnisse werden nur auf Ebene der Mikrozelle ausgewiesen und reportet.

Was passiert nach Kampagnenende mit den Daten? Erfolgt eine Löschung?

Hier ist zu unterscheiden: Die DP Direkt verwendet die Adressdaten zunächst nur für die Verortung in der Mikrozelle. Im Anschluss werden diese Daten gelöscht, es sei denn, es liegt eine andere Weisung des Auftraggebers vor. Hier arbeitet die DP Direkt als beauftragter Dienstleister nach § 11 BDSG.

Nach Kampagnenende erhält der Auftraggeber die Auswertung der entsprechenden Ergebnisse im Rahmen einer Heatmap.

Inwiefern ist die Messung anonym? Wird eine IP-Adresse, Cookie-ID, Name des Nutzers oder ein sonstiges personenbezogenes Datum gespeichert?

Das gesamte Verfahren ist darauf ausgerichtet, nur anonyme Daten zu verwenden. IP-Adressen werden unmittelbar nach Eingang anonymisiert. Der Name des Nutzers wird in keinem Fall verwendet. Von Interesse ist hier allein die Adresse zur Verortung im Rahmen einer Mikrozelle. Nach der Verortung wird die Anschrift umgehend gelöscht. Die sonstigen Angaben werden nur zu einer Mikrozelle und nicht zu einer einzelnen Person gespeichert. Auch die eingesetzte Cookie-ID ist in diesem Fall nicht personenbeziehbar, da sie nur Rückschlüsse auf eine Mikrozelle ermöglicht.

Welche Arten von personenbezogenen Daten werden verarbeitet?

Hier ist zu unterscheiden: Zu Beginn des Markierungsverfahrens muss der Registrierungsdatenpartner die Straße, Hausnummer und Postleitzahl für eine Verortung in der Mikrozelle verwenden. Parallel hierzu muss für bestimmte Anwendungen das Unternehmen, das die CONSENTRIC Services nutzen möchte, die DP Direkt im Rahmen einer Auftragsdatenverarbeitung beauftragen, eine Verortung in der Mikrozelle vorzunehmen. Dies sind die einzigen personenbeziehbaren Daten, die im Rahmen des Verfahrens verwendet werden.