Von Guillaume Marcerou, Criteo Global Privacy Director
Wenn es um Datenschutz und Wahrung der Privatsphäre geht, profitieren Unternehmen und Konsumenten gleichermaßen von Konsistenz, Rechtssicherheit und Compliance – dieser Überzeugung sind wir bei Criteo schon seit langem. Deshalb begrüßen wir das Inkrafttreten der EU-Datenschutz-Grundverordnung (General Data Protection Regulations / GDPR) ausdrücklich: Endlich wird die Compliance im Datenbereich EU-weit vereinheitlicht. Criteo ist gut aufgestellt, um die durch die EU-Datenschutz-Grundverordnung entstehenden Herausforderungen und Themen zu adressieren; entsprechend erwarten wir – wenn überhaupt – nur geringe Auswirkungen der neuen Regularien auf die Zusammenarbeit mit unseren Kunden und Partnern.
(Weitere Informationen: Criteo ist bereit für die Einführung der EU-Datenschutz-Grundverordnung)
Ziel der EU-Datenschutz-Grundverordnung ist es, die rechtliche Situation in der EU mit Bezug auf Daten zu modernisieren, die Rechte des Einzelnen zu stärken und die EU-Regularien in Klarheit und Kohärenz zu verbessern.
Wir sind uns bewusst, dass unsere Kunden, Partner und Investoren viele Fragen zu den Implikationen der EU-Datenschutz-Grundverordnung haben – insbesondere in Hinblick auf die unterschiedlichen Arten der Datensammlung.
Die EU-Datenschutz-Grundverordnung etabliert eine klare Unterscheidung zwischen sensiblen und nicht sensiblen personenbezogenen Daten. Da Criteo ausschließlich nicht sensible personenbezogene Daten in Form von Cookies sammelt, sind wir mit dieser Unterscheidung bereits vertraut.
Im Folgenden beschreiben wir, wie die EU-Datenschutz-Grundverordnung diese Daten kategorisiert und geben Antworten auf wichtige Fragen, die Unternehmen in Hinblick auf Datenmanagement haben.
Wie definiert die EU-Datenschutz-Grundverordnung „personenbezogene Daten“?
Beginnen wir damit, wie die neuen Gesetze personenbezogene Daten definieren. Personenbezogen sind alle Daten, die folgendes enthalten:
- Informationen, die eine direkte Identifizierung möglich machen – zum Beispiel Namen, Vornamen, Telefonnummern usw.
- Pseudonymisierte Daten oder Informationen, die keine direkte Identifizierung von Nutzern erlauben, die es aber möglich machen, das Verhalten von einzelnen Nutzern zu erfassen (um ihr oder ihm zum Beispiel im richtigen Moment die richtige Werbung anzuzeigen)
Die EU-Datenschutz-Grundverordnung unterscheidet klar zwischen Informationen, die eine direkte Identifizierung ermöglichen, und pseudonymisierten Daten. Die EU-Datenschutz-Grundverordnung fördert die Nutzung pseudonymisierter Informationen; sie besagt ausdrücklich: „Der Einsatz von Pseudonymisierung bei der Verarbeitung von personenbezogenen Daten minimiert die Risiken für die Betroffenen und unterstützt die Datenverantwortlichen dabei, ihre Verpflichtungen in Sachen Datenschutz zu erfüllen.“ [1] Criteo sammelt ausschließlich pseudonymisierte technische IDs, die mit bestimmten Ereignissen im Onlineverhalten des jeweiligen Users verknüpft sind.
Wie definiert die EU-Datenschutz-Grundverordnung „sensible personenbezogene Daten“?
Sensible Daten sind alle Daten, die Informationen zu den folgenden Bereichen enthalten oder entsprechende Rückschlüsse erlauben:
- Ethnizität und Herkunft
- Politische Meinung
- Religion und Weltanschauung
- Mitgliedschaft in Gewerkschaften
- Genetische Daten
- Biometrische Daten, die dazu dienen, natürliche Personen eindeutig zu identifizieren
- Daten mit Bezug auf die Gesundheit, das Sexualleben oder die sexuelle Orientierung einer natürlichen Person
Schon der Natur nach sind die von Criteos Kunden und Partnern gesammelten und verarbeiteten Daten nicht sensibel im Sinne der EU-Datenschutz-Grundverordnung. Criteo selbst sammelt ausschließlich pseudonymisierte technische IDs, die mit bestimmten Ereignissen im Onlineverhalten des jeweiligen Users verknüpft sind.
Welche Arten von nicht sensiblen personenbezogenen Daten sammelt Criteo?
In der Zusammenarbeit mit Criteo benötigen unsere Kunden und Partner nur Zugang zu pseudonymisierten Daten, die keine direkten Rückschlüsse auf die Identität der einzelnen User zu lassen. Diese Daten umfassen unter anderem:
- Cookie IDs
- Gehashte E-Mail-Adressen
- Mobile Advertising IDs
- andere technische IDs, die Criteo erlauben, das Online-Verhalten von Personen individuell zu erfassen, ohne sie direkt identifizierbar zu machen
„Berechtigtes Interesse“ und „Eindeutige Einwilligung“
Die EU-Datenschutz-Grundverordnung etabliert sechs Grundsätze für die Erfassung und Verarbeitung von Daten in Europa. Unserer Meinung nach sind im Bereich von Marketing und digitalem Marketing sowie für Unternehmen, die Daten zu Marketingzwecken sammeln, die folgenden zwei Grundsätze von zentraler Bedeutung:
- Eindeutige Einwilligung des Einzelnen
- Berechtigtes Interesse des Datenverantwortlichen
Das berechtigte Interesse des Datenverantwortlichen – unsere Kunden und Publisher – kann auch direkte Marketingzwecke umfassen. Die eindeutige Einwilligung kann zum Beispiel auch dadurch gegeben werden, dass ein User weiterhin eine Website nutzt, obwohl er darüber aufgeklärt worden ist, dass diese Website zum Beispiel Cookies zur Verhaltensanalyse einsetzt. Diese Einwilligung ist die rechtliche Grundlage für die Erfassung von nicht sensiblen personenbezogenen Daten. Weitere Informationen finden Sie hier: Compliance mit der EU-Datenschutz-Grundverordnung: Rechtsgrundlagen für das Sammeln von personenbezogenen Daten
Unsere leistungsfähigen Richtlinien und Prozesse, die wir unter der Überschrift „Privacy by Design“ zusammenfassen, bilden eine solide Basis, um alle Anforderungen der EU-Datenschutz-Grundverordnung unmittelbar zu adressieren. Zwar sind unsere Kunden und Partner in der Pflicht, ihren Nutzern umfassende Informationen zur Verfügung zu stellen, doch unsere Services beinhalten auch eine übergreifende Verantwortung über unser gesamtes Netzwerk hinweg. Criteos erprobte Expertise in den Bereichen Datenschutz und Wahrung der Privatsphäre belegt: Mit angemessener Information und den richtigen Kontrollwerkzeugen können wir unsere Kunden und Partner effektiv darin unterstützen, die Herausforderungen durch die EU-Datenschutz-Grundverordnung zu meistern.
Mehr Informationen findet ihr in unserem Webinar DSGVO – Criteo ist bereit.
[1] EU-Datenschutz-Grundverordnung – ebenda (28)