Dieses Konzept versucht typische (möglichst alle) Datenverarbeitungen im Internet in wenige klar definierte Kategorien einzuordnen, welche sich in der Auswirkung auf die Privatsphäre der Nutzer unterscheiden. Aufgrund dieser Unterschiede lassen sich diesen direkt Rechtsgrundlagen zuordnen.
Das Ziel ist, dass durch die Kategorisierung einige unkritische Verarbeitungen bereits ohne Zustimmung der Nutzer möglich werden (z.B. nach Art 6 1 f) und somit die Wettberwerbsfähigkeit vieler Anbieter in der EU zu erhalten. Ziel ist, dass weiterhin zustimmungspflichtige Verarbeitungen eher nicht durch Cookiebanner abgefragt werden, da dann Seiten mit Cookiebanner in Bezug auf die User Experience gegenüber Seiten ohne Cookiebanner (die nur auf unkritische Verarbeitungen setzen) in der Nutzergunst verlieren.
Diese Kategorisierung unterscheidet sich von bisher genutzten, die sich eher am Zweck der Verarbeitung als and dem (Daten) Risiko für die Nutzer orientieren. Aktuelle Kategorisierungen (z.B. TCF) haben auch nicht das Ziel, bestimmte Kategorien ohne Consent zu erlauben, da laut aktueller Interpretation der Rechtslage alles einen Consent benötigt.
Diese Kategorisierung muss daher Teil eines Gesetzes wie die e-Privacy Verordnugn werden um ihr Wirkung zu entfalten.
Die Initialtive versucht, gängige Datenverarbeitungen im Internet in sinnvolle Kategorien einzuteilen, die Interessen von Nutzern und Anbietern jeweils darzulegen und damit für jede Kategorie eine eindeutige Rechtsgrundlage festzulegen. Erklärtes Ziel ist die Abkehr von der exzessiven Nutzung der Rechtsgrundlage "Einwilligung" für im wesentlichen unkritischen Verarbeitungen und versucht eine Grundlage zu schaffen um auf Cookiebanner weitgehend verzichten zu können. Es ist nicht Ziel alle Verarbeitungen ohne Zustimmung möglich zu machen.
Die Kategorien ergeben sich dabei aus
Die sich daraus ergebenden Verarbeitungskategorien haben sehr unterschiedliche Auswirkungen auf die Nutzer. Es ergeben sich notwendigerweise verschiedene Rechtsgrundlagen, für viele Fälle auch das berechtigte Interesse laut Art 6 Abs 1 f). Der jeweils generalisierte Interessenausgleich ist in der folgenden Tabelle argumentiert und die Konsequenz Zustimmung und für Cookiebanner dargestellt.
Ziel der Initiative ist es entsprechende Gesetze, die derzeit in der Ausarbeitung sind, entsprechend zu beeinflussen (v.a. e-Privacy-Richtline). Die Vorschläge in diesem Dokument sind mit bestem Wissen und Gewissen konform zur DSGVO gestaltet. Sie widersprechen jedoch zum Teil veralteten Richtlinien oder kürzlichen Gerichtsurteilen. Das Dokument ist nicht zur Anwendung in irgendeiner Form für Datenverarbeitung unter der akutellen Rechstlage gedacht.
Die Verarbeitungskategorien werden nach dem Schema Verarbeitungstyp-Datenkategorie-Domain (z.B. S-A-SO) benannt, wobei Verabeitungstyp “notwendig”,”statistisch” und “personalisierend”, Datenkategorie “anonym”,”persönlich” und “pseudonym” und Domain verschiedene Werte wie z.B. “single Domain”, “cross-Domain” und “shared ownership” annehmen können. Weitere Details in den entsprechenden Abschnitten des Dokuments.
Ein Profil ist ein Datensatz, der Daten zu einer Person (ggf. zu einem Gerät und damit ggf. zu einer kleinen Gruppe von Personen) enthält. Die Daten enthalten Attribute, d.h. Eigenschaften einer Person, die für sich selbst genommen jedoch nicht spezifisch für eine Person sind und somit nicht als Identifikationsmerkmal ausreichen, Werte, d.h. Messdaten zu einer Person, die ebenfalls für sich selbst genommen jedoch nicht spezifisch für eine Person sind und somit nicht als Identifikationsmerkmal ausreichen, sowie ggf. ein oder mehrere Identifikationsmerkmale die eine Identifikation einer Person, wie im folgenden definiert, ermöglichen. Alle Daten in einem Profil mit Identifikationsmerkmalen sind personenbezogene Daten, Daten in einem Profil ohne solche sind keine personenbezogene Daten.
Ist für die Definition von personenbezogenen Daten wichtig. DSGVO definiert dies unzureichend “als identifizierbar wird eine natürliche Person angesehen, die … identifiziert werden kann”. Deshalb hier 4 konkrete Definitionen, die vermutlich das “gemeinte” Spektrum abbilden.
externe Identifizierbarkeit: Es werden Daten erhoben die die Person außerhalb des verarbeitenden Systems identifizieren kann, z.B. durch Name, Adresse, Email, IP, Sozialversicherungsnummer, Bankdaten, etc. Inkludiert sind explizit auch Identifizierungen die Kooperationen mit weiteren Firmen oder Behörden erfordern, nicht jedoch die Mithilfe der zu identifizierenden Person.
interne Identifizierbarkeit: Identifiziert wird ein anonymes Profil/anonymer Account durch eine eindeutige ID, mit oder ohne Login. Diese ID wird nur intern verwendet (innerhalb des verarbeitenden Systems / einer Entität / einer Firma / einer Gruppe von Partnern). Diese Identifizierung erlaubt z.B. einen Nutzer bei einem künftigen Besuch wiederzuerkennen. Weitere externe Informationen zu der Person können mit Hilfe des Profils nicht erlangt werden, auch nicht über Kooperationen mit anderen Firmen oder Behörden. Einzig eine Rückwärtsidentifizierung wäre theoretisch denkbar: z.B. Durchsuchung sämtlicher Computer(möglicherweise weltweit) nach Spuren der Profil/Account IDs oder durch Mithilfe der zu identifierenden Person. D.h. aber auch, dass zum Missbrauch eines internen Profils bereits deutlich mehr Informationen über den Nutzer vorliegen müssen (z.B. durch einen Vorfall/Hack des Computers des Nutzers und damit Zugriff auf sämtliche Browserdaten). Eine Ausweitung eines intern identifzierbaren Profils zu einem extern identifizierbaren kann damit vernachlässigt werden, solange keine attributbasierte Identifizierbarkeit vorliegt.
attributbasierte Identifizierbarkeit: Ein Profil enthält Attribute (und/oder Metriken) aus deren Kombination sich eine externe Identifizierbarkeit ergibt. Profile mit beliebiger Identifizierbarkeit werden damit auf externe Identifizierbarkeit ausgeweitet. Hierfür reicht jedoch nicht aus, dass eine Kombination von Attributen eventuell für einen Nutzer spezifisch ist. Dies ist i.d.R. bereits der Fall, wenn z.B. Zeitstempel mit erfasst werden. Da aber niemand außerhalb des Systems diese Zeitstempel kennt, führt dies eben nicht zu einer Identifizierbarkeit. Für eine attributbasierte Identifizierbarkeit ist es notwendig, dass Attribute mit öffentlichen (oder externen) Profilen mit externen Identifizierungmerkmalen abgeglichen werden können und hierbei die Attributkombinationen eindeutig für eine Person werden. So kann z.B. wenn von einer öffentlichen Person verschiedene Aufenthaltsorte mit Zeitpunkten (z.B. über die Medien) bekannt sind, ein Profil, welches diese Daten enthält mit dieser Person in Verbindung gebracht werden. Öffentlich kann dabei auch nur ““extern”” sein, d.h. dass diese Informationen über eine Konkrete Person auch bei einer nicht mit dem verarbeitenden System in Verbindung stehende Firma oder Behörde zur verfügung stehen. Werden nur Attribute aus dem verarbeitenden System gespeichert (z.B. Web-Bewegungsdaten) ist eine solche Ausweitung der Identifizierbarkeit praktisch ausgeschlossen. Es gibt schlicht und ergreifend keine externen Daten mit diesen Attributen, wenn das verarbeitende System nicht zusätzlich extern identifizerbaren Profile mit den gleichen Attribute erstellt. Die Möglichkeit besteht immer dann, wenn externe Attribute abgefragt werden, wie z.B. Geodaten vom Mobiltelefon, Abfrage von demografischen Daten/Interessen vom Nutzer, etc. Trotzdem wäre auch hier die tatsächliche attributbasierte Identifikation höchst unwahrscheinlich und schwierig, kann jedoch nicht immer ausgeschlossen werden. Hier macht es vermutlich Sinn, zukünftig (Wahrscheinlichkeits-)Grenzen zu definieren. Attributbasierte Identifizierbarkeit wird bei den Verarbeitungskategorien in diesem Dokument nicht direkt berücksichtigt. Ist diese bei der Verarbeitung gewollt oder wahrscheinlich und nicht zu verhindern, muss die Verarbeitung als Verarbeitung mit extern identifizierbaren Daten betrachtet werden. Ist dies nicht der Fall, ist die Wahrscheinlichkeit für eine solche durch geeignete Maßnahmen auf ein Mindestmaß zu reduzieren. Die Auswirkungen für den Nutzer bei korrekter Verabeitung ist denen der internen Identifizierbarkeit gleichzusetzen. Lediglich das Risiko bei Missbrauch wird latent erhöht.
Selbst-Identifizierbarkeit: Ein Profil enthält keine Identifizerungsmerkmale. Das Profil ist aber dadurch, dass es direkt auf dem Endgerät des Nutzers gespeichert wird, immer noch personenbezogen. Werden dem Profil Daten hinzugefügt, erfolgt die Zuordnung zu dem Profil eben dadurch, dass die Daten auf dem entsprechenden Endgerät liegen. Werden die Daten dann außerhalb des Gerätes verarbeitet, wird das gesamte Profil (Attribute und Messdaten, keine Identifikationsmerkmale) an die Server des Anbieters gesendet. Im Unterschied zur internen Identifizierbarkeit muss hier immer das ganze Profil übertragen werden, statt nur der neuen Daten, da aufgrund der fehlenden ID eine Zuordnung zu vorherigen Daten auf Seiten des Anbieters nicht mehr möglich ist. Grundsätzlich unterscheidet sich das selbstbasierte Profil im Hinblick auf die Auswirkung auf den Nutzer nicht von einem intern identifizierbaren Profil. Lediglich wenn im Falle von Personalisierungen diese aussschließlich auf dem Endgerät des Nutzers erfolgen, müssen keine Daten aus dem Endgerät des Nutzer nach außen gelangen. Aber auch dies hat keine Auswirkung auf den Nutzer bei bestimmungsgemäßer Verabeitung, sondern reduziert nur das Risko bei Missbrauch, soweit die Daten überhaupt missbrauchsrelevant sind. In Bezug auf dieses Dokument werden Profile mit selbstbasierter Identifizierbarkeit gleich behandelt wie Profile mit interner Identifizierbarkeit, da für beide praktisch der selbe Interessenausgleich gilt.
Aufgrund unserer Definition von Profilen und Identifizierbarkeit ordnen wir alle personenbezogenen Daten in 3 Kategorien ein. Verarbeitungen dieser 3 Datenkategorien unterschieden sich grundsätzlich in der Auswirkung und den Risken für den Nutzer und sollten daher unterschiedlichen Rechtsgrundlagen folgen.
persönliche personenbezogene Daten (-P-): Daten die einem Profil zugeordnet sind, das externe Identifizerbarkeit erlaubt. Identifikationsmekrmale wie z.B. Name, Adresse, IP, Sozialversicherungsnummer, Bankdaten, etc sind enthalten.
anonyme personenbezogene Daten (-A-): Daten sind einem Profil zugeordnet welches nur interne Identifizierbarkeit erlaubt. z.B. zufällige eindeutige IDs
pseudonyme personenbezogene Daten (-AP-): Daten sind einem Profil zugeordnet welches interne Identifizierbarkeit erlaubt. Allerdings enthalten die Daten auch eine interne ID, die das Profil mit einem anderen Profi in einem angeschlossenen Verarbeitungssystem in Verbindung bringen kann (1:1, 1:n, n:1 Beziehung, n klein) welches externe Identifizierbarkeit erlaubt.
Verarbeitungen von Daten im Bereich Internetbasierter Dienste können sehr divers sein. Diese können jedoch in 3 Kategorien eingeordnet werden, die sich hinsichtlich des Nutzens und der möglichen Auswirkungen auf den Nutzer grundsätzlich unterscheiden.
notwendige Verarbeitungen (N-): Die Verarbeitung ist für die erfüllgung eines Vertrags mit dem Kunden notwendig. Rechtsgrundlage nach Abs 6 1b) c) oder d) evtl. e) DSGVO.
statistische/analytische Verarbeitungen (S-): Die Verarbeitung erfolgt um die Nutzung des Produkts/der Dienstleistung/der Marketingmaßnahme oder die Zielgruppe zu verstehen. Dazu werden entweder Aggregationen vieler Profile oder einzelne anonyme Profile ausgewertet. Alle identifizierenden IDs (internen und externe) sind dafür nicht notwendig, so dass es sich zum Zeitpunkt der Analyse nicht mehr um personenbezogene Daten handeln muss (Anonymisierung). Identifizierbare IDs sind jedoch im Datenakquiseprozess nötig, um zukünftige Daten exisitierenden Profilen zuzuordnen. Die Analysen werden nicht genutzt um Aktionen bzgl. einzelner Nutzer zu steuern (dies wäre Verarbeitungstyp Personalisierung). Daher hat die statistische Auswertung keinerlei Einfluss auf den einzelnen Nutzer. Rechtsgrudlage nach Art 6 1 a) oder f) DSGVO.
Personalisierungen (P-): Aktuelle Nutzer werden identifiziert und mit Hilfe ihrer Profildaten werden personalisierte Aktionen bzgl. dieser Nutzer gesteuert. Die Aktionen können positiv (z.B. Empfehlungen passender Produkte, Rabatte) oder auch negativ sein (optimierung des Gewinns durch personalisierte Preise, Belästigung durch personalisierte Werbung). Die Aktionen können im Produkt selber oder auf Partnerplatformen erfolgen. Rechtsgrudlage nach Art 6 1 a) oder f) DSGVO. Zu beachten ist, dass die Notwendige Verarbeitung oft auch eine Personalisierung darstellt. Der Unterschied der Katogerien ist, dass in der Personaliserung wie hier betrachtet, für die eigentliche Funktion des Produkts/gewählte Dienstleistung nicht unbedingt notwendig ist.
Daten können innerhalb eines technischen Systems oder mehrerer System eines Anbieters oder von verschiedenen Anbietern verarbeitet werden. Diese Unterschiede werden durch die Domain der Verarbeitung bestimmt.
Daten werden in einem System verarbeitet. Die Abgrenzung eines Systems ist aber nicht trivial. Schon eine Webseite besteht ja schon aus dem Frontend und dem Webserver, also aus 2 technischens Systemen, evtl. kommen noch verschiedene Backendsysteme (z.B. bei Microservices) hinzu. Im diesem Dokument sprechen wir von “Single Domain”, wenn der Kunde nur 1 System wahrnimmt, also nur mit einem System interagiert. Backendsysteme die für den Betrieb dieses System notwendig sind zählen hier mit zu, auch wenn sie per Auftragsdatenverarbeitung von weiteren Anbietern betrieben werden. Grundsätzlich könnte man in dieser Betrachtung auch noch eine Verarbeitungsdomain für Auftragsverarbeitungen einführen. Darauf wurde jedoch verzichtet (Auftragsverarbeitungen finden in der Single Domain statt), da auch die DSGVO Auftragsverarbeitungen als Verarbeitungen des eigentlichen Datenverantwortlichen betrachtet werden, solange sie gewissen Voraussetzungen genügen.
Von Cross Domain Verabeitung sprechen wir, wenn die Verarbeitung über vom Nutzer als Verschiedene Systeme hinweg stattfindet, z.B. eine Webseite und eine App oder zwei verschiedene Inernetdomains. Alle beteiligten müssen jedoch vom selben Anbieter betrieben werden (vom selben Datenverantwortlichen - inkl. Auftragsverarbeitungen). Die Abrgenzung von Single Domain ist durchaus schwierig, insbesondere da Abgrenzungen zwischen technischen Sytemen durchaus auf unterschliedlichen Leveln definiert werden können. Zudem können manche Nutzer zwei Subsysteme eines Anbieter als getrennte Systeme ansehen, während andere diese als ein System ansehen. Daher werden Single Domain und Cross Domain in Bezug auf den Interessenausgleich auch im wesentlichen gleich behandelt. Sollte sich die Unterscheidung zwischen Single und Cross Domain in der Praxis also schwer herausstellen, könnten die beiden Domains in dieser Betrachtung zu einer Kategorie vereinigt werden.
Beeinflussung im persönliche Bereich, z.B. durch E-Mails, Telefon, Postsendung, Whatsapp, OS-App Benachrichtigungen, etc. oder gar persönliches Aufsuchen. Dies unterscheidet sich deutlich von einer Beeinflussung auf der Platform des Anbieters oder in Werbebannern, da man bei letzterem sich durch Schließen des Browserfesters/App dem entziehen kann. Dies kann durch einen Anbieter (bei Single Domain Verarbeitung) oder mehrere (Shared Ownership) erfolgen. Diese Domain hat auch nur für die Subkategorien P-P-*, P-PA-* Relevanz und wird in deshalb in diesen Kategorien explizit erwähnt.
Die Verarbeitung findet über Systeme unterschiedlicher Anbieter statt, wobei jeder Anbieter für die Daten auf seinen Systemen selbst als Datenverantwortlicher auftritt. Dies bezieht Verarbeitungen mit gemeinsamer Datenverantwortlichkeit als auch Übergaben von Daten an neue Datenverantwortliche mit ein.
Die Profile enthalten u.a. Attribute aus sensiblen Kategorien wie z.B. Gesundheitsdaten oder Finanzdaten. Die Verarbeitungen können zusätzlich noch in den verschiednen anderen Domains (Single/Cross Domain, Shared Ownership) stattfinden, was u.U. differenziert zu bewerten ist.
[Domain aktuell nicht verwendet] Die Verarbeitung findet auf dem System des Plattformbetreibers statt. Personalisierungen und statistische Auswertungen werden jedoch auch von Dritten auf der Platform gesteuert, womit sie zumindest als gemeinsamer Datenverantwortlicher auftreten. Die Plattform ist damit dem freien internet gleichzustellen. Die Verarbeitungen erfolgen somit in gemeinsamer Datenverantwortung und sind somit äquivalent zu -SO. Die Domain -PF muss somit nicht getrennt berücksichtig werden.
[Domain aktuell nicht verwendet] Da bei der Varebietung der ursprüngliche Datenverantwortliche verantwortlich bleibt und auch praktisch immer auf Auftragsverarbeitungen zurückgegriffen wird, sollte der Interessenausgleich mit Single Domain (-) identisch sein.
[aktuell nicht verwendet] Aktuell ist das Subkategorie Schema mit 3 Elementen aufgebaut (Verarbeitung-Datentyp-Domain). Es sind jedoch prinzipiell auch weitere Kombinationen möglich, relevant dabei im Moment aber nur die Kombination *-SO-SC, da bei sensiblen Daten schon nochmal unterschieden werden sollte ob ein oder mehrere Anbieter Zugriff haben. Das wird aktuell jedoch einfach im Text zum Interessenausgleich von -SC erklärt um die Komplexität des Konzepts zur begrenzen. Es wäre jedoch zukünftig möglich hier systematische/kombinatorischer heranzugehen. Vor allem wenn -PD eingeführt wird ergeben sich hier noch weitere relevante Kombinationen.
Dieses Dokument bezieht sich nicht direkt auf Cookies, da diese nur eine bestimmte technische Form der Identifizierung ermöglichen und die Rechtmäßigkeit Verarbeitung im wesentlichen unabhängig von der technischen Realisierung sein sollten. Cookies sind aktuell jedoch die Technik, die in der Öffentlichkeit als wesentliches Risiko für die eigene Privatsphäre angesehen wird (#Cookieangst).
Cookies werden zur Speichrung von Profildaten (Identifizierungsmerkmale oder Attribute) im Browser auf dem Endgerät des Nutzer genutzt. Cookies werden dabei pro Anbieter (pro Domain) genutzt, so dass jeder Anbieter nur seine Cookie setzen und lesen kann. Genutzt wird dies um Daten über verschiedene Seitenaufrufe oder Sessions zu speichern, was ohne Cookies (oder vergleichbare Techniken) nicht möglich wäre. In Cookies können entweder Attribute und/oder IDs gespeichert werden. Im Falle von IDs können Attribute auch auf den Servern des Anbieters abgelegt werden und dann über die ID wieder abgerufen werden.
Setzt der Anbieter einer Webseite ein Cookie wird dies als 1st party Cookie bezeichnet. Setzt der Anbieter auf seiner Webseite Programmteile eines anderen Anbieters ein (3rd party), kann dieses Programm ebenfalls Cookies setzten, und zwar nicht nur unter der Domain des aktuellen Anbieters, sondern auch unter der Domain des 3rd party Anbieters (3rd party Cookie). Im Context der einen Webseite macht das zunächst keinen Unterschied. Wird der 3rd Party Anbieter jedoch auch von anderen Webseiten eingebunden sind die 3rd Party Cookies auf beiden Webseiten abrufbar, was dem 3rd party Anbieter erlaubt webseitenübergreifende Profile anzulegen.
Wie gesagt ist die Unterscheidung zwischen 1st und 3rd party Cookies für dieses Dokument nicht relevant, da es sich um technische Eigenheiten handelt. Man kann jedoch grob sagen, dass für Single Domain Verarbeitungen 1st party Cookies verwendet werden, während für Shared Ownership Verarbeitungen (*-SO) 3rd party Cookies notwendig sind. Allerdings werden 3rd party Cookies auch teilweise für *-CD Verarbeitungen benötigt. Die rechtliche Bewertung sollte dann jedoch von der Verarbeitungskategorie abhängen, nicht von der Art der eingesetzten Cookies.
Cookie-Banner sind Popups auf Websiten oder Apps, die die Zustimmung zum setzen bestimmter Tracking-Cookies vom Nutzer einholen. Sie werden heute hauptsächlich direkt beim ersten Besuch geöffnet und behindern mehr oder weniger aufdringlich den Zugang zur Webseite/App.
Ziel der Initiative ist der Verzicht auf Cookiebanner und die damit einhergehenden Einschränkungen für den Nutzer. Zum einen dadurch, dass bestimmte Verarbeitungen zukünftig keine Zustimmung mehr benötigen, zum anderen dadurch, dass zustimmungspflichtige Verarbeitungen die Zustimmung durch andere, weniger aufdringliche Methoden abfragen, z.B. erst beim Signup.
Dies muss nicht zwangsläufig per Verbot geregelt werden. Anbieter könnten in Anbetracht einer besseren Bounce-Rate auf zustimmungspflichtige Verarbeitung verzichten (Nun da sie ja bestimmte Verarbeitungen auch ohner durchführen können). Anbieter die weiterhin auf “Gib-Alles” Tracking setzen könnten durch die Nutzer abgestraft werden, wenn es genügend Alternativen mit besserer Userexperience gibt.
TCF 2.0 ist ein von der IAB herausgegebenes Framework für Consent Banner. Auch hier werden Kategorien definiert, allerdings geht es bei TCF eher um die Gründe der Verarbeiter, während in diesem Konzept die Art der Datenverarbeitung und die Auswirkungen auf die Privatsphäre betrachtet werden.
Die Hauptkritik and TCF 2.0 ist aber, dass es die aktuelle Situation lediglich zementiert. Zudem ist es komplex nicht nur in der Implementierung für Anbieter sondern führt auch zu komplexen Cookiebannern - was möglicherweise auch gewollt ist, um weiterhin Nutzere in die Zustimmung hinein zu “tricksen”.
Das hier vorgestellte Konzept versucht gar nicht mit der Situation mitzuschwimmen, sondern ungefährliche Verarbeitungen als solche herauszustellen und eine Verarbeitung ohne Zustimmung zu fordern. Andere Verabeitungen (Privatsphöre relevante) sollten dann im Gegenzug nicht über tricksende Cookiebanner ermöglicht werden. Nur so kann die momentane (etwas absurde) Klicktirade auf Webseiten und in Apps für alle sinnvoll gelöst werden.
Es werden Interaktionsdaten gespeichert und analysiert die einem anonymen Profil zugeordnet sind (eindeutige/zufällige IDs ). Nutzung für für den Betriebsablauf notwendiger Aktionen. Auch Platformen die anonyme Accounts/Profile anbieten und für den Betrieb notwendige Inhalte diesen Accounts zuweisen.
Platformen, die Accounts ohne E-Mailadressen anbieten, z.B. trash-mail.com, Fraud-Detection-Systeme
Der Nutzer hat ein Interesse an der Nutzung des Services und die betreffende Verarbeitung ist für diesen Service notwendig
Die betreffende Verarbeitung ist für diesen Service notwendig. Insgesamt dürften notwenige Verarbeitungen unstrittig sein und sind in diesem Dokument nur der Vollständigkeit halber angegeben.
Art 6 Abs. 1 b)
nicht notwendig
Grundsätzlich wie N-A, jedoch mit Austausch der Profildaten zwischen unterschiedlichen Systemen (z.B. Website, App) des Anbieters. Das Problem ist die Identifizierbarkeit, da eine eindutige ID ggf. ohne Mithilfe des Nutzers ausgetauscht werden muss. GGf. durch Link-Parameter lösbar.
Wie N-A mit mehreren technischen platformen.
Der Nutzer hat ein Interesse an der Nutzung des Services und die betreffende Verarbeitung ist für diesen Service notwendig
Die betreffende Verarbeitung ist für diesen Service notwendig. Insgesamt dürften notwenige Verarbeitungen unstrittig sein und sind in diesem Dokument nur der Vollständigkeit halber angegeben.
Art 6 Abs. 1 b)
nicht notwendig
Eine Verarbeitung im Sinne der anderen N-A Kategorien jedoch mit sensiblen Attributen.
Es ist selbstverständlich die Notwendigkeit zu prüfen. Wenn diese vorliegt ist die Verarbeitung jedoch im Interesse von Nutzer und Anbieter
Art 6 Abs. 1 b)
nicht notwendig
Notwendige anonyme Datenverarbeitung, wobei die Profildaten zwischen verschiedenen Datenverantwortlichen ausgetauscht werden.
Affiliate bei CPO-basierter Abrechnung, wobei die Notwendigkeit aus Sicht des Nutzers zu diskutieren ist. Evtl. auch Einbindung von 3rd-Party-Werbebannern mit Cookies, wenn die Werbefinanzierung notwendig ist.
Der Nutzer hat ein Interesse an der Nutzung des Services und die betreffende Verarbeitung ist für diesen Service notwendig. Im Falle von Affiliate Abrechungen ist dies jedoch fraglich - diese wären aber auch mit S-A-SO möglich.
Die betreffende Verarbeitung ist für diesen Service notwendig.
Art 6 Abs. 1 b)
nicht notwendig
Es werden (persönliche) Kundenstammdaten erhoben die für die Ausführung eines Vertrages notwendig sind (Namen, Adressedaten, Zahlungsdaten, Emailadresse) oder den Betrieb notwendig sind
Onlineshops, SaaS Services, letztlich alle Transaktionen die eine externe Identifizierbarkeit des Nutzers erfordnern, insbesondere Bezahlungen. Ggf auch Emailadressen für Newsletter, falls der Newsletter die eigentliche Anfrage des Kunden war.
Der Nutzer hat ein Interesse an der Nutzung des Services und die betreffende Verarbeitung ist für diesen Service notwendig
Die betreffende Verarbeitung ist für diesen Service notwendig. Insgesamt dürften notwenige Verarbeitungen unstrittig sein und sind in diesem Dokument nur der Vollständigkeit halber angegeben.
Art 6 Abs. 1 b)
nicht notwendig
Es werden (persönliche) Kundenstammdaten erhoben die für die Ausführung eines Vertrages notwendig sind (Namen, Adressedaten, Zahlungsdaten, Emailadresse) oder den Betrieb notwendig sind. Sobald ein System mehrere Domains hat, findet die Verarbeitung i.d.R. auch domainübergreifend statt, da die Stammdaten meist sowieso in einem separaten Datenbanksystem gespeichert sind und auf diese dann von den verschiedenen Domains (z.B. Webshop, App) zugegriffen wird.
Onlineshops, SaaS Services, letztlich alle Transaktionen die eine externe Identifizierbarkeit des Nutzers erfordnern, insbesondere Bezahlungen. Ggf auch Emailadressen für Newsletter, falls der Newsletter die eigentliche Anfrage des Kunden war.
Der Interessenausgleich ändert sich nicht ggü. N-P. Die Aufteilung des Systems in mehrere Domains ist technischer Natur. Der Nutzer hat ein Interesse an der Nutzung des Services und die betreffende Verarbeitung ist für diesen Service notwendig
Die betreffende Verarbeitung ist für diesen Service notwendig. Insgesamt dürften notwenige Verarbeitungen unstrittig sein und sind in diesem Dokument nur der Vollständigkeit halber angegeben.
Art 6 Abs. 1 b)
nicht notwendig
Es werden (persönliche) Kundenstammdaten erhoben die sensible Daten enthalten und die für die Ausführung eines Vertrages notwendig sind (Namen, Adressedaten, Zahlungsdaten, Emailadresse) oder den Betrieb notwendig sind. Grundsätzlich können diese Verarbeitungen auch zusätzlich in den Subkategorien -CD und -SO stattfinden
Kreditvermittlung, Vermittlung eines Interessenten von einer Internetplattform an Ärzte
Der Nutzer hat ein Interesse an der Nutzung des Services und die betreffende Verarbeitung ist für diesen Service notwendig. Der Nutzer hat im Vergeleich zu den anderen Subkategorien jedoch ein erhöhtes Schutzbedürfnis wegen der sensiblen Daten. Der Anbieter muss den Relevanz der sensiblen Daten für den Zweck stärker prüfen, die Weitergab auf ein Minimum reduzieren und technische Schutzmaßnahmen unbedingt sicherstellen.
Die betreffende Verarbeitung ist für diesen Service notwendig. Insgesamt dürften notwenige Verarbeitungen unstrittig sein und sind in diesem Dokument nur der Vollständigkeit halber angegeben.
Art 6 Abs. 1 b)
nicht notwendig
Es werden (persönliche) Kundenstammdaten erhoben die für die Ausführung eines Vertrages notwendig sind (Namen, Adressedaten, Zahlungsdaten, Emailadresse) oder den Betrieb notwendig sind. Diese werden mit weiteren Anbietern geteilt. Achtung, es handelt sich nicht um eine Auftragsdatenverarbeitung, diese wäre bereits durch N-P und N-P-CD abgedeckt, da sich der Datenverantwortliche nicht ändert.
Immoblienscout, Vermittlung eines Interessenten von einer Internetplattform für Werkstattaufträge an eine Werkstatt, Einbindung von 3rd Party Tools in die Webseite (MyFonts, Google Maps) mit übergabe der IP Adresse. Links - einerseits weil ggf. der Referrer übergeben wird, andererseits weil die Weiterleitung auf die neue Adresse dem neuen Anbieter erlaubt erlaubte Daten vom Nutzer zu sammeln.
Der Nutzer hat ein Interesse an der Nutzung des Services und die betreffende Verarbeitung ist für diesen Service notwendig
Die betreffende Verarbeitung ist für diesen Service notwendig. Insgesamt dürften notwenige Verarbeitungen unstrittig sein und sind in diesem Dokument nur der Vollständigkeit halber angegeben.
Art 6 Abs. 1 b)
nicht notwendig
Es werden Interaktionsdaten gesammelt und zu intern identifizierbaren Profilen zusammengefasst. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis angezeigt. z.B. Rabatt Banner beim 3ten Besuch oder auch Variationen in A/B Tests
Mixpanel Engage, Optimizly, CDP
Auswirkungen können positiv (z.B. Empfehlungen passender Produkte, Rabatte) oder auch negativ sein (Optimierung des Gewinns durch personalisierte Preise). Teilweise sind die Effekte vom Nutzer gewünscht, jedoch nicht explizit bestellt - sonst wäre es eine notwendige Verarbeitung. Der Übergang ins notwendige ist möglicherweise fließend und insbesondere dann gegeben wenn der Nutzer eine solche Funktion explizit aktiviert. Sind diese Funktionen explizit (z.B. in der Produktbeschriebung) Features des Produkts (gekoppelt mit Produkt) ist die Zuordnung zu P-* bzw. N-* ggf uneindeutig. Es werden keine externen Identifizierungsmerkmale verwendet. Die Beeinflussung erfolgt ausschließlich auf der Platform des Anbieters. Der Nutzer kann sich mindestens durch Nichtbenutzung der Platform entziehen, wenn nicht gar durch Maßnahmen wie z.B. des Löschen der Cookies. Eine Beeinflussung außerhalb des Systems ist ausgeschlossen.
Für den Kunden passendes Produkt erhöht Kaufwahrscheinlichkeit. Erhöhung des Kundenzufriedenheit (=Wiederkaufbereitschaft, Empfehlungen). Erhöhung des Gewinns.
Art 6 Abs. 1 f) Interesse Anbieter überwiegt. Ggf müssen Platformen mit Marktübermacht anders behandelt werden, da der Nutzer sich ihnen ggf. nicht wirklich entziehen kann.
nicht notwendig
Es werden Interaktionsdaten in verschiedenen Systemen des Anbieters gesammelt und zu intern identifizierbaren Profilen zusammengefasst. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis über die verschiednen Systeme hinweg angezeigt. z.B. Rabatt Banner beim 3ten Besuch oder auch Variationen in A/B Tests
Mixpanel Engage, Optimizly, CDP
Keine Änderungen ggü P-A. Die Tatsache dass die Personalisierungen z.B. auf der Webseite und der App eines Anbieters zur Verfügung stehen dürfte heute keinen Nutzer mehr überaschen und oft auch gewollt sein.
wie P-A. Für den Kunden passendes Produkt erhöht Kaufwahrscheinlichkeit. Erhöhung des Kundenzufriedenheit (=Wiederkaufbereitschaft, Empfehlungen). Erhöhung des Gewinns.
Art 6 Abs. 1 f) Interesse Anbieter überwiegt. Ggf müssen Platformen mit Marktübermacht anders behandelt werden, da der Nutzer sich ihnen ggf. nicht wirklich entziehen kann.
nicht notwendig
Es werden Interaktionsdaten und Daten in sensiblen Kategorien (Finanzdaten, Gesundheitsdaten) in Systemen möglicherweise verschiedener Anbieter gesammelt und zu intern identifizierbaren Profilen zusammengefasst. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis über die verschiednen Systeme hinweg angezeigt. z.B. Rabatt Banner beim 3ten Besuch oder auch Variationen in A/B Tests, Remarktinganzeigen.
Criteo, Mixpanel Engage, Optimizly, DMP
Für den Nutzer ist hier relevant, ob die Verabeitungen in der Single/Cross Domain oder per Shared Ownership verarbeitet werden. In Single Cross Domain ist die Tatsache der Verarbeitung sensibler Daten weniger relevant, da der Nutzer ja auf einer entsprechenden Platform befindent muss und sich somit sich eh gerade mit diesen Themen auseinandersetzt. Bei die -SO Domain kommt aber hinzu, dass a) die Daten geteilt werden und b) sich der Nutzer sich der Personlaisierung nicht durch verlassen des Systems des Anbieters entziehen kann. So könnte der Nutzer auf einer anderen Seite eine personalisierte Werbung z.B. für eine Schuldnerberatung sehen und dies könnte sogar von Dritten (z.B. Kollegen) beobachtet werden.
wie P-A. Für den Kunden passendes Produkt erhöht Kaufwahrscheinlichkeit. Erhöhung des Kundenzufriedenheit (=Wiederkaufbereitschaft, Empfehlungen). Erhöhung des Gewinns.
für P-A-SO-SC: Art 6 Abs. 1 a) Interesse Nutzer überwiegt. Ggf sollten bestimmte Verarbeitungen (Remarketing) gar nicht erlaubt werden. Andernfalls wären eine solche Verabeitung eher unkritisch für den Nutzer und sollte per Art 6 Abs. 1 f) erlaubt sein. Art 22 DSGVO (automatisierte Entscheidungsfindung) ist vom Anbieter zu beachten.
für P-A-SO-SC: sollten beim Öffnen der Seite nicht erlaubt werden. Einwilligung zur Verarbeitung kann aber ggf. tiefer auf der Webseite abgefragt werden.
Es werden Interaktionsdaten von verschiednen Anbietern gesammelt und zu intern identifizierbaren Profilen zusammengefasst. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis angezeigt. z.B. Retargeting/Remarketing. Zudem zählt das Einbinden von externen Diensten (wie z.B. Werbebanner auf der eigenen Webseite) wenn diese Dienste personalisieren dazu, da diesen Diensten erlaubt werden muss den nutzer auf der für sie fremden Websiete zu identifizieren (interne Identifizierung per anonymer ID). Personalisierungen können auf Daten von Partnerentitäten basieren. Dies ermöglicht z.B. Retargetinganzeigen bei Publishern basierend auf Besuchen auf Webseiten der Advertiser. Zusätzlich können die Daten aber auch partnerübergreifend zusammengefasst werden. So können Advertiser z.B. Anzeigen an Nutzer ausspielen die oft Autoseiten besuchen. Auch Look-a-like funktioniert in dieser Kategorie. Dabei werden Profile mit ähnlichen Attributen gefunden. Z.B. Nutzer die nicht auf den Seiten des Anbieters A waren aber auf vielen ähnlichen. Diese Zielgruppen können dann auch Anzeigen von Anbieter A bekommen.
Criteo, Adform, DMP, Webseite Chat (ohne Abfrage Email/Namen etc.)
ähnlich wie bei P-A wird der Nutzer durch Personalisierung beeinflusst (ggf positiv oder negativ). Durch das Teilen der Profildaten/oder zumindest der internen ID (z.B. im Werbenetzwerk) kann sich der Nutzer dem jedoch nicht so einfach entziehen. Im Sinne des Interessenausgleichs muss hier zwischen nicht personalisierter Werbung und interessenbaiserter Werbung unterschieden werden: Natürlich ist Werbung für den Nutzer unangenehm. Werbung ist aber als Monetarsierungsmodell gesetzt und allgemein üblich und höchstwahrscheinlich vom Nutzer auch gewollt ggü einem ubiquitären Bezahlmodell. Vom negativen Effekt der personalisierten Werbung auf den Nutzer (er will sie nicht) muss also der negative Effekt der nicht personalisierten Werbung abgezogen werden, um einen sinnvollen Interessenausgleich für Retargeting durchzuführen. Werbung würde ja sonst trotzdem nur eben nach dem Gießkannenprinzip stattfinden. Weiterhin gilt, das die Profile nur intern identifizierbar sind. D.h. Daten sind weiterhin in einem Silo. Werden Besuche auf Produktwebsiten erfasst kann die personalisierte Werbung eben auch nur auf Daten zu diesem Produkt beruhen. Aufgrund des Zusammenfassens mehrerer Anbieter können jedoch recht komplexe Profile mit verschiedensten Interessen entstehen. Hier wären ggf. Einschränkungen möglich, z.B. indem Interessendaten in einem Profil nur von einem Anbieter gesammelt werden dürfen und die anderen Anbieter ausschließlich Personalisieren (ohne mit eigenen Daten zu verbinden) Zudem ist zu beachten, dass personalisierte Werbung dem Nuzter u.U. auch weniger stört als Werbung mit vollkommen falschen Produkten.
Insbesondere Retargetring macht Werbemaßnahmen deutlich effektiver. Ein Verbot von Retargeting dürfte vor allem auch kleine innovative Unternehmen wie Startups treffen. Große Konzerne können auch mit Gießkannenwerbung viel erreichen, da sie bereits große Zielgruppen bedienen und sowieso einen großen Teil ihrer Maßnahmen für Markenbekanntheit einsetzen. Startups haben oft eine sehr kleine spitze Zielgruppe. Sie sind darauf angewiesen dass ihre Werbemaßnahmen genau diese Gruppe treffen. Sie können es sich nicht leisten einfach jeden Nutzer anzusprechen (z.B. durch TV Werbung). Außerdem werden Unternehmen für ungerichtete Werbung weniger zahlen. Dies wird langfristig negative Folgen auf kostenlosen Content im Internet haben. Erste Anzeichen dafür dürften deutsche Online Medien sein, die aufgrund zunehmend schlechterer Prognosen für Werbeeinnahmen immer mehr auf Paywall-Modelle setzen. Das wiederum dürfte zu deutlich weniger Angebot führen, da Nutzer sicherlich eher ein Abonnement für eine Zeitung abschließen als auf verschiedenen Seite per View zu bezahlen.
offen, je nach Abwägung Art 6 Abs. 1 f) oder Art 6 Abs. 1 a). Das sollte jedoch per Richtlinie festgelegt werden und nicht im Einzefall vom Anbieter. In Fällen wo Art 6 Abs 1 a) greifen sollte, wären noch der Fall der Kopplung zu berücksichtigen. Ggf. Können Anbieter die Nutzung ihres Produkts von der Einwilligung abhängig machen wenn die eindeutig mit dem Finanzierungsmodell des Angebots zusammenhängt (Einbindung von personalisierter Werbung auf Publisher Webseiten wo z.B. Redaktioneller Content ansonsten untentgeltlich angeboten wird)
bei Art 6 Abs. 1 f) entfällt dies. Bei Art 6 Abs. 1 a) sollte dies jedoch nicht mehr beim Öffnen der Webseite per Banner abgefragt werden dürfen. Die sollte erst bei einem späteren Conversionzeitpunkt erlaubt werden (z.B. wenn der Nutzer ein bestimmtes Produkt angeschaut hat) und dann (evtl nicht per Popup) gefragt werden ob er zu diesem Produkt erinnert werden möchte. Diese Maßnahmen könnten die Qualität der Zielgruppe evtl sogar erhöhen.
Es werden Interaktionsdaten gesammelt und zu intern identifizierbaren Profilen zusammengefasst und mit Attributen aus persönlichen Profilen angereichert. Dazu enthalten die persönlichen Profile die interne ID der anonymen Profile. Das verarbeitende System braucht dabei keinen Zugriff auf die persönlichen Profile. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis angezeigt. z.B. Personalisierung auf Wohnort, Werbung auf sozialen Platformen für Produkte die anderen (Freunde) geliked haben.
CDP (Data warehouse mit Stamm und Interaktionsdaten und Anschluss an Personalisierungen - z.B. onsite), evtl. Facebook (wobei Facebook & Co aufgrund der vielen Anbieter auf der Platform vermutlich nicht mehr als Single Domain zählen kann)
Im Grunde vergleichbar zu P-A. Die Personalisierungen können konkreter sein und sogar Namen enthalten. Da die Personalisierungen aber nur auf Daten der Systeme des Anbieters (und vom Kunden agegebener Daten) beruhen und zudem nur auf den Systemen des Anbieters ausgespielt wird (nicht per Email,etc, da diese Daten in P-AP nicht zur verfügung stehen) sind die Auswirkungen begrenzt und der Nutzer kann sich dem entziehen.
Für den Kunden passendes Produkt erhöht Kaufwahrscheinlichkeit. Erhöhung des Kundenzufriedenheit (=Wiederkaufbereitschaft, Empfehlungen). Erhöhung des Gewinns.
Art 6 Abs. 1 f) Interesse Anbieter überwiegt. Ggf müssen Platformen mit Marktübermacht anders behandelt werden, da der Nutzer sich ihnen ggf. nicht wirklich entziehen kann. Wichtig bei allen -AP- Verarbeitungen: Betrachtet wird nur die (zusätzliche) Anreicherung von Anonymen Profilen mit Attributen aus persönlichen Profilen. Die Erfassung der persönlichen Daten unterliegt eigenen Rechtsgrundlagen gemäß N-P-*, P-P-*
nicht notwendig
Es werden Interaktionsdaten in verschiedenen Systemen des Anbieters gesammelt, zu intern identifizierbaren Profilen zusammengefasst und mit Attributen aus persönlichen Profilen angereichert. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis über die verschiednen Systeme hinweg angezeigt. z.B. Rabatt Banner beim 3ten Besuch oder auch Variationen in A/B Tests
CDP mit Login
Keine Änderungen ggü P-AP. Die Tatsache dass die Personalisierungen z.B. auf der Webseite und der App eines Anbieters zur Verfügung stehen dürfte heute keinen Nutzer mehr überaschen und oft auch gewollt sein.
wie P-A. Für den Kunden passendes Produkt erhöht Kaufwahrscheinlichkeit. Erhöhung des Kundenzufriedenheit (=Wiederkaufbereitschaft, Empfehlungen). Erhöhung des Gewinns.
Art 6 Abs. 1 f) Interesse Anbieter überwiegt. Ggf müssen Platformen mit Marktübermacht anders behandelt werden, da der Nutzer sich ihnen ggf. nicht wirklich entziehen kann.
nicht notwendig
Es werden Interaktionsdaten und Daten in sensiblen Kategorien (Finanzdaten, Gesundheitsdaten) in Systemen möglicherweise verschiedener Anbieter gesammelt, zu intern identifizierbaren Profilen zusammengefasst und mit Attributen aus persönlichen Profilen angereichert. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis über die verschiednen Systeme hinweg angezeigt. z.B. Rabatt Banner beim 3ten Besuch oder auch Variationen in A/B Tests, Remarktinganzeigen, nach demografischen Daten.
Personalisierungen, Werbung, Retargeting wie in P-AP-* jedoch hier mit Anbietern die sensible Daten erfasssen.
Grundsätzlich vergleich bar mit [P-A-SC]. Die zusätzlichen Attribute dürften weniger ins Gewicht fallen, v.a. da bereits sensible Daten verarbeitet werden.
wie P-AP. Für den Kunden passendes Produkt erhöht Kaufwahrscheinlichkeit. Erhöhung des Kundenzufriedenheit (=Wiederkaufbereitschaft, Empfehlungen). Erhöhung des Gewinns.
für P-AP-SO-SC: Art 6 Abs. 1 a) Interesse Nutzer überwiegt. Ggf sollten bestimmte Verarbeitungen (Remarketing) gar nicht erlaubt werden. Andernfalls wären eine solche Verabeitung eher unkritisch für den Nutzer und sollte per Art 6 Abs. 1 f) erlaubt sein. Art 22 DSGVO (automatisierte Entscheidungsfindung) ist vom Anbieter zu beachten. Wichtig bei allen -AP- Verarbeitungen: Betrachtet wird nur die (zusätzliche) Anreicherung von Anonymen Profilen mit Attributen aus persönlichen Profilen. Die Erfassung der persönlichen Daten unterliegt eigenen Rechtsgrundlagen gemäß N-P-*, P-P-*
für P-A-SO-SC: sollten beim Öffnen der Seite nicht erlaubt werden. Einwilligung zur Verarbeitung kann aber ggf. tiefer auf der Webseite abgefragt werden.
Es werden Interaktionsdaten von verschiednen Anbietern gesammelt, zu intern identifizierbaren Profilen zusammengefasst und mit Attributen a us persönlichen Profilen angereichert. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis angezeigt. z.B. Retargeting/Remarketing. Entscheidend ist das mindestens ein Partner die anonymen Profildaten mit persönlichen Daten verbindet (und sie damit pseudonym macht). Das ist bei Facebook und Google der Fall. Ob dies per P-AP-SO oder P-PA-SP erfolgt können nur die Anbieter selbst beantworten. P-AP-SP würde für viele Fälle (wie z.B. intern identifizierbare Zielgruppen mit demografischen Merkmalen wie Alter anzureichern).
Facebook, Google Ads
ähnlich zu P-A-SO jedoch mit detailierteren Daten (z.B. Altersgruppen). Im Vergleich zu [P-PA-SO] fehlt jedoch die Möglichkeit den Nutzer im persönlichen Bereich zu errechen (z.B. per Email) und auch die Möglichkeit Merkmale wie Namen direkt in Personalisierungen zu nutzen.
Insbesondere Retargetring macht Werbemaßnahmen deutlich effektiver. Hier kommen noch demografische Merkmale als zusätzliche Targetingkriterien hinzu. Ein Verbot von Retargeting dürfte vor allem auch kleine innovative Unternehmen wie Startups treffen. Große Konzerne können auch mit Gießkannenwerbung viel erreichen, da sie bereits große Zielgruppen bedienen und sowieso einen großen Teil ihrer Maßnahmen für Markenbekanntheit einsetzen. Startups haben oft eine sehr kleine spitze Zielgruppe. Sie sind darauf angewiesen dass ihre Werbemaßnahmen genau diese Gruppe treffen. Sie können es sich nicht leisten einfach jeden Nutzer anzusprechen (z.B. durch TV Werbung).
offen, je nach Abwägung Art 6 Abs. 1 f) oder Art 6 Abs. 1 a). Das sollte jedoch per Richtlinie festgelegt werden und nicht im Einzefall vom Anbieter. In Fällen wo Art 6 Abs 1 a) greifen sollte, wären noch der Fall der Kopplung zu berücksichtigen. Ggf. Können Anbieter die Nutzung ihres Produkts von der Einwilligung abhängig machen wenn die eindeutig mit dem Finanzierungsmodell des Angebots zusammenhängt (Einbindung von personalisierter Werbung auf Publisher Webseiten wo z.B. Redaktioneller Content ansonsten untentgeltlich angeboten wird) Wichtig bei allen -AP- Verarbeitungen: Betrachtet wird nur die (zusätzliche) Anreicherung von Anonymen Profilen mit Attributen aus persönlichen Profilen. Die Erfassung der persönlichen Daten unterliegt eigenen Rechtsgrundlagen gemäß N-P-*, P-P-*
bei Art 6 Abs. 1 f) entfällt dies. Bei Art 6 Abs. 1 a) sollte dies jedoch nicht mehr beim Öffnen der Webseite per Banner abgefragt werden dürfen. Die sollte erst bei einem späteren Conversionzeitpunkt erlaubt werden (z.B. wenn der Nutzer ein bestimmtes Produkt angeschaut hat) und dann (evtl nicht per Popup) gefragt werden ob er zu diesem Produkt erinnert werden möchte. Diese Maßnahmen könnten die Qualität der Zielgruppe evtl sogar erhöhen.
Es werden Stammdaten erfasst und zu extern identifizierbaren Profilen zusammengefasst. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis angezeigt. z.B. Begrüßung mit Namen. Verarbeitungen finden nur im System des Anbieters statt.
Shopsystem mit Personalisierung, Intercom
Die Personalisierung kann unerwünscht oder gewünscht sein (z.B. Begrüßung oder Profilbild, Preisanpassung, Rabatt). In letzterem Fall (gewünscht) kann es sich auch um eine erwartete Funktion des Produkts handeln und somit als Vertragserfüllung gelten (N-P)
Direkte Ansprechbarkeit des Kunden erhöht Reichweite ggf. Kaufwahrscheinlichkeit je nach Maßnahme auch die Kundenzufriedenheit und -bindung.
Personalisierung im System des Anbieters: Art 6 Abs. 1 f) Ggf können kleinere Personalisierungen (Namentliche Begrüßung) als Teil des bestellten Produkts gesehen werden und sind somit N-P und damit sowieso einwilligunsfrei.
nicht notwendig
Es werden Stammdaten in verschiedenen Systemen des Anbieters erfasst und zu extern identifizierbaren Profilen zusammengefasst. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis angezeigt. z.B. Begrüßung mit Namen
Mixpanel Engage, Optimizly, CDP
Keine Änderungen ggü. P-P. Die Tatsache dass die Personalisierungen z.B. auf der Webseite und der App eines Anbieters zur Verfügung stehen dürfte heute keinen Nutzer mehr überaschen und oft auch gewollt sein.
wie P-P. Direkte Ansprechbarkeit des Kunden erhöht Reichweite ggf. Kaufwahrscheinlichkeit je nach Maßnahme auch die Kundenzufriedenheit und -bindung.
Personalisierung im System des Anbieters: Art 6 Abs. 1 f) Ggf können kleinere Personalisierungen (Namentliche Begrüßung) als Teil des bestellten Produkts gesehen werden und sind somit N-P und damit sowieso einwilligunsfrei.
nicht notwendig
Es werden Stammdaten in Systemen des Anbieters erfasst und zu extern identifizierbaren Profilen zusammengefasst. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis angezeigt. z.B. Produktempfehlungen, Statistiken und zwar auch außerhalb des System des Anbieters (Email, Telefon, etc)
Newsletter, Shopsysteme mit Personalisierung (Produktempfehlungen), Warenkorbabbrecher Emails, Statistiken per Email
Auswirkungen können den Nutzer direkt in seinem persönlichen Bereich treffen, z.B. Postsendung nach Hause. Die Personalisierung kann unerwünscht oder gewünscht sein (z.B. Begrüßung oder Profilbild). In letzterem Fall kann es sich auch um eine erwartete Funktion des Produkts handeln und somit als Vertragserfüllung gelten (N-P)
Direkte Ansprechbarkeit des Kunden erhöht Reichweite ggf. Kaufwahrscheinlichkeit je nach Maßnahme auch die Kundenzufriedenheit und -bindung.
Bei direkter Ansprache außerhalb (Email, Post, Telefon) Art 6 Abs. 1 a), Interesse Nutzer überwiegt. Evtl. muss dies aber gar nicht per E-Privacy geregelt werden, da dies als unzumutbare Belästigung bereits durch andere Gesetze geregelt wird.
Die Einwilligung nicht per Cookiebanner eingeholt werden, sondern per Formular tiefer im Funnel (Newsletter Signup). Ggf auch per Popup aber dann z.B. nicht beim ersten Öffnen der Seite.
Es werden Stammdaten und Daten in sensiblen Kategorien (Finanzdaten, Gesundheitsdaten) in Systemen möglicherweise verschiedener Anbieter gesammelt und zu extern identifizierbaren Profilen zusammengefasst. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis über die verschiednen Systeme hinweg angezeigt. z.B. Rabatt Banner beim 3ten Besuch oder auch Variationen in A/B Tests, Newsletter, Remarktinganzeigen.
Schufa, elektronische Gesundheitsakte, personalisierter Newsletter Onlineapotheke
Für den Nutzer ist hier relevant, ob die Verabeitungen in der Single/Cross Domain oder per Shared Ownership verarbeitet werden. In der Single/Cross Domain ist die Tatsache der Verarbeitung sensibler Daten weniger relevant, da der Nutzer ja auf einer entsprechenden Platform befindent muss und sich somit sich eh gerade mit diesen Themen auseinandersetzt. Wird jedoch der persönliche Bereich berührt (Email, Telefon, Post) ist die Beeinflussung wesentlich stärker und kann auch von Dritten wahrgenommen werden. Bei die -SO Domain kommt aber hinzu, dass a) die Daten geteilt werden und b) sich der Nutzer sich der Personalisierung nicht durch verlassen des Systems des Anbieters entziehen kann. So könnte der Nutzer auf einer anderen Seite eine personalisierte Werbung z.B. für eine Schuldnerberatung sehen und dies könnte sogar von Dritten (z.B. Kollegen) beobachtet werden. Im Falle von der Schufa oder auch der Gesundheitsakte werden sensible Daten mit weiteren Anbietern geteilt, die diese ggf. nicht richtig schützen. Das Datenleckrisiko ist hoch.
wie P-A. Für den Kunden passendes Produkt erhöht Kaufwahrscheinlichkeit. Erhöhung des Kundenzufriedenheit (=Wiederkaufbereitschaft, Empfehlungen). Erhöhung des Gewinns. Teilweise Bewertung von Zahlungsfähigkeiten auf Basis von frühreen Transaktionen. Kenntniss von Vordiagnosen beim Arzt
Art 6 Abs. 1 a) Interesse Nutzer überwiegt. Art 22 DSGVO (Automatisierte Entscheidungen) ist vom Anbieter zu beachten.
kein Cookiebanner, Einwilligung zur Verarbeitung kann aber ggf. tiefer auf der Webseite abgefragt werden.
Es werden Stammdaten von mehreren Anbieter erfasst und zu extern identifizierbaren Profilen zusammengefasst. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis angezeigt. z.B. externe Newsletter, Werbung. Die Zusammenführung basiert auf externen Identifikationsmerkmalen oder Pseudonymen davon. Beispiel Facebook erweiterter Abgleich: Anbieter sendet Email-Adresse (gehasht) an Facebook, Facebook kann dies aber problemlos zu der richtigen Emailadresse zuordnen, solange Facebook die Adresse bekannt ist.
Facebook Erweiterter Abgleich, Conversion API, Emailmarketing/Paid Newsletter
Wie auch bei P-P ist zu unterscheiden, ob Nutzer die Auswirkung im persönlichen Bereich (Post, Email, Telefon) oder den Systemen der Anbieter (hier hauptsächlich Werbebanner) beeinflusst werden. Hier ist jedoch auch schon der nicht persönliche Bereich invasisver, da Werbebanner i.d.R. von vielen Dritten ausgespielt werden und sich der Nutzer dem nicht einfach entziehen kann. Im Gegensatz zu P-A-SO können nun auch wesentlich persönlichere Daten genutzt werden (z.B. Werbebanner mit “Guten Tag Herr Handorf”)
Direkte Ansprechbarkeit des Kunden erhöht Reichweite ggf. Kaufwahrscheinlichkeit je nach Maßnahme auch die Kundenzufriedenheit und -bindung.
Die ubiquitäre Ansprache im Web ist mit der persönlichen Ansprache per Email, Post, Telefon vergleichbarer als die Personalisierung in P-A. Daher sollte hier grundsätzlich Art 6 Abs. 1 a) (Interesse Nutzer überwiegt) gelten.
Einwilligung solte nicht per Cookiebanner erlaubt sein, sondern per Formular tiefer im Funnel (Newsletter Signup). Ggf. auch per Popup aber nicht beim ersten Öffnen der Seite.
Es werden Stammdaten erfasst und zu extern identifizierbaren Profilen zusammengefasst und zudem mit Interaktionsdaten z.B. von der Webseite/App angereichert. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis angezeigt. z.B. Produktempfehlungen, Statistiken
Shopsysteme mit Personalisierung (Produktempfehlungen), Statistiken, personalisierter Facebook Feed (Achtung: Der Facebookkern (Soziales Netzwerk ohne Pixel, erweiterter Abgelich, etc) muss eventuell auch als P-PA-SO bewertet werden, da wenn ein Nutzer eine FB Seite liked und diese einem anderen Nutzer in seinem Feed angezeigt wird ist dies evtl ein Interaktionsdatum was unter Zuhifenahme des Betreibers der FB Seite erfasst wurde. Dies ist durchaus sinnvoll , da ein soziales Netzwerk selbst ja ähnlich dem gesamten Internet mit verschieden Anbieter ist. Auch wird regelmäßig der Betrieb einer Facebookseite als gemeinsame Datenverantwortlichkeit bewertet)
Die Personalisierung kann unerwünscht oder gewünscht sein (z.B. Begrüßung oder Profilbild). In letzterem Fall kann es sich auch um eine erwartete Funktion des Produkts handeln und somit als Vertragserfüllung gelten (N-P)
Direkte Ansprechbarkeit des Kunden erhöht Reichweite ggf. Kaufwahrscheinlichkeit je nach Maßnahme auch die Kundenzufriedenheit und -bindung.
Personalisierung im System des Anbieters: Art 6 Abs. 1 f) Ggf Personalisierungen im System des Anbieter als Teil des bestellten Produkts gesehen werden und sind somit N-P und damit sowieso einwilligunsfrei. Art 6 Abs 1 f) sollte jedoch nur möglich sein, wenn die Verarbeitung nicht auch durch eine P-AP Verarbeitung durchführbar wäre (Trennung von persönlichen und pseudonymen Daten)
nicht notwendig
Es werden Stammdaten in verschiedenen Systemen des Anbieters erfasst und zu extern identifizierbaren Profilen zusammengefasst und zudem mit Interaktionsdaten z.B. von der Webseite/App angereichert. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis angezeigt. z.B. Produktempfehlungen, Statistiken
Shopsysteme mit Personalisierung (Produktempfehlungen), Statistiken, personalisierter Facebook Feed, jeweils mit unteschiedlichen Systemen (z.B. Webseite und APP mit übergreifenden Profilen)
Keine Änderungen ggü. P-PA. Die Tatsache dass die Personalisierungen z.B. auf der Webseite und der App eines Anbieters zur Verfügung stehen dürfte heute keinen Nutzer mehr überaschen und oft auch gewollt sein.
wie P-PA. Direkte Ansprechbarkeit des Kunden erhöht Reichweite ggf. Kaufwahrscheinlichkeit je nach Maßnahme auch die Kundenzufriedenheit und -bindung.
Personalisierung im System des Anbieters: Art 6 Abs. 1 f) Ggf können kleinere Personalisierungen (Namentliche Begrüßung) als Teil des bestellten Produkts gesehen werden und sind somit N-P und damit sowieso einwilligunsfrei. Art 6 Abs 1 f) sollte jedoch nur möglich sein, wenn die Verarbeitung nicht auch durch eine P-AP-CD Verarbeitung durchführbar wäre (Trennung von persönlichen und pseudonymen Daten)
nicht notwendig
Es werden Stammdaten in Systemen des Anbieters erfasst und zu extern identifizierbaren Profilen zusammengefasst und zudem mit Interaktionsdaten z.B. von der Webseite/App angereichert. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis angezeigt. z.B. Produktempfehlungen, Statistiken und zwar auch außerhalb des System des Anbieters (Email, Telefon, etc)
Shopsysteme mit Personalisierung (Produktempfehlungen), Warenkorbabbrecher Emails, Statistiken per Email
Keine Änderungen ggü. P-PA-PD. Die Tatsache dass die Personalisierungen z.B. auf der Webseite und der App eines Anbieters zur Verfügung stehen dürfte heute keinen Nutzer mehr überaschen und oft auch gewollt sein.
wie P-PA. Direkte Ansprechbarkeit des Kunden erhöht Reichweite ggf. Kaufwahrscheinlichkeit je nach Maßnahme auch die Kundenzufriedenheit und -bindung.
Bei direkter Ansprache außerhalb (Email, Post, Telefon) Art 6 Abs. 1 a), Interesse Nutzer überwiegt. Evtl. muss dies aber gar nicht per E-Privacy geregelt werden, da dies als unzumutbare Belästigung bereits durch andere Gesetze geregelt wird.
Die Einwilligung nicht per Cookiebanner eingeholt werden, sondern per Formular tiefer im Funnel (Newsletter Signup). Ggf auch per Popup aber dann z.B. nicht beim ersten Öffnen der Seite.
Es werden Stammdaten, Interaktionsdaten und Daten in sensiblen Kategorien (Finanzdaten, Gesundheitsdaten) in Systemen möglicherweise verschiedener Anbieter gesammelt und zu extern identifizierbaren Profilen zusammengefasst. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis über die verschiednen Systeme hinweg angezeigt. z.B. Rabatt Banner beim 3ten Besuch oder auch Variationen in A/B Tests, Newsletter, Remarktinganzeigen.
evtl Schufa mit Einbeziehung statistischer Daten (wobei hier zu klären ist, ob es sich hier wirklich um personenbezogene Daten handelt oder ob es eher in die Kategorie Raten fällt)
Für den Nutzer ist hier relevant, ob die Verabeitungen in der Single/Cross Domain oder per Shared Ownership verarbeitet werden. In der Single/Cross Domain ist die Tatsache der Verarbeitung sensibler Daten weniger relevant, da der Nutzer ja auf einer entsprechenden Platform befindent muss und sich somit sich eh gerade mit diesen Themen auseinandersetzt. Wird jedoch der persönliche Bereich berührt (Email, Telefon, Post) ist die Beeinflussung wesentlich stärker und kann auch von Dritten wahrgenommen werden. Bei die -SO Domain kommt aber hinzu, dass a) die Daten geteilt werden und b) sich der Nutzer sich der Personalisierung nicht durch verlassen des Systems des Anbieters entziehen kann. So könnte der Nutzer auf einer anderen Seite eine personalisierte Werbung z.B. für eine Schuldnerberatung sehen und dies könnte sogar von Dritten (z.B. Kollegen) beobachtet werden. Im Falle von der Schufa oder auch der Gesundheitsakte werden sensible Daten mit weiteren Anbietern geteilt, die diese ggf. nicht richtig schützen. Das Datenleckrisiko ist hoch.
grundsätzlich wie P-PA, nur das Anbieter hier sensible Daten verarbeiten. Für den Kunden passendes Produkt erhöht Kaufwahrscheinlichkeit. Erhöhung des Kundenzufriedenheit (=Wiederkaufbereitschaft, Empfehlungen). Erhöhung des Gewinns. Teilweise Bewertung von Zahlungsfähigkeiten auf Basis von frühreen Transaktionen. Kenntniss von Vordiagnosen beim Arzt
Art 6 Abs. 1 a) Interesse Nutzer überwiegt. Art 22 DSGVO (Automatisierte Entscheidungen) ist vom Anbieter zu beachten.
kein Cookiebanner, Einwilligung zur Verarbeitung kann aber ggf. tiefer auf der Webseite abgefragt werden.
Es werden Stammdaten von mehreren Anbieter erfasst und zu extern identifizierbaren Profilen zusammengefasst und zudem mit Interaktionsdaten z.B. von der Webseite/App angereichert. Basierend darauf wird dem Nutzer ein angepasstes Produkterlebnis angezeigt. z.B. externe Newsletter, Werbung. Die Zusammenführung basiert auf externen Identifikationsmerkmalen oder Pseudonymen davon. Beispiel Facebook Pixel: 3rd Party Webseiten liefern Interaktionsdaten die per 3rd Party Cookie mit Facebook Nutzern gematcht werden. Diese Daten werden an die persönlichen Profile angehängt. Hinweis: es ist nicht klar, wie z.B. Facebook die Daten wirklich intern verarbeitet und ob die 3rd Party Interarktionsdaten evtl separat gespeichert und Verarbeitet werden um dann z.B. Retargetingwerbung anzuzeigen. Die Unterscheidung zwischen P-PA-SO und P-AP-SO ist daher für diese Anbieter schwierig einzuschätzen. Beides wäre vermutlich machbar.
evtl. Facebook Pixel, evtl. Adwords Pixel (bei Remarketing Netwerken nur Anbieter die auch gleichzeitig persönliche Profile der Nutzer haben). Auch ein soziales Netzwerk an sich, da sich in dem Netzwerk verschiedene Anbieter aufhalten und hier Interaktionsdaten auf den Mitgliederseiten (Likes) geesammelt werden.
Die Auswirkungen sind in vielen Fällen vergleichbar mit P-A-SO. Es treten auch stärkere Personalisierungen auf, wie z.B. die die Anzeige von Namen in Werbeanzeigen (z.B. Lukas und Herbert gefällt XYZ). Grundsätzlich könnten die Auswirkungen auch den persönlichen Bereich (per Email, Post, Telefon) erreichen, was jedoch aktuell eher selten passiert.
Direkte Ansprechbarkeit des Kunden erhöht Reichweite ggf. Kaufwahrscheinlichkeit je nach Maßnahme auch die Kundenzufriedenheit und -bindung.
Durch die Möglichkeiten der höheren Personalisierung ggü P-A-SO und auch dem höheren Risiko durch Datenlecks sollte hier grundsätzlich Art 6 Abs. 1 a) (Interesse Nutzer überwiegt) gelten. Auch wenn nicht der persönliche Bereich (Email, Telefon, Post) angesprochen wird. Im Falle eines solzialen Netzwerks könnte es reichen die Zustimmung einmalig vom Betreiber des Netzwerks erfassen zu lassen und nicht von jedem Anbieter im Netzwerk einzeln. Die Vorraussetzung dafür sollte sein, dass die Anbieter i.d.R auch über das offene Internet erreichbar sind (ohne erzwungene Zustimmung) und damit das soziale Netzwerk grundsätzlich nicht alternativlos ist.
Einwilligung solte nicht per Cookiebanner erlaubt sein, sondern per Formular tiefer im Funnel (Signup). Ggf auch per Popup aber nicht beim ersten Öffnen der Seite.
Es werden Interaktionsdaten oder Umfragedaten gespeichert und analysisert. Keine externen Identifikationsmerkmale. Profile enthalten meist eine eindeutige (i.d.R. zufällige) ID um Interaktionen einzelener Nutzer zu verbinden. Erstellen anonymer Profile, Nutzung für anonyme statistische Auswertung.
Google Analytics, Matomo, Sentry, Loganalyse(ohne IP)
keine Auswirkung auf den Nutzer. Es dürfen keine Interaktionsdaten gesammelt werden die externen Personenbezug oder besondere Datenkategorien herstellen (z.B. Freitextfelder auf Webseiten -> versteckte Identifikationmerkmale = falsche Verarbeitungkategorie). Die (anonyme) Identifizierung des Nutzers ist nur möglich, wenn der Nutzer sich auf dem selben technischen Weg (d.h. unter Bereitstellung des anonymen Identifikationsmerkmals, z.B. Cookie ID) beim System anmeldet (siehe interne Identifizierbarkeit). Risiken sind bei korrekter Verarbeitung vernachlässigbar, da selbst bei einem Missbrauch der Daten keine Rückschlüsse auf den Nutzer möglich sind - es sei denn der Nutzer hilft mit oder der Angreifer hat bereits wesentlich persönlichere Daten (z.B. Zugriff auf den Cookiestore im Browser des Nutzers). Die Daten selbst sind aber bei korrekter Nutzung wenig aufschlussreich, da nur die Daten eines Systems vorhanden sind. Eine Identifizierung nur aufgrund der Daten ist damit unmöglich. (siehe attributbasierte Identifizierbarkeit)
Notwendig für optimalen Betrieb und Optimierung der digitalen Produkte (Webseite,SaaS Produkt). Erkennung von Fehlern, welche Produkte/Dienstleisungen/Features funktionieren wirtschaftlich, werden vom Kunden nachgefragt.
Art 6 Abs. 1 f), Interesse Anbieter überwiegt
nicht notwendig
Es werden Interaktionsdaten oder Umfragedaten gespeichert und analysisert. Keine externen Identifikationsmerkmale. Profile enthalten meist eine eindeutige (i.d.R. zufällige) ID um Interaktionen einzelener Nutzer zu verbinden. Erstellen anonymer Profile, Nutzung für anonyme statistische Auswertung. Die Profile werden Domainübergreifend erstellt, wobei Domains verschiedene technische Systeme eines Anbieters sind (ein Datenverantwortlicher). Dazu müssen mindestens die anonymen IDs zwischen den Systemen ausgetauscht werden (z.B. per Linkparameter, Login, Cookies).
Google Analytics User ID Tracking
S-A-CD ist hier mit S-A gleichzusetzen. Es ist heute davon auszugehen, dass Anbieter mehrere technische Systeme verwenden. Teilweise ist dies für den Nutzer ersichtlich (z.B. Webseite + App), teilweise nicht (verschiedene Backendsysteme, Datenbanken). Es bleibt bei der internen Identifizierbarkeit wie bei S-A. Kein erhöhtes Risiko ggü. S-A. Wichtig: Es gibt externe Anbieter die Crossdevice Nutzeridentifizierung anbieten (z.B. Google Signale). Dafür sind jedoch externe Daten notwendig. Dies ist in S-A-CD nicht möglich, sondern nur in S-A-SO.
Notwendig für optimalen Betrieb und Optimierung der digitalen Produkte (Webseite,SaaS Produkt). Erkennung von Fehlern, welche Produkte/Dienstleisungen funktionieren wirtschaftlich. Für S-A-CD insbesondere auch ob App und Webseite von den gleichen Nutzern genutzt wird oder nicht.
Art 6 Abs. 1 f), Interesse Anbieter überwiegt
nicht notwendig
Statistische Auswertung von anonymen Profilen mit sensiblen Attributen.
Bestellstatistiken im Onlineshop, jegliche statistische Kundenauswertung
keine Beeinträchtigung des Nutzers. Das Handling von sensiblen Daten birgt jedoch gewisse Risken durch Missbrauch. Allerdings ist eine externe Identifikation auch trotz der sensiblen Information praktisch ausgeschlossen. Bei Single/Cross Domain Verarbeitung werden ja nur Daten von einem System erfasst, d.h. wenn z.B. Gesundheitsdaten erfasst werden dürfte das vermutlich für alle Nutzer des Systems gelten, was die Daten wiederum unspezifisch macht. Bei Shared Ownership muss sichergestellt werden, dass die geteilten sensiblen Daten nur mit anderen Anbietern geteilt werden, wenn diese diese sensiblen Daten auch benötigen. Zudem sollte wie bei allen -SO Verarbeitungen die Größe der Profile begrenzt werden
Die Interessen der Anbieter sind vergleichbar zu den anderen S-A Kategorien, nur dass hier sensible Daten vorhanden sind.
Art 6 Abs. 1 f), Interesse Anbieter überwiegt bei rein statistische Auswertung. Evtl. sollte die Größe der Profile bei Anbieterübergreifendener Datensammlung begrenzt werden.
nicht notwendig
Es werden anonyme Profile von unterschiedlichen Anbietern erfasst und (zum Teil) zusammengefasst und dann ausschließlich statistisch ausgewertet. Clicks auf einer Plattform können mit Conversions auf einer anderen Verbunden werden (Conversiontracking). Es können außerdem Analysen wie z.B. Besucher von radio1.de kaufen gerne Elektroroller bei Kaufland.de gemacht werden. Jegliche Einbindung von Reichweitenpixeln, die keine ausschließliche Auftragsverarbeitung darstellen: Auch wenn gar keine Informationen explizit übergeben werden, wird zumindest das Attribut “aktuelle Web-Domain” and das 3rd Party Profil angehängt. Retargetingnetzwerke (die eigentlich in Kategorie P-A-SO arbeiten) in S-A-SO für interne Analysen durchführen. Außerdem können Profile Daten von verschiedenen Endgeräten der Nutzer enthalten und dadurch für das Cross-Domain/Cross-Device - Tracking genutzt werden.
Google Signal, Exactag, Conversion Tracking, statistische Auswertungen von Retargetingnetzwerken, Branchenreichweitenmessung
Bei rein statistischer Auswertung sind weiterhin keine Auswirkungen auf den einzlenen Nutzer zu erwarten. Das Risiko des Missbrauchs steigt, z.B. dass ein Teilnehmer des Netzwerks die Daten für eine der P-* Kategorien nutzt. Es entstehen u.U. sehr umfangreiche anonyme Profile.
Bewertung des Nutzerinteresses außerhalb des eigenen Systems. Statistische Marktanalyse. Anreicherung der eigenen Profile mit Attributen außerhalb des eigenen Systems (z.B. demografische Merkmale)
Art 6 Abs. 1 f), Interesse Anbieter überwiegt bei rein statistische Auswertung. Evtl. sollte die Größe der Profile bei Anbieterübergreifendener Datensammlung begrenzt werden.
nicht notwendig
Statistische Auswertung von anonymen Profilen (wie S-A) die Daten von verschiedenen Datenverantwortlichen enthalten. Diese Daten werden zusätzlich angereichert durch Daten aus persönlichen Profilen (jedoch ohne Identifikationsmerkmale). Dazu gibt es Übersetzungstabellen, die die internen IDs der anonymen Profile mit den persönlichen Profilen verbinden (Pseudonymisierung). Die Übersetzungstabellen können in gesonderten Bereichen gespeichert werden, auf die dann nur Personen/Systeme Zugriff haben, die sowieso Zugriff auf persönliche Daten haben müssen. Die Übersetzungstabellen sind nicht im verarbeitenden System (statistische Auswertung) notwendig.
Google Analytics mit Anreicherung z.B. durch Returns, DWH mit Stamm- und Interaktionsdaten, CDP
die Profile sind vergleichbar mit denen aus S-A, enthalten jedoch weitere Attribute. Da aber nur statistisch Ausgewertet wird sind weiterhin keine Auswirkung auf die Nutzer zu erwarten.
Notwendig für optimalen Betrieb und Optimierung der digitalen Produkte (Webseite,SaaS Produkt). Erkennung von Fehlern, welche Produkte/Dienstleisungen/Features funktionieren wirtschaftlich, werden vom Kunden nachgefragt.
Art 6 Abs. 1 f), Interesse Anbieter überwiegt
nicht notwendig
Es werden anonyme Profile mit Attributen aus persönlichen Profilen angereichert, wie auch bei S-AP, jedoch werden die Daten aus unterschiedlichen Systemen des selben Anbieters zusammengeführt (z.B. Webseite und App)
DWH mit Stamm- und Interaktionsdaten, CDP
S-AP-CD ist hier mit S-AP gleichzusetzen. Es ist heute davon auszugehen, dass Anbieter mehrere technische Systeme verwenden. Teilweise ist dies für den Nutzer ersichtlich (z.B. Webseite + App), teilweise nicht (verschiedene Backendsysteme, Datenbanken). Es bleibt bei der internen Identifizierbarkeit wie bei S-AP. Kein erhöhtes Risiko ggü. S-AP.
Notwendig für optimalen Betrieb und Optimierung der digitalen Produkte (Webseite,SaaS Produkt). Erkennung von Fehlern, welche Produkte/Dienstleisungen funktionieren wirtschaftlich. Für S-AP-CD insbesondere auch ob App und Webseite von den gleichen Nutzern genutzt wird oder nicht.
Art 6 Abs. 1 f), Interesse Anbieter überwiegt
nicht notwendig
Es werden anonyme Profile mit Attributen aus persönlichen Profilen angereichert, wie auch bei S-AP, jedoch enthalten die Profile die Daten aus sensiblen Kategorien (z.B. Gesundheits- und Finanzdaten) enthalten. Diese können zudem aus Single/Cross Domain oder Shared Ownership Verarbeitungen stammen.
DWH Auswertungen von Kundendaten in Gersundheitsapp, oder Kreditvermittlern
keine Beeinträchtigung des Nutzers. Durch die Pseudonymisiergung wird das Risiko eines Missbrauchs minimiert, da die Profile keine externen Identifikationsmerkmale aufweisen. Bei gleichzeitiger -SO Verarbeitung ist die Größe der Profile zu beschränken um eine mögliche attributbasierte Identifizierung auszuschließen.
Die statistische Auswertung von Kundendaten ist für den Anbieter essentiell für die Optimierung und Wirtschaftlichkeit seines Angebots.
Art 6 Abs. 1 f), Interesse Anbieter überwiegt
entfällt
Statistische Auswertung von anonymen zusammengefassten Profilen die Daten von verschiedenen Datenverantwortlichen enthalten. Diese Daten werden zusätzlich angereichert durch Daten aus persönlichen Profilen (ggf. auch von verschiednen Verantwortlichen). Dazu gibt es Übersetzungstabellen, die die internen IDs der anonymen Profile mit den persönlichen Profilen verbinden (Pseudonymisierung). Die Übersetzungstabellen können in gesonderten Bereichen gespeichert werden und sind nicht im verarbeitenden System (statistische Auswertung) notwendig. Die Verarbeitungen können von einem oder mehreren Verantwortlichen, ggf. auch gemeinsam durchgeführt werden.
DWH mit pseudonymisierten Stammdaten (Attribute) und Import von Ad Clickdaten basierend auf ClickID.
Bei rein statistischer Auswertung sind weiterhin keine Auswirkungen auf den einzlenen Nutzer zu erwarten. Das Risiko des Missbrauchs steigt, z.B. dass ein Teilnehmer des Netzwerks die Daten für eine der P-* Kategorien nutzt. Es entstehen u.U. sehr umfangreiche anonyme Profile.
Bewertung des Nutzerinteresses außerhalb des eigenen Systems. Statistische Marktanalyse. Anreicherung der eigenen Profile mit Attributen außerhalb des eigenen Systems (z.B. demografische Merkmale)
Art 6 Abs. 1 f), Interesse Anbieter überwiegt bei rein statistische Auswertung. Evtl. sollte die Größe der Profile bei Anbieterübergreifendener Datensammlung begrenzt werden.
nicht notwendig
Statistische Auswertung von persönlichen Profilen. Dies können Daten die im Rahmen einer N-P Verarbeitung gewonnen wurden oder extra für die statistische Auswertung erfasste Daten sein.
Bestellstatistiken im Onlineshop, jegliche statistische Kundenauswertung
keine Beeinträchtigung des Nutzers. Das Handling von persönlichen Daten birgt jedoch gewisse Risken durch Missbrauch
Die statistische Auswertung von Kundendaten ist für den Anbieter essentiell für die Optimierung und Wirtschaftlichkeit seines Angebots. Allerdings können statistiche Asuwertungen auch mit anonymisierten Profilen ohne Abstriche durchgeführt werden (S-AP) welches geringere Risken für den Nutzer darstellt.
Aufgrund einer besseren verfügbaren Verarbeitungskategorie (S-AP) sollte diese nicht zugelassen sein. Auch nicht mit Zustimmung. Einzige Ausnahme wäre, wenn die Daten bereits im System der statistischen Verarbeitung aufgrund einer anderen -AP- Verarbeitung vorhanden sind für die bereits eine Rechtsgrundlage besteht. In diesem Fall wäre die Verarbeitung nach Art 6 Abs. 1 f) möglich, da kein zusätzliches Risiko entsteht.
entfällt
Statistische Auswertung von persönlichen Profilen. Dies können Daten die im Rahmen einer N-P Verarbeitung gewonnen wurden oder extra für die statistische Auswertung erfasste Daten sein. Es werden Daten von mindestens zwei Subsystemen des Anbieters zusammengeführt. Grundsätzlich ist aber bei persönlichen Daten davon auszugehen, dass Daten zusammengeführt werden. Der Kunde erwartet ja nicht, dass er beim Anmelden über die Webseite seine persönlichen Daten in der App nochmals eingeben muss. Die Betrachtung dieser Kateogie sollte daher analog zu S-P erfolgen.
Bestellstatistiken im Onlineshop, jegliche statistische Kundenauswertung
keine Beeinträchtigung des Nutzers. Das Handling von persönlichen Daten birgt jedoch gewisse Risken durch Missbrauch
Die statistische Auswertung von Kundendaten ist für den Anbieter essentiell für die Optimierung und Wirtschaftlichkeit seines Angebots. Allerdings können statistiche Asuwertungen auch mit anonymisierten Profilen ohne Abstriche durchgeführt werden (S-AP) welches geringere Risken für den Nutzer darstellt.
Aufgrund einer besseren verfügbaren Verarbeitungskategorie (S-AP) sollte diese nicht zugelassen sein. Auch nicht mit Zustimmung. Einzige Ausnahme wäre, wenn die Daten bereits im System der statistischen Verarbeitung aufgrund einer anderen -AP- Verarbeitung vorhanden sind für die bereits eine Rechtsgrundlage besteht. In diesem Fall wäre die Verarbeitung nach Art 6 Abs. 1 f) möglich, da kein zusätzliches Risiko entsteht.
entfällt
Statistische Auswertung von persönlichen Profilen die Daten aus sensiblen Kategorien (z.B. Gesundheits- und Finanzdaten) enthalten. Diese können zudem aus Single/Cross Domain oder Shared Ownership Verarbeitungen stammen.
Auswertungen Kundendaten die der Anbieter z.B. über eine Vermittlungsplatform erhalten hat
keine Beeinträchtigung des Nutzers. Das Handling von persönlichen Daten birgt jedoch gewisse Risken durch Missbrauch, v.a. wenn sensible Daten verarbeitet werden
Die statistische Auswertung von Kundendaten ist für den Anbieter essentiell für die Optimierung und Wirtschaftlichkeit seines Angebots. Allerdings können statistiche Asuwertungen auch mit anonymisierten Profilen ohne Abstriche durchgeführt werden (S-AP) welches geringere Risken für den Nutzer darstellt.
Aufgrund einer besseren verfügbaren Verarbeitungskategorie (S-AP-CD) sollte diese nicht zugelassen sein. Auch nicht mit Zustimmung. Einzige Ausnahme wäre, wenn die Daten bereits im System der statistischen Verarbeitung aufgrund einer anderen -AP- Verarbeitung vorhanden sind für die bereits eine Rechtsgrundlage besteht. In diesem Fall wäre die Verarbeitung nach Art 6 Abs. 1 f) möglich, da kein zusätzliches Risiko entsteht.
entfällt
Statistische Auswertung von persönlichen Profilen die Daten von verschiedenen Datenverantwortlichen enthalten.
Auswertungen Kundendaten die der Anbieter z.B. über eine Vermittlungsplatform erhalten hat
keine Beeinträchtigung des Nutzers. Das Handling von persönlichen Daten birgt jedoch gewisse Risken durch Missbrauch
Die statistische Auswertung von Kundendaten ist für den Anbieter essentiell für die Optimierung und Wirtschaftlichkeit seines Angebots. Allerdings können statistiche Asuwertungen auch mit anonymisierten Profilen ohne Abstriche durchgeführt werden (S-AP) welches geringere Risken für den Nutzer darstellt.
Aufgrund einer besseren verfügbaren Verarbeitungskategorie (S-AP-SO) sollte diese nicht zugelassen sein. Auch nicht mit Zustimmung. Einzige Ausnahme wäre, wenn die Daten bereits im System der statistischen Verarbeitung aufgrund einer anderen -AP- Verarbeitung vorhanden sind für die bereits eine Rechtsgrundlage besteht. In diesem Fall wäre die Verarbeitung nach Art 6 Abs. 1 f) möglich, da kein zusätzliches Risiko entsteht.
entfällt
Statistische Auswertung von persönlichen Profilen. Dies können Daten die im Rahmen einer N-P Verarbeitung gewonnen wurden oder extra für die statistische Auswertung erfasste Daten sein. Diese Daten werden zusätzlich angereichert durch Daten die in anonymen Profilen gespeichert sind.
Klicktracking in Mailchimp, Anreicherung von Profilen mit Webseitenbewegungsdaten, möglicherweise auch mit anonymen Profildaten, die vor dem Signup erstellt wurden.
keine Beeinträchtigung des Nutzers. Das Handling von persönlichen Daten birgt jedoch gewisse Risken durch Missbrauch
Die statistische Auswertung von Kundendaten ist für den Anbieter essentiell für die Optimierung und Wirtschaftlichkeit seines Angebots. Allerdings können statistiche Asuwertungen auch mit anonymisierten Profilen ohne Abstriche durchgeführt werden (S-AP) welches geringere Risken für den Nutzer darstellt.
Aufgrund einer besseren verfügbaren Verarbeitungskategorie (S-AP) sollte diese nicht zugelassen sein. Auch nicht mit Zustimmung. Einzige Ausnahme wäre, wenn die Daten bereits im System der statistischen Verarbeitung aufgrund einer anderen -AP- Verarbeitung vorhanden sind für die bereits eine Rechtsgrundlage besteht. In diesem Fall wäre die Verarbeitung nach Art 6 Abs. 1 f) möglich, da kein zusätzliches Risiko entsteht.
entfällt
Statistische Auswertung von persönlichen Profilen. Dies können Daten die im Rahmen einer N-P Verarbeitung gewonnen wurden oder extra für die statistische Auswertung erfasste Daten sein. Diese Daten werden zusätzlich angereichert durch Daten die in anonymen Profilen gespeichert sind. Es werden Daten von mindestens zwei Subsystemen des Anbieters zusammengeführt. Grundsätzlich ist aber bei persönlichen Daten davon auszugehen, dass Daten zusammengeführt werden. Der Kunde erwartet ja nicht, dass er beim Anmelden über die Webseite seine persönlichen Daten in der App nochmals eingeben muss. Die Betrachtung dieser Kateogie sollte daher analog zu S-PA erfolgen.
Klicktracking in Mailchimp, Anreicherung von Profilen mit Webseitenbewegungsdaten, möglicherweise auch mit anonymen Profildaten, die vor dem Signup erstellt wurden. Über mehrere System hinweg (App, Webapp/Website, Email)
keine Beeinträchtigung des Nutzers. Das Handling von persönlichen Daten birgt jedoch gewisse Risken durch Missbrauch
Die statistische Auswertung von Kundendaten ist für den Anbieter essentiell für die Optimierung und Wirtschaftlichkeit seines Angebots. Allerdings können statistiche Asuwertungen auch mit anonymisierten Profilen ohne Abstriche durchgeführt werden (S-AP) welches geringere Risken für den Nutzer darstellt.
Aufgrund einer besseren verfügbaren Verarbeitungskategorie (S-AP-CD) sollte diese nicht zugelassen sein. Auch nicht mit Zustimmung. Einzige Ausnahme wäre, wenn die Daten bereits im System der statistischen Verarbeitung aufgrund einer anderen -AP- Verarbeitung vorhanden sind für die bereits eine Rechtsgrundlage besteht. In diesem Fall wäre die Verarbeitung nach Art 6 Abs. 1 f) möglich, da kein zusätzliches Risiko entsteht.
entfällt
Statistische Auswertung von persönlichen Profilen die Daten aus sensiblen Kategorien (z.B. Gesundheits- und Finanzdaten) enthalten. Diese Daten werden zusätzlich angereichert durch Daten die in anonymen Profilen gespeichert sind. Diese können zudem aus Single/Cross Domain oder Shared Ownership Verarbeitungen stammen.
Auswertungen Kundendaten die der Anbieter z.B. über eine Vermittlungsplatform erhalten hat in Verbund mit Aktivitätsdaten auf der eigenen Webseite
keine Beeinträchtigung des Nutzers. Das Handling von persönlichen Daten birgt jedoch gewisse Risken durch Missbrauch, v.a. wenn sensible Daten verarbeitet werden
Die statistische Auswertung von Kundendaten ist für den Anbieter essentiell für die Optimierung und Wirtschaftlichkeit seines Angebots. Allerdings können statistiche Asuwertungen auch mit anonymisierten Profilen ohne Abstriche durchgeführt werden (S-AP) welches geringere Risken für den Nutzer darstellt.
Aufgrund einer besseren verfügbaren Verarbeitungskategorie (S-AP-CD) sollte diese nicht zugelassen sein. Auch nicht mit Zustimmung. Einzige Ausnahme wäre, wenn die Daten bereits im System der statistischen Verarbeitung aufgrund einer anderen -AP- Verarbeitung vorhanden sind für die bereits eine Rechtsgrundlage besteht. In diesem Fall wäre die Verarbeitung nach Art 6 Abs. 1 f) möglich, da kein zusätzliches Risiko entsteht.
entfällt
Statistische Auswertung von persönlichen Profilen die Daten von verschiedenen Datenverantwortlichen enthalten. Diese Daten werden zusätzlich angereichert durch Daten die in anonymen Profilen gespeichert sind, ggf. ebenfalls von verschiedenen Datenverantwortlichen.
Auswertungen Kundendaten die der Anbieter z.B. über eine Vermittlungsplatform erhalten hat
keine Beeinträchtigung des Nutzers. Das Handling von persönlichen Daten birgt jedoch gewisse Risken durch Missbrauch
Die statistische Auswertung von Kundendaten ist für den Anbieter essentiell für die Optimierung und Wirtschaftlichkeit seines Angebots. Allerdings können statistiche Asuwertungen auch mit anonymisierten Profilen ohne Abstriche durchgeführt werden (S-AP) welches geringere Risken für den Nutzer darstellt.
Aufgrund einer besseren verfügbaren Verarbeitungskategorie (S-AP-SO) sollte diese nicht zugelassen sein. Auch nicht mit Zustimmung. Einzige Ausnahme wäre, wenn die Daten bereits im System der statistischen Verarbeitung aufgrund einer anderen -AP- Verarbeitung vorhanden sind für die bereits eine Rechtsgrundlage besteht. In diesem Fall wäre die Verarbeitung nach Art 6 Abs. 1 f) möglich, da kein zusätzliches Risiko entsteht.
entfällt