Die Online-Welt befindet sich im Wandel. Insbesondere die Bestrebungen, das überbordende Online-Marketing in die Schranken zu weisen – etwa aktuelle (DSGVO) und kommende (revidiertes Schweizer DSG) gesetzliche Vorgaben und technische Massnahmen wie die Abschaffung von Third-Party-Cookies –, zwingen Betreiber von Internetdiensten, ihre Strategien zu überdenken. Die Wirkung der Werbemittel und das Verhalten der Zielgruppe(n) müssen auf eine Art und Weise erhoben werden, die sowohl die Rechte der Nutzer*innen als auch die Reputation der Betreiber schützt.

Ein klassisches Fallbeispiel: Das eigene Produkt wird auf fremden Webseiten angepriesen. Anschliessend soll das Produkt oder die Dienstleistung auf der eigenen Webseite gekauft oder in Anspruch genommen werden. Umgekehrt können Produkte auf der eigenen Webseite angepriesen werden, um diese dann über einen anderen Kanal zu verkaufen.

Doch wie funktioniert die Verknüpfung zwischen eigener und fremder Webseite? Bislang war es möglich, mit anderen involvierten Parteien Daten auszutauschen oder die benötigten Informationen mittels Trackingpixel selbst zu erheben. Klassische Attribution. Dieser Ansatz erweist sich aber als immer riskanter. Die involvierten Parteien müssen sich gegenseitig rechtlich absichern, weil die Weitergabe von Personendaten sowohl ethisch wie auch rechtlich nicht mehr haltbar ist.

Eine mögliche Lösung? Der Austausch von relevanten Daten, ohne die Identität des eigenen Kundenstamms preiszugeben. Rechtlich clean, ethisch clean. Die Rede ist von Data Clean Rooms!

Was ist ein Data Clean Room?

Die grösste Herausforderung besteht heute darin, das Verhalten von potenziellen Kunden und Kundinnen über die Grenzen der eigenen Infrastruktur hinaus zu verstehen und mit den eigenen Werbemassnahmen zu vergleichen, um diese zu optimieren.

Unter einem Data Clean Room versteht man grundsätzlich eine Umgebung, in der Daten von verschiedenen Parteien zusammengeführt werden können, ohne dass eine Partei sensible Daten von anderen beteiligten Parteien einsehen kann. Um einen bildlichen Vergleich herbeizuziehen: Ein Data Clean Room ist ein Raum, in dem bekannte und unbekannte(?) Personen zusammengeführt werden. Über eine Gegensprechanlage können dieser Gruppe Fragen gestellt werden. So werden wichtige Fragen beantwortet, ohne die Identität der antwortenden Personen zu offenbaren. In der Praxis umfasst dies Fragen wie:

  • Wieviele von Euch haben unser Produkt gekauft, nachdem Ihr die Anzeige XY bei unserem Partner gesehen habt?
  • Wie habt Ihr von unserem Produkt erfahren?
  • Welche Inhalte auf unserer Webseite haben Euch davon überzeugt, bei unserem Partner einzukaufen?

 

Die Umsetzung eines Data Clean Rooms

Um einen Data Clean Room richtig nutzen zu können, müssen sich alle Parteien, die parteiübergreifende Einsichten gewinnen wollen, mit den anderen involvierten Parteien darüber einig werden, welche Informationen ausgetauscht werden sollen und über welchen Schlüssel diese zusammengebracht werden können.

Typischerweise verfügen alle Parteien über Verhaltensdaten und einen gemeinsamen Schlüssel, der es erlaubt, die einzelnen, individuellen Verhalten zu verknüpfen. Ein solcher Schlüssel kann beispielsweise eine gemeinsame ID sein (Identity Federation), aber auch eine simple First-Party-Information (wie etwa eine Email-Adresse aus dem eigenen Kundenstamm). Der Schlüssel wird nach einem vereinbarten Muster anonymisiert – beispielsweise MD5, SHA256, oder andere Einwegalgorythmen. Anschliessend werden die Daten mit dem anonymisierten Schlüssel versehen und in den den gemeinsamen Datentopf eingespiesen.

Wo liegt der Haken?

In der Praxis

Voraussetzung für einen sauberen Data Clean Room ist, dass die einzelnen Parteien nicht direkt auf die Daten der anderen zugreifen können. Sie können nur aggregierte, nicht personenbezogene Analysen beziehen. Deshalb ist es in der Praxis unerlässlich, ein solches Vorhaben mit einem dritten, neutralen Partner anzugehen. Der unabhängige Partner hat keine Möglichkeit zur Identifikation der Personen in den zentral zusammengetragenen Daten, da er die Verschlüsselung nicht kennt. Gleichzeitig können die einzelnen Parteien nur auf aggregierte Abfragen zugreifen, die keine Rückschlüsse auf Personen aus dem eigenen Kundenstamm zulassen.

Da es sich bei Data Clean Rooms eher um ein Konzept als um ein konkretes Produkt handelt, können entsprechend unterschiedliche Ansätze verwendet werden, um Data Clean Rooms umzusetzen. Es kann zum Beispiel ein spezialisiertes self-service Angebot im Internet gemietet oder eine Digitalagentur beigezogen werden, die als Man-in-the-Middle agiert, die Daten zusammenführt und eine geeignete, für alle involvierten Parteien entsprechend isolierte Analysemöglichkeit bereitstellt.

Obschon in Data Clean Rooms in der Regel keine personenbezogenen Daten vorhanden sind, ist es ratsam, die bei der Datenüberlassung gebotenen Sicherheiten genau zu beachten. So können in der Beziehung zwischen Datenverantwortlichen und Auftragsbearbeitern Konflikte mit geltendem Recht (Datenschutz) vermieden werden.