Zur Segmentierung von Nutzern im digitalen Dialogmarketing, müssen Anwender nicht zwangsläufig einen Personenbezug herstellen können. Es reichen Datensätze, die zwar die segmentrelevanten Daten enthalten, die personenbezogenen Daten jedoch nur in pseudonymisierter Form anzeigen. So kann der Zugriff auf die personenbezogenen Daten beschränkt werden, bei gleichzeitiger Gewährleistung des Verarbeitungszwecks.
Laut DSGVO, Artikel 4(5), bedeutet Pseudonymisierung „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden”.
Exkurs: Abgrenzung von Pseudonymisierung zu Anonymisierung
Eine Pseudonymisierung liegt immer dann vor, wenn der pseudonymisierte Datensatz durch Heranziehung zusätzlicher Informationen wieder einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden kann. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Wenn die Identifizierbarkeit nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist, kann von Anonymisierung gesprochen werden.
Technisch kann eine Pseudonymisierung über ein sog. Trust Center bzw. eine Trusted 3rd Party gelöst werden, z. B. einen Datentreuhänder. Hier hat sich folgendes Verfahren etabliert:
Die Daten werden aus dem Data Warehouse bzw. vom Data Owner zunächst an das Trust Center übermittelt. Dort werden die personenbezogenen Daten pseudonymisiert, z. B. durch Verhashung. Die kampagnendurchführende Stelle, z. B. das Campaign-Management-Team, kann nun auf die pseudonymisierten Daten zur Selektion/Segmentierung zugreifen bzw. diese werden in der Technologie verfügbar gemacht, die zur Segmentierung genutzt wird. Die pseudonymisierten Daten könnten z. B. ID, Einkommen, Geschlecht und Kaufdaten enthalten, nicht aber E-Mail-Adresse, Vorname oder Nachname. Für das Campaign-Management ist es nicht mehr möglich, die segmentierungsrelevanten Daten mit den personenbezogenen Daten, z. B. der E-Mail-Adresse, zusammenzuführen. Nach erfolgter Segmentierung übermittelt das Campaign-Management die Segmente auf Grundlage der pseudonymisierten Daten zurück an das Trust Center, wo die Segmente wieder mit den personenbezogenen Daten gematcht und die Kampagne angestoßen wird.
Grafik: Pseudonymisierung von Daten
Von dem Verfahren gibt es einige Abwandlungen, die sich z. B. darin unterscheiden, an welcher Stelle die Pseudonymisierung erfolgt (in manchen Verfahren erhält selbst das Trust Center nicht die vollständigen Datensätze). Das Prinzip bleibt aber gleich.
Anmerkung 1: Durch Pseudonymisierung werden personenbezogene Daten nicht von der Datenschutzverpflichtung ausgenommen (wie es bei echten anonymisierten Daten der Fall wäre). Sie stellt lediglich eine zusätzliche Schutzebene dar, um das Risiko eines unbefugten Zugriffs zu minimieren und nur die minimale Menge an Informationen bereitzustellen, die für die Datenverarbeitung im Rahmen einer genehmigten Aufgabe erforderlich ist.
Anmerkung 2: Voraussetzung für die Pseudonymisierung ist, dass auch organisatorische und personelle Maßnahmen getroffen werden, um verschiedene Funktionen voneinander zu trennen. Wenn z. B. eine einzige Person alle Rollen in sich vereint, also z. B. sowohl Admin des Data Warehouse als auch Kampagnenmanager ist, ist die Pseudonymisierung obsolet.