In unseren vorherigen Beiträgen über die Grundbegriffe des Programmatic Buying sowie dessen Möglichkeit zum Einsatz von Targeting-Verfahren, konnten wir bereits erfahren, dass im RTA Werbeflächen in Echtzeit ausgesteuert werden, zu einem großen Teil auf Basis von Nutzerprofilen. Diese Nutzerprofile enthalten soziodemographische Angaben und Annahmewerte über das Verhalten der User. Somit ermöglichen sie eine userspezifische Aussteuerung der Werbeflächen. Die Datenerhebung und Verwendung der Nutzerprofile ist rechtlich zulässig.
Allerdings müssen sie verschlüsselt übergeben werden. Das heißt, personenbezogene Daten wie Name oder IP-Adresse dürfen in den Profilen nicht enthalten sein, es dürfen keine Rückschlüsse auf die Person gezogen werden können. Laut § 15 Abs. 3 TMG muss der User über die Datenerfassung aufgeklärt werden und kann dieser widersprechen. Dies wird meist über ein Opt-Out gelöst.
Der Einhaltung des Datenschutz kommt beim Real Time Advertising eine große Bedeutung zu. Aufgrund der Echtzeit-Auslieferung können beim Austausch von Daten einzelne Kampagnen oder Werbeflächen nicht auf die Einhaltung des Datenschutz geprüft werden. Daher muss auf System-Seite der Datenschutz systematisch verankert sein und eingehalten werden.

Datenschutzrechtlich sind beim RTA besonders die IP-Adressen, Cookies und die gespeicherten Nutzerprofile relevant. Diese müssen von den Systemen zur Auslieferung der Echtzeit-Werbeflächen den Datenschutzrichtlinien gemäß eingerichtet werden. Das heißt, Cookies und Profile müssen frühzeitig anonymisiert werden, sodass ein Rückschluss auf direkt personenbezogene Daten nicht mehr möglich ist. Auch bei IP-Adressen gilt die Anonymisierung. Dies kann unter anderem durch eine Kürzung um die letzten drei Ziffern erfolgen: aus der IPv4-Adresse 214.035.144.166 wird dann 214.035.144.

Nach der EU ePrivacy-Richtline von 2009 gehen Datenschutzbehörden davon aus, dass User insbesondere bei Targeting Cookies durch ein Opt-In der Speicherung ihrer Daten widersprechen können. In Deutschland wurde dazu jedoch kein explizites Gesetz verabschiedet, sodass Targeting Cookies weiterhin ohne Opt-In genutzt werden können. Für Third Party Cookies allerdings, muss nach deutschem Datenschutzrecht ein Opt-Out eingerichtet werden.

Abschließend lässt sich erkennen, dass im Realtime Advertising die Datenschutz-Anforderungen sehr hoch sind. Einzelne Kampagnen können nicht separat geprüft werden. Daher müssen die Systeme grundsätzlich datenschutzkonform sein und die gespeicherten Daten frühzeitig anonymisiert übergeben. Es empfiehlt sich ein Datenschutz-Gutachten oder -Siegel erstellen zu lassen. Übliche Siegel sind unter anderem EuroPriSe, ULD oder ePrivacyseal. Der Vorteil ist, dass diese Gutachten bei behördlichen Prüfungen gültig sind und erst bei wesentlichen Änderungen der RTA Technologie oder der Prozesse angepasst werden müssen.

Quelle: Realtime Advertising Kompass 2013/2014, BVDW

Lesen Sie jetzt: