17. November 2022
Für AdTech und Martech Firmen ist die Kontrolle und das Sichern von der Data der User sehr wichtig. Dazu zählt auch das PII, was persönlich identifizierbare Infos heißt. Denn halten sie sich nicht an die Regeln, drohen hohe Strafen.
Hat eine Firma Kontakt zu Data von Usern, ist sie ein Data Processer oder ein Data Controller. Das hört sich im Kern gleich an. Aber ob eine Firma das eine oder das andere ist, hat Folgen und führt auch zu Konsequenzen.
Hier sind ein paar Deutungen für den Kontext:
Data Subject: Ein User, der eine App oder Web Page nutzt. Also ein Kunde oder Interessent.
Data Controller: Eine Firme, die zuständig ist, dass der Umgang mit der Data gut ist. Sie legt fest, wie und für was persönliche Data genutzt werden darf. Das kann eine Firma sein, die ein Tool zur Marketing Automation oder zum Ad Retargeting nutzt.
Data Processors: Sie sind das Glied von Data Subjects zu Data Controllern. Das sind zum Beispiel Anbieter von Tools oder Diensten. Aber auch Berater für die Analyse oder Agenturen für Medien oder digitales. Alle nutzen Data im Auftrag des Data Controllers.
Anbieter von Marketing Clouds und von AdTech und MarTech SaaS Lösungen speichern Data. Dazu gehört auch PII. Dann sind es Data Processors. Der Grund dafür ist, dass sie die Data für keinen Zweck nutzen, als die der Data Controller es erlaubt hat. Der ist dabei ihr Kunde. Denn sie bieten nur Software an, die sie von selbst nutzen.
Es gibt aber auch Fälle, wo eine B2B AdTech oder MarTech Firma beides sein kann. Ein Beispiel ist ein Anbieter von E-Mail Marketing Software, den Marken für die Vermarktung bei Kunden nutzen. Sie sind ein Data Processor, weil sie die Data von Usern für die Kunden ihrer Marke nutzen. Bietet er den Kunden auch Dienste zur Marktforschung an, der die gleiche Data nutzt, wäre er ein Data Controller.
Für Händler kann Data einen Nutzen als Währung haben. Und die Kontrolle über die Data bringt viel mit, um den Umsatz zu steigern. Aber für AdTech und MarTech ist es besser und sicherer, wenn sie so wenig wie möglich Data Controller sein würden. Auch müssen sie beachten, dass sie die Data nicht so nutzen, dass sie als Data Controller zu sehen sind. Für Firmen, die in der EU sind, oder Kunden in der EU haben, ist grade das wichtig. Das liegt an den Änderungen für den Schutz der Daten in der EU. Hier sind ein paar Gründe dafür.
Der erste ist, dass bei Data Processors von Rechts wegen nicht so viel gefordert wird. Zu den Pflichten gehört, dass es nötig ist, die Data zu schützen. Dazu zählen der Zugriff von dritten, die Offenlegung, die Zerstörung oder der Verlust der Data.
Der zweite Grund ist, dass es von Rechts wegen nicht so viele Risiken für die Haftung gibt. In der DSGVO der EU heißt es, dass Data Controller mehr Strafen als Data Processors kriegen, wenn sie die Data nicht richtig schützen. Weiter heißt es, dass, selbst wenn Data Processors schuld an einer Datenpanne sind, der Data Controller trotzdem schuld hat. Denn die Gesetze zum Schutz der Daten wurden nicht befolgt. Aber der Data Processor könnte vom Vertrag her für den Data Controller haften müssen.
Das heißt aber nicht, dass Data Processors frei von jeder Haftung sind. Werden AdTech und MarTech Firmen als das gesehen, sollten sie einen Kontrakt zur Nutzung der Data mit den Kunden machen. Auch sollten sie eine Person zum Schutz der Data haben. Denn so können sie alles nötige einhalten. Ganz egal, was genau der Text vom Gesetz aussagt.
Die Deutung von Data, PII, der Verarbeitung und der Kontrolle, sowie die Gesetze werden sich auch in Zukunft ändern. Data Processor und Controller haben einen Bedarf, der nicht gleich ist. Auch sind die Risiken, die sie haben, und der Vorteil anders. Dennoch sollten sie beide daran arbeiten, dass User Data sicher ist, und von allen richtig genutzt wird.