{"id":2436,"date":"2025-07-25T16:45:17","date_gmt":"2025-07-25T14:45:17","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=2436"},"modified":"2025-07-25T16:45:17","modified_gmt":"2025-07-25T14:45:17","slug":"data-clean-rooms-datenschutzgerechte-kooperation-statt-datenwueste","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=2436&lang=de","title":{"rendered":"Data Clean Rooms \u2013 Datenschutzgerechte Kooperation statt Datenw\u00fcste?"},"content":{"rendered":"\n<p>Der Ruf nach mehr Daten ist ungebrochen \u2013 insbesondere aus Marketing-, Finanz- und Forschungsabteilungen. Gleichzeitig steigt der regulatorische Druck, personenbezogene Informationen DSGVO-konform zu sch\u00fctzen. In dieser Gemengelage gewinnen Data Clean Rooms (DCRs) zunehmend an Bedeutung: als technische und rechtliche Infrastruktur f\u00fcr die sichere Zusammenarbeit zwischen datenverarbeitenden Unternehmen.<br><br><strong>Was ist ein Data Clean Room aus datenschutzrechtlicher Sicht?<\/strong><br>Ein Data Clean Room erm\u00f6glicht es mehreren Parteien, ihre Datens\u00e4tze in einem abgeschotteten Analyseumfeld zusammenzuf\u00fchren \u2013 ohne dass die Originaldaten die eigene Infrastruktur verlassen oder direkt f\u00fcr Dritte sichtbar werden. H\u00e4ufig erfolgt die Zusammenf\u00fchrung in gehashter, aggregierter oder pseudonymisierter Form. Der wirtschaftliche Reiz liegt auf der Hand: Unternehmen k\u00f6nnen ihre Daten vermarkten, Erkenntnisse aus Kooperationen gewinnen oder Gesch\u00e4ftsprozesse optimieren, ohne Gesch\u00e4ftsgeheimnisse offenzulegen oder Reidentifizierungen zu riskieren.<br>Datenschutz als Enabler \u2013 nicht als Showstopper<br><br>Aus datenschutzrechtlicher Sicht r\u00fcckt dabei eine entscheidende Frage in den Mittelpunkt: Hat der Betreiber des Data Clean Rooms Zugriff auf personenbezogene Daten? Ist das System so konzipiert, dass er keine M\u00f6glichkeit zur Re-Identifizierung hat, k\u00f6nnten die \u00fcbermittelten Informationen als anonymisiert gelten. Dann w\u00fcrde die DSGVO nicht in vollem Umfang greifen \u2013 etwa in Bezug auf Informationspflichten, Rechtsgrundlagen oder L\u00f6schfristen.<br>Diese Frage ist derzeit Gegenstand eines Verfahrens vor dem Europ\u00e4ischen Gerichtshof (EuGH): Im sogenannten SRB-Verfahren geht es um die Reichweite des Personenbezugs bei pseudonymisierten Daten. Sollte der EuGH den sogenannten relativen Personenbegriff best\u00e4tigen \u2013 also das Kriterium, ob&nbsp;der konkrete Empf\u00e4nger&nbsp;eine Identifizierung vornehmen kann \u2013, h\u00e4tte dies tiefgreifende Folgen. F\u00fcr viele Data-Clean-Room-Modelle w\u00fcrde sich damit der Weg zu einem vereinfachten und datenschutzkonformen Einsatz ebnen.<br>In der Branche werden zur Zeit sechs Use Cases, in denen Clean Rooms heute echten Mehrwert schaffen, diskutiert:&nbsp;<\/p>\n\n\n\n<ol><li><strong>Kampagnen- und Attributionsmessung<\/strong><br>Hash-IDs aus CRM-Systemen lassen sich mit Publisher-Daten abgleichen, ohne dass eine der Parteien Zugriff auf Rohdaten erh\u00e4lt. Besonders wichtig im Zuge des Third-Party-Cookie-Endes.<\/li><li><strong>Second-Party-Data-Enrichment<\/strong><br>Zwei Hersteller kombinieren Kundenlisten, um gemeinsame Zielgruppen zu analysieren \u2013 ohne Stammdaten offenzulegen. Ein Pluspunkt sowohl f\u00fcr das Datenschutz- als auch f\u00fcr das Kartellrecht.<\/li><li><strong>Produkt- und Marktforschung<\/strong><br>Loyalty-Daten, Panels und Social-Listening-Informationen werden unter Differential-Privacy-Bedingungen analysiert. So bleiben Einzelaussagen statistisch unkenntlich.<\/li><li><strong>Fraud- und Risiko-Scoring<\/strong><br>Banken tauschen auff\u00e4llige Transaktionsmuster aus, der DCR errechnet Risikoscores. Besonders geeignet f\u00fcr hochregulierte Branchen \u2013 auch wegen der verwendeten&nbsp;Secure Multi-Party Computation (SMPC).<\/li><li><strong>Konzernweite 360\u00b0-Analytik<\/strong><br>Tochtergesellschaften \u00fcbermitteln pseudonymisierte IDs, die Holding erh\u00e4lt zentrale KPIs \u2013 oft zul\u00e4ssig auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), sofern eine Interessenabw\u00e4gung erfolgt.<\/li><li><strong>Federated Learning f\u00fcr KI-Modelle<\/strong><br>Das Modell wird dort trainiert, wo die Daten liegen. Zentral \u00fcbermittelt werden lediglich Gradienten \u2013 ein innovativer Ansatz zur&nbsp;risikominimierten KI-Entwicklung&nbsp;im Einklang mit Datenschutzrecht.<\/li><\/ol>\n\n\n\n<p><strong>Technik ist nicht alles \u2013 Governance entscheidet<\/strong><br>Damit ein Clean Room nicht nur technisch, sondern auch rechtlich \u00fcberzeugt, sind klare Rollenverteilungen und verbindliche vertragliche Regelungen notwendig. Die Leitlinien 07\/2020 des Europ\u00e4ischen Datenschutzausschusses geben wichtige Hinweise zur Abgrenzung zwischen gemeinsamer Verantwortlichkeit und Auftragsverarbeitung.<br><br>Ebenso unerl\u00e4sslich sind technische Schutzma\u00dfnahmen wie:&nbsp;<\/p>\n\n\n\n<ul><li>TLS 1.3 und AES-256 zur sicheren \u00dcbertragung und Speicherung,<\/li><li>zweckgebundene Zugriffskonzepte,<\/li><li>Query-Throttling,<\/li><li>sowie unver\u00e4nderbare Audit-Logs zur Nachvollziehbarkeit von Abfragen, L\u00f6schfristen und Betroffenenrechten.<\/li><\/ul>\n\n\n\n<p><strong>Fazit und Ausblick:<\/strong><br>Data Clean Rooms verbinden Datenschutz und datenbasierte Wertsch\u00f6pfung auf neue Weise. Sie sind ein zentraler Baustein f\u00fcr datenschutzkonforme Kooperationen zwischen Unternehmen \u2013 besonders dann, wenn technische und organisatorische Ma\u00dfnahmen den Personenbezug f\u00fcr Dritte wirksam ausschlie\u00dfen.<br><br>Sollte der EuGH in Luxemburg den relativen Personenbegriff best\u00e4tigen, d\u00fcrfte sich der DCR-Ansatz endg\u00fcltig vom Nischenph\u00e4nomen zum Standardmodell f\u00fcr kollaborative Analysen entwickeln.<br>Wir beobachten die rechtlichen Entwicklungen f\u00fcr Sie \u2013 und beraten Sie gern beim Aufbau, der Bewertung und dem Einsatz datenschutzkonformer Clean-Room-L\u00f6sungen.<\/p>\n\n\n\n<p>(Dr. Lukas Mezger, UNVERZAGT Rechtsanw\u00e4lte)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Ruf nach mehr Daten ist ungebrochen \u2013 insbesondere aus Marketing-, Finanz- und Forschungsabteilungen. Gleichzeitig steigt der regulatorische Druck, personenbezogene Informationen DSGVO-konform<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=2436&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2436"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2436"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2436\/revisions"}],"predecessor-version":[{"id":2437,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2436\/revisions\/2437"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2436"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2436"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2436"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}