Ein Datenkauf in der Grauzone bezieht sich auf den Erwerb personenbezogener Daten, der nicht klar der DSGVO (Datenschutz-Grundverordnung) widerspricht, aber rechtliche Unsicherheiten birgt. Häufig handelt es sich um pseudonymisierte oder aggregierte Daten aus Drittanbietern, die für Marketing oder Analysen genutzt werden. Solche Praktiken bewegen sich zwischen Anonymisierung und personenbezogenem Bezug, was Unternehmen in eine rechtliche Grauzone bringt.
Rechtliche Risiken nach DSGVO
Die DSGVO verbietet den unzulässigen Handel mit personenbezogenen Daten, doch pseudonymisierte Sets gelten oft als Graubereich, da Dritte den Betroffenen nicht direkt identifizieren können. Europäische Firmen riskieren Bußgelder, wenn Daten aus unsicheren Quellen wie US-Clouds stammen, insbesondere seit Unsicherheiten im EU-US-Datenabkommen. Experten warnen vor Haftungsfallen bei Weiterverarbeitung oder Re-Identifizierung.
Praktische Anwendungen und Beispiele
Unternehmen kaufen Daten für Retargeting, Lookalike-Audiences oder Neukundengewinnung, oft von Plattformen wie Google oder Meta. Im Cloud-Computing-Kontext kann Pseudonymisierung Risiken mindern, birgt aber weiterhin Kontrollverluste durch Unterauftragnehmer. Beispiele aus der Praxis zeigen, dass solche Käufe effizient sind, solange keine expliziten Identifizierungen erfolgen.
Alternativen und Schutzmaßnahmen
Statt riskanter Käufe empfehlen Experten First-Party-Daten oder datenschutzkonforme Tools mit Pseudonymisierung vor der Übergabe. Verträge sollten klare Löschpflichten und Nicht-Weitergabe-Klauseln enthalten, um DSGVO-Konformität zu wahren. Langfristig fördert dies Vertrauen und vermeidet Abmahnwellen.
Quellen
Grauzone beim Datenkauf: Legal oder riskant?
Daten erwerben in der Grauzone: Was Unternehmen wissen müssen
