A calm modern security-operations room with a printed compliance binder open on a desk, a laptop showing a generic abstrac...
BlogPersonenzählung

Datenresidenz für Retail Analytics: eine CISO-Beschaffungs-Checkliste

2. Juni 202611 Min. Lesezeit

Warum Datenresidenz auf der CISO-Checkliste nach oben gerückt ist

Retail Analytics saß früher zwischen Marketing und Betrieb. In den letzten fünf Jahren ist das Thema fest auf dem Schreibtisch des Chief Information Security Officer gelandet. Zwei Gründe haben das getragen. Erstens haben Aufsichtsbehörden in der EU ihre Erwartungen an internationale Übermittlungen nach dem Urteil des Gerichtshofs in Schrems II aus dem Jahr 2020 verschärft. Zweitens haben Händler mit länderübergreifenden Portfolios festgestellt, dass der Analyseanbieter, den sie in einer Region unterzeichnet hatten, in der Praxis Daten in einer anderen verarbeitet, häufig ohne sauberen schriftlichen Nachweis. Ein CISO, der den Speicherort der Daten erst nach einem Sicherheitsvorfall erfährt, hat ein Einkaufsproblem, kein technisches.

Vektorinfografik einer CISO-Beschaffungsliste für Einzelhandelsanalysen mit Symbolen für Compliance, Datenstandort, Anbieter

Dieser Artikel geht durch, was ein CISO einen Retail-Analytics-Anbieter zu Residenz, Auftragsverarbeiter-Vereinbarungen, Unterauftragsverarbeitern und Compliance-Gates tatsächlich fragt. Er ist aus Sicht des Käufers geschrieben: die Fragen, wie eine gute Antwort aussieht und was zu tun ist, wenn die Antwort unklar bleibt. Die Anbieterseite, dazu gehört auch, wie Ariadne Analytics aufgesetzt ist, um sauber zu antworten, ist in den Schlussabschnitten behandelt.

Dieser Artikel ist informativ und stellt keine Rechtsberatung dar. Beziehen Sie Ihre/Ihren Datenschutzbeauftragten und Ihre Rechtsberatung ein, bevor Sie eine Einschätzung von hier als Grundlage für eine Einkaufsentscheidung übernehmen.

Was Datenresidenz tatsächlich bedeutet

Datenresidenz ist die aufsichtsrechtliche oder vertragliche Anforderung, dass personenbezogene Daten und manchmal Betriebsdaten allgemein innerhalb einer festgelegten Geografie gespeichert und verarbeitet werden, in der Regel ein Land oder ein Wirtschaftsraum. Residenz-Zusagen erstrecken sich üblicherweise auf die primäre Datenbank, die Backups, den Log-Speicher und alle Analyse-Workloads, die die Daten berühren. Der Begriff überlappt sich mit zwei verwandten Konzepten, die ein CISO sauber auseinanderhalten sollte.

  • Datenresidenz. Wo Daten ruhen und wo sie im normalen Betrieb verarbeitet werden. Das ist eine kaufmännische Zusage, die ein Anbieter im Vertrag geben kann.
  • Datensouveränität. Welches Rechtsregime auf die Daten anwendbar ist, einschließlich des Zugriffs ausländischer Behörden. Ein in den USA ansässiger Anbieter, der in Europa verarbeitet, kann nach US-Recht trotzdem für bestimmte Offenlegungsarten erreichbar sein.
  • Datenlokalisierung. Eine aufsichtsrechtliche Anforderung, dass bestimmte Daten eine Jurisdiktion überhaupt nicht verlassen dürfen. China, Indien und Teile der Golfregion haben Regeln eingeführt, die über die europäischen Residenz-Erwartungen hinausgehen.

Für die meisten Retail-Analytics-Einsätze in Europa lautet die praktische Frage Residenz plus Souveränität: Die Daten liegen in der EU, und die verarbeitende Stelle unterliegt keinem nicht-europäischen Rechtsregime, das eine Offenlegung außerhalb der Schutzmechanismen der DSGVO erzwingen könnte.

Das Bild für EU, USA und APAC im Jahr 2026

Die drei Regionen, die ein länderübergreifender Händler am wahrscheinlichsten berührt, haben sich seit 2020 in unterschiedliche Richtungen entwickelt.

Europäische Union

Innerhalb der EU setzt die DSGVO eine einheitliche Grundlinie. Personenbezogene Daten können frei zwischen den Mitgliedstaaten fließen. Übermittlungen außerhalb des Europäischen Wirtschaftsraums sind nach Kapitel V beschränkt und brauchen ein Übermittlungsinstrument: einen Angemessenheitsbeschluss, Standardvertragsklauseln (SCC), verbindliche interne Datenschutzvorschriften oder eine Ausnahme. Die einfachste CISO-Position für einen EU-Händler ist, den Analyse-Workload innerhalb der EU zu halten und den ganzen Übermittlungsapparat zu vermeiden.

Vereinigte Staaten

Das EU-US Data Privacy Framework ist 2023 in Kraft getreten und liefert eine Angemessenheitsgrundlage für Übermittlungen an teilnehmende US-Organisationen. Viele CISOs behandeln das Rahmenwerk weiterhin vorsichtig, mit der Überlegung, dass Angemessenheitsbeschlüsse bereits zweimal aufgehoben wurden (Safe Harbour 2015, Privacy Shield 2020) und eine dritte Anfechtung plausibel ist. Eine übliche Beschaffungsposition ist, das Rahmenwerk dort zu akzeptieren, wo es passt, für jeden neuen Workload aber einen EU-ansässigen Auftragsverarbeiter zu bevorzugen.

Asien-Pazifik

APAC ist kein einheitliches Regime. Japans APPI hat einen Angemessenheitsstatus der Europäischen Kommission, und Singapurs PDPA ist in der Praxis mit der DSGVO interoperabel. Australien reformiert gerade. Chinas PIPL und Indiens DPDP Act führen für bestimmte Datenkategorien stärkere Lokalisierungspflichten ein. Für einen Händler, der in der Region tätig ist, lautet die praktische CISO-Forderung ein Verarbeitungsverzeichnis pro Land: Welche Standortdaten liegen in welcher Region, und welche Unterauftragsverarbeiter berühren sie.

DSGVO Artikel 28: der Auftragsverarbeiter-Vertrag

Wenn ein Retail-Analytics-Anbieter personenbezogene Daten im Auftrag des Händlers verarbeitet, ist er Auftragsverarbeiter nach der DSGVO, und der Händler ist Verantwortlicher. Artikel 28 DSGVO regelt, was der schriftliche Vertrag zwischen beiden enthalten muss. Ein CISO, der den Entwurf eines AVV (Auftragsverarbeitungsvertrag, englisch DPA) eines Anbieters prüft, kontrolliert, dass jede dieser Anforderungen vorhanden ist und nicht abgeschwächt wurde.

Die zentralen Punkte, die Artikel 28 Absatz 3 verlangt, sind sinngemäß: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Arten der personenbezogenen Daten und Kategorien betroffener Personen sowie Pflichten und Rechte des Verantwortlichen. Der Auftragsverarbeiter verpflichtet sich unter anderem dazu, ausschließlich auf dokumentierte Weisung zu verarbeiten, die Vertraulichkeit der Beschäftigten sicherzustellen, geeignete Sicherheitsmaßnahmen zu treffen, Unterauftragsverarbeiter nur mit vorheriger Zustimmung einzusetzen, den Verantwortlichen bei Betroffenenrechten und DSFA-Pflichten zu unterstützen, Daten am Ende des Auftrags zu löschen oder zurückzugeben und Audits und Inspektionen zu ermöglichen.

Die kürzeste praktische CISO-Checkliste für einen Anbieter-AVV ist:

  1. Ist der Verarbeitungsumfang eng definiert und ohne offene Formulierungen?
  2. Ist die Liste der Unterauftragsverarbeiter aktuell, namentlich und zugänglich?
  3. Gibt es einen Vorankündigungsmechanismus vor dem Hinzufügen eines neuen Unterauftragsverarbeiters, mit Widerspruchsrecht?
  4. Ist die Sicherheitszusage konkret, mit benannten Standards (ISO 27001, SOC 2 Type II) statt 'branchenüblicher Maßnahmen'?
  5. Sind Auditrechte echt oder auf einen anbieterseitig erstellten Bericht beschränkt?
  6. Sind Lösch- und Rückgabepflichten am Vertragsende ausdrücklich geregelt?

Wird einer dieser Punkte im Entwurf relativiert, beginnt das Einkaufsgespräch dort, nicht beim Preisblatt.

Unterauftragsverarbeiter und die Verarbeitungskette

Eine Retail-Analytics-Plattform läuft fast nie vollständig auf eigener Infrastruktur. Der Anbieter nutzt einen Cloud-Anbieter, möglicherweise eine Database-as-a-Service, einen Benachrichtigungsdienst, einen Fehler-Tracking-Dienst und ein oder mehrere Analyse-Werkzeuge auf der Analyse selbst. Jeder davon ist ein Unterauftragsverarbeiter. Nach Artikel 28 Absatz 2 braucht der Anbieter die Zustimmung des Verantwortlichen, um einen hinzuzufügen oder zu ersetzen, entweder spezifisch oder mit einer allgemeinen schriftlichen Zustimmung plus Vorankündigung.

Die CISO-Forderung ist eine öffentliche, versionierte Liste der Unterauftragsverarbeiter, in der jeder Eintrag die Stelle, den Dienst, die Verarbeitungsregion und das Aufnahmedatum ausweist. Ein Anbieter, der diese Liste auf Anfrage nicht liefern kann, hat ein Problem in der Verarbeitungskette, das vor Vertragsschluss zur Sprache gehört.

Schrems II und US-Übermittlungen

Das Urteil des Gerichtshofs in Schrems II (C-311/18, Juli 2020) hat den Privacy-Shield-Angemessenheitsbeschluss aufgehoben und den Einsatz der Standardvertragsklauseln für Übermittlungen personenbezogener Daten in die Vereinigten Staaten verschärft. Der Gerichtshof befand, dass das US-Überwachungsrecht, insbesondere Section 702 FISA und die Executive Order 12333, kein Schutzniveau bot, das dem nach der DSGVO erforderlichen Niveau der EU im Wesentlichen gleichwertig wäre. Praktische Folge: Verantwortliche, die sich für US-Übermittlungen auf SCC stützten, mussten eine Übermittlungsfolgenabschätzung durchführen und, wo diese ergab, dass der Schutz nicht im Wesentlichen gleichwertig war, ergänzende Maßnahmen einsetzen.

Das EU-US Data Privacy Framework von 2023 hat die Angemessenheit für teilnehmende US-Organisationen wiederhergestellt. Ein CISO, der 2026 eine Retail-Analytics-Plattform beschafft, hat daher für einen US-berührenden Workload drei Optionen: sich auf das Rahmenwerk zu stützen (mit dem Restrisiko einer künftigen rechtlichen Anfechtung), SCC plus eine Übermittlungsfolgenabschätzung anzuwenden oder den US-Teil zu entfernen, indem ein EU-ansässiger Auftragsverarbeiter gewählt wird. Die dritte Option hängt nicht vom künftigen Weg des Rahmenwerks ab.

SOC 2 und ISO 27001: die Sicherheitsgates

Residenz und Artikel 28 decken die rechtliche Aufstellung ab. Zwei Zertifizierungen sind die Standard-Beschaffungsgates für die Sicherheitsaufstellung selbst.

  • ISO/IEC 27001. Der internationale Standard für ein Informationssicherheits-Managementsystem. Ein aktuelles Zertifikat einer akkreditierten Stelle zeigt, dass der Anbieter ein dokumentiertes, auditiertes Sicherheitsprogramm betreibt, das Risikobewertung, Maßnahmen, Vorfallsmanagement und kontinuierliche Verbesserung umfasst. ISO 27017 (Cloud-Sicherheit) und ISO 27018 (personenbezogene Daten in der Cloud) sind übliche begleitende Zertifizierungen.
  • SOC 2 Type II. Eine Bescheinigung eines unabhängigen Prüfers gegen die AICPA Trust Services Criteria (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz). Der Type-II-Bericht deckt nicht nur die Gestaltung der Kontrollen ab, sondern auch ihre Wirksamkeit über einen Zeitraum von typischerweise sechs bis zwölf Monaten.

Keiner der beiden Standards ist eine Residenz-Zusage, und keiner reicht für sich allein. Ein Anbieter mit beiden Zertifizierungen, der alles in einer Nicht-EU-Region verarbeitet, bleibt eine Übermittlungsfrage. Fordern Sie aktuelles Zertifikat und Bericht unter Vertraulichkeitsvereinbarung an, prüfen Sie den Geltungsbereich, und prüfen Sie, ob die abgedeckten Cloud-Regionen mit denen im AVV übereinstimmen.

Warum manche Retail-Analytics-Workloads die Frage vereinfachen

Alles bisher Genannte setzt voraus, dass der Anbieter personenbezogene Daten im Auftrag des Händlers verarbeitet. Die meisten Retail-Analytics-Plattformen tun das: Videoaufnahmen, identifizierbare WLAN- oder Bluetooth-Adressen, opt-in-Loyalty-Identifikatoren, manchmal Gesichtsvektoren für demografische Inferenz. Jede dieser Kategorien erzeugt einen personenbezogenen Datenpfad, der innerhalb des soeben beschriebenen Rahmens abgesichert werden muss.

Ein kamerafreier Personenzähler, der auf Sensorebene keine personenbezogenen Daten erfasst, verändert die Form des Problems. Das Residenz-Gespräch bleibt wichtig, weil Betriebs- und Kontodaten irgendwo auf einer Anbieterplattform liegen. Aber der Teil des Gesprächs, der sich um personenbezogene Daten dreht, also die Übermittlungsfolgenabschätzung, die Schrems-II-Analyse, die Kategorien betroffener Personen im AVV, wird strukturell kleiner, weil die Kategorien der verarbeiteten personenbezogenen Daten selbst kleiner sind.

Wie Ariadne aufgesetzt ist

Ariadne Analytics ist so gebaut, dass ein CISO-Beschaffungsgespräch zu jeder der oben genannten Fragen kurze Antworten hat.

Ariadne misst dies mit Hybrid Fusion, der patentierten kamerafreien Methode. Time-of-Flight-Tiefensensorik zählt an den Eingängen jeden Besucher und erfasst Geometrie statt Bilder, während die patentierte Signalerfassung die Bewegung im Innenraum verfolgt und die Signale erkennt, die ein Telefon aussendet, selbst im Flugmodus. Der Sensor streamt beide Datenströme an Ariadne, wo Hybrid Fusion sie zu einer Trajektorie pro Besuch zusammenführt und Zählwerte, Verweildauer und Wege berechnet. Die Datenströme tragen keine Identifikatoren: keine MAC-Adresse, keine Geräte-ID, keine biometrischen Daten, und es ist keine Kamera beteiligt. Identifikatoren werden nur gespeichert, wenn ein Besucher ausdrücklich zustimmt, was die Methode datenschutzfreundlich und außerhalb des biometrischen Bereichs hält.

Zur Residenz: Die Ariadne-Plattform wird in der Europäischen Union betrieben; Zählung, Belegung, Verweildauer und Trajektorien-Analyse bleiben standardmäßig innerhalb der EU. Zu den Auftragsverarbeiter-Pflichten: Der Ariadne-AVV ist auf Artikel 28 geschrieben und führt Unterauftragsverarbeiter mit Regionen und Rollen auf. Zu Übermittlungen: Die EU-Residenz-Standardeinstellung räumt die Schrems-II-Frage für den Zähl-Workload aus. Zu den Sicherheitsgates: Die Plattform läuft unter dokumentierten Kontrollen, die an ISO 27001 und an die SOC 2 Trust Services Criteria ausgerichtet sind. Die Details stehen in der Ariadne-Datenschutzerklärung, die Messarchitektur in der How-it-works-Dokumentation, und die Lösung auf der Seite zur Personenzählung.

Eine CISO-Beschaffungs-Checkliste

Wenn Sie aus diesem Artikel eine Sache mitnehmen, dann diese Liste. Geben Sie sie zu Beginn einer Beschaffung jedem Retail-Analytics-Anbieter, und Sie verdichten Wochen des Hin und Her auf eine einzige Runde.

  1. Welche Kategorien personenbezogener Daten verarbeitet das System bei der Erfassung? Bilder, Gesichter, MAC-Adressen, Bluetooth-Identifikatoren, demografische Inferenzen, Loyalty-Identifikatoren. Eine kurze, abschließende Liste ist die sauberste Antwort.
  2. In welcher Region liegen die primären Daten, und wo liegen die Backups? Auf Ebene von Land oder Wirtschaftsraum. Kann der Anbieter nicht in einer Zeile antworten, ist das Ihre Antwort.
  3. Wer sind die Unterauftragsverarbeiter, und in welchen Regionen arbeiten sie? Aktuelle Liste mit Regionen und Rollen, veröffentlicht oder auf Anfrage geteilt.
  4. Liegt ein schriftlicher AVV vor, der auf Artikel 28 ausgerichtet ist? Gleichen Sie ihn mit der Sechs-Punkte-Kurzliste aus diesem Artikel ab. Relativierte Formulierungen sind ein Diskussionspunkt.
  5. Auf welchen Übermittlungsmechanismus, sofern überhaupt einer, wird sich gestützt? Angemessenheitsbeschluss (einschließlich des EU-US Data Privacy Framework), SCC mit Übermittlungsfolgenabschätzung oder gar keine Übermittlung, weil die Verarbeitung in der EU bleibt.
  6. Was ist der aktuelle Geltungsbereich des SOC 2 Type II Reports und des ISO-27001-Zertifikats? Fordern Sie Bericht und Zertifikat unter Vertraulichkeitsvereinbarung an. Der Geltungsbereich-Satz ist wichtiger als die schlagzeilenhafte Zertifizierung.
  7. Was geschieht mit den Daten am Vertragsende? Lösch-Zeitplan, Rückgabeformat, Verifikation. Das gehört in den Vertrag, nicht in ein Vertriebsgespräch.
  8. Wer ist die/der benannte Datenschutzbeauftragte oder Datenschutz-Ansprechpartner*in? Eine Person, die Sie per E-Mail erreichen, statt einer Sammelmail-Adresse, ist das funktionierende Zeichen, dass die Datenschutzfunktion besetzt ist.

FAQ

Ist dieser Artikel eine Rechtsberatung?

Nein. Er ist informativ, geschrieben für die Beschaffungs- und Sicherheitsseite einer Händlerorganisation. Konkrete Übermittlungsbewertungen, AVV-Verhandlungen und Zertifizierungs-Geltungsbereiche sollten vor Vertragsschluss mit Ihrer/Ihrem Datenschutzbeauftragten und Ihrer Rechtsberatung geprüft werden.

Ist ein EU-ansässiger Auftragsverarbeiter nach der DSGVO zwingend erforderlich?

Nein. Die DSGVO erlaubt Übermittlungen außerhalb des Europäischen Wirtschaftsraums nach Kapitel V mit einem von mehreren Übermittlungsinstrumenten (Angemessenheitsbeschlüsse, Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften, Ausnahmen). Ein EU-ansässiger Auftragsverarbeiter vermeidet die Notwendigkeit dieser Instrumente, weshalb viele CISOs ihn bei neuen Beschaffungen als Standard bevorzugen.

Was bedeutet Schrems II für einen laufenden US-berührenden Vertrag?

Schrems II hat 2020 Privacy Shield aufgehoben und Verantwortliche, die sich für US-Übermittlungen auf SCC stützen, verpflichtet, eine Übermittlungsfolgenabschätzung durchzuführen, mit ergänzenden Maßnahmen dort, wo das Recht des Empfängerlandes keinen im Wesentlichen gleichwertigen Schutz bietet. Das EU-US Data Privacy Framework von 2023 hat eine Angemessenheitsgrundlage für teilnehmende US-Organisationen wiederhergestellt. Ein CISO mit einem laufenden US-berührenden Vertrag sollte mit der Rechtsberatung klären, auf welchen Mechanismus sich der Vertrag heute stützt und wie die Lage wäre, wenn das Rahmenwerk angefochten würde.

Wie verarbeitet Ariadne seine Zähldaten?

Nein. Ariadne zählt mit Hybrid Fusion: Time-of-Flight-Tiefensensorik plus patentierte Signalerfassung, nie mit Kameras. Time-of-Flight erfasst Geometrie statt Bilder, und die Signalerfassung erfasst standardmäßig keine MAC-Adresse, sodass die Messung ohne Video, ohne Gesichter und ohne biometrische Daten auskommt.

Verwandte Artikel

Mehr zu Personenzählung:

Personenzählungs-Plattformseite

Sprechen Sie mit uns

Zwei Fragen, zwanzig Minuten, ein echter Walkthrough Ihrer Standortfrequenz.

Was Sie erwartet

  • 20-minütiger Screen-Share, durchgegangen auf Ihrer Standortkarte
  • Live-Walkthrough der Hybrid-Fusion-Sensor-Outputs
  • Wo Ariadne passt und wo nicht

Andere Frage?

Senden Sie uns eine Nachricht

Alles, was kein Verkaufsgespräch ist. Wir leiten es an die richtige Person weiter und melden uns innerhalb eines Werktags.