Die DSGVO (Datenschutz-Grundverordnung) ist vor über einem Jahr, am 25. Mai 2018, in allen EU-Mitgliedsstaaten in Kraft getreten. Wir haben in unserem Artikel „Polarisationsthema EU-Datenschutz-Grundverordnung (DSGVO)“ bereits im Mai 2016 das Thema aufgegriffen. Zeit für eine rückschauende Betrachtung.
Von vielen wurde das Thema DSGVO im Vorfeld auf die lange Bank geschoben worden. Auch unser besagter Artikel aus Mai 2016 konnte daran nichts ändern. Und dann war der 25. Mai 2018 plötzlich gar nicht mehr so weit weg.
Diejenigen, die sich mit dem Thema auseinandergesetzt haben, hatten meist nach einer Weile mehr Fragezeichen hinsichtlich der Umsetzung als zu Beginn der Recherche. Entsprechend fürchteten unter anderem viele Websitebetreiber negative Aufmerksamkeit, eine Abmahnwelle oder das schnelle Verhängen empfindlicher Bußgelder im Falle eines Verstoßes. Doch die Welle der Abmahnungen ist ausgeblieben. Nur 4% aller befragten Unternehmen bejahten die Frage nach einer Abmahnung (Umfrage des Bundesverbands Digitale Wirtschaft).
Die Verordnung hatte schon vor Inkrafttreten bei Unternehmen, aber auch bei Verbrauchern, zum Teil für Irritationen gesorgt, was sich in der ein oder anderen Karikatur niedergeschlagen hat.
Personen bezogene Daten: Grundsätze und Rechte der betroffenen Personen
Die DSGVO sieht vor, dass Verbraucher darüber informiert werden müssen, aus welchem Grund und zu welchem Zweck Personen bezogene Daten erfaßt werden. Der Datenerhebung dieser Daten muss der Verbraucher häufig aktiv zustimmen. Hieraus entsteht die Notwendigkeit Einwilligungen zu verwalten. Darüber hinaus erhält der Verbraucher ein umfassendes Auskunftsrecht hinsichtlich der Verarbeitung seiner Personen bezogenen Daten. Hieraus entstehen technische und organisatorische Anforderungen, um Anfragen zeitnah und inhaltlich korrekt zu bearbeiten. Schließlich bringt das Recht auf Vergessenwerden (Löschungsrecht) zusätzliche technische und organisatorische Herausforderungen mit sich.
Bei einem Verstoß drohen dem Verantwortlichen empfindliche Geldbußen. Bis zu 4% des erzielten Jahresumsatzes eines Unternehmens können als Bußgeld festgelegt werden. Google traf es als einer der ersten Unternehmen. Die französische Datenschutzbehörde CNIL stellte Verstöße fest und legte 50 Millionen Euro als Geldbuße fest. Google ist daraufhin in Berufung gegangen. Das Ende ist hier noch offen.
Grundsätzlich gilt: Je sensibler die Daten sind, desto höher kann das Bußgeld ausfallen. Eine Behörde in Stuttgart verhängte ein Bußgeld in Höhe von 80.000 Euro, nachdem Gesundheitsdaten im Internet landeten.
Unsicherheit bei der DSGVO Umsetzung überwiegt
Eine große Herausforderung ist die Unsicherheit in der Anwendung der DSGVO. Das liegt nicht zuletzt an der Formulierung der Verordnung selbst. Sie ist stellenweise so offen formuliert, dass die konkreten Handlungsfelder hohen Interpretationsspielraum haben. Die begleitenden Erwägungsgründe der DSGVO setzen die Verordnung in einen Kontext. Dennoch wurde es häufig als Auslegungssache empfunden, wie man die Verordnung „richtig“ im Unternehmen umsetzt. Dies hängt auch damit zusammen, dass es zum Start noch keine Rechtsauslegung durch Gerichte gab. Die Unsicherheit in der Rechtsanwendung ist ein großes Hindernis. So fordert auch die Bitkom, dass die Auslegung in der gesamten EU einheitlicher werden muss. Die berechtigten Fragen zur Rechtsanwendung müssen möglichst schnell und verlässlich beantwortet werden. Verständlicher Weise möchte möglichst niemand derjenige sein, an dessen Beispiel die offenen Fragen der Rechtsanwendung geklärt werden. Denn das Ergebnis der Klärung, wird wahrscheinlich mit negativer Aufmerksamkeit und einem Bußgeld behaftet sein.
Festzuhalten ist, dass die DSGVO viele Arbeitsabläufe und technische Anforderungen nachhaltig verändert hat. Parallel hat die breite Diskussion die öffentliche Auseinandersetzung mit dem Thema Datenschutz intensiviert.
e-dynamics und die DSGVO
Als Spezialist in dem Bereich Digital Analytics und Web Intelligence haben wir täglich mit den Daten digitaler Kanäle zu tun. Dadurch ist Datenschutz ist für uns in der täglichen Arbeit wichtig.
Nicht alle Daten fallen unter die DSGVO
In der Praxis sind bei weitem nicht alle Daten Personen bezogen. Die DSGVO gilt nur für die Verarbeitung Personen bezogener Daten. Hierbei ist der Begriff Verarbeitung weitreichend zu verstehen, und schließt die Erhebung und nachgelagerte Speicherung mit ein.
Wir plädieren immer für einen korrekten Umgang mit Daten. Wie in vielen anderen Situationen auch, hilft der gesunde Menschenverstand und die Orientierung an tatsächlichen Rahmenbedingungen, um notwendige Entscheidungen zu treffen. Auf dieser Basis können technische Veränderungen ohne Notwendigkeit zu Hysterie oder Aktionismus zielgerichtet umgesetzt werden.
Vorauseilender Gehorsam und Verdrängung
Das Inkrafttreten der DSGVO hat bei vielen Kunden unbegründete Befürchtungen ausgelöst. Einige Kunden haben das eigene Tracking zeitweise ganz deaktiviert.
Dabei waren viele andere Anwendungsfälle im Kontext der Ansprache der eigenen Zielgruppen auch vor dem Inkrafttreten der DSGVO verboten. Oder aus Sicht des Datenschutzes zumindest bedenklich. Aus Ermangelung klarer Regeln und effektiver Sanktionen standen diese Fälle oft nicht im Fokus der Betrachtung.
Vielleicht ein Stück am Ziel vorbei
Ziel der DSGVO ist nicht, die Nutzung von Daten zu behindern. Im Gegenteil soll die Nutzung von Daten durch die DSGVO länderübergreifend gefördert werden. Die DSGVO definiert für Nutzung und Austausch von Personen bezogenen Daten einen verbindlichen Rahmen. Gleichzeitig soll mehr Transparenz geschaffen werden, und der Schutz Personen bezogener Daten verbessert werden.
Bei aller berechtigten Kritik hat die DSGVO mit Sicherheit zu einer bewussteren Auseinandersetzung mit dem Thema Datenschutz geführt. Diese Auseinandersetzung sollte aus Sicht von e-dynamics in eine bewusstere Nutzung von Daten münden. Die eigenen Daten selbst zu nutzen, ist vielfach kosteneffizienter und mit höherem Mehrwert versehen. Häufig sind diese Nutzungsfälle nicht zustimmungspflichtig, und stehen in der Regel nicht im Widerspruch zu den Grundsätzen der DSGVO.
Ein Risiko der DSGVO ist, dass die zusätzlichen technischen und organisatorischen Anforderungen die Konzentration in der Digitalen Wirtschaft auf wenige Anbieter beflügelt. Dies gilt insbesondere im Bereich digitaler Werbung und Zielgruppenansprache. Ironischer Weise fällt die Konzentration auf diejenigen Anbieter, die auch vor der DSGVO zum Teil nicht immer alle geltenden Regeln eingehalten haben.
Wenn die DSGVO nach holprigem Start zu einem klareren Verständnis zwischen Datennutzung und Datenmissbrauch führt, hat sie einen guten Beitrag geleistet.
Gefragt: Aktive und selbstbewußte Gestaltung
Unternehmen sollten sich auf die eigene Stärke der Marke und Reichweite der eigenen Inhalte besinnen. Die digitale Kommunikation wird weiter an Bedeutung gewinnen und Daten erzeugen, die zur Optimierung genutzt werden können. Die Festlegung einer internen Strategie zur Erfassung und Nutzung dieser Daten ist zunehmend wichtig.
Für Unternehmen, die die Digitalisierung aktiv gestalten wollen, ist die Festlegung einer Datenstrategie zwingend notwendig.
Zur Abstimmung individueller Fragestellungen stehen wir gerne zur Verfügung und freuen uns über einen Kontakt.
