Wenn sogar Mark Zuckerberg lobt: Die DSGVO erreicht ihr Ziel

Wenn sogar Mark Zuckerberg lobt: Die DSGVO erreicht ihr Ziel

Seit einem Jahr gilt die Datenschutz-Grundverordnung: Die Bilanz fällt überraschend positiv aus, auch wenn Händler und Unternehmen weiterhin Zeitaufwand, Kosten und Bürokratie beklagen: Was erlaubt ist, was sich als kritisch erweist und wie Händler sich dabei datenschutzrechtlich gut aufstellen können

SVSusanne VieserWirtschaftsjournalistin
7 Min.· Aktualisiert am
Teilen

Seit inzwischen einem Jahr gilt die Datenschutz-Grundverordnung: Die Bilanz fällt überraschend positiv aus, auch wenn Händler und Unternehmen weiterhin hohen Zeitaufwand, Kosten und Bürokratie beklagen: Was erlaubt ist, was sich als kritisch erweist und wie Händler sich dabei datenschutzrechtlich gut aufstellen können.

Die bislang höchste Strafe in Deutschland verhängten Gerichte in Baden-Württemberg: 80.000 Euro musste dort eine Bank bezahlen, weil sie Daten ehemaliger Kunden verarbeitet hatte. Datenschutz-Behörden der Länder melden laut Welt rund 100 Gerichtsverfahren, von denen die Hälfte mit Bußgeldern endete.

Insgesamt knapp 500.000 Euro kamen so zusammen, im Schnitt pro Fall rund 6.000 Euro: Zum Jahrestag der Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 eingeführt wurde, fällt die Bilanz erstaunlich sachlich, ruhig, ja sogar positiv aus: Zumindest in Deutschland wurden keine Strafen in Millionenhöhe verhängt. Von der Hysterie rund um die Einführung der DSGVO ist wenig übrig geblieben. "Die Aufregung hat sich gelegt, auch wenn es noch Fragen zu klären gilt", sagt Sebastian Kraska, Datenschutzexperte und Geschäftsführer von IITR Datenschutz in München.

Internationale Strahlkraft, wichtige Rechte umgesetzt

"Das Gesetz erreicht sein Ziel", teilt Online-Händler Otto auf Anfrage mit. "Die wichtigsten Punkte, das Recht auf Auskunft und Löschung persönlicher Daten, gab es vorher nicht, sie werden jetzt umgesetzt." Umfragen zufolge zeigte die DSGVO trotz neuer Pflichten bei mehr als der Hälfte der Unternehmen keine Auswirkungen, knapp 10 % bewerten sie sogar positiv. Nur etwa 40 Prozent klagen über Aufwand und Unsicherheit bei der Entwicklung und Einführung neuer Technologien zur Automatisierung oder Personalisierung von Services:

"Auf der Haben-Seite stehen EU-weit einheitliche Datenschutz-Regeln", nennt Achim Berg, Präsident des Internet-Branchenverbands Bitkom, indes Vorteile. "Mit der DSGVO hat die EU eine internationale Strahlkraft erzeugt, globale Konzerne orientieren sich ebenso daran wie wichtige Handelspartner."

Lob von Mark Zuckerberg

Sogar Facebook-Chef Mark Zuckerberg lobte das Gesetz – auch wenn sein Unternehmen wegen diverser Verstöße massiv unter Druck geriet und heute unter scharfer Beobachtung steht. "Die DSGVO war ja auch nichts generell Neues", erklärt Kraska. "Sie hat bestehendes Recht weiterentwickelt, aber erstmals mit hohen Haftungsrisiken versehen." Was vorher verboten war, aber oft gebilligt wurde – etwa das Verschicken von Newslettern ohne dokumentierte Erlaubnis, die Nutzung öffentlich zugänglicher Daten von Privatpersonen sowie das umstrittene Re-Targeting – wird nun stärker beklagt und auch geahndet.

Vor allem aber führte die DSGVO dazu, dass Händler, Unternehmen und Nutzer den Wert persönlicher Daten verstehen und sensibler damit umgehen. Dass Konzerne wie Google, Facebook, Amazon unbegrenzt Gewinn aus ihrer Nutzung schürfen, wird heute zu Recht diskutiert. Immerhin wurde Google Anfang 2019 in Frankreich wegen Verstößen gegen die DSGVO verklagt, dem Internetkonzern droht nun ein Bußgeld von 50 Millionen Euro – es wäre die bislang höchste Strafe der DSGVO.

Datensilos harmonisieren und Nutzung dokumentieren

"Die Hysterie zur Einführung der DSGVO resultierte daraus, dass die meisten Unternehmen falsche Schwerpunkte bei der Umsetzung setzen", sagt Datenschutz-Spezialist Kraska. Weder der diskutierte Gebrauch von Visitenkarten, noch die Klingelschilder oder Adressdaten zum Versand von Waren standen und stehen bei der DSGVO im Fokus.

Es geht vor allem um die Sicherheit von technischen Systemen, mit denen sensible Daten gespeichert werden; außerdem muss die Nutzung von Personendaten heute sorgfältig dokumentiert und auch begründet werden. Nicht zuletzt mussten Unternehmen ihre Dienstleister vertraglich auf das neue Gesetz und einen professionellen Umgang mit Kundendaten einschwören: Aufgaben, an denen einige Unternehmen noch heute sitzen, wie Datenschutzexperten beobachten. Zwei Jahre lang hat sich Online-Händler Otto auf den Stichtag vorbereitet, die IT aufgerüstet, Daten aus diversen Silos zusammengeführt und harmonisiert. "Der Aufwand war enorm", berichtet Sprecher Frank Surholt, ohne allerdings Arbeitsaufwand oder Kosten beziffern zu können. "Mit der Kaufhistorie allein ist es ja nicht getan. Daten von Ratenkäufen werden bei uns gesondert gespeichert, ebenso offene Rechnungen, Garantien und weitere Informationen." Wollen Kunden Auskunft über ihre Daten oder diese löschen lassen, sollten diese vollständig und einheitlich vorliegen.

Stress für die kleinen Händler

Von ihrem Recht auf Auskunft machen jetzt viele Verbraucher Gebrauch: Nach Einführung der DSGVO hat sich die Zahl der Anfragen bei Online-Händlern enorm erhöht, Otto berichtet von einer wahren Welle. Auch die Datenschutzbehörden hatten gut zu tun: Bis Dezember 2018 stieg die Zahl der Beschwerden und Fragen im Schnitt auf 1.370 pro Monat – der Mal so viele wie vorher.

Das Interesse blieb hoch und ist nicht wieder abgeebbt. Vor allem kleine Händler und Unternehmen beklagen den Aufwand der Dokumentationspflichten und verlangen vom Gesetzgeber praktikablere Alltagslösungen: "Den Nachweis zu führen, welche Daten wie und wann genutzt werden, fällt Unternehmen noch schwer", berichtet Kraska, "ohne externe Hilfe, Checklisten oder Software ist das kaum zu schaffen."

Re-Targeting kommt bei Verbrauchern schlecht an

Nebenbei bereiten Web-Tracking, Re-Targeting und andere Online-Marketing-Maßnahmen Online-Händlern Kopfzerbrechen: "Jede Form der rückbezogenen Aufnahme von Nutzungs- oder Kaufdaten von der Website fordert die Zustimmung von Kunden und Besuchern", erklärt Kraska die derzeitige Auslegungspraxis der Behörden. "Das gilt aber nicht erst mit Einführung der DSGVO, das war den Aufsichts-Behörden schon immer ein Dorn im Auge, zieht jetzt aber höhere Strafen nach sich."

Seit Mai 2018 sehen sich Internet-Surfer daher häufig mit Pop-up-Fenstern konfrontiert, auf denen sie um Einwilligung zum Cookie-Setzen gebeten werden. Seltener sind indes die Mails geworden, in denen Händler vorsichtshalber nochmals um die Erlaubnis warben, Newsletter schicken zu dürfen. Einige Online-Shops statteten außerdem ihre Kundenkonten mit Funktionen aus, mit denen Verbraucher persönliche Angaben schützen und wählen können, ob und wie sie heute elektronisch angesprochen werden wollen. Und aktuell muss sich Google in Irland für sein Targeting verantworten.

Direkt danach gefragt, erlaubt nur etwa die Hälfte der Verbraucher das Datensammeln und Verfolgen im Internet. Die DSGVO erschwert das Re-Targeting. Umfragen zufolge lehnen aber die meisten Verbraucher in Deutschland und Europa diese Werbeform ab, sie fühlen sich verfolgt, wenn Werbung, auf Surfverhalten und Kaufwünsche abgestimmt wird: Wer will sich nach einem Kauf auch gerne von weiteren, ähnlichen Angeboten verunsichern lassen? Weil Kaufabschlüsse nicht geteilt werden (dürfen), kann Re-Targeting außerdem nicht genutzt werden, um Zusatz- oder Zubehörkäufe einzublenden.

So gesehen zwingt die DSGVO Händler und Werbetreibende jetzt, intensiver nachzudenken, wo und wie sie ihre Kunden auf ihrem Einkaufsbummel erreichen und geschickt ansprechen zu können.

Automatisierung und künstliche Intelligenz schaffen Probleme

Trotzdem bleiben Lücken: Laut Bitkom bremst die DSGVO neue Technologien aus. Vor allem personalisierte Websites, smarte Services oder künstliche Intelligenz sind kaum datenschutzkonform zu realisieren. Denn diese Services fordern viele Daten, können zumindest für die Personalisierung von Websites auch nich anonymisiert sein.

Händler, die ihren Besuchern mittelfristig nur noch Produkte einblenden wollen, an denen sie laut Surf- und Kaufverhalten interessiert sind, werden auch dazu eine Einwilligung einholen und erklären müssen, welche Personenangaben sie dafür verarbeiten. Dass Personalisierung schwer zu realisieren ist, wird auch daran erkennbar, dass sich Händler wie die Otto-Tochter AboutYou, die ihre Seiten bereits personalisieren, bedeckt halten bei Fragen zur DSGVO.

Ohne Anlass Daten sammeln - das soll nicht mehr sein


Auch künstliche Intelligenz und smarte Services basieren auf Personendaten. Ohne konkrete Pläne haben die Händler deshalb in den letzten Jahren ihre Systeme für die Aufnahme von Big Data aufgerüstet. "Anlasslos Daten sammeln für Nutzungszwecke, die noch nicht feststehen – da macht die DSGVO einen klaren Schnitt", warnt Kraska. "Hier ist die Grenze des technisch Machbaren und des rechtlich Erlaubten erreicht."

Künstliche Intelligenz oder smarte Dienstleistungen sollten im Online-Handel nur auf Basis anonymisierten Daten entstehen. Gesetzgeber und Datenschützer sind hier gefragt, mit den Unternehmen gemeinsam nach alltagstauglichen Lösungen und Regeln zu suchen: am besten noch vor der bevorstehenden Überarbeitung der ePrivacy-Verordnung der EU.

MEHR ZUM THEMA:

Teilen
SV
Geschrieben vonSusanne Vieser

Wirtschaftsjournalistin

Susanne Vieser ist Wirtschaftsjournalistin mit den Schwerpunkten Handel und E-Commerce. Sie schreibt seit vielen Jahren für Internet World Business und verfasste für etailment regelmäßig das Morning Briefing. Daneben unterstützt sie als Beraterin und Coach Gründer beim Unternehmensstart.

Alle Beiträge
Morning Briefing

Alles, was heute zählt — jeden Morgen in Ihrem Postfach.

Das Morning Briefing kuratiert die wichtigsten News aus E-Commerce und Handel. Kompakt, einordnend, werktäglich ab 7 Uhr.

  • 10.800+ Abonnenten
  • Werktäglich ab 7 Uhr
  • Jederzeit abbestellbar

Mit der Anmeldung stimmen Sie unserer Datenschutzerklärung zu. Abmeldung jederzeit möglich.