Sie erinnern sich? Am 25. Mai 2018 – dem Tag ihres Inkrafttretens – war die Europäische Datenschutz-Grundverordnung (DSGVO) in aller Munde. Ein Jahr nach Inkrafttreten der DSGVO ist das letzte Wort noch nicht gesprochen.
Erlassen vor dem Hintergrund zahlreicher Skandale, die den Ruf einiger großen digitalen Player wie Facebook erschütterten, schien die DSGVO die dringend notwendige Antwort auf veraltete Regelungen zu sein, die auf dem stark expandierenden, digitalen Markt persönliche Daten schützen sollten.
Die Verordnung stieß lebhafte Debatten an, mobilisierte Rechts- und Marketingabteilungen, versetzte Regulierungsbehörden in Aufruhr und nahm die Nutzer in die Verantwortung. Dennoch: Das Thema DSGVO ist noch lange nicht abgeschlossen.
DSGVO-Text: zu viel Interpretationsspielraum
Ein Jahr nach Inkrafttreten der DSGVO lässt sich eines feststellen: Ein Großteil der Unternehmen – multinationale ebenso wie mittelständische und kleine Unternehmen – hat begonnen, die DSGVO umzusetzen, beispielsweise durch die Einführung neuer Prozesse, neuer Managementstrukturen oder neuer Vertragsklauseln. Viele Unternehmen setzen dabei auf Aktionismus, was nach außen hin den Anschein von DSGVO-Konformität erwecken soll, dabei aber maximal gerade so eben die gesetzlichen Mindestanforderungen im Datenschutz erfüllt.
Dieser minimalistische Ansatz wurde bislang häufig bevorzugt. Der Grund liegt hauptsächlich darin, dass die DSGVO bei kleinen und mittleren Unternehmen auf keine besonders positive Resonanz gestoßen ist. Sie sehen in der DSGVO vor allem ein Hindernis für die freie Entfaltung des digitalen Markts im Allgemeinen und ihre Wettbewerbsfähigkeit im Besonderen. Die Aussicht, dem Nutzer neue Zwänge aufzuerlegen und – wenn die entsprechende Einwilligung nicht erteilt wird – womöglich einen Teil der Kundendaten zu verlieren, schreckt einige ab.
Doch es liegt zum Teil auch an der Verordnung selbst, dass ihre Umsetzung so unterschiedlich ausgefallen ist. Die DSGVO stellt in ihrer ersten Fassung grundsätzliche Regeln auf, die eingehalten werden sollten. Sie enthält aber keine Hinweise zur konkreten Umsetzung und lässt so eine Menge Spielraum für Interpretationen. Jeder Marktteilnehmer musste also selbstständig die Methode(n) einsetzen, die ihm in seinem eigenen Geschäftskontext am geeignetsten erschien. Und viele entschieden sich für den Weg des geringsten Widerstands.
Mehr Harmonisierung, striktere Auslegung
Doch reichen die von den Unternehmen bislang ergriffenen Maßnahmen aus, um eine DSGVO-Konformität zu garantieren? Im Moment können sie mit diesen Maßnahmen zwar noch den Sanktionen der Datenschutzbehörden entkommen, doch auf lange Sicht ist das sehr fraglich.
Denn im Zuge des Austauschs zwischen Regulierungsbehörden und Berufsverbänden wurde der Gesetzestext im Laufe des letzten Jahres weiter bearbeitet, um die derzeit noch fehlenden Verfahrensweisen genauer zu definieren. Grund für diese Modifizierungen und Präzisierungen sind zum einen das Feedback der Marktteilnehmer, zum anderen aber die notwendige Harmonisierung der Praktiken auf europäischer Ebene.
Die DSGVO soll nämlich im gesamten europäischen Markt einheitlich angewendet werden – und hier gibt es noch einige Inkongruenzen. In Deutschland wurden die Unklarheiten bei der Auslegung der Gesetzestexte durch den Beschluss der Datenschutzkonferenz weitgehend behoben. Daher werden die Aufsichtsbehörden, trotz mangelndem Personal und einer Flut von Beschwerden, mehr und mehr die Daumenschrauben anziehen. So wird künftig auch mit mehr Strafen und Bußgeldern zu rechnen sein.
Für die Unternehmen bedeutet das, dass sie die künftigen Entwicklungen aufmerksam beobachten müssen. Sie sollten gewährleisten, dass die von ihnen eingesetzten Methoden und Verfahren den neuen gesetzlichen Anforderungen genügen.
Ausblick auf künftige Entwicklungen
Das letzte Wort ist also noch nicht gesprochen. Im Gegenteil, die DSGVO steckt noch in den Kinderschuhen und hat gerade ihre ersten Schritte getan. Sie wird im Laufe der nächsten Monate und Jahre den Umgang mit dem Thema Datenschutz auf der ganzen Welt grundlegend verändern.
Zu den Entwicklungen, die kurzfristig zu erwarten sind, gehört das angekündigte Ende der so genannten „impliziten“ Einwilligung zur Verarbeitung von Nutzerdaten. Hierbei wird die Einwilligung des Nutzers vorausgesetzt, wenn er seine Navigation auf der Website fortsetzt. Diese Form der Nutzereinwilligung entspricht zwar einer möglichen Auslegung der DSGVO in der aktuellen Fassung, wird aber nach dem Beschluss der Datenschutzkonferenz bald nur noch in Ausnahmefällen toleriert. Sie wird anderen, „strikteren“ Methoden weichen, nämlich der expliziten Einwilligung des Nutzers (beispielsweise durch Klick auf einen „Akzeptieren“-Button).
Auch eine gleichberechtigte Auswahl an Aktionen bei der Nutzereinwilligung wird wohl zu den künftigen Veränderungen gehören, wie zum Beispiel die systematische Anzeige eines „Ablehnen“-Buttons neben dem „Akzeptieren“-Button.
Darüber hinaus werden gerade genauere Regelungen zum Austausch von Daten unter Geschäftspartnern ausgearbeitet. Künftig muss jede Organisation, die die Daten ihrer Nutzer an Dritte weitergeben möchte, den betreffenden Geschäftspartner zu dem Zeitpunkt, an dem er die Daten erfasst, exakt benennen.
Die DSGVO wird sich also stetig weiterentwickeln und präziser werden, um eine Professionalisierung des digitalen Marktes voranzutreiben und die Halter und Verwalter personenbezogener Daten in die Pflicht zu nehmen. Deshalb sollte die Verordnung als eigenständige Größe angesehen werden, die bei sämtlichen Geschäftsentscheidungen zu berücksichtigen ist. Denn sie wird sich über kurz oder lang auf Arbeitsmethoden, Design- und Produktionsprozesse und natürlich auch auf Strategie und Marketingaktivitäten auswirken. Noch kümmert man sich häufig nur um die (sichtbare) Spitze des Eisbergs. Doch die Frage nach der DSGVO-Konformität sollte in den Alltag integriert werden: bei jedem Thema, bei jeder Aktivität und von jedem einzelnen Akteur. Nur so werden die Unternehmen in der Lage sein, auch die Vorteile und Potenziale der DSGVO zu sehen – und nicht nur ihre Nachteile.
Timo von Focht ist seit Anfang 2015 als Country Manager DACH bei Commanders Act für den Aufbau des Münchener Büros und die deutschsprachigen Kunden zuständig. Zuvor war er Senior Enterprise Account Manager für die strategischen Kunden von Adobe in Deutschland. Weitere Stationen lagen im Bereich Website Optimierung und Analytics. Er beschäftigt sich seit 13 Jahren mit den Themen Data Driven Marketing, Analyse und datenschutzkonforme Datenstrategien.