„Ich bin überrascht, dass die Nervosität in den Unternehmen nicht langsam zunimmt“, sagt Michael Neuber, der Justiziar des Bundesverbands Digitale Wirtschaft (BVDW). Er beobachtet gerade mit gemischten Gefühlen, wie sich die deutsche Unternehmens- und Werberlandschaft mit der anstehenden Novellierung des Datenschutzes in Europa auseinandersetzt, oder eben auch nicht. „Das wird praktisch jeden treffen, auch die Kleinen. Die Zeit, dass Daten in Excel-Listen verwaltet werden, ist endgültig vorbei.“
Am 25. Mai 2018 ist es so weit. Dann tritt die Europäische Datenschutzgrundverordnung in Kraft. Beschlossen ist sie seit 2016, aber in einem Jahr endet die Übergangsfrist. Dann wird sie schlagartig für jedes in Europa wirtschaftende Unternehmen verbindlich. Es spielt also keine Rolle, ob das Unternehmen seinen Sitz in Sachsen, Singapur oder dem Mittleren Westen hat: Jeder ist betroffen, der personenbezogene Daten in Europa verarbeitet. Mithin natürlich auch Facebook und Google, zwei Unternehmen, die besonders sorgfältig arbeiten sollten, denn sie stehen im Mittelpunkt des Interesses. „Google beherrscht fast 80 Prozent aller Touchpoints“, erläutert Christian Sauer, der Gründer der Analytics-Company Webtrekk. „Die dort erhobenen Daten werden gepoolt und zum Beispiel mit einem Google-Mail-Konto verknüpft. In Deutschland wäre so ein Unternehmen überhaupt nicht zulässig.“ Christian Sauer und viele in der datenverarbeitenden Werbeindustrie hierzulande knüpfen große Hoffnungen an die Novelle. Die Hoffnung zum Beispiel auf ein Level Playing Field, also auf gleiche Rahmenbedingungen für alle. Erst dann kann man wirklich sehen, wer im Wettbewerb das bessere (Tracking-)Produkt hat. Und man hat die Hoffnung, dass mit den steigenden Anforderungen an Transparenz, Datensicherheit und das Einsammeln und Verwalten von Zustimmungen die hiesige Tracking-Industrie Aufwind bekommt. „Wir vermarkten inzwischen schon seit zwei oder drei Jahren aktiv die Tatsache, dass wir hier die strengsten Auflagen haben“, sagt Sauer. „Auch in Asien und den USA gibt es Grassroots-Bewegungen, die mehr Datenschutz fordern. Gerade im Angesicht der Ära Trump.“
Das gilt nicht nur für die Tracking-Anbieter, sondern auch für die Hersteller komplexer Marketing-Suites. Mapp Digital – hervorgegangen aus dem Zusammenschluss von Terradata und Blue Hornet – sieht sich gerüstet: „Wir kommen aus dem strengen E-Mail-Datenschutz und können heute schon unseren Kunden genau sagen, ob ihre Daten in Deutschland gehostet werden oder zum Beispiel in der Amazon-Cloud liegen“, erläutert Rolf Anweiler, der Marketingchef. Er zeigt sich überrascht von der bescheidenen Nachfrage: „Datenschutz ist in Deutschland nach wie vor ein IT-Thema. Das wird sich ändern.“
Das Procedere
Kommen wird sie auf jeden Fall, die Novelle. Und zwar vollautomatisch. „EU-Verordnungen gelten unmittelbar wie inländisches Recht und bedürfen keiner speziellen Umsetzung in den Mitgliedsstaaten der EU“, so Justiziar Neuber. Was der Gesetzgeber hierzulande allerdings tun sollte, ist das bestehende Regelwerk danach zu durchforsten, ob es der Novelle stellenweise widerspricht. „Allein in Deutschland haben wir Hunderte Normen, die sich in unterschiedlichen Gesetzbüchern mit Datenschutz befassen. Eine wichtige Intention des europäischen Gesetzgebers ist es, den europäischen Normendschungel grundsätzlich zu vereinheitlichen“, so Neuber. Geschieht das nicht, so werden Gerichte zu entscheiden haben, welche Norm wofür Anwendung findet. Und meistens sind nationale Gerichte hierfür nicht entscheidungsbefugt. Dann geht’s weiter an den EuGH. Themen, bei denen man sich gerichtlich streiten kann, gibt es in der Novelle zuhauf. Obwohl die Novelle Transparenz verspricht, ist kaum ein Zusammenhang klar geregelt. „Die Novelle versäumt es, dem Anwender klare Regeln vorzugeben“, sagt der BVDW-Justiziar. Sein Verband gibt in Kürze einen ersten Leitfaden zur Umsetzung der Novelle heraus. Neuber ist aber klar, dass das nur eine von mehreren möglichen Interpretationen des Gesetzes ist: „Wir haben unsere Meinung, die Datenschützer eventuell eine andere.“
Was bedeutet die Novelle?
Im Grunde sind es die fundamentalen Kerngedanken des Gesetzes, die Unternehmen und Marketer hierzulande ins Grübeln bringen sollten. Es geht um mehr Transparenz und mehr Kontrolle, die der Nutzer über den Umgang mit seinen Daten erhalten soll. „Jedes Datenbit kann je nach Verarbeitungskontext plötzlich als personenbezogenes Datum definiert werden“, mahnt Neuber. Christian Sauer ist der Auffassung, dass diese Umsetzung mangelhaft ist: „Es ist doch ein großer Unterschied, ob ich eine Website besuche, die mich trackt, oder ob ich als Versicherung mit digitalen Röntgenbildern eines Patienten arbeite.“
Eine klare Einordnung der unterschiedlichen Datenkategorien vermisst auch Michael Neuber: „Vor allem die hier bekannte Unterscheidung zwischen allgemeinen Daten und Nutzungsdaten im Onlinebereich wäre für die praktikable Umsetzung sehr hilfreich gewesen.“ Tatsächlich ist es vor allem die Weitergabe der Daten an Dritte, die mithilfe der Novelle transparenter dargestellt werden soll. Der User muss über eine solche Weitergabe informiert werden und gegebenenfalls widersprechen können. Sieht man sich große Publisher-Seiten heutzutage an, so setzen diese auf einen Schlag gleich eine Vielzahl an Cookies, nicht nur für das hauseigene Tracking, sondern auch von allerhand Tracking-Dienstleistern, die zum Beispiel die Produktempfehlungen an das Verhalten der Nutzer koppeln wollen. Solche Publisher-Seiten müssen ab nächstem Jahr vermutlich mindestens zwei Einwilligungen einholen. Eine über das setzen der Cookies und eine über die Weitergabe der Daten an zum Beispiel ein Werbenetzwerk wie Tradedoubler. Es wird sehr spannend sein zu beobachten, wie die Unternehmen das umsetzen. Möglicherweise ist die User Experience und damit die Verweildauer auf der Seite besser, wenn weniger Layer um Tracking-Erlaubnis bitten. Nicht wenige Experten erwarten eine signifikante Steigerung der Bedeutung von 1st-Party-Daten, also jenen, die die Unternehmen selbst mitschneiden und nicht von Targetinganbietern zukaufen.
Möglicherweise wird es auch eine weitere Initiative in Richtung einer zentralen Steuerplattform geben, auf der die User ihre Präferenzen in Sachen Datenschutz einstellen und verwalten können. „Wenn die Industrie es eben nicht schafft, hier eine einheitliche Lösung zu schaffen – wie das bei „Do not track“ leider nicht funktioniert hat –, dann ist die Politik gefragt, hier einzugreifen“, mahnt Christian Sauer, wohl wissend, dass ein so komplexes Thema auf absehbare Zeit nicht ganz oben auf der Agenda der Gesetzgeber landet. „Das schnelle Regulativ ist der Advertiser“, meint Rolf Anweiler. „Die Verschiebung von Budgets geht schneller als das Erlassen von Gesetzen.“ Tatsächlich werden in den nächsten Jahren erst mal die Gerichte beschäftigt, um zu klären, welche konkrete Norm wie Anwendung findet und ob eine bestimmte Instanz klageberechtigt ist. Schon 2015 hat der Europäische Gerichtshof den Datenschützern in jedem Land viele Freiheiten in der Umsetzung des europäischen Datenschutzes eingeräumt. In Deutschland hakt es aber unter anderem deshalb, weil der Datenschutz föderal organisiert ist. Jedes Bundesland hat seinen eigenen Datenschützer. Andrea Voßhoff, die Bundesbeauftragte für den Datenschutz, ist unterdessen nur für die Öffentliche Hand und entsprechende Ausschreibungen zuständig.
Nun fordert die EU-Novelle eine europaweite Koordination des Datenschutzes. Hierzu müssen Gremien gebildet, Termine gefunden und Treffen anberaumt werden. „Es gibt sehr viel Abstimmungsbedarf auf EU-Ebene“, erläutert Michael Neuber. „Im Moment sind die Landesdatenschutzbehörden dem kaum gewachsen, sie haben zu wenig Ressourcen.“ Gleichzeitig wartet aber viel Arbeit auf die Privacy-Wächter. Etwa müssen sie sich auf eine einheitliche Sprache samt Fachterminologie einigen. Der englische Begriff „consent“ kann zum Beispiel als aktive Absichtserklärung wie auch als passive Duldung verstanden werden. Die verwendete deutsche Form „Einwilligung“ wird hingegen in der Regel als aktive Zustimmung gewertet, was aus Onlineperspektive schlicht den Unterschied zwischen Opt-in und Opt-out ausmachen kann.
Fazit
Wenn schon die europäische Koordination der Datenschützer deren Ressourcengrenzen sprengt, dann gilt das erst recht für die direkte Sanktionierung von Fehlverhalten seitens der Daten sammelnden Unternehmen. Theoretisch kann jeder Datenschützer Strafen aussprechen, und die können mit Bußgeldern von bis zu vier Prozent des Jahresumsatzes bewehrt sein. Freilich werden sich große Datensammler wie Facebook oder Google gegen solche Strafen juristisch zur Wehr setzen. „Ich glaube nicht, dass die Landesdatenschützer Lust haben, mit 200 Google-Anwälten in einen langwierigen Rechtsstreit zu gehen“, meint Christian Sauer. „Es wird bis 2020 dauern, bis es ans Materielle geht“, schätzt BVDW-Justiziar Neuber.
Die eigentliche Kraft der Novelle liegt in der Abschreckung. Waren bislang maximal 300 000 Euro als Bußgelder vorgesehen, so konnten es sich vor allem große Unternehmen leisten, eine Strafe zu riskieren und beispielsweise Altsysteme nicht anzutasten. Angesichts der Vier-Prozent-Klausel wäre das zweifellos fahrlässig, zumal die Novelle die Sanktionierung von Fehlverhalten als Regelfall definiert. „Wir werden massive Skandale sehen“, prognostiziert Rolf Anweiler nicht ganz uneigennützig. „Dann werden alle losrennen und nach Lösungen suchen.“ Für Unternehmen ist die Situation problematisch, weil nur ein Teil des Wirkungsbereichs der Verordnung klar definiert ist. Das „Recht auf Vergessen“ verlangt ziemlich eindeutig, dass ein Unternehmen seine Userdaten so verwalten muss, dass man diese Löschen kann, wenn der User das verlangt. Was aber geschieht mit Daten, die das Unternehmen selbst gar nicht verwendet, sondern an Dritte weitergibt? Und was geschieht, wenn ein Marketer Targetingdaten zugekauft und in Kampagnen integriert hat und ein betroffener User der Nutzung mitten in der Kampagnenlaufzeit widerspricht?
„Im Moment sind sehr viele Unternehmen verunsichert“, stellt der Webtrekk-Chef fest. „Das gesamte Potenzial tiefer Personenprofile wird gar nicht abgerufen, das ist vielen Unternehmen einfach zu heiß.“ Für Christian Sauer ist diese Konstellation Wohl und Wehe zugleich. Er muss zwar viel Aufklärungsarbeit leisten, um seine Produkte an den Mann zu bringen, bemerkt aber durchaus Wettbewerbsvorteile: „Asien und auch die USA schauen im Moment genau her, was wir in Sachen Datenschutz leisten. Die Aufmerksamkeit auf dem Thema wächst.“ Wohl dem, der frühzeitig und mit viel Investitionsvolumen seine Datenhaltung und -verarbeitung zu weiten Teilen inhouse betreibt und in den vergangenen Jahren auch die technologische Expertise aufgebaut hat, um nicht nur mit diesen Daten zu arbeiten, sondern auch Problemquellen frühzeitig zu erkennen. Ein Sprecher der Otto-Gruppe meint: „Wir begrüßen eine europaweit einheitliche Regelung, sind auf die Umsetzung der EU-Datenschutzgrundverordnung vorbereitet und sehen darin auch kein „Aus“ für Big Data. In Zukunft wird es darum gehen, eine sensible Balance zwischen Datenerhebung, -nutzung und -verarbeitung einerseits und dem Transparenz- und Schutzbedürfnis der Menschen andererseits zu finden.“ „Die Deutsche Telekom“, weiß Rolf Anweiler, „hat schon vor Jahren zwei DMPs (Data Management Platform, Anm. d. Red.) aufgebaut, eine für 1st- und die andere für 3rd-Party-Daten.“ Andere werden es ihnen nachtun. Möglichst bald.