Die DSGVO hat für viel Rechtsunsicherheit gesorgt und so manches Unternehmen fühlte sich im Regen stehen gelassen. Zugleich aber hat sie das Thema Datenschutz wie nie zuvor auf die Tagesordnung gebracht. Sieben Fachleute geben in unserer Befragungen ihre Einschätzungen weiter und werfen zudem einen Blick auf die unsichere Zukunft der e-Privacy-Verordnung.
Inhaltsverzeichnis
Hintergrund: DSGVO und e-Privacy-Verordnung
Ziel der Datenschutz-Grundverordnung (DSGVO) war es, einen europaweit einheitlichen Standard dafür zu schaffen, wie private Unternehmen und öffentliche Stellen mit personenbezogenen Daten umgehen. Zum einen soll das den Schutz dieser Daten sicherstellen und zum anderen den Datenverkehr innerhalb der EU gewährleisten.
Diese neue Recht hatte zwar eine zweijährige Übergangsfrist seit 2016 und wurde zudem bereits seit 2012 diskutiert. Letztlich kam es aber so, wie es oft kommt: Erst kurz vor knapp wurde vielen Betroffenen das gesamte Ausmaß der DSGVO deutlich. Zudem wurde teilweise Panikmache von Medien und Beratern betrieben, um Klicks zu erzielen oder anderweitig Geld zu verdienen. Möglich war das aber wiederum nur, weil es zunächst wenige offizielle Leitlinien und Empfehlungen für Unternehmen und Organisationen gab.
Wer mehr darüber wissen möchte: Rechtsanwältin Nina Diercks zieht in ihrem Artikel eine erste Zwischenbilanz. Außerdem hat sie einen praktischen Leitfaden für kleine und mittlere Unternehmen zur DSGVO-Compliance für Sie.
Die e-Privacy-Verordnung wiederum sollte eigentlich gleichzeitig mit der DSGVO in Kraft treten und dabei viele Punkte klarer regeln. Sie aber ist nun im Gesetzgebungsprozess der EU steckengeblieben. Das bedeutet zugleich: Noch ist Zeit, um sich in die Diskussion einzubringen. Und das ist auch dringend notwendig, wie einige Antworten zu unserer Befragung nahelegen.
A N Z E I G E
Wir wollten wissen: Wo zeigen sich die Schwächen der Verordnung? Welche Befürchtungen haben sich nicht bewahrheitet? Und gibt es vielleicht sogar etwas, was man an ihr loben könnte?
Teilnehmer unserer Befragung
- Tanja Auernhamer, Leitung der Geschäftsstelle des Bundesverband Industrie Kommunikation e.V. (bvik) im Bereich Kommunikation, www.bvik.org
- Dr. Carsten Föhlisch, Prokurist, Head of Legal Trusted Shops GmbH, www.trustedshops.de
- Alexander Rabe, Geschäftsführer eco – Verband der Internetwirtschaft e.V., www.eco.de
- Christopher Reher, Vorsitzender des Ressorts Data Economy im BVDW, www.bvdw.org
- Dr. Thomas Schwenke, Rechtsanwalt, Datenschutzbeauftragter und Datenschutzsachverständiger, drschwenke.de
- Dr. Carsten Ulbricht, Rechtsanwalt und Partner Bartsch Rechtsanwälte, www.rechtzweinull.de
- Anett Witke, Marketing Consultant Address-Base GmbH & Co. KG, www.address-base.de
Befragung
In der Berichterstattung im Vorfeld der DSGVO war die Aufregung meist groß. Was hat sich davon aus Ihrer Sicht bewahrheitet und was war Panikmache?
Tanja Auernhamer: Da die Umsetzung der DSGVO-Richtlinien in Unternehmen ein riesiger Kraftakt war und nach wie vor ist, ist „Panikmache“ der falsche Begriff. Es war angebracht, das Thema sehr ernst zu nehmen. Das Problem für B2B-Unternehmen ist, dass der intensiv definierte Schutz der Persönlichkeitsrechte in einigen Punkten an der Realität der B2B-Kommunikation vorbeigeht.
Dr. Carsten Föhlisch: Wie befürchtet haben sich die Datenschutzbehörden zu aktuellen Themen wie z.B. Website-Tracking streng positioniert. So hat die DSK im April in einem Papier die Ansicht vertreten, dass sämtliches Tracking nur noch mit Einwilligung des Betroffenen zulässig ist. Ausgeblieben sind bislang allerdings die befürchteten hohen Bußgelder und die Abmahnwelle. Nur vereinzelt wurden Abmahnungen ausgesprochen, allerdings eher von fragwürdigen Akteuren, so dass es relativ leicht war, sich dagegen zu wehren. Es werden aber sicher noch ernsthafte Abmahnungen und Bußgelder kommen, nur dauert es wohl etwas länger als ursprünglich vorhergesagt.
Beim Thema Abmahnungen sind wir noch nicht über den Berg.
Christopher Reher: Insgesamt darf festgestellt werden, dass drastische Strafgebühren und vor allem die befürchtete Abmahnwelle bislang ausgeblieben sind. Tatsächlich wird der Sanktionsrahmen der DSGVO ja nur in wirklich krassen Fällen angewendet werden. Beim Thema Abmahnungen sind wir dagegen noch längst nicht über den Berg. Mit weiter fortschreitender Rechtsprechung kann hier noch einiges geschehen, wenn nicht gesetzlich gegengesteuert wird.
Die Digitale Wirtschaft musste in den letzten zwei Jahren vor Anwendbarkeit der DSGVO ohne helfende Leitplanken von Politik und Aufsichtsbehörden auskommen und eigene Formate entwickeln. Auf Unternehmensseite haben erhebliche Bewegungen hin zu einer noch sichereren Verarbeitung von personenbezogenen Daten stattgefunden, welche zum Beispiel auch Einfluss in die neuen Selbstregulierungen wie zum Beispiel dem Code of Conduct Programmatic Advertising gefunden haben. Auch Projekte wie das Transparency & Consent Framework des IAB Europe, welches wir unterstützen, zeigen dies. Hier wurde erhebliche Pionierarbeit geleistet. Diese Herausforderung wurde von den Unternehmen der deutschen und europäischen Data Economy bisher also angenommen.
Für zukünftige Berichterstattung wäre es sehr hilfreich, wenn zu einem gemeinsamen und positiven Dialog aufgerufen wird und der Gesellschaft die Angst vor maßgeschneiderten Angeboten der datengetriebenen Wirtschaft genommen wird.
Wir leben in einer Zeit in der das tägliche Leben zu 95% von datengetriebenen Geschäftsmodellen durchwirkt ist und hierdurch erheblichen Komfort und starke Vereinfachung erfährt. Alle Teile unserer Gesellschaft sollten entsprechend gemeinsam daran arbeiten sich dieser Tatsache bewusst zu werden und die vollen Vorteile zu nutzen. Dies schließt ganz klar auch die Nutzer ein, welche sich ihrer neuen Macht und auch Verantwortung bewusst werden sollten und aktiv an der weiteren Entwicklung als „mündige (Digital-)Bürger“ teilnehmen sollten.
Viele Unternehmen waren auf die Datenschutzreform nicht vorbereitet.
Dr. Thomas Schwenke: Bewahrheitet hat sich, dass viele Unternehmen auf die Datenschutzreform nicht vorbereitet waren. Das lag auch daran, dass viele Unternehmen sich trotz der schon nach alter Rechtslage bestehen Pflichten, nicht hinreichend um das Datenschutzmanagement gekümmert haben.
Dagegen hat es sich (wie von Fachleuten erwartet) nicht bewahrheitet, dass Behörden Unternehmen mit Bußgeldern in horrenden Summen in Höhe von 4% des Jahresumsatzes überziehen werden. Auch die befürchteten Abmahnwellen sind (zumindest bisher) ausgeblieben. Das dürfte daran liegen, dass die Rechtslage weiterhin in vielen Punkten ungeklärt ist. Wie bisher werden vor allem eindeutige und sichtbare Datenschutzverstöße, wie zum Beispiel fehlende Datenschutzerklärungen oder der Versand von unerwünschter E-Mail-Werbung abgemahnt.
Dr. Carsten Ulbricht: Vieles war erwartungsgemäß Panikmache. Zahlreiche Berufsgruppen wie auch die Medien haben das Thema – oft auch im Eigeninteresse – stark übertrieben dargestellt. Nachdem die Datenschutzbehörden den bisherigen Bußgeldrahmen von 300.000 Euro noch nie ausgeschöpft haben, war nicht wirklich zu erwarten, dass sofort Millionenbußgelder verhängt werden. Es gibt bei offensichtlichen Datenschutzverstößen zwar einige laufende Bußgeldverfahren. Ein Bußgeld hat es in Deutschland trotz mehr als 3 Monate DSGVO nach meinem Wissen bisher nicht gegeben.
Anett Witke: Tatsächlich haben wir von Kunden gehört, dass es Abmahnungen für Webseiten gab, die nicht an die DSGVO angepasst waren, weil z.B. die Nennung eines Datenschutzbeauftragten fehlte. Von teuren Gerichtsverfahren und horrenden Strafzahlungen ist uns bisher aber nichts zu Ohren gekommen.
Welche Punkte in der DSGVO sollten Ihrer Meinung nach aufgehoben, angepasst oder klargestellt werden?
Tanja Auernhamer: Es müsste dringend zwischen Privatkäufen und B2B-Kundenbeziehungen differenziert werden. Viele Punkte wie „berechtigtes Interesse“ von Unternehmen – um nur einen zu nennen – lassen viel Interpretationsspielraum und setzen Unternehmen der Gefahr aus, von „Heuschrecken-Anwälten“, die sicheres Geschäft durch lukrative Abmahnverfahren wittern, abgestraft zu werden.
Es müsste dringend zwischen Privatkäufen und B2B-Kundenbeziehungen differenziert werden.
So wichtig der Schutz der personenbezogenen Daten im Zeitalter von Google, Amazon und Facebook ist, es lassen sich nicht alle Geschäftsmodelle über einen Kamm scheren. Die Customer Journey eines B2B-Kunden weicht erheblich von der eines Konsumgüterkäufers ab. Diese Differenzierung würde man sich in den Gesetzestexten mehr als wünschen.
Dr. Carsten Föhlisch: Das sog. Kopplungsverbot aus Art. 7 Abs. 4 DSGVO ist so vage formuliert, dass schon vor Inkrafttreten unter Juristen eine Vielzahl von Positionen vertreten wurde – von: „Nichts darf mehr gekoppelt werden“ bis „Es gibt kein Kopplungsverbot“. Das Gesetz ist hier ein typischen politischer Kompromiss, der aber für die Praxis untauglich ist. Die Frage, ob ich z.B. eine Gewinnspielteilnahme an den Newsletter-Empfang koppeln oder ein kostenloses Whitepaper gegen Werbeeinwilligung anbieten darf, wird wohl erst durch den EuGH geklärt werden müssen, um finale Sicherheit zu haben. Immerhin hat die DSK schon 2017 eine unternehmerfreundliche Position eingenommen, eine gesetzliche Klarstellung wäre aber besser.
Alexander Rabe: Eine Mehrheit der Unternehmen handelt heute gemäß den neuen europäischen Datenschutzregeln rechtskonform. Über einige offene Fragestellungen in der Auslegung der DSGVO werden sicher Gerichte entscheiden müssen. Aber das sollte die Aufsichtsbehörden jetzt nicht davon abhalten, ihre Vorstellungen und Maßgaben für Prüfungen vorzustellen.
Die Datenschutzaufsichtsbehörden müssen wieder verstärkt eine beratende und begleitende Rolle einnehmen.
Christopher Reher: Hier gibt es sicherlich einige Punkte, diese richten sich aber weniger an das Gesetz selber, sondern eher an die Datenschutzbehörden und Gerichte und deren Auslegung der DSGVO.
Speziell die Fragen der Einholung von Einwilligung und deren Ausgestaltung, sowie die Reichweite eines potentiellen legitimen Interesses für die Verarbeitung von personenbezogenen Daten bedürfen der Klärung. Die Datenschutzaufsichtsbehörden müssen hier wieder verstärkt eine beratende und begleitende Rolle einnehmen. Da ist auch Einheitlichkeit der Positionen wichtig.
Ohne eine solche werden wir weiterhin unterschiedliche, fragmentierte Bemühungen sehen und damit nur eine optimale und vor allem dem Nutzer zuträgliche Verarbeitung der Daten verzögern.
Hier muss also erneut der Aufruf in Richtung Politik und auch Aufsichtsbehörden gerichtet werden, aktiv mit der Wirtschaft in einen ermöglichenden und klärenden Dialog zu treten und ideologische Hürden hinter sich zu lassen.
Es geht um die langfristige Ermächtigung der Bürger hin zu mehr Mitbestimmung in der datengetriebenen Welt.
Schlussendlich geht es hierbei ja um die langfristige Ermächtigung der Bürger hin zu mehr Mitbestimmung in der datengetriebenen Welt. Dies positiv auszugestalten gelingt, auch und gerade auf der Basis der DSGVO, nur im konstruktiven Dialog miteinander.
Dr. Thomas Schwenke: Ob die DSGVO so schnell angepasst wird, ist rückblickend auf die Mühen und die Dauer ihrer Entstehung, eher fraglich. Allerdings erlaubt die DSGVO an vielen Stellen Anpassungen und Ergänzungen des nationalen Gesetzgebers, die eine größere Flexibilität als die EU haben.
So enthält die DSGVO zum Beispiel keine eigenen Regelungen zu einem Ausgleich zwischen der Meinungs-, Informations- sowie der Pressefreiheit und dem Datenschutz. Stattdessen wurden die nationalen Gesetzgeber dazu verpflichtet, für einen Ausgleich zu sorgen. Der deutsche Gesetzgeber ist diesem Auftrag bisher leider unzureichend nachgekommen.
Daher gibt es immer noch sehr viele Unklarheiten, vor allem in nicht eindeutig journalistisch-redaktionellen Bereichen. Dazu gehören zum Beispiel Blogger oder die Unternehmens-PR. Auch im Hinblick auf die Abbildung von Personen auf Fotografien, wurden klare Regelungen unterlassen. Hier gibt es derzeit einen rechtlichen Flickenteppich, bei dem je nach Rechtsansicht das Fotografieren selbst nach der DSGVO, aber die Veröffentlichung derselben Aufnahme nach dem Kunsturhebergesetz zu beurteilen ist.
Auch im Hinblick auf die Informationspflichten, wäre es wünschenswert gewesen, wenn zum Beispiel Erleichterungen für im Fall einer mündlichen (zum Beispiel telefonischen) Kontaktaufnahme, gegeben werden.
Die Löschungspflichten stellen viele Unternehmen vor große Herausforderungen.
Ebenso stellen die Löschungspflichten viele Unternehmen vor große Herausforderungen. Wünschenswert wäre zum Beispiel Ausnahmen, die etwaige Unmöglichkeiten oder technische Schwierigkeiten berücksichtigen, wie z.B. bei der Löschung einzelner Daten aus Backups.
Dr. Carsten Ulbricht: Die DSGVO ist vom Grundgedanken durchaus sinnvoll. Problematisch sind die zahlreichen unbestimmten Rechtsbegriffe (wie z.B. berechtigte Interessen), die die Anwendung nicht immer einfach machen. Zentral ist es nun aber, die DSGVO nicht zu konservativ sondern praxisnah und ausgewogen auszulegen. Dann wird man mit der DSGVO auch sinnvoll arbeiten können. Andernfalls muss man sich um die dringend notwendige Digitalisierung in Europa tatsächlich Sorgen machen.
Problematisch sind die zahlreichen unbestimmten Rechtsbegriffe, die die Anwendung nicht immer einfach machen.
Anett Witke: Da das Listenprivileg gestrichen wurde, herrscht Unsicherheit hinsichtlich der Legalität von gekauften Adressen. Es gibt zwar verschiedene Abschnitte, die nahelegen, dass Adresshandel zumindest im B2B-Bereich nach wie vor gestattet und ist und selbst im B2C-Bereich möglich, wenn das Interesse des werbenden Unternehmens überwiegt, aber zum einen klingt das aktuell stark nach Auslegungssache. Und zum anderen würde das die Hysterie um sichere Datenverarbeitung völlig lächerlich machen, wenn Privatdaten weiterhin gehandelt werden dürfen.
Im Ernstfall bekommt der Handwerker eine unangemessen hohe Geldstrafe, weil er den Prozess zur Datenspeicherung nicht korrekt dokumentiert, aber Datenhändler wie die Deutsche Post dürfen weiterhin Privatdaten handeln, weil die Anwälte es schon richten.
Welche Punkte fehlen in der DSGVO ganz oder sind zu schwach umgesetzt?
Tanja Auernhamer: Zu viel Überregulierung schadet der Industrie. Der europäische bzw. deutsche Anbieter muss auf internationalen Märkten adäquat kommunizieren können, um dem harten Wettbewerb z.B. in den USA oder in Asien gewachsen zu sein, wo ganz andere Gesetze gelten.
Dr. Carsten Föhlisch: Erhebliche Unsicherheit herrscht derzeit bei der Frage, ob Tracking, Targeting und Profiling nur noch mit Opt-In oder auch auf Basis einer Interessenabwägung legal ist. Vermutlich wird dies in der e-Privacy-Verordnung gesetzlich geregelt, offen ist aber noch, wann und wie genau. Die Behörden sehen immer die Einwilligung als Mittel der Wahl.
Ich würde mir eher eine gesetzliche Regelung wünschen, die vorgibt, was erlaubt ist und was nicht. Denn die Tools sind heute so komplex, dass der Betroffene ohnehin die Tragweite seiner Einwilligung nicht überblicken würde und entsprechende Texte gar nicht liest. Derzeit gibt es hier als Alternative nur die (schwammige) Rechtsgrundlage der berechtigten Interessen. Hier sollte man gesetzlich definieren, wann genau berechtigte Interessen vorliegen (z.B. Google Analytics mit gekürzten IP-Adressen) und wann die Grenze überschritten ist (z.B. Cross-Device-Targeting). Dies ist besser als dem User vermeintlich die Kontrolle über seine Daten zu geben und ihn damit zum Wegklicken einer Unmenge von Texten zu zwingen.
Alexander Rabe: Es ist wichtig – sowohl auf europäischer als auch auf nationaler Ebene in den einzelnen Mitgliedsstaaten – eine möglichst einheitliche Umsetzung der DSGVO anzustreben, alles andere widerspricht dem Geist eines digitalen europäischen Binnenmarktes, der die Wirtschaft in Gänze stärken würde.
Begleitend zu dem Verfahren und der Inkraftsetzung hätten Umsetzungsleitfäden und -hilfen sicherlich von Nutzen sein können.
Christopher Reher: Die DSGVO ist in sich sehr umfassend gestaltet und berührt sowohl digitale, als auch analoge Lebensbereiche erheblich. Begleitend zu dem Verfahren und der Inkraftsetzung hätten Umsetzungsleitfäden und -hilfen sicherlich von Nutzen sein können.
Gerade auch kleinere Unternehmen haben aufgrund der sehr abstrakten und unklaren Formulierungen teils erhebliche Aufwände betreiben müssen um keiner Gefahr ausgesetzt zu sein. Der risikobasierte Ansatz stellt Unternehmen vor immense Herausforderungen bei der Einschätzung der rechtlichen Zulässigkeit einzelner Verarbeitungen. Gerade die Frage des Umgangs mit pseudonymen Daten und deren Einordnung als personenbezogen sind unklar geregelt. Diese Maßnahme ist aber eine der wichtigsten Sicherungsfälle zum Schutze von Nutzern. Hier muss es viel mehr Aufklärung und Rechtsklarheit geben.
Auch eine Klärung des Verhältnisses zwischen DSGVO und Telemediengesetz, sowie eine klare Information hin zur weiteren Koordinierung aller Betroffenen wäre wünschenswert gewesen. Hier war das noch im April veröffentlichte Papier der DSK zu Tracking sicher nicht hilfreich, Rechtssicherheit zu schaffen – im Gegenteil.
Dr. Thomas Schwenke: Was mir in der Praxis immer wieder auffällt ist, dass die DSGVO bei den Pflichten zu wenig Rücksicht auf die Möglichkeiten der betroffenen Personen und Unternehmen nimmt.
Freiberufler oder Kleinunternehmer müssen zum Teil denselben Wissens- und Organisationsstand haben wie große Unternehmen.
Das gilt vor allem im Hinblick auf die sogenannten Rechenschaftspflichten, die zum internem Datenschutzmanagement, z.B. zur Führung von Verzeichnissen von Verarbeitungstätigkeiten, verpflichten. Hier müssen Freiberufler oder Kleinunternehmer zum Teil denselben Wissens- und Organisationsstand haben wie große Unternehmen.
Auch im Hinblick auf den Datenaustausch zwischen Unternehmen, ist die DSGVO nicht auf der Höhe der Zeit. Hier gibt die DSGVO starre Muster der Zusammenarbeit vor (zum Beispiel Auftragsbearbeitung oder gemeinsame Verarbeitung), die den flexiblen und sich ständig entwickelnden Arten der digitalen Zusammenarbeit nicht entsprechen.
Dr. Carsten Ulbricht: Es fehlen konkrete Regelungen zu einigen zentralen Themen, die im Hinblick auf die zunehmende Digitalisierung besser geregelt werden müssten. Neben Fragen rund um Big Data und dem Internet of Things (IoT) fehlt es vor allen zu handhabbaren Vorgaben zum Theme Künstliche Intelligenz (KI).
Die DSGVO bedeutet nur sinnlosen Aufwand und lähmende Bürokratie für Kleinunternehmer.
Anett Witke: Mit dem Hintergrund als Adressanbieter finde ich natürlich nicht, dass in der DSGVO etwas zu schwach umgesetzt wurde. Als Privatperson sehe ich den Schutz von personenbezogenen Daten an den falschen Stellen umgesetzt. So bedeutet die DSGVO nur sinnlosen Aufwand und lähmende Bürokratie für Kleinunternehmer.
Die DSGVO wird selten gelobt. Was würden Sie an ihr loben wollen?
Tanja Auernhamer: Im Endeffekt war die Einführung der DSGVO auch ein Innovationstreiber. Ich frage mich ernsthaft, ob das Thema „professionelle Kundenkommunikation im digitalen Zeitalter“ sonst bis in die oberste Führungsetage von mittelständischen Unternehmen und „Hidden Champions“ vorgedrungen wäre, obwohl dies lange überfällig ist.
Erst durch die Androhung empfindlich hoher Strafen hat sich etwas in den Köpfen bewegt.
Erst durch die Androhung empfindlich hoher Strafen hat sich etwas in den Köpfen bewegt und seit langem gepflegte Prozesse wurden strategisch hinterfragt. Den Marketern und Kommunikateuren in B2B-Unternehmen kommt nun ein deutlich höherer Stellenwert zu und Themen wie Inbound Marketing, KI und Marketing Automation werden endlich als Chance begriffen, die technologische Marktführerschaft auch in der Unternehmenskommunikation nach außen zu tragen. Der Bedarf des Kunden steht nun tatsächlich im Mittelpunkt.
Um zukunftsfähig zu bleiben braucht es ein neues digitales Mindset im gesamten Betrieb.
Große strukturelle Probleme wie das nach wie vor weit verbreitete Denken und Arbeiten in den Silos Marketing – Vertrieb – IT sind im Kontext DSGVO empfindlich zutage getreten. Um zukunftsfähig zu bleiben braucht es ein neues digitales Mindset im gesamten Betrieb.
Dr. Carsten Föhlisch: In Deutschland haben wir schon seit über 20 Jahren ein Datenschutzrecht, das inhaltlich nicht so weit von der DSGVO entfernt ist. Allerdings hat es kaum jemanden interessiert, weil das Risiko, für Verstöße belangt zu werden, überschaubar war. Die DSGVO hat wegen der hohen Bußgelder dafür gesorgt, dass sich nun jedes Unternehmen mit Datenschutz beschäftigt und es vielfach sogar zur Chefsache gemacht hat. Das ist positiv, denn Gesetze sind ja dazu da, dass sie auch von jedem eingehalten werden.
Christopher Reher: Bei aller Kritik muss man feststellen, dass es sich bei der DSGVO auch um einen Schritt in die richtige Richtung handelt.
Es gilt eine einheitliche Verordnung mit einem Marktortprinzip und der Nutzer ist wieder mehr in den Fokus gerückt worden. Geschäftsmodelle deutscher Firmen, die schon immer durch Bundesdatenschutzgesetz und Telemediengesetz sehr viel Acht auf die Sicherheit der Daten der Nutzer gegeben haben, haben durchaus auch positive Effekte feststellen können.
Die umfassende Abdeckung und die klaren Sanktionslinien haben einen einheitlichen Umsetzungdruck erzeugt, der sich mittlerweile auch über Europa hinaus zeigt.
Insgesamt hat die DSGVO erreicht, dass der Datenschutz zum Thema geworden ist.
Insgesamt hat die DSGVO erreicht, dass der Datenschutz zum Thema geworden ist. Auf der Ebene der rechtskonformen Umsetzungsmöglichkeit sieht es wie gesagt leider jedoch anders aus.
Dr. Thomas Schwenke: Ich denke das die DSGVO zum einen die Zusammenarbeit von Unternehmen erleichtert hat. Zwar gibt es nationale Unterschiede, was das Verständnis der einzelnen Normen oder deren Umsetzung angeht. Dennoch brachte uns eine einheitliche gesetzliche Grundlage der gewünschten datenschutzrechtlichen Harmonisierung einen großen Schritt näher.
Zum anderen ist die DSGVO so angelegt, dass auch Unternehmen außerhalb der EU deren Voraussetzung beachten müssen. Das führt dazu, dass auch US-Unternehmen anfangen, sich immer mehr an den europäischen Datenschutzstandard zu halten. So gesehen sorgt die DSGVO nicht nur für eine Steigerung des Datenschutzniveaus in Europa, sondern weltweit.
Dr. Carsten Ulbricht: Ein wichtiger und guter Ansatz der DSGVO ist die Idee der europaeinheitlichen Regelung des Datenschutzes. Wenn wir den (digitalen) Binnenmarkt weiter voranbringen wollen, so müssen überall in der EU einheitliche Datenschutzgrundsätze (sog. level playing field) gelten. Desweiteren hat man einige Defizite der nationalen Datenschutzvorschriften beseitigt, indem man klare Anwendungsbereiche (sog. Marktortprinzip) und Zuständigkeiten definiert hat.
Jetzt steht die e-Privacy-Verordnung an. Welchen Eindruck haben sie davon? Was erwartet uns da?
Dr. Carsten Föhlisch: Offensichtlich sind die aktuell vorgeschlagenen Regelungen für die Wirtschaft so inakzeptabel, dass sich das Inkrafttreten der Verordnung mehrfach verzögert hat und derzeit ungewiss ist, wann welche Regelungen genau kommen. Ich halte den Vorschlag, sämtliche werblichen Cookies nur mit Einwilligung einsetzen zu dürfen, ebenfalls für nicht praktikabel. Zudem ist die Abgrenzung zur DSGVO an mehreren Stellen unscharf. Hier muss also noch erheblich handwerklich nachgebessert werden.
Alexander Rabe: Die Verhandlungen des Rates und die folgenden Trilogverhandlungen werden hier zeigen, ob Europa es ernst meint mit einem einheitlichen Datenschutz. Die bisher vorgelegten Entwürfe zur e-Privacy-Verordnung lassen uns jedoch an diesem Ansinnen zweifeln.
Leider ist die e-Privacy-Verordnung im Vergleich zur DSGVO deutlich unbalancierter.
Christopher Reher: Leider ist die e-Privacy-Verordnung im Vergleich zur DSGVO deutlich unbalancierter.
Sollte sie eigentlich Lex Specialis zur DSGVO sein und damit diese in speziellen Bereichen nahtlos ergänzen, so bringt sie, durch die eigene pure Fixierung auf Einwilligungsthematiken, unabhängig von Verarbeitungszweck und -richtung, die etablierten Mechanismen erheblich durcheinander und konterkariert diese sogar. Das darf nicht sein.
Datenverarbeitungsbefugnisse aus der DSGVO müssen auch unter e-Privacy-Gesichtspunkten gegeben bleiben. Die Berücksichtigung von Prozessen und Einsatz von Sicherungsmaßnahmen wie der Pseudonymisierung von Daten als Ausgleich für strikte Einwiligungserfordernisse selbst bei Verarbeitungen, die kein erhöhtes Risiko für den Nutzer mit sich bringen, müssen hier explizit aufgenommen werden.
Auch hier ergibt sich zusätzlich der Konflikt mit den bestehenden weiteren gesetzlichen Rahmenwerken und es ist bis heute nicht eindeutig, in welcher Art und Weise die e-Privacy-Verordnung schlussendlich Geltung erhalten wird.
Die aktuellste Version sieht mittlerweile die amerikanischen Browser(hersteller) nicht mehr als universelle Hüter der Daten der Nutzer und akzeptiert auch alternative Bezahlmodelle als taugliche Alternative zur Datenteilung.
Mit ihrer Fixierung auf die explizite, informierte und freiwillige Einwilligung wird sie unser Leben erheblich beeinflussen.
Dennoch wird sie mit ihrer Fixierung auf die explizite, informierte und freiwillige Einwilligung als Grundlage aller von ihr berührten Datenverarbeitung unser Leben erheblich beeinflussen. Bis heute ist nämlich nicht klar, wie diese Einwilligung optimal und unter Berücksichtigung ihrer vollen Komplexität eingeholt werden kann.
Dies betrifft nicht nur Alltägliches wie die umfängliche Nutzung des Smartphones oder eines Navigationsgerätes sondern hat schon jetzt eine erhebliche Auswirkung auf die Zukunft. IoT, autonomes Fahren und AI, all diese Themen werden verkompliziert, wenn nicht sogar im Keim erstickt, wenn sich die aktuelle drastische Variante der e-Privacy-Verordnung durchsetzen sollte.
Abschließend muss also auch hier nochmal darauf hingewiesen werden, dass ein weiterer positiver und ideologisch unbelasteter Dialog notwendig und wünschenswert ist.
Gerne stellen wir dringend benötigtes Expertenwissen zur Verfügung und finden gemeinsam mit allen Beteiligten Lösungen und Positionen.
Wir als BVDW – stellvertretend für die datengetriebene Wirtschaft in Deutschland – möchten hier ganz klar ein Gesprächsangebot an Politik, Aufsichtsbehörden und Verbraucherschutzverbände richten. Gerne stellen wir dringend benötigtes Expertenwissen zur Verfügung und finden gemeinsam mit allen Beteiligten Lösungen und Positionen, damit Datenschutz nicht zwangsläufig den Untergang von Innovation in Deutschland und Europa nach sich zieht und damit andere Länder begünstigt, sondern vielmehr ein durchgängig positiver Wert und Vorteil für Menschen, Markt und Gesellschaft wird.
Gefällt dir dieser Artikel?
Dann trage dich jetzt ein ins „Update am Montag“ und bleibe über neue Inhalte auf dem Laufenden. Kein Spam! Bereits knapp 2.000 Leser:innen sind dabei.
Dr. Thomas Schwenke: Die e-Privacy-Verordnung enthält zum einen keine Neuerungen (zum Beispiel was das E-Mail-Marketing angeht bleibt, alles beim Alten). Neu und meines Erachtens auch dringend notwendig, ist die Gleichstellung von elektronischen Kommunikationsdiensten, wie WhatsApp oder Facebook Messenger mit den klassischen Kommunikationsdiensten wie Telefon, E-Mail oder SMS. Wenn es um den Schutz der Kommunikation zwischen Menschen geht, sollte der Kommunikationskanal irrelevant sein.
Ich erhoffe mir eine Regelung, die Nutzern erlaubt, mit wenigen Schritten die Preisgabe ihrer Daten zu regeln.
Spannend wird es vor allem bei der für das Online Marketing wichtigen Regelung zur Einwilligungspflicht beim Online-Tracking. Nach meiner Ansicht ist die ursprünglich geplante starre Opt-In-Pflicht der falsche Weg. Was uns die Cookie-Banner bisher gelehrt haben ist, dass Nutzer keine Zeit haben, sie immer zu lesen. Stattdessen klicken sie einfach auf „Einverstanden“ und der Datenschutzvorteil ist meines Erachtens gleich Null. Hier erhoffe ich mir eine Regelung, die Nutzern erlaubt, mit wenigen Schritten die Preisgabe ihrer Daten zu regeln.
Zum Beispiel wären Voreinstellungen in Browsern möglich oder regelmäßige Erinnerungen an die aktiven Tracking Cookies mit Möglichkeiten sie abzuschalten. Ob, wann und mit welchem Inhalt die e-Privacy-Verordnung in Kraft tritt, steht derzeit aufgrund der vielen ungelösten Punkten jedoch noch in den Sternen.
Hier bleibt noch Hoffnung auf eine praxisgerechte Ausgestaltung.
Dr. Carsten Ulbricht: Die e-Privacy-Verordnung ist noch im Gesetzgebungsprozess. Vor 2020 wird die Verordnung wohl nicht gelten. Derzeit arbeiten zahlreichen Lobbyisten an einer interessengerechten Gestaltung. Nachdem viele erkannt haben, welche Bedeutung der DSGVO zukommt, bleibt die Hoffnung, dass die Europäische Union hier einen sinnvollen Ausgleich zwischen nachvollziehbaren Unternehmensinteressen und den Datenschutzinteressen der EU-Bürger zustande bringt. Hier bleibt also noch Hoffnung auf eine praxisgerechte Ausgestaltung.
Dieser Artikel gehört zu: UPLOAD Magazin 64
Die Datenschutz-Grundverordnung DSGVO hat in diesem Jahr für viel Wirbel gesorgt. Mit einigen Monaten Abstand haben wir nun einen umfassenden Schwerpunkt für Sie rund um das wichtige Thema Datenschutz zusammengestellt. Wir ziehen darin Bilanz zur DSGVO, haben einen Praxisleitfaden mit acht Punkten für Ihre Compliance, haben Fachleute nach Ihrer Meinung zu DSGVO und e-Privacy-Verordnung befragt, beschäftigen uns mit dem Thema Cookies und haben Tipps zum technischen Datenschutz für Sie. Plus: Wie Sie den richtigen Influencer für eine Kampagne auswählen
- Weitere Artikel aus dieser Ausgabe kostenlos auf der Website lesen ...
- Bleib auf dem Laufenden über neue Inhalte mit dem „Update am Montag“ …
Schon gewusst? Mit einem Zugang zu UPLOAD Magazin Plus oder zur Content Academy lädst du Ausgaben als PDF und E-Book herunter und hast viele weitere Vorteile!
UPLOAD ist eine digitale Lernplattform für Content-Schaffende, herausgegeben von Falk Hedemann und Jan Tißler. Möchtest du uns gern kennen lernen, empfehlen wir dir das „Update am Montag“. Darin erfährst du einmal pro Woche, was es Neues bei uns gibt.