Datenschutz – Quo Vadis?

Das Jahr ist schon in vollem Gange und Trendvorhersagen erübrigen sich eigentlich. Allerdings lohnt es sich umso mehr, erkennbare Entwicklungen zu kommentieren. Das gilt vor allem dann, wenn sich Anpassungen der Wirtschaft und ihrer Geschäftsmodelle erkennen lassen. Und genau das sehe ich im Bereich datengetriebene Geschäftsmodelle und Datenschutz. Wo genau die Auswirkungen dieses Trends zu erkennen sind und wozu sie führen, erkläre ich im nachfolgenden Beitrag.

Das Ah und Oh war groß, als Google Anfang März 2021 verlauten ließ: „Keine Werbung mehr basierend auf individuellem Surfverhalten!“ Da mag sich manch einer die Augen gerieben haben: Google verzichtet freiwillig auf das lukrative Geschäft mit Daten? Nein! Von Freiwilligkeit kann keine Rede sein.

Der Druck auf den Giganten aus Kalifornien ist einfach zu groß geworden. Einer der stärksten Widersacher des Profiling-Experten war kein Unternehmen, sondern die französische Datenschutzaufsicht CNIL. Anfang 2019 erließ sie zum Beispiel ein Bußgeld gegen Google in Höhe von 50 Mio. EUR wegen intransparenter, nicht umfassender Datenschutzinformationen. Ende 2020 setzte die CINL noch einen drauf und erließ ein weiteres Bußgeld in Höhe von 100 Mio. EUR für das geheime Setzen von Cookies. Anders als die Bilanz des Unternehmens leidet die Reputation des Konzerns durch diese öffentlichkeitswirksamen Zurechtweisungen erheblich – sowohl bei Geschäftskunden¹ von Google als auch bei Verbrauchern.

Der Druck auf Unternehmen wie Google, deren Geschäft auf Datenerhebungen und -analysen basiert, steigt nicht nur wegen der Einwilligungserfordernisse, sondern vor allem auch wegen der Pflicht zur transparenten, umfassenden und richtigen (!) Information der Verbraucher. „Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen“, heißt es im Erwägungsgrund 7 Satz 2 der DSGVO. Denn nur dann können sie auch von ihren Rechten Gebrauch machen.

Das ist der Grund für die DSGVO und den Kampf der Datenschutzaufsichtsbehörden. Aber wie geht der Verbraucher mit seinem neu gewonnen Recht und den vielen Informationen um?

Das zeigt das aktuell präsenteste Beispiel: Cookie-Banner. Sie sind vollgepackt mit Informationen. Egal, ob man sie „schön macht“ oder nicht: Die meisten Menschen sind genervt, klicken die Banner schnell weg, ohne die oft sehr detaillierten und stark technologisierten Informationen zu lesen. Daher zweifle ich die teils hohen Akzeptanzraten von Cookies an, die manchmal kommuniziert werden. Ein (Weg)Klicken bedeutet schließlich nicht zugleich Zustimmung oder – und darauf kommt es ja an – Verstehen dessen, was gerade mit den Daten passiert.

Und genau hier stößt die Entwicklung „weg von den umfassenden Datenverarbeitungen und hin zu mehr Transparenz“ auf einen neuen Trend: Aufklärung statt Information und konkrete Praxisanwendungen zur Umsetzung der eigenen Rechte. Schöne Beispiele hierfür sind Unternehmen wie Increase Your Skills, das eine E-Learning- und IT-Awareness-Plattform für Unternehmen anbietet, oder Itsmydata, ein Start-up, das Verbrauchern im Bereich Bonitätskontrolle Kontrolle über ihre Daten gibt.

Ein weiteres Beispiel ist die Corona-Warn-App. Es ist extrem viel dazu kommuniziert worden. Unheimlich viele Experten haben sich zur Legalität, der Datensparsamkeit und dem Nutzen der Datenverarbeitung geäußert. Es gibt sehr ausführliche und auch einfache Informationen zu der im Vergleich zum Werbe-Tracking auf Websites oder in Apps sparsamen Datenverarbeitungen. Zudem hat kaum ein anderes datenschutzrechtliches Thema in den letzten Jahren so viele Bevölkerungsschichten erreicht. Die Akzeptanz bzw. die tatsächliche Nutzung der App ist gleichwohl ernüchternd. Das kann m. E. weder an fehlendem Datenschutz der App noch an mangelnder Information liegen. Es fehlt den Verbrauchern einfach an Wissen, das zum Verstehen der Datenschutzinformation und den Folgen notwendig ist.

Die Entwicklungen der letzten Jahre, beispielhaft dargestellt anhand der Beispiele oben, zeigen, dass Informationen über eine Datenverarbeitung und die damit zusammenhängenden Rechte nicht ausreichen. Die Verbraucher müssen sowohl den Inhalt der Datenverarbeitung als auch die Zusammenhänge, die Auswirkungen im echten Leben, verstehen und konkret für ihren Alltag umgesetzt bekommen. Dies ist wichtiger als Details der Datenverarbeitungen in Form von Cookie-ID und URLS auszuformulieren.

Eine sehr spannende Entwicklung, die ich vor einigen Jahren als Datenschutzbeauftragte von studiVZ kaum für möglich gehalten hatte. Doch gesetzlicher Zwang und Reputations- und Wettbewerbsdruck machen es möglich, dass ein Geschäftsmodell auf Datenschutz aufbauen kann. Dies zeigt nicht zuletzt das Millionen-Investment in Usercentrics, ein Start-up, das Unternehmen das Einwilligungsmanagement leichter macht. Datenschutzkonform und damit auch „GDPR compliant“ zu sein und das auch noch lückenlos belegen zu können, wie dies zum Beispiel Akarion anbietet, ist mittlerweile ein klarer Wettbewerbsvorteil geworden.

Über die Autorin

Dr. Jana Moser ist Datenschutzexpertin und regelmäßige Referentin auf nationalen und internationalen Veranstaltungen. Sie ist Geschäftsführerin der DATAREALITY VENTURES und hat in die Increase Your Skills GmbH investiert. Zudem arbeitet Sie als Senior Business Development und Key Account Managerin bei der Akarion AG.

_{¹Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.}