Schreckgespenst Datenschutz: zeigt die DSGVO jetzt Zähne?

avatar

Timo Schmidt - 7 Min. Lesezeit

header-picture

Schaut man sich in gängigen Newsportalen um, fällt auf: In puncto DSGVO machen die Behörden mittlerweile ernst: Google, Delivery Hero und das Datenleck des Chat-Portal Knuddels sind da nur einige der Missetäter respektive Verstöße. Hinzu kommen neue Regelungen in Bezug auf Social-Plugins und Cookies, die der Europäische Gerichtshof kürzlich erst in Urteilen bestätigt hat. Das Motto „Gnade vor Recht“ scheint also vorbei und wollen Unternehmen empfindliche Strafen vermeiden, sollten spätestens jetzt die bereits seit Mai 2018 in Kraft getretenen Regelungen umgesetzt sein. Wir verraten, was der aktuelle Stand der Dinge ist. (Timo Schmidt, ago)

Status quo: Nur 28% sehen sich selbst als DSGVO-konform an

Laut einer Studie von Capgemini glauben nur 28 Prozent der weltweit befragten Unternehmen, aktuell DSGVO-konform zu sein. Weitere 30 Prozent sehen die Vorgaben in ihrem Unternehmen als „weitgehend“ erfüllt an. Immerhin liegt Deutschland hier mit 33 Prozent DSGVO-konformen Unternehmen deutlich über dem Schnitt. Positiver Nebeneffekt: Gut neun von zehn konformen Unternehmen sagen, dass sie im Zuge der DSGVO von Vorteilen wie mehr Cybersicherheit, optimierten Prozessen und verbesserten IT-Systemen profitieren.

capgemini-studie

Sind Bußgelder die neuen Abmahnungen?

Bereits Anfang des Jahres verhängten Frankreichs Datenschützer mit 50 Millionen Euro die bisher höchste Strafe in der Geschichte des europäischen Datenschutzes. So kreidete die Commission Nationale de l’Informatique et des Libertés (CNIL) dem Datensammler Google zwei Verstöße an: zum einen, dass der Konzern die User seiner Dienste nicht transparent genug über die Datennutzung aufkläre und zum anderen, weil die wirksame Einwilligung für die Verarbeitung der Daten für Werbezwecke fehlte.

Aber nicht nur große Konzerne, auch andere Unternehmen sind betroffen: Der Lieferdienst-Aggregator Delivery Hero musste wegen zahlreicher Einzelverstöße mit 195.407 Euro das bisher höchste Bußgeld in Deutschland zahlen und auch das Chat-Portal Knuddels wurde mit 20.000 Euro zur Kasse gebeten, nachdem bei einem Hackerangriff zwei Millionen Nutzernamen und Passwörter verloren gingen – die Daten waren ohne Verschlüsselungs-Schutz auf den Servern des Unternehmens gespeichert.

Bei den genannten Vorfällen handelt es sich natürlich um grobe Verstöße, die mit der nötigen Sorgfalt vermeidbar sind. Aber was ist mit den Feinheiten, die uns alltäglich und vor allem im Online-Marketing begegnen? Was müssen Betreiber von Facebook-Fanpages und Nutzer von Social-Plugins jetzt beachten? Wie sieht es bei anderen Social Media-Diensten aus? Und was bedeutet die jüngste Entscheidung des Europäischen Gerichtshofs (EuGH) vom 01. Oktober 2019 für den Einsatz von Cookies? 

Facebook-Fanpages: Mitverantwortung für Betreiber bestätigt

Bereits im Juni 2018 hatte der europäische Gerichtshof in einem Urteil entschieden, dass Fanpage-Betreiber für die Datenverarbeitung der Besucher mitverantwortlich sind. Seit Juli 2019 gilt die Bestätigung, dass diese Rechtsprechung auch für Social-Plugins wie dem Gefällt mir-Button von Facebook gilt (EuGH, 29.07.2019 – C-40/17).

Dabei genügt für eine Mitverantwortung bereits, dass die Fanpage-Betreiber Vorteile aus den ihnen von Facebook zur Verfügung gestellten Insights ziehen können. Also aus den Statistiken, die die Anpassung organischer Inhalte oder von Ads auf spezifische Zielgruppen erlauben.

Aktuell empfohlene Lösung: Fanpage-Betreiber müssen ausführlich über den Zweck und den Umfang der Datenverarbeitung aufklären sowie bei Auskunfts- und Löschungsanfragen Folge leisten. Auch muss eine spezielle Vereinbarung mit Facebook abgeschlossen sein.

Wie sieht es mit anderen Social Media-Diensten aus?

In der Konsequenz des EuGH-Urteils ist somit auch die Nutzung einer Vielzahl sozialer Netzwerke, Online-Marketingtools sowie anderer Onlinedienste datenschutzrechtlich problematisch. So ist bei praktischer Anwendung dieses Maßstabs auf andere Social Media- wie auch Analyse-Dienste schnell klar, dass auch hier eine Mitverantwortung besteht: Z. B. bieten YouTube, Instagram-Business-Profile, Facebook-Gruppen und vor allem natürlich Google Analytics bspw. ebenso Statistiken und Funktionen an, die zur Datensammlung geradezu wie gemacht sind.

Im Vergleich zu den beschriebenen Fanpages kommt erschwerend noch hinzu, dass es weder für YouTube, Instagram, Facebook-Pixel etc. eine nach der DSGVO erforderliche Vereinbarung gibt.

Opt-in-Pflicht für Cookies

Wer Cookies und Tracking-Technologien für Marketing-Zwecke einsetzt, für den gibt es wichtige Neuigkeiten: Laut dem EuGH Urteil vom 1.10.2019 müssen Nutzer- und Website-Besucher zwingend auf einen „Einverstanden“-Button in einem Cookie-Hinweis klicken, bevor Cookies überhaupt gesetzt werden dürfen. Es besteht also eine Opt-In-Pflicht für Cookies.

Ganz besonders gilt das für Cookies, die zur Analyse des Nutzerverhaltens und zu Werbezwecken eingesetzt werden. Denn sie erfassen naturgemäß die meisten Informationen über die Nutzer und in speziellen Fällen sogar das geräterübergreifende Verhalten über mehrere Websites hinweg. Dazu zählen unter anderem:

  • Tracking-Cookies sozialer Plugins
  • Third-Party-Cookies zu Werbezwecken
  • First-Party-Analyse-Cookies

Anders verhält es sich nach Auffassung der Art.-29-Datenschutzgruppe bei Cookies, die für eine einwandfreie Funktion der Website nötig und somit zulässig sind: Login-Session-Cookies, Warenkorb-Cookies oder Sicherheits-Cookies, um Beispiele zu nennen. Hier bedarf es auch weiterhin keiner expliziten Einwilligung.

In der Praxis wird die Opt-In-Pflicht noch ziemlich lasch gehandhabt. Denn auch, wenn Cookie-Banner mittlerweile (fast) überall anzutreffen sind, so werden sie meist doch noch vor der Einwilligung des Users gesetzt. Konkret wird der Tracking-Code von Diensten wie bspw. Google Analytics sofort beim Aufruf der Website ausgeführt. Wer sich hier wie bis jetzt auf ein berechtigtes Marketing-Interesse berufen hat, das eine Datenverarbeitung bei entsprechender Erklärung und Widerspruchsmöglichkeit durch Opt-Out erlaubt, könnte nun Gegenwind bekommen: Datenschützer argumentieren, dass der durchschnittliche Nutzer überhaupt nicht mit dem Einsatz von Remarketing oder verhaltens- und interessenbasierter Werbung rechnen könne.

Weniger DSGVO-Belastung für kleine Unternehmen

Positiv lässt sich zusammenfassen, dass vor allem kleinere und mittlere Unternehmen von aktuellen Änderungen profitieren. So ist ein eigener Datenschutzbeauftragter nun erst ab einer Organisationsgröße von 20 Mitarbeitern nötig. Bisher lag der Schwellenwert bei 10 Mitarbeitern.

Aber nur, weil gewisse Unternehmen jetzt keinen eigenen Datenschutzbeauftragten mehr stellen brauchen, müssen sie dennoch allen Regelungen und Pflichten der DSGVO einhalten.

Fazit: Härtere Sanktionen werden kommen

Die deutschen Datenschutzbehörden fangen langsam aber sicher an, den breiten Rahmen an Sanktionen aus der Datenschutz-Grundverordnung (DSGVO) voll anzuwenden. Allerdings müssen die Strafen dabei auch immer verhältnismäßig sein. Grundsätzlich wird jeder Verstoß gesondert analysiert und bewertet. Schwere, Länge, verursachter Schaden, Vorsätzlichkeit und Kooperationswille sind da nur einige der Faktoren, an denen sich eventuelle Sanktionen bemessen.

Seien Sie gewappnet! Unser Themen-Special DSGVO-KONFORMES MARKETING ist die WISSENSPLATTFORM für die Marketing-Branche. In den PDF-Ratgebern DSGVO-Konformität und DSGVO aktuell erfahren Sie die wichtigsten Grundlagen. Und natürlich halten wir Sie mit unseren Blog-Beiträgen über die aktuellen Entwicklungen auf dem Laufenden.

Themen: Datenanalyse, Database Services, EU-DSGVO, DSGVO, Web Tracking, User Tracking, Datenschutz-Grundverordnung, Datenschutz, Datenintelligenz, GDPR, Data Mining, Smart Data, Data Analytics, Datenmanagement, Datenspeicherung

Neuer Call-to-Action

Aktuelle Beiträge

DSGVO Bußgeld-Transparenz: Welche Strafen Unternehmen wirklich zahlen

read more

Content Audit: Inventur und Wartungsarbeiten für Unternehmensinhalte

read more

Marketer, warum produzierst du noch Content, den keiner will?

read more