Zwei Jahre ist es nun her, dass die Datenschutzgrundverordnung (DSGVO) in Kraft trat. Auch die Übergangsfrist für Unternehmen, ihre Prozesse an die gesetzlichen Erfordernisse anzupassen, ist inzwischen verstrichen. Nicht nur die Behörden selbst, auch Marketer und Verbraucher ziehen ihr eigenes Fazit zur DSGVO. Hat der neue, einheitliche Rahmen den Datenschutz tatsächlich erhöht?
DSGVO ging an den meisten Privatverbrauchern vorbei…
Im Grunde drehte sich bei Einführung der DSGVO alles um einen höheren Datenschutzstandard. Sensible Daten unterliegen seither stärkeren Schutzmassnahmen. Die meisten Privatverbraucher begegneten der neuen Regelung allerdings vor allem in Form von Einwilligungen, die plötzlich überall unterschrieben werden wollten.
Beim Arztbesuch lag ein entsprechender Wisch auf dem Tresen, sämtliche Unternehmen, bei denen Verträge jeglicher Art liefen, schickten auf einmal Unmengen an Datenschutzerklärungen ins Haus. Aber mal ehrlich – hast du dir wirklich jede davon vor der Unterschrift durchgelesen?
Das ist das erste Fazit nach zwei Jahren DSGVO: Das Bombardement aus Papierkram nervte die Verbraucher eher, als dass es ihnen half.
… während sich die meisten Unternehmen fürchteten
Nicht nur kleine Betriebe zitterten davor, die Fristsetzung nicht rechtzeitig zu erfüllen. Je grösser das Unternehmen, desto verworrener in der Regel auch die betroffenen Geschäftsprozesse. Sobald auch nur die geringste Datenmenge verarbeitet, gespeichert oder gesammelt wird, verlangte die DSGVO eine neue Herangehensweise.
Kopplungsverbot: Marketing unter Dauerdruck
Was Privatverbraucher höchstens kennen, wenn sie eine der vielen erhaltenen Erklärungen aufmerksam gelesen haben, ist für Marketer nach wie vor ein Dauerproblem. Die Rede ist vom Kopplungsverbot. Das bedeutet konkret: Die Einwilligung in die Datenverarbeitung darf nicht an Bedingungen geknüpft sein.
Das macht viele bisherige Marketing-Strategien schlicht unmöglich. Ein Beispiel: Der Kunde erhält ein Goodie dafür, dass er sich für einen Newsletter anmeldet. Für den Newsletter ist aber mindestens die Datenspeicherung der E-Mail-Adresse nötig. Also greift die DSGVO – und eine Zustimmung wird pflicht.
Tracking: schwierig bis unmöglich
Bereits im Vorfeld hatten wir uns eingehend mit den Folgen der DSGVO auf Webanalyse-Tools wie Cookies befasst. Ein zusätzliches BGH-Urteil zielte auf ein Verbot solcher Tracking-Methoden ab. Auch die Aufhebung des Privacy Shield Abkommens erschwerte die Nachverfolgung zu Werbezwecken erheblich – überall dort, wo Datenverarbeitung auf amerikanischen Servern stattfand.
Selbst kleinste Anbieter, also auch gewöhnliche Webseiten-Betreiber, mussten sich nach Alternativen umsehen, um wenigstens grundlegende Analysedaten zu bekommen. Beispiele dafür wären Single-Sign-On-Systeme auf der Webseite oder sogenannte Trust Tokens.
Zunehmend setzen sich ausserdem Cookie-Banner durch. Diese Banner sind interaktiv und ermöglichen dem Nutzer, einschränkende Einstellungen vorzunehmen oder der Datenverarbeitung komplett zu widersprechen.
DSGVO: Mehr Bürokratie als Schutz?
Ein abschliessendes Urteil zur DSGVO fällt schwer. Datenschutz ist ein wichtiges Interesse aller Verbraucher – einheitliche Regelungen sind grundsätzlich sinnvoll, weil sie Orientierung bieten.
Nur verfehlt die DSGVO in vielen Fällen genau das. Statt Prozesse zu vereinfachen, schafft sie oft neue Hürden. Unternehmen nehmen komplizierte Anpassungen vor, Verbraucher kämpfen sich durch Kleingedrucktes, ehe sie einen Service nutzen können. Die Dokumentations- und Aufbewahrungspflichten der DSGVO belasten besonders kleinere Betriebe. Auch die Pflicht zur Bereitstellung eines Datenschutzbeauftragten sorgt vielerorts für erhöhten Aufwand.
Die befürchtete Abmahnwelle bewahrheitete sich leider. Allein die Klagen zum Thema Privacy Shield erreichten Rekordzahlen. Die AOK Baden-Württemberg wurde beispielsweise gerügt, weil sie bei einem Gewinnspiel nicht alle DSGVO-Anforderungen erfüllte.
Und trotzdem kehrt langsam Ruhe ein. Die Umsetzungsfrist ist verstrichen, die Abmahnwellen glätten sich, die nötigen Erfahrungen sind gesammelt. Vielleicht erfüllt die DSGVO künftig also doch ihren eigentlichen Zweck – mehr Datenschutz für alle.