Seit inzwischen einem Jahr gilt die Datenschutz-Grundverordnung: Die Bilanz fällt überraschend positiv aus, auch wenn Händler und Unternehmen weiterhin hohen Zeitaufwand, Kosten und Bürokratie beklagen: Was erlaubt ist, was sich als kritisch erweist und wie Händler sich dabei datenschutzrechtlich gut aufstellen können.

Die bislang höchste Strafe in Deutschland verhängten Gerichte in Baden-Württemberg: 80.000 Euro musste dort eine Bank bezahlen, weil sie Daten ehemaliger Kunden verarbeitet hatte. Datenschutz-Behörden der Länder melden laut Welt rund 100 Gerichtsverfahren, von denen die Hälfte mit Bußgeldern endete.

Insgesamt knapp 500.000 Euro kamen so zusammen, im Schnitt pro Fall rund 6.000 Euro: Zum Jahrestag der Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 eingeführt wurde, fällt die Bilanz erstaunlich sachlich, ruhig, ja sogar positiv aus: Zumindest in Deutschland wurden keine Strafen in Millionenhöhe verhängt. Von der Hysterie rund um die Einführung der DSGVO ist wenig übrig geblieben. "Die Aufregung hat sich gelegt, auch wenn es noch Fragen zu klären gilt", sagt Sebastian Kraska, Datenschutzexperte und Geschäftsführer des Instituts für IT-Recht.

Internationale Strahlkraft, wichtige Rechte umgesetzt

"Das Gesetz erreicht sein Ziel", teilt Online-Händler Otto auf Anfrage mit. "Die wichtigsten Punkte, das Recht auf Auskunft und Löschung persönlicher Daten, gab es vorher nicht, sie werden jetzt umgesetzt." Umfragen zufolge zeigte die DSGVO trotz neuer Pflichten bei mehr als der Hälfte der Unternehmen keine Auswirkungen, knapp 10 % bewerten sie sogar positiv. Nur etwa 40 Prozent klagen über Aufwand und Unsicherheit bei der Entwicklung und Einführung neuer Technologien zur Automatisierung oder Personalisierung von Services:

"Auf der Haben-Seite stehen EU-weit einheitliche Datenschutz-Regeln", nennt Achim Berg, Präsident des Internet-Branchenverbands Bitkom, indes Vorteile. "Mit der DSGVO hat die EU eine internationale Strahlkraft erzeugt, globale Konzerne orientieren sich ebenso daran wie wichtige Handelspartner."

Lob von Mark Zuckerberg

Sogar Facebook-Chef Mark Zuckerberg lobte das Gesetz – auch wenn sein Unternehmen wegen diverser Verstöße massiv unter Druck geriet und heute unter scharfer Beobachtung steht. "Die DSGVO war ja auch nichts generell Neues", erklärt Kraska. "Sie hat bestehendes Recht weiterentwickelt, aber erstmals mit hohen Haftungsrisiken versehen." Was vorher verboten war, aber oft gebilligt wurde – etwa das Verschicken von Newslettern ohne Erlaubnis, die Nutzung öffentlich zugänglicher Daten im Privatbereich sowie das umstrittene Re-Targeting – wird nun stärker beklagt und auch geahndet.

Vor allem aber führte die DSGVO dazu, dass Händler, Unternehmen und Nutzer den Wert persönlicher Daten verstehen und sensibler damit umgehen. Dass Konzerne wie Google, Facebook, Amazon unbegrenzt Gewinn aus ihrer Nutzung schürfen, wird heute zu Recht diskutiert. Immerhin wurde Google Anfang 2019 in Frankreich wegen Verstößen gegen die DSGVO verklagt, dem Internetkonzern droht nun ein Bußgeld von 50 Millionen Euro – es wäre die bislang höchste Strafe der DSGVO.

Datensilos harmonisieren und Nutzung dokumentieren

"Die Hysterie zur Einführung der DSGVO resultierte daraus, dass die meisten Unternehmen falsche Schwerpunkte bei der Umsetzung setzen", sagt Datenschutz-Spezialist Kraska. Weder der diskutierte Gebrauch von Visitenkarten, noch die Klingelschilder oder Adressdaten zum Versand von Waren standen und stehen bei der DSGVO im Fokus.

Es geht vor allem um die Sicherheit von technischen Systemen, mit denen sensible Daten gespeichert werden; außerdem muss die Nutzung von Personendaten heute dokumentiert und auch begründet werden. Nicht zuletzt mussten Unternehmen ihre Dienstleister vertraglich auf das neue Gesetz und einen professionellen Umgang mit Kundendaten einschwören: Aufgaben, an denen einige Unternehmen noch heute sitzen, wie Datenschutzexperten beobachten.
Otto-Zentrale in Hamburg: Zwei Jahre Vorbereitung bis zum Stichtag
© Otto Group
Otto-Zentrale in Hamburg: Zwei Jahre Vorbereitung bis zum Stichtag
Zwei Jahre lang hat sich Online-Händler Otto auf den Stichtag vorbereitet, die IT aufgerüstet, Daten aus diversen Silos zusammengeführt und harmonisiert. "Der Aufwand war enorm", berichtet Sprecher Frank Surholt, ohne allerdings Arbeitsaufwand oder Kosten beziffern zu können. "Mit der Kaufhistorie allein ist es ja nicht getan. Daten von Ratenkäufen werden bei uns gesondert gespeichert, ebenso offene Rechnungen, Garantien und weitere Informationen." Wollen Kunden Auskunft über ihre Daten oder diese löschen lassen, sollten diese vollständig und einheitlich vorliegen.

Stress für die kleinen Händler

Von ihrem Recht auf Auskunft machen jetzt viele Verbraucher Gebrauch: Nach Einführung der DSGVO hat sich die Zahl der Anfragen bei Online-Händlern enorm erhöht, Otto berichtet von einer wahren Welle. Auch die Datenschutzbehörden hatten gut zu tun: Bis Dezember 2018 stieg die Zahl der Beschwerden und Fragen im Schnitt auf 1.370 pro Monat – der Mal so viele wie vorher.

Das Interesse blieb hoch und ist nicht wieder abgeebbt. Vor allem kleine Händler und Unternehmen beklagen den Aufwand der Dokumentationspflichten und verlangen vom Gesetzgeber praktikablere Alltagslösungen: "Den Nachweis zu führen, welche Daten wie und wann genutzt werden, fällt Unternehmen noch schwer", berichtet Kraska, "ohne externe Hilfe, Checklisten oder Software ist das kaum zu schaffen."

Re-Targeting kommt bei Verbrauchern schlecht an

Nebenbei bereiten Web-Tracking, Re-Targeting und andere Online-Marketing-Maßnahmen Online-Händlern Kopfzerbrechen: "Jede Form der rückbezogenen Aufnahme von Nutzungs- oder Kaufdaten von der Website fordert die Zustimmung von Kunden und Besuchern", erklärt Kraska geltendes Recht. "Das gilt aber nicht erst mit Einführung der DSGVO, das war den Aufsichts-Behörden schon immer ein Dorn im Auge, zieht jetzt aber höhere Strafen nach sich."

Seit Mai 2018 sehen sich Internet-Surfer daher häufig mit Pop-up-Fenstern konfrontiert, auf denen sie um Einwilligung zum Cookie-Setzen gebeten werden. Seltener sind indes die Mails geworden, in denen Händler vorsichtshalber nochmals um die Erlaubnis warben, Newsletter schicken zu dürfen. Einige Online-Shops statteten außerdem ihre Kundenkonten mit Funktionen aus, mit denen Verbraucher persönliche Angaben schützen und wählen können, ob und wie sie heute elektronisch angesprochen werden wollen. Und aktuell muss sich Google in Irland für sein Targeting verantworten.

Re-Targeting: Verbraucher mögen die Werbe-Verfolgung durchs Netz nicht sagen Studien
© Fotolia Urheber: alphaspirit
Re-Targeting: Verbraucher mögen die Werbe-Verfolgung durchs Netz nicht sagen Studien
Direkt danach gefragt, erlaubt nur etwa die Hälfte der Verbraucher das Datensammeln und Verfolgen im Internet. Die DSGVO erschwert das Re-Targeting. Umfragen zufolge lehnen aber die meisten Verbraucher in Deutschland und Europa diese Werbeform ab, sie fühlen sich verfolgt, wenn Werbung, auf Surfverhalten und Kaufwünsche abgestimmt wird: Wer will sich nach einem Kauf auch gerne von weiteren, ähnlichen Angeboten verunsichern lassen? Weil Kaufabschlüsse nicht geteilt werden (dürfen), kann Re-Targeting außerdem nicht genutzt werden, um Zusatz- oder Zubehörkäufe einzublenden.

So gesehen zwingt die DSGVO Händler und Werbetreibende jetzt, intensiver nachzudenken, wo und wie sie ihre Kunden auf ihrem Einkaufsbummel erreichen und geschickt ansprechen zu können.

Automatisierung und künstliche Intelligenz schaffen Probleme

Trotzdem bleiben Lücken: Laut Bitkom bremst die DSGVO neue Technologien aus. Vor allem personalisierte Websites, smarte Services oder künstliche Intelligenz sind kaum datenschutzkonform zu realisieren. Denn diese Services fordern viele Daten, können zumindest für die Personalisierung von Websites auch nich anonymisiert sein.

Händler, die ihren Besuchern mittelfristig nur noch Produkte einblenden wollen, an denen sie laut Surf- und Kaufverhalten interessiert sind, werden auch dazu eine Einwilligung einholen und erklären müssen, welche Personenangaben sie dafür verarbeiten. Dass Personalisierung schwer zu realisieren ist, wird auch daran erkennbar, dass sich Händler wie die Otto-Tochter AboutYou, die ihre Seiten bereits personalisieren, bedeckt halten bei Fragen zur DSGVO.

Ohne Anlass Daten sammeln - das soll nicht mehr sein

Auch künstliche Intelligenz und smarte Services basieren auf Personendaten. Ohne konkrete Pläne haben die Händler deshalb in den letzten Jahren ihre Systeme für die Aufnahme von Big Data aufgerüstet. "Anlasslos Daten sammeln für Nutzungszwecke, die noch nicht feststehen – da macht die DSGVO einen klaren Schnitt", warnt Kraska. "Hier ist die Grenze des technisch Machbaren und des rechtlich Erlaubten erreicht."

Künstliche Intelligenz oder smarte Dienstleistungen sollten im Online-Handel nur auf Basis anonymisierten Daten entstehen. Gesetzgeber und Datenschützer sind hier gefragt, mit den Unternehmen gemeinsam nach alltagstauglichen Lösungen und Regeln zu suchen: am besten noch vor der bevorstehenden Überarbeitung der ePrivacy-Verordnung der EU.

MEHR ZUM THEMA:

Ausmisten erwünscht, so das Credo von About you, Zalando und Rebelle - denn dann gibt's Platz für neue Kleider und Accessoires.
© Rob Stark - Fotolia.com
Mode

Wie About you, Zalando und Rebelle Daten und Emotion verbinden


Leere auf dem Bildschirm: Wenn Kundendaten in Silos landen, erreichen Anfragen den zuständigen Ansprechpartner erst gar nicht.
© Big Face/Adobe.Stock.com
Technologie

Wie Onlinehändler Datensilos vermeiden


Eine zentrale Datenbasis ist Voraussetzung dafür, dass Unternehmensprozesse und Bestellkanäle ineinandergeifen.
© sashkin - fotolia.com
Technologie

Die Datenbasis muss stimmen: Integration zahlt sich aus