Der Europäische Datenschutztag am 28. Januar erinnerte an die Unterzeichnung des ersten paneuropäischen Datenschutzrahmens (Convention108) im Jahr 1981. 42 Jahre später gilt die DSGVO als zentrales Gesetz im europäischen Datenschutz, das es den BürgerInnen ermöglichen soll, ihr Grundrecht auf Privatsphäre durchzusetzen. Die Datenschützer der Organisation Noyb
sehen dies allerdings skeptisch und ziehen eine negative Bilanz: "Anfänglich als Durchsetzungs-Turbo gefeiert - und gefürchtet - ist die DSGVO kurz davor, das gleiche Schicksal wie die Vorgängerbestimmungen zu erleiden und einfach ignoriert zu werden", heißt es in einer Mitteilung.
Die Datenschützer kritisieren eine mangelnde DSGVO-Durchsetzung seitens der nationalen Regulierungsbehörden: Regelmäßig würden Verfahren verzögert, Beschwerden ohne genauere Prüfung abgewiesen oder kommentarlos eingestellt. Außerdem beklagen sie "Hinhaltetaktiken der großen Tech-Unternehmen": Nach Entscheidungen und Bußgeldern könnten sich Fälle noch über Jahre aufgrund von Berufungen und Verzögerungsversuchen hinziehen. Noyb verweist auf die Entscheidung der irischen Behörde gegen den Facebook-Konzern Meta, der eine Geldstraße von 390 Millionen Euro zahlen
und eine gültige Einwilligung für personalisierte Werbung einholen muss. Eine weitere Herausforderung: Bei grenzüberschreitenden Fälle setze der Kooperationsmechanismus (one-stop-shop) eine europäische Zusammenarbeit voraus.
764 Beschwerden sind laut Noyb noch nicht entschieden. Seit Inkrafttreten der DSGVO im Mai 2018 habe die Organisation 848 Einzelfälle bei unterschiedlichen Datenschutzbehörden in Europa eingereicht, davon wurden 10 Prozent entschieden. Die meisten wurden eingestellt, oder es wurde eine Einigung mit dem Unternehmen gefunden, da dieses die Verletzung beseitigt hatte. Einige Fälle sind nur teilweise entschieden. Circa 15 Fälle liegen aktuell bei den nationalen Gerichten, da die Behörden nicht innerhalb der gesetzlichen Frist entschieden oder Noyb gegen die Entscheidung Berufung einlegte.
Noyb-Vorstandsvorsitzender Max Schrems
: "Dieses Jahr ist die DSGVO fünf Jahre anwendbar. Bisher mogeln sich viele Unternehmen erfolgreich durch, da es nur homöopathische Durchsetzung gibt. Die europäischen Versprechen der DSGVO, Datenschutz effektiv und einfach zu machen, scheitern an den nationalen Behörden in den Mitgliedsstaaten, die bisher keine effektive Durchsetzung zustande bringen."
90 Prozent aller Apps verstoßen gegen die DSGVO
Dass es noch erheblichen Nachholbedarf gibt, zeigt auch eine Studie von
Usercentrics
von November 2022. Demnach verstoßen 90 Prozent aller Apps gegen die DSGVO. Für die Studie wurden 250 Apps aus fünf verschiedenen Kategorien untersucht: Lebensmittel, Lifestyle, Fitness und Gesundheit, Finanzen sowie Glücksspiel. Ganz düster sieht es bei den Glücksspiel-Apps aus: 100 Prozent aller untersuchten Apps sind nicht DSGVO-konform.
Dies verdeutlicht ein Dilemma, vor dem viele App-Betreiber stehen: Auf der einen Seite wünschen sich NutzerInnen personalisierte Erlebnisse, auf der anderen befürchten sie, dass ihre Daten an Dritte weitergegeben werden. Die Furcht hat oft Folgen: So gaben bei einer Deloitte-Umfrage aus dem Jahr 2020 40 Prozent der Befragten an, dass sie schon einmal eine App aufgrund von Datenschutzbedenken gelöscht hätten. App-Betreiber müssen deshalb Wege finden, Daten zu erheben, die sie brauchen, ohne die Beziehung zu ihren Kundinnen und Kunden zu gefährden.
"Viele Unternehmen empfinden Personalisierung und Datenschutz als Gegensätze. Sie haben das Gefühl, sich entweder für das eine oder für das andere entscheiden zu müssen. Dabei kann beides Hand in Hand gehen. Unternehmen werden sich allerdings daran gewöhnen müssen, dass so gut wie nichts mehr ohne die Einwilligung der Nutzer funktioniert", erklärt Rechtsanwältin Celestine Bahr
, Director Legal, Compliance und Data Privacy bei Usercentrics. Diese erhielten Unternehmen am besten durch eine faire, transparente Datenschutzstrategie - und zwar auf Augenhöhe mit dem Nutzer.
"Das bedeutet, dass ich Nutzern erkläre, wie die Daten über ihre Online-Aktivitäten verwendet werden, und ihnen zudem eine echte Wahlmöglichkeit gebe, was die Verwendung ihrer Daten angeht."
"Wenn sich Anbieter die User Experience ihrer App ansehen, sollten sie im Hinterkopf behalten, dass die Privacy Experience, also die 'Datenschutzerfahrung', ein wichtiger Teil davon ist. Wer die Nutzererfahrung durch Pop-ups und Einwilligungsbanner beeinträchtigt, vergrault seine Nutzerinnen und Nutzer", ergänzt Valerio Sudrio
, Global Director Apps Solutions bei Usercentrics. Ein positives Datenschutzerlebnis könne dagegen die Markenpräferenz einer App um 43 Prozent erhöhen.
"Und wenn Nutzer einer Marke vertrauen, sind sie doppelt so bereit, ihre persönlichen Daten mit dieser zu teilen, wie eine Studie von Google und Ipsos 2022 ergeben hat."
In einer Checkliste hat Sudrio fünf Tipps zusammengefasst, die App-Betreiber in Bezug auf Datenschutz in Apps beachten sollten.
- Sammeln Sie nur die Nutzerdaten, die Sie auch wirklich benötigen. Prüfen Sie im Vorfeld, welche Daten das sind, und passen Sie gegebenenfalls Ihr Datenerfassungsverfahren an.
- Erheben Sie nur Daten, wenn der Nutzer dem zuvor ausdrücklich zugestimmt hat. Bislang gingen viele App-Betreiber davon aus, dass die Entscheidung eines Nutzers, mit der Registrierung und Nutzung einer App fortzufahren, gleichbedeutend mit der Einwilligung des Nutzers zur Datenerfassung ist. Dies ist nicht der Fall. Die DSGVO schreibt vor, dass Apps die aktive, freiwillige und informierte Einwilligung einholen müssen, bevor personenbezogene Daten erhoben werden dürfen. Bieten Sie zudem eine einfache Möglichkeit, sich gegen die Einwilligung zu entscheiden (z. B. über einen prominenten Ablehnen-Button) oder diese zu einem späteren Zeitpunkt zu widerrufen.
- Sorgen Sie mithilfe einer Datenschutzerklärung für Transparenz. Informieren Sie die Nutzerinnen und Nutzer über die Art der Datenverarbeitung, den Zweck der Erhebung und die Weitergabe der Daten an Dritte.
- Respektieren Sie es, wenn Nutzer vom "Recht auf Vergessenwerden" Gebrauch machen. Die DSGVO gibt Nutzern einen gesetzlichen Anspruch auf die Löschung ihrer personenbezogenen Daten ("Recht auf Vergessenwerden"). Weisen Sie Ihre Nutzer darauf hin, dass auf Wunsch sämtliche Daten über sie gelöscht werden können.
- Arbeiten Sie ausschließlich mit Anbietern zusammen, die Ihre Position zum Datenschutz teilen. Wenn Ihre App vertrauliche Informationen mit Diensten von Drittanbietern austauscht, müssen auch diese Dienste überprüft werden. Ist dies erfolgt, muss mit diesen eine Datenverarbeitungsvereinbarung unterzeichnet werden. Beachten Sie dabei unbedingt: App-Nutzer sehen Drittanbieter als eine Erweiterung Ihrer Marke. Daher ist es ungemein wichtig, Ihre Partner nach ihren Richtlinien und Praktiken zur Datenerfassung zu fragen. Vergewissern Sie sich, dass diese leicht zugängliche, detaillierte Informationen über die Daten sowie über die Art und Weise, wie sie die Daten der Nutzer speichern, bereitstellen.
Valerio Sudrio:
"Es ist Zeit für einen Perspektivenwechsel: Die Nutzereinwilligung ist kein Hindernis für ein florierendes App-Geschäft, sie ist mittlerweile einfach eine Notwendigkeit und gleichzeitig steckt in ihr eine unglaublich große Chance. Richtig umgesetzt, kann Datenschutz für Apps letztlich ein Segen sein."