Nach einem Jahr Datenschutzgrundverordnung (DSGVO) ziehen Unternehmen, Verbände, Datenschützer und Anwälte eine gemischte Bilanz. Die befürchtete große Abmahnwelle blieb zwar bislang aus, doch die Rechtsunsicherheit macht vielen Unternehmen nach wie vor zu schaffen und hemmt sie, wie eine Mitgliederbefragung des Bundesverbands Digitale Wirtschaft (BVDW)
zeigt. Demnach hat jedes dritte Unternehmen (32 Prozent) seine digitalen Aktivitäten wegen der DSGVO eingeschränkt, 39 Prozent rechnen weiterhin mit Umsatzeinbußen. Immerhin scheint es sie nicht ganz so hart getroffen zu haben, wie befürchtet: Bei einer Befragung im Juni 2018 rechneten 56 Prozent der Unternehmen mit sinkenden Umsätzen. Nur vier Prozent der in der BVDW-Studie befragten Unternehmen geben außerdem an, eine Abmahnung erhalten zu haben, die sich auf die DSGVO stützt. Zwar rechnen 16 Prozent noch mit solchen Abmahnungen, bei der Befragung im Vorjahr war dieser Anteil mit 28 Prozent jedoch deutlich höher.
Das müssen Unternehmen jetzt tun
Die Sorge scheint jedoch berechtigt: Datenschutz-Experte Daniel Simon
, Geschäftsführer des Daten-Dienstleisters
Quadress
, geht davon aus, dass es künftig deutlich mehr Bestrafungen mit Bußgeldern geben wird, denn nach einer
"ersten Überforderung mit den neuen Themen" würden die Datenschutzbehörden nun proaktiv zahlreiche Unternehmen prüfen, wie er
in einem Gastbeitrag
für den Bundesverband Industrielle Kommunikation (bvik) schreibt. Immerhin habe die DSGVO und die gestiegenen Bußgelder dafür gesorgt, dass sich manche Unternehmen erstmals mit einer
"ernsthaften Einstellung und dem notwendigen Budget" dem Thema Datenschutz widmeten. Sein Rat:
"Jedes Unternehmen sollte seine internen Prozesse und Dokumentationen spätestens jetzt DSGVO-konform haben. Darüber hinaus muss bei jeder Verarbeitung von personenbezogenen Daten die Rechtsgrundlage geklärt sein und gegebenenfalls ein AV-Vertrag dazu abgeschlossen sein. Ansonsten kann es in der nahen Zukunft leider teuer werden."
Rechtsanwalt Christian Runte
Bild: CMS Hasche Sigle
Das bestätigt Christian Runte
, Rechtsanwalt und Partner der Anwaltssozietät CMS
. "Nach einem Jahr DSGVO ist trotz aller Aufregung und des teilweise immensen Aufwands bei manchen Unternehmen wieder etwas Entspannung eingekehrt. Teilweise ist das richtig so, weil etwa eben doch nicht für jede Marketingaktion eine Einwilligung erforderlich ist." Dennoch dürfe man sich nicht täuschen lassen: Die Aufsichtsbehörden tauchen erst jetzt langsam wieder auf aus der Flut von Anfragen, Meldungen und Beschwerden. Damit werde auch erstmals seit Inkrafttreten der DSGVO Zeit sein, Beschwerden und Datenschutzverstößen im Einzelnen nachzugehen und von den neuen Sanktionsmöglichkeiten Gebrauch zu machen. Doch noch seien viele Fragen für die Praxis ungeklärt, insbesondere für das Thema Marketing und die künftige ePrivacy-Verordnung. Sein Rat: "Die Strategie muss jetzt sein, bei den Grundfragen 100 Prozent Compliance zu erreichen. Wer jetzt noch keinen Datenschutzbeauftragten hat, unzureichende Datenschutzerklärungen verwendet oder Auskunftsersuchen von Betroffenen einfach ignoriert, der darf keine Gnade von Aufsichtsbehörden erwarten."
So sieht es auch der Dr. Stefan Brink
, Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI)
, der gegenüber der Stuttgarter Zeitung
2019 als das "Jahr der Kontrollen" bezeichnet. Bisher habe die Beratung im Fokus gestanden, nur 13 Kontrollen seien 2018 durchgeführt worden - bei über 500.000 Unternehmen im Land. Diese Zahl soll laut Brink auf 250 steigen. "Die Aussage sollte ernst genommen werden", rät Timo Schutt
, Fachanwalt für IT-Recht, in einem Beitrag für Marketing-Börse
. "Die Kontrollen häufen sich und die Einschläge kommen demgemäß näher. Die anderen Aufsichtsbehörden der Länder sind übrigens schon seit längerem zu verstärkten Kontrollen und Sanktionen umgeschwenkt. So finden zurzeit in allen Bundesländern proaktiv Datenschutzkontrollen statt.
Auch müssten Unternehmen sich mit den DSGVO-Besonderheiten in den verschiedenen Ländern auseinandersetzen, lautet der Rat von Daniel Simon: "Meine Empfehlung an Industrieunternehmen, die international agieren, ist: Machen Sie Ihre Hausaufgaben, die Ihnen die DSGVO auferlegt hat! Setzen Sie einen Datenschutzbeauftragten ein, der sich alle Prozesse im Unternehmen anschaut und datenschutzkonform gestaltet. Wenn Sie in andere europäische Länder personenbezogene Daten übermitteln oder Daten aus diesen Ländern verarbeiten, informieren Sie sich vorher, wie die Bußgelder der Behörden dieses Landes bisher ausgefallen sind. Prüfen und achten Sie verstärkt darauf, dass in diesen Ländern den Datenverarbeitungsprozessen besondere Beachtung geschenkt werden sollte."
Auch 2019 gibt es noch viele Baustellen, wie Patrick Tapp
, Präsident des Deutschen Dialogmarketing Verbandes (DDV)
anmerkt. "Auch ein Jahr nach Wirksamwerden der DSGVO sind verschiedene Detailfragen noch offen, etwa beim Umfang der Transparenzpflichten oder der Frage, ab wann Datenverarbeitung einer Einwilligung bedarf und nicht mehr allein auf der Interessenabwägung gestützt werden kann." Zu fast jeder Frage der DSGVO gebe es heute unterschiedliche Antworten. "Das wird sich leider auch nicht so schnell ändern", so Tapp. "Das letzte Wort werden hier und da Gerichte als objektiver Schiedsrichter zwischen Wirtschaft und Datenschutzaufsicht haben", so seine Prognose.
Die Chancen der DSGVO nutzen
Grundsätzlich zieht der DDV ein positives Zwischenfazit. Demnach hätten die Unternehmen den hohen bürokratischen Aufwand gut gemeistert, sich in Schulungen gründlich vorbereitet. Diese Einschätzung teilt Pierre Chappaz
, Executive Chairman bei der Mediaplattform
Teads
. Die DSGVO biete Unternehmen sogar Chancen, die sie nutzen sollten.
"Seit gut einem Jahr beobachten wir einen interessanten medialen Effekt: Die Nutzer sind über personalisierte Werbung gar nicht so verärgert wie man es beim Lesen der Presse glauben könnte." Dies zeige sich etwa bei der Zustimmung von Cookies für Werbezwecke.
"Unsere Messungen nach der Umsetzung des neuen Gesetzes zeigen, dass in den europäischen Ländern durchschnittlich nur in vier Prozent der Fälle die Möglichkeit ergriffen wird, Cookies auszuschließen." Die meisten deutschen Webseitenbetreiber beriefen sich weiterhin auf ihr berechtigtes Interesse, Nutzerdaten zu sammeln und für die Ausspielung von Werbung zu nutzen, um ihr Medienangebot zu finanzieren. "In anderen europäischen Ländern sind die Publisher beim Thema DSGVO deutlich weitergegangen und haben Technologien installiert, mit denen sie die Zustimmung und Ablehnung von Nutzern dokumentieren und verwalten können."
Pierre Chappaz, Teads
Bild: Teads
"Aus den Daten ihrer Interessenten und Kunden können Industrieunternehmen viel herausholen - sofern sie die Einwilligung der Betroffenen haben. B2B-Unternehmen, die in Zukunft erfolgreich sein wollen, müssen das Potenzial unserer digitalen, datengenerierenden Welt nutzen", sagt auch Marketing-Automation-Experte Martin Philipp
, Geschäftsführer von EMail-Marketing-Softareanbieter SC-Networks
. Bei allen Nachteilen für Unternehmen habe die Einführung der DSGVO "zum zukunftsweisenden Umdenken geführt", erklärt der Verband Industrie Kommunikation. "Das Kernstück der Kommunikation - die Daten der Kunden - müssen als Vertrauensvorschuss in die Qualität der Marke und ihrer Produkte gewertet werden. Wo früher oft die Produktwerbung im Fokus stand, wird heute viel in hochwertigen Content mit unmittelbarem Nutzwert für Kunden investiert, um eine stabile Markenbindung aufzubauen."
Nutzer sind nämlich eher bereit, ihre Daten zu teilen, wenn sie im Gegensatz konkreten Nutzwert erhalten, das zeigt auch eine globale Benchmark-Studie von Airship
. Demnach sank die durchschnittliche Opt-in-Rate für die Nutzung von Standortdaten weltweit von 9,3 Prozent auf 7,7 Prozent. Der Grund: Nutzer sorgen sich zunehmend um den Schutz der eigenen Daten und werden immer selektiver bei der Weitergabe ihrer Standortdaten. In Branchen, in denen deren Verwendung einen unmittelbaren Nutzen für Verbraucher bietet, wie etwa der schnellen Suche nach einem nahegelegenen Restaurant oder Kino, stiegen die Opt-in-Raten für standortbezogene Dienstleistungen jedoch stark an. Die Studie untersucht Benutzerberechtigungen für mobile Apps unter fast 700 Millionen Menschen weltweit. Die durchschnittliche Opt-in-Rate für Benachrichtigungen bleibt mit über zwei Dritteln (67 Prozent) der weltweiten App-Nutzer hoch. Davon profitieren können vor allem der Einzelhandel, die Branchen Entertainment sowie Essen & Trinken. Diese Entwicklung verdeutliche die Bereitschaft der Nutzer, Standortdaten zu teilen, wenn "sie dadurch bequeme, optimierte Dienste freischalten, die ihren Alltag vereinfachen und verbessern", so das Fazit.
Der Mobile Marketing Spezialist Ogury
hat 280.000 Personen in sechs Ländern zum Thema Mobile, Datenschutz und Digitalwerbung befragt, darunter 35.000 Deutsche. Das Ergebnis: Für die meisten ist die DSGVO nach wie vor ein Buch mit sieben Siegeln, nur sieben Prozent der Deutschen haben nach Einführung der Verordnung einen besseren Einblick darin, wie Unternehmen ihre Daten nutzen. Aber: 67 Prozent der User sind dazu bereit, personenbezogene Daten zu teilen, wenn es transparent und fair geschieht. "Daraus entsteht eine Chance für Unternehmen, die korrekt arbeiten", so das Fazit.
0,0,0,Zwei Drittel der User (67 Prozent) sind dazu bereit, personenbezogene Daten zu teilen, wenn es transparent und fair geschieht. ,
Grafik: Ogury
Mit Transparenz Vertrauen in die Marke stärken
Die DSGVO sei eine Chance, die Kontaktqualität zu steigern, bestätigt Susanne Hohenschuh
, Geschäftsführerin der Hamburger PR-Agentur
Frau Wenk
.
"Bei jedem Presseaussand, bei jeder Kontaktaufnahme muss nicht nur wie bisher sorgfältig überlegt werden, ob die vertrauensvolle Basis für den Kontakt besteht und welchen Nutzen der Empfänger aus der Botschaft zieht. Es gilt auch, die Datenprozesse entsprechend zu dokumentieren und abzusichern. Das Bewusstsein, wie wertvoll jeder einzelne Kontakt ist, wurde durch die DSGVO sicher in vielen Bereichen verstärkt. Das Niveau der Journalistenansprache ist dadurch im Idealfall weiter gestiegen." Die Zeit der Massenaussendungen sei endgültig vorbei.
"Und das tut auch dem Stellenwert der PR gut."
Auch für Markus Oeller
, Gründer und Geschäftsführer der Hamburger Agenturgruppe
MSM.digital
, lohnt sich der Aufwand.
"Auch wir bei MSM.digital haben die Auswirkungen gespürt. Die Prozessvielfalt und Komplexität der Datenverarbeitung haben Abstimmungen und neue IT-Infrastrukturen nötig gemacht - intern und bei den Kunden. Den Minimalaufwand für KMUs schätzen wir auf fünf- bis sechsstellig." Auch im zweiten Jahr der DSGVO stünden viele Unternehmen vor der Herausforderung, alle Prozesse und IT-Systeme anzupassen. Oeller nennt ein Beispiel:
"Einer unserer Kunden nutzt PI-Mails (Post Interaktion), in denen Kunden gebeten werden, nach einem Online-Kauf eine Bewertung abzugeben. Die Kundendaten werden in einem zentralen System vorgehalten, mit Schnittstellen zu verschiedenen Anbietern in über 40 Ländern weltweit. Da die Webseiten oder Kontaktformulare einiger Dienstleister noch nicht datenschutzkonform waren, konnte der Prozess zunächst nicht mehr abgebildet werden. Hier steht einigen Unternehmen noch Arbeit bevor." Für alle gelte:
"Wir sollten künftig genauer hinterfragen, mit wem wir warum unsere Daten teilen - schließlich bestimmen Algorithmen mehr und mehr über unser Leben. Unser Fazit: Die DSGVO wird zwar keinen Aufschwung bringen, sie wird ihn aber auch nicht verhindern. Aus Kundensicht ist die DSGVO jedoch der richtige Weg. Und damit ist er auch der richtige Weg für die Unternehmen, die im Sinne des Kunden handeln."
DSGVO als Wettbewerbsvorteil
Barbara Nietzer
, EMEA Senior Legal & Privacy Counsel bei
Criteo
, sieht ebenfalls den Nutzen:
"Das DSGVO-Grundprinzip ist klar: Transparenz! Transparenz schafft Vertrauen auf allen Seiten und bestärkt ein faires Miteinander von Marktteilnehmern und Nutzern. Es ist an uns allen, nun auch gemeinsame Lösungen zu finden; Lösungen, die gleichermaßen Interessen der Nutzer sowie der Wirtschaft in ausgewogener Weise berücksichtigen und somit das Vertrauen aller in das Ökosystem stärken."
Barbara Nietzer, Criteo
Bild: Criteo
Die DSGVO habe mit Fokus auf den Umgang mit Kundendaten im Bereich des Marketing Klarheit und Rechtssicherheit geschaffen, ergänzt Marketingberater Dr. Dirk Kall
, Geschäftsführer der Agenturgruppe PIA
: "Es gilt: Keine personenbezogene Werbung ohne vorherige explizite Einwilligung des Kunden, egal in welchem Kanal. Dies ist doch auch grundsätzlich keine Neuerung. Ich rate Unternehmen entsprechend dazu, die DSGVO vielmehr als Chance zur Fokussierung innerhalb der Kundengewinnung und -ansprache zu nutzen und nicht nur das Negative in den Vordergrund zu stellen. Die DSGVO verhindert nämlich in diesem Punkt grundsätzlich keine personalisierte Werbung, sondern schafft gleiche Rahmenbedingungen für alle. Das kommt mir in der Diskussion einfach zu kurz. Europäischer Datenschutz kann auch zum Wettbewerbsvorteil für international agierende Unternehmen werden."
Dirk Kall, PIA
Bild: PIA
Auch nach einem Jahr DSGVO sei es "nach wie vor richtig und erforderlich, klare und eindeutige Regelungen für Unternehmen, Verbände und Organisationen zum Umgang mit personenbezogenen Daten auf EU-Ebene zu schaffen." Und dies habe die DSGVO weitestgehend getan. Die unterschiedlichen Auslegungen jedoch führten zu Unsicherheit und hohem Aufwand bei der Implementierung, etwa in werbungtreibenden Unternehmen. "Ich kann gut verstehen, dass sich vor allem kleinere Unternehmen beschweren, da sie einfach nicht die Mittel haben, sich das teilweise erforderliche Ausmaß an Rechtsberatung zu leisten. Eins ist nämlich auch klar: Vor allem Anwaltskanzleien sind ein Gewinner der DSGVO, denn das Ausmaß an Datenschutzberatungsbedarf ist doch enorm gestiegen. Das kann und darf aber nicht Ziel einer Gesetzgebung sein."
Mehr Transparenz für Unternehmen
Die Wunschliste an Politik und Behörden bleibt lang: Nach wie vor mehr Aufklärung fordert etwa Willms Buhse
, Gründer und CEO der Managementberatung
DoubleYUU
und des Weiterbildungspartners d-cademy:
"Für den Mittelstand hat die DSGVO teilweise heftige Folgen. Nicht wegen der strengen Regeln oder der besonders rigiden Behörden, sondern wegen Überforderung, mangelnder Kompetenz und Unsicherheit. Es gibt einige weltmarktführende Mittelständler, die allein aus vorauseilendem Gehorsam und der Angst vor Klagen und Fehlern sämtliche Analyse-Mechanismen wie Google Analytics und Co. abgeschaltet, Newsletter eingestellt oder alle Webformulare deaktiviert haben. Damit ist ihnen nicht nur die Orientierung verloren gegangen, was die Performance der Webseite angeht, sondern tatsächlich auch der digitale Kundenkontakt." Deshalb scheine die DSGVO eher ein Schritt zurück in der digitalen Transformation der deutschen Wirtschaft als einer nach vorne zu sein.
"Hier liegt auch ein Versagen der Politik. Die Macher der Verordnung hätten die betroffenen Unternehmen viel besser und umfassender aufklären müssen, was die DSGVO tatsächlich ganz konkret bedeutet", kritisiert Buhse.
"Aufgrund der rechtlichen Graubereiche werden die Regularien im Zweifelsfall zu eng ausgelegt, um nichts falsch zu machen", bestätigt Silke Lang
, Vorstand des Bundesverband Industrie Kommunikation e.V. (bvik) und Director Marketing Mobile Hydraulics bei der
Bosch Rexroth AG
.
"Unsere Mitgliedsunternehmen berichten zudem, dass Kontaktdaten in schmerzlichen Größenordnungen von bis zu 80 Prozent aus den Datenbanken gelöscht wurden, sofern ihre Herkunft nicht zweifelsfrei dokumentiert war", ergänzt Tanja Auernhamer
, Leiterin der bvik-Geschäftsstelle. Die Gewinnung neuer Leads erfordere unter den geänderten Voraussetzungen ganz neue Marketing- und Vertriebs-Strategien.
"Besonders kleinere und mittelständische Betriebe geraten durch den hohen bürokratischen und finanziellen Aufwand an ihre Grenzen."
Es besteht jedoch Hoffnung auf Besserung, sagt Rechtsanwalt Christian Runte:
"Die einzelnen Aufsichtsbehörden sowie deren Gremien auf nationaler und europäischer Ebene arbeiten mit Hochdruck an Guidelines und gemeinsamen Empfehlungen. Leider benötigt diese Abstimmung viel Zeit, so dass erst jetzt nach und nach wirklich verlässliche Hilfestellungen veröffentlicht werden. Gerade die sind es, die auch kleineren Unternehmen die langersehnte Sicherheit geben können, ohne hohe Beratungskosten zu verursachen."
Für die ePrivacy-Verordnung rüsten
Nach der DSGVO steht nun die Umsetzung der ePrivacy-Verordnung (ePVO) an, die Mitte 2019 beschlossen werden soll. Im Gegensatz zur DSGVO sieht PIA-Geschäftsführer Dirk Kall die ePrivacy-Verordnung deutlich kritischer:
"Hier wird seit Jahren über ungelegte Eier eine 'Angst-getriebene' Diskussion geführt. Die Meinungen über die Inhalte der zukünftigen ePrivacy-Verordnung gehen Stand heute innerhalb der beteiligten EU-Länder immer noch zum Teil deutlich auseinander. Im Kern soll die ePrivacy-Verordnung die DSGVO für die elektronischen Medien ergänzen. Schon heute ist es aber selbst unter Datenschutzrechtlern umstritten, ob die Vorschriften der DSGVO etwa auch für das Einholen von sogenannten 'Cookie Opt-ins' auf Web-Pages oder in sozialen Medien wie Facebook nun gelten oder nicht. Das führt zu höchster Unsicherheit auf Seiten der Online Marketing treibenden Unternehmen und lenkt die Online Marketer vom eigentlichen Kern ihrer Arbeit ab. Das kann und darf so nicht weiter sein."
Kall erwartet von den Gesetzgebern
"klare Guidelines über die Inhalte und das Timing der zukünftigen ePrivacy-Verordnung". Die Online-Marketing-Branche werde im Unklaren gelassen, Kunden seien verunsichert, was sie sich im Rahmen ihres Online Marketing noch 'leisten' können oder nicht.
"Es ist nicht die Aufgabe von Unternehmen, datenschutzrechtliche Rahmenbedingungen für das Online-Marketing zu schaffen. Diesbezügliche Beschwerden kann ich sehr gut nachvollziehen und stütze ich." Er plädiert für eine lösungsorientierte Denke:
"Wir benötigen einen Schulterschluss zwischen allen Beteiligten im Sinne einer möglichst kurzfristigen Klarheit über die zukünftigen Rahmenbedingungen im Online Marketing. Politik und Wirtschaft müssen schnell Hand in Hand nach vorne arbeiten, sonst wird das Thema ePrivacy zu einem großen Wettbewerbsnachteil für europäische Unternehmen."
Auch wenn die ePVO voraussichtlich nicht vor 2022 zur Anwendung kommt, sollten sich Unternehmen rechtzeitig damit auseinandersetzen. So werde sich der
EuGH
voraussichtlich noch in 2019 zu den Anforderungen einer Einwilligung, die Webseiten-Betreiber für Tracking-Cookies einholen, äußern, erklärt Datenschutzexperte Daniel Simon. Nach Klärung durch den EuGH müsse der Cookie-Hinweis auf der eigenen Webseite dann entsprechend angepasst werden. Zum zügigen Handeln rät auch Rechtsanwalt Runte:
"Nachdem die Inhalte der ePrivacy-Verordnung noch im Fluss sind, ist es kaum möglich, sich jetzt schon verlässlich darauf einzustellen. Für die praktische Umsetzung wird es daher wichtig sein, sich nach Abschluss des Gesetzgebungsprozesses möglichst unverzüglich mit den Anforderungen vertraut zu machen. Nachdem durch die DSGVO bei Unternehmen und Verbänden viel Datenschutzkompetenz aufgebaut wurde, bin ich zuversichtlich, dass dies gelingen wird."
Und wie bewertet Runte nach einem Jahr DSGVO den rechtlichen Beratungsbedarf 2019?
"Auch wenn die anfängliche Aufregung unmittelbar nach Inkrafttreten der DSGVO wieder vorbei ist, bleibt der Beratungsbedarf bei Unternehmen weiterhin hoch. Mit der gewachsenen Datenschutzkompetenz in den Unternehmen selbst, wird sich die Beratung aber langfristig auf die wirklich komplexen Rechtsfragen beschränken. Davon gibt es im Datenschutzrecht genug."
Für die Mehrheit der Deutschen ist die DSGVO ein
Grafik: Ogury