1 Jahr DSGVO – Grund zu feiern oder nur viele unerfüllte Wünsche?

Veröffentlicht: Mai 24, 2019 Update: August 7, 2019 Autor Kategorie DSGVO

Herzlichen Glückwunsch zum Geburtstag, liebe DSGVO!

Fast genau vor einem Jahr, am 25. Mai 2018, ist die  – mittlerweile nicht mehr ganz so neue – Datenschutz-Grundverordnung in Kraft getreten.

Wir wissen, dass einige Unternehmen darüber nicht sonderlich glücklich waren und auch bis heute noch mit der Verordnung zu kämpfen haben. Schließlich stoßen zwei (vermeintlich) gegensätzliche Philosophien aufeinander: Datenschutz vs. Online-Werbung. Doch schließen sich beide Interessen tatsächlich gegenseitig aus?

In diesem Artikel betrachten wir, was sich seit der Einführung der DSGVO getan hat. Setzen Unternehmen die DSGVO ordnungsgemäß um oder kam die große Abmahnwelle?

Wir beleuchten die folgenden Themen genauer. Außerdem wagen wir einen Blick in die Zukunft und schauen uns die neuesten Überlegungen zum Thema Datenschutz an – Stichwort ePrivacy Verordnung:

  • Zahlen, Daten, Fakten: Wir haben 200 Websites auf DSGVO-Compliance hin überprüft (Status-Report)
  • Bis zu 20 Mio. Euro: Mussten bereits Strafzahlungen geleistet werden?
  • Gewinner und Verlierer: Wer profitiert, wer verliert und wen stört sie nicht, die DSGVO?
  • Ausblick: Welche Änderungen bringt uns die ePrivacy-Verordnung und wie geht es generell weiter?

Finden Sie die richtige Enterprise Analytics Software - In 4 einfachen Schritten

In unserem Whitepaper zeigen wir Ihnen, wie Sie die richtige Analytics-Plattform für Ihr Unternehmen finden

Zum kostenlosen Whitepaper

Zahlen, Daten, Fakten: Status-Report zur DSGVO-Compliance

Für einen DSGVO-konformen Consent müssen Unternehmen einige Dinge beachten. Dies geht insbesondere mit der Consent-Definition einher. Demnach muss ein Consent freiwillig gegeben, eindeutig, informiert und spezifisch sein. Im Umkehrschluss muss auf Unternehmensseite u.a. darauf geachtet werden, dass komplizierte Formulierungen vermieden werden und die Zwecke der Datenverarbeitung deutlich erklärt werden.

Doch wie gehen Unternehmen in der Praxis mit diesen Anforderungen um? Sind Websites seit dem 25. Mai 2018 DSGVO-konform oder wenigstens auf einem guten Weg dahin?

Unternehmen in Deutschland

In einer intern durchgeführten Studie hat Piwik PRO unterschiedliche Websites aus der EU hinsichtlich ihrer DSGVO-Konformität untersucht. 25 Websites aus Deutschland wurden dabei genauer unter die Lupe genommen. Alle untersuchten Websites können einer der folgenden fünf Branchen zugeteilt werden: Banken, Versicherungen, E-Commerce, Medien und öffentlicher Sektor.

Um einen übersichtlichen Vergleich zu gewährleisten, wurden alle Websites hinsichtlich folgender Fragestellungen analysiert:

  • Fragt die Website DSGVO-konform nach dem Consent ihrer User?
  • Hält die Website sich an die Entscheidungen der User?
  • Gelangen User auch ohne Einwilligung zur Datenverarbeitung an den Content?
  • Haben User die Möglichkeit, die Datenschutzrichtlinien einzusehen und Datenschutz-Anfragen zu übermitteln?

Für die Bewertung der DSGVO-Compliance haben wir Scoring-Punkte zwischen -5 und +10 vergeben.

Die Ergebnisse …

…sind nicht so gut, wie man vielleicht erwarten würde, angesichts der hohen Strafzahlungen (bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes), die bei Verstößen gegen die Auflagen der DSGVO drohen.

Das Versicherungswesen scheint allen anderen Branchen mit einem Score von 4,8 in Sachen DSGVO-Compliance einen Schritt voraus zu sein. Jedoch sind diese dicht gefolgt von Regierungsorganisationen mit einem Score von 4,0. Banken und E-Commerce-Unternehmen kommen im Durchschnitt gerade einmal auf einen Score-Wert von 1,4. Schlusslicht bildet die Medienbranche, die nur eine 1,0 im Scoring erreicht.

Der Durchschnitt der untersuchten deutschen Unternehmen liegt in unserem Scoring bei 2,5.

Europäische Unternehmen

Wir haben auch EU-weit weit über 100 Websites analysiert und kommen zu diesen Ergebnissen:

DSGVO-Status-Grafik
Wir haben diese europäischen Websites nach einem Score-System (-5 – 10 Punkte) bewertet

Entsprechend unserer Bewertungskriterien bewegt sich nur etwa die Hälfte (48 %) der Websites im mittleren Bereich, was ihre DSGVO-Compliance angeht. Die andere Hälfte (47 %) erfüllt die Anforderungen absolut unzureichend. Gerade einmal 5 % der getesteten Websites erfüllen 6-10 von 10 möglichen Score-Punkten.

Die ausführlichen Ergebnisse sowie Details zur verwendeten Methodik finden Sie in unserem Status-Report, den Sie kostenlos downloaden können:

Status-Report zum Consent-Management gemäß der DSGVO

Überblick und Bewertung der aktuellen Umsetzung von Websites der Datenschutzbestimmungen in verschiedenen Branchen.

(Report nur auf Englisch verfügbar)

Zum Report

Gab es bereits Strafzahlungen?

Bis Januar 2019 wurden allein in Deutschland bereits in 41 Fällen Bußgeldbescheide wegen DSGVO-Verstößen verschickt. 33 davon wurden in Nordrhein-Westfalen verhängt. Dies ist allerdings nur die Spitze des Eisbergs. „Sehr viele“ weitere Bußgeldverfahren laufen aktuell noch.

Bis Anfang Mai ist die Zahl der verhängten Strafzahlungen wegen DSGVO-Verstößen auf mindestens 81 Fälle angestiegen. Das ist fast eine Verdopplung in weniger als vier Monaten. Die Gesamtsumme der verhängten Strafzahlungen beläuft sich auf knapp 486.000 Euro.

Wurde bisher die Höchststrafe verhängt?

Das mögliche Höchststrafmaß von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes wurde bisher in Deutschland nicht ausgeschöpft. Strafzahlungen in diesen astronomischen Höhen sind national als Ausnahme einzustufen.

Michael Neuber, Rechtsanwalt und Justiziar des Bundesverbandes Digitale Wirtschaft (BVDW), wertet die möglichen Höchststrafen als Mittel für Aufmerksamkeit:

„Der Maximalrahmen wird nur in wirklich krassen Fällen ausgeschöpft.
[…]
Die Strafen werden in Zukunft vielleicht etwas höher ausfallen. Aber Millionenbeträge werden nur fällig, wenn es beispielsweise um Millionen Nutzerdaten geht.“

Wie ernst das Thema für Unternehmen ist, zeigen die international verhängten Strafzahlungen.

Der bisherige Rekord für DSGVO-Verstöße wurde gegen Google verhängt. Das amerikanische Unternehmen sieht sich einer Strafforderung von 50 Millionen Euro ausgesetzt.

Höhe der Strafzahlungen in der EU bzw. in Deutschland

Eine Strafzahlungen über 400.000 Euro wurde Ende 2018 gegen ein Krankenhaus in Portugal verhängt, das es IT-Mitarbeitern ermöglichte, vertrauliche Patientendaten einzusehen, die nur für Ärztinnen und Ärzte zugänglich sein dürfen.

In Deutschland wurde die bisher höchste Einzelstrafe in Baden-Württemberg festgesetzt. Das betroffene Unternehmen muss 80.000 Euro zahlen, nachdem Gesundheitsdaten im Internet landeten.

Den zweiten Platz hierzulande belegt eine Bank, die von der Datenschutzbeauftragten in Berlin zu 50.000 Euro verdonnert wurde. Der Grund? Die Bank habe unbefugt “personenbezogene Daten ehemaliger Kundinnen und Kunden” verarbeitet.

Doch auch kleine Unternehmen geraten ins Visier der Behörden.  So musste ein kleines Versandunternehmen aus Hamburg eine Strafe von 5.000 Euro leisten, weil es keinen Auftragsverarbeitunsvertrag (AVV) gemäß Art. 83 Abs. 4 DSGVO vorweisen konnte. Dies macht die Unkenntnis über elementare Bestandteilen der DSGVO deutlich.

Damit Sie in dieser Hinsicht rundum informiert sind, empfehlen wir Ihnen diesen Artikel:
Die 7 wichtigsten Bestandteile eines Auftragsverarbeitungsvertrags

Gewinner und Verlierer der DSGVO

Die neuen europäischen Gesetze – DSGVO und bald auch ePrivacy – mischen den Markt auf und stellen große Herausforderungen für Unternehmen dar.

Auf der anderen Seite bringen die neuen Anforderungen auch Chancen mit sich. Unternehmen haben die Möglichkeit, auf der Datenschutz-Welle mitzuschwimmen und um das Vertrauen ihrer User zu werben, indem sie hohe Datenschutz- und Sicherheitsstandards anbieten.

Eine zusätzliche Chance bietet sich auch für Dienstleister, die im Online-Markt zuhause sind. So gibt es beispielsweise Anbieter von Analytics-Software, die sich vor allem auf die Themen Datenschutz und Sicherheit spezialisiert haben und ihre Partner dabei unterstützen, sich gesetzeskonform aufzustellen.

User gewinnen – und verlieren auch ein bisschen

Gewinner der DSGVO sind allen voran natürlich die User. Hatten sie vor der DSGVO kaum eine Möglichkeit, sich gegen die Speicherung ihrer Daten zu wehren, sieht es mittlerweile anders aus. Unternehmen dürfen die Nutzung einer Dienstleistung nicht mehr an die Einwilligung zur Datenspeicherung koppeln und User können den Status ihres Consents jederzeit anpassen und ihre Einwilligung widerrufen. Zusätzlich ist Opt-out als Zustimmungsverfahren nicht mehr zulässig.

Auf der anderen Seite verlieren User auch ein bisschen. Bisher hält es sich zwar noch im Rahmen, doch wenn eines Tages alle europäischen Unternehmen gesetzeskonforme Consent-Formulare einsetzen, wird die allgemeine User Experience im Netz darunter leiden. User haben sich, bevor sie den eigentlichen Content betrachten können, mit den mitunter unnötig komplexen Consent-Formularen auseinanderzusetzen.

Darüber hinaus sehen diejenigen User, die ihren Consent immer verweigern, weniger relevante Werbung. Dadurch können Online-Anzeigen als störend empfunden werden.

AGB – Der Vorteil im Rahmen der DSGVO

Unternehmen haben nach Artikel 7 Absatz 2 der DSGVO die Möglichkeit, Einwilligungen zur Datenverarbeitung über die AGB einzuholen. Es gilt lediglich die Vorgabe, dass der Absatz zur Einwilligung (Consent) hervorgehoben sein muss. Dies kann durch Fettdruck oder einen Rahmen kenntlich gemacht werden.

AGB werden von Usern – u.a. aufgrund ihrer Länge – oftmals nicht gelesen. Sie müssen aber akzeptiert werden, um den dahinterstehenden Dienst nutzen zu können. Daher erlangt das entsprechende Unternehmen den Consent seiner User zumeist ohne besondere Mühe.

Die vier Top Player Google, Apple, Facebook und Amazon (GAFA) profitieren vor allem von dieser Regelung der DSGVO, da sie einen enormen Wettbewerbsvorteil gegenüber ihrer Konkurrenz haben:

  • Google: Die meisten User (65 %) verwenden Googles eigenen Browser Chrome. Zusätzlich haben viele dieser User auch einen Google-Account, um von den Google-Diensten wie Drive, Docs und der Synchronisierung von Browser-Verlauf und Favoriten auf Desktop und Mobile zu profitieren. Auch Youtube trägt seinen Teil dazu bei, dass User sich bereitwillig ein Google-Konto erstellen und natürlich auch die AGB akzeptieren.

     

    Durch die dauerhafte Anmeldung bewegen User sich permanent innerhalb der geltenden AGB von Google, sodass das Unternehmen alle Daten einsammeln darf. Das ist im Sinn der DSGVO auch deswegen absolut unproblematisch, weil Google für Analytics auf First Party-Cookies und damit auf First Party-Daten setzt, die es selbst besitzt.

     

    Andere Werbenetzwerke wiederum sind oft auf Third Party-Cookies angewiesen und werden neben der ePrivacy-Verordnung zusätzlich mit Googles neuen Datenschutz-Funktionen im Chrome-Browser zu kämpfen haben.

  • Apple: Die User eines Apple-Geräts benötigen zwangsläufig einen iCloud-Account – der selbstverständlich AGB unterliegt – und müssen zusätzlich für die Verwendung von Betriebssystem und Safari-Browser AGB akzeptieren. Ähnlich wie Google schafft es damit auch Apple, dass seine User konstant im Geltungsbereich der AGB agieren und damit der Verwendung ihrer Daten durch den Großkonzern zugestimmt haben.

     

    Safari ist beispielsweise mit der sehr restriktiven Intelligent Tracking Prevention ausgestattet, die einerseits die Gültigkeit von First Party-Cookies begrenzt und andererseits sowohl Third Party-Cookies als auch (Device) Fingerprint-Tracking erschwert.

  • Facebook: Das soziale Netzwerk schafft es, dass sich “das Internet” für viele User fast ausschließlich innerhalb der Grenzen Facebooks bewegt. Nutzer der App verlassen diese z. B. überhaupt nicht, wenn sie einen in Facebook geteilten Link anklicken. Wie gehabt gelten auch in diesem Fall Facebooks AGB, sodass das Unternehmen DSGVO-compliant alle User-Daten sammeln darf.

     

    Doch auch außerhalb Facebooks bewegt sich das soziale Netzwerk im legalen Rahmen, wenn es seine User trackt. Der Facebook Pixel, der hauseigene Tracking-Pixel, ist mittlerweile ein First Party-Cookie und wird somit nicht mehr von Tracking-Prevention-Mechanismen wie ‘Do not track’ und ITP blockiert.

  • Amazon: Der riesige Online-Händler betreibt ebenfalls ein eigenes Werbenetzwerk und besitzt äußert präzise Interessenprofile zu Millionen von Usern. Im Gegensatz zu Google und Facebook basieren die (pseudonymisierten) Amazon-Userprofile allerdings auf echten Einkäufen. Dank AGB darf Amazon also Werbeplätze verkaufen, zu denen ein echter User mit eindeutigen Interessen garantiert werden kann.

     

    Außerdem erfährt der Werbetreibende, der über die Amazon Advertising Platform eine Anzeige schaltet, ob der Kunde das Produkt tatsächlich kauft – ein großer Mehrwert für die Aussagekraft des Erfolgs einer Kampagne.

Alle Unternehmen, die ohne AGB an User-Daten kommen wollen, haben durchaus Nachteile.

Einerseits müssen sie den Consent ihrer User einholen, ohne diesen in langen AGB-Texten “verstecken” zu können. Dazu bietet es sich an, eine Consent-Management-Software einzusetzen, die den Prozess automatisiert. Es besteht allerdings das Risiko, dass User der Speicherung ihrer Daten nicht zustimmen.

Andererseits müssen Kompromisse eingegangen werden, um trotz fehlender Einwilligungen noch an Daten zu gelangen. Dazu gibt es die Möglichkeit, anonyme Daten zu sammeln. Diese eignen sich zwar für die Website-Optimierung und weitere Anwendungsfälle, sind aber weniger genau und können keinem echten Kunden zugeordnet werden.

Analytics & DSGVO = Piwik PRO

Wir sorgen dafür, dass Sie sich wegen der DSGVO nicht mehr den Kopf zerbrechen müssen. Wir bieten Ihnen professionelle Analytics - DSGVO compliant.

Kostenlosen Demo-Termin vereinbaren

Tracking via Third Party-Cookies – Eine zusätzliche Beeinträchtigung

Das Tracking via Third Party-Cookies ist deutlich schwieriger geworden. Das Bewusstsein der User beim Thema Datenschutz sowie die Bemühungen Apples und Co. um mehr Privatsphäre sind nicht zufällig im Rahmen der großen Aufmerksamkeit der DSGVO entstanden.

Unternehmen, die nicht wie Facebook und Google auf First Party-Cookies setzen können, haben beim Tracking zu Targeting- und Retargeting-Zwecken deutlich das Nachsehen.

Ausblick: Wie geht es weiter?

Wahrscheinlich ist, dass die Strafzahlungen in Anzahl und Höhe weiter steigen werden, sollten Unternehmen das Thema nicht ernster nehmen. Sollte es eine sogenannte “Schonfrist” gegeben haben, scheint diese vorbei zu sein.

Unternehmen, die bisher noch nicht DSGVO-konform Einwilligungen ihrer User einsammeln, können auf Lösungen am Markt zurückgreifen, die dabei unterstützen und den Einwilligungs-Prozess automatisieren.

Das Thema wettbewerbsrechtliche Abmahnungen aufgrund etwaiger Verstöße gegen die DSGVO wird außerdem zur Zeit von der Bundesregierung in den Fokus genommen. So werde derzeit an einem neuen Gesetz gearbeitet, dass diese Abmahnungen einschränken oder sogar verhindern will.

Und ePrivacy?

Die anstehende ePrivacy-Verordnung wird die Lage zusätzlich verschärfen, sollte sie so wie bisher geplant vom EU-Parlament verabschiedet werden. Wir rechnen damit, dass die ePVO in ein bis zwei Jahren in Kraft tritt.

Fokus der ePrivacy-Verordnung ist im Gegensatz zur DSGVO der Schutz der Privatsphäre und der besondere Schutz personenbezogener Daten in der elektronischen Kommunikation.

Außerdem soll die ePrivacy-Verordnung die Fälle abdecken, die in der DSGVO nicht geregelt sind. Darüber hinaus sollen Regelungen der DSGVO, die sich mit Regelungen in der ePrivacy-Verordnung überschneiden, ausgehebelt werden. Das heißt, die ePrivacy-Verordnung ist einerseits die spezialisierte und andererseits die mächtigere Gesetzgebung.

Eine der Änderungen mit der größten Auswirkung – vor allem für die Werbeindustrie – ist die von der EU geforderte Notwendigkeit, alle Werbepartner im Consent-Formular aufzulisten. Für jeden Werbepartner muss der User einzeln und aktiv seine Einwilligung geben, dass seine Daten von dem Unternehmen genutzt werden dürfen.

„Diese Verordnung stellt etablierte und von den Verbrauchern akzeptierte Geschäftsmodelle in Frage und negiert fundamentale Prinzipien der Digitalen Wirtschaft. Das Internet, wie wir es heute kennen, wird es damit nicht mehr geben.“

so Thomas Duhr, Vizepräsident des Bundesverbands Digitale Wirtschaft (BVDW)

Von einem solchen massiven Eingriff in den Werbemarkt werden natürlich auch alle Medienanbieter und Nachrichtenseiten betroffen sein. Alle, die ihr Online-Angebot mit Werbung finanzieren, müssen mit massiven Einbrüchen in den Einnahmen rechnen. Die IAB rechnet gar mit einer Reduktion des Display-Werbeetats von 45 bis 70 Prozent bis 2020.

Wie Sie sich auf die ePVO vorbereiten können

Es gibt verschiedene Dinge, die Sie jetzt schon tun können, um für die ePrivacy-Verordnung gerüstet zu sein. Nutzen Sie die Zeit, die Ihnen noch bis zur Verabschiedung bleibt, vor allem für Testings. Fokussieren Sie sich außerdem auf First Party-Daten.

Aktueller Stand der ePrivacy-Verordnung: Der Piwik PRO Newsticker

Gerne halten wir Sie außerdem zu den Entwicklungen der ePrivacy-Verordnung auf dem neuesten Stand:

Zum Newsticker

DSGVO-konforme Webanalyse

Identifizieren Sie die Customer Journey über alle Kanäle hinweg

Kostenlose Demo vereinbaren

Tags für diesen Artikel

Autor:

Sebastian Voigt, Content Marketer DACH

Sebastian ist begeisterter Sprachwissenschaftler. Germanistik und Anglistik haben es ihm angetan. Für Piwik PRO schlägt er die Brücke zwischen englischsprachigem und deutschsprachigem Content. Ihn fordert es heraus, komplizierte Sachverhalte so zu erklären, dass sie garantiert im Gedächtnis bleiben.

Mehr Artikel von diesem Autor

Share