Oops, leider verwenden Sie einen wirklich alten Browser! Für uns ist das in Ordnung, aber als zukunftsorientierte Agentur setzen wir Technologien ein, die Ihr Browser nicht unterstützt. Diese Website wird also nicht dargestellt, wie sie aussehen sollte. Bitte tun Sie sich und dem Internet einen Gefallen und laden Sie eine aktuelle Version von Chrome, Firefox oder Safari herunter. Sie werden das Web mit ganz anderen Augen sehen und viel sicherer surfen.

Die DSGVO: Ist Datenschutz auch Customer Obsession?

DSGVO: Customer Obsession? (Foto: Blick durch einen Maschendrahtzaun)

In weniger als zwei Wochen läuft die Übergangsphase ab: Dann gilt die DSGVO in der gesamten EU. Während Anwälte das Geschäft ihres Lebens wittern und Unternehmer in helle Aufregung verfallen, freuen sich vor allem auch die Datenschützer. Sie glauben, den Nutzern damit einen großen Dienst erwiesen zu haben. Oder war es womöglich ein Bärendienst?

Ist die DSGVO übertrieben?

In den vergangenen Monaten wurde mir immer wieder diese eine Frage gestellt: Ist die ganze Aufregung um die DSGVO übertrieben?

Zum Teil. Sie ist insofern übertrieben, als dass sich im Vergleich zu vorher nicht so viel ändert wie einige denken. Das Schutzniveau ist schon lange sehr, sehr hoch – und damit die Anforderungen an Unternehmen. In anderen Ländern wird auch nicht so viel Aufhebens um die DSGVO gemacht wie in Deutschland, wo das Thema in sämtlichen Tages- und Fachzeitungen seit Wochen bestimmend ist.

Eine gewisse Aufregung ist allerdings insofern angebracht, als dass manche Unternehmen noch nicht einmal den bisher geltenden Datenschutzvorschriften genügen. Unzählige betreiben eine Website, die noch nicht einmal eine simple Datenschutzerklärung aufweist – etwas, das schon lange Pflicht ist und auch heute schon abgemahnt werden kann. Was im Übrigen auch auf Kunden nicht besonders seriös wirkt, ungeachtet dessen, ob sie wirklich gelesen wird. Oder würden Sie auf einer Website einkaufen, die kein Impressum aufweist?

Es geht eigentlich nur ums Geld

Damit kommen wir auch zum größten Stein des Anstoßes: das Geld. Die meiste Sorge bereitet Unternehmern nicht der effektive Schutz der Daten, sondern das Bußgeld und die Abmahngebühren, die sie zahlen müssen, wenn sie eben jenen Schutz nicht gewährleisten. Die Bußgelder werden mit der DSGVO auf ein exorbitantes Niveau gehoben, um auch die großen Tech-Konzerne abzuschrecken. Sehr viel perfider ist aber die Möglichkeit von Konkurrenten, ihre Wettbewerber abzumahnen – denn Datenschutzverstöße sind mitunter wettbewerbswidrig. Man könnte vereinfacht sagen: Wenn Sie es sich einfach machen, während Ihr Konkurrent hohe Summen in den Datenschutz investieren muss, ist das ein unfairer Vorteil. Und damit abmahnfähig.

Bei dieser ganzen Diskussion kommt eine Frage viel zu kurz: Was bringt der Datenschutz und insbesondere die DSGVO eigentlich den Nutzern? Für die wurde sie doch erdacht. Vor kurzem las ich die Einschätzung, dass die DSGVO ja gerade der Inbegriff der Customer Obsession sei, zumindest was den Datenschutz anginge. Denn wer seine Kunden in den Mittelpunkt stellt, sollte doch ihren Schutz bzw. den Schutz ihrer Daten nicht minder wichtig nehmen.

Dem stimme ich grundsätzlich zu. Nutzer und Kunden dürfen nicht als bloße Datenlieferanten gesehen werden, genauso wenig wie man sie als reine Geldquelle betrachten sollte.

Doch sind die Maßnahmen der DSGVO überhaupt geeignet, um den Nutzern und Kunden wirklich den versprochenen Schutz zu gewährleisten?

Unternehmen brauchen Kundendaten

Leider wird die Datensammelei immer so dargestellt, als würden Unternehmen diese aus rein egoistischer Sicht durchführen, z.B. um sie an den Meistbietenden zu verkaufen. Das passiert aber nur außergewöhnlich selten. Wem kommen die Daten normalerweise am Ende zugute? Meistens den Kunden.

Nur mithilfe von Daten können Produkte und Dienstleistungen, Funktionen und Features entwickelt werden, die Kunden sich tatsächlich wünschen. Die ihnen wirklich weiterhelfen.

Eine Website ohne Tracking könnte man direkt vom Netz nehmen. Denn die Wahrscheinlichkeit, dass die Inhalte von irgendeiner Relevanz für die Besucher wären, ist relativ gering. Wir wissen gerade aufgrund von Tracking, was Besucher sich wünschen, was ihnen gefällt und wie sie unsere Websites verwenden.

Es geht keinem Unternehmen darum, diese Verhaltensweisen einer reellen Person zuzuordnen. Das wäre nicht einmal zielführend, sondern ineffektiv. Wir müssen aber sehr wohl wissen, was die Masse bzw. eine Gruppe von Menschen macht, wie sie reagiert, was sie bevorzugt. Das ist nicht beunruhigender als eine statistische Volkszählung oder die Messung, wie viele Autos pro Tag über die Paderborner Straße fahren.

Dann können wir die Inhalte oder Produkte oder Leistungen genau darauf abstimmen und Customer Obsession überhaupt erst ermöglichen.

Ein guter Datenschutz muss deshalb einen Ausgleich finden. Nicht zwischen den Interessen des Unternehmens und denen des Kunden, wie oft kolportiert. Sondern zwischen den beiden Interessen des Kunden. Der möchte auf der einen Seite seine Daten ausreichend geschützt wissen, aber auf der anderen Seite möchte er nicht, dass Websites Inhalte an seinen Interessen vorbei veröffentlichen und dass Unternehmen Produkte entwickeln, die er gar nicht benötigt.

Datenschutzerklärungen erklären nicht viel

Eine sehr sinnvolle Aufgabe der DSGVO ist die Aufklärung der Nutzer und Besucher einer Website. Es kann nur begrüßt werden, dass Menschen endlich erfahren, was technisch passiert. Denn der Großteil von ihnen hat nicht die leiseste Ahnung, was im Hintergrund geschieht.

Dafür sind die Datenschutzerklärungen, wie sie gerade aufgrund der DSGVO entstehen, überhaupt nicht geeignet.

Um den gesetzlichen Anforderungen zu genügen und gleichzeitig einen gewissen Schutz vor Abmahnungen zu bieten, sind sie viel zu ausschweifend und umfangreich. Niemand möchte schließlich irgendeinen Aspekt vergessen, den ein findiger Konkurrent dann ausmacht und abmahnt.

Das ist aber nicht im Sinne der Nutzer, denn sie werden diese Erklärungen weder lesen noch verstehen. Datenschutzerklärungen sind Schriftstücke von Anwälten für Anwälte. Die juristischen Erklärungsversuche wirken bestenfalls tollpatschig und schwammig, aber sicherlich nicht zielführend.

Ja, die DSGVO sieht eigentlich gerade vor, dass die Erklärung so leicht verständlich wie möglich formuliert werden soll. Aber das findet eben genau dort seine Grenzen, wo Inhalte juristisch unscharf formuliert sind und damit ein Abmahnrisiko bergen.

Wenn eine Datenschutzerklärung einen Glossar mit Fachbegriffen benötigt, dann widerspricht das bereits einer leichten Lesbarkeit – anderenfalls hätte man Worte verwenden können, die keiner Erklärung bedürfen.

Muss eine Datenschutzerklärung wirklich alle Rechte aufzählen, die ein Nutzer hat? Sollte er als umsichtiger Bürger nicht selbst wissen, worauf er einen Anspruch hat – muss er das wirklich in tausendfacher Ausführung immer und immer wieder lesen? So wie der Cookie Hinweis, der mittlerweile niemandem mehr eine neue Einsicht eröffnet?

Interessiert es den Nutzer, auf Basis welcher Rechtsgrundlagen nun verschiedene Daten erhoben werden? Ist es wirklich realistisch, dass er gegen eine Erklärung vorgeht, wenn ihm eine solche Rechtsgrundlage nicht als einschlägig erscheint? Zumindest, wenn er kein Lehrer ist?

Datenschutzerklärungen sollten, wie Steuererklärungen, eigentlich auf einen Bierdeckel passen. Viel mehr als eine kurze, stichpunktartige Liste von Diensten, die eingebunden werden, sollte gar nicht nötig sein. Dann weiß der Nutzer: Okay, hier sind mir zu viele amerikanische Dienstleister im Spiel, diese Website besuche ich in Zukunft nicht mehr (und damit dann übrigens keine mehr im gesamten Internet, aber das ist ein anderes Thema).

Vor allem sollte man doch auch auf diejenigen Angaben verzichten können, die ohnehin der Menschenverstand erklärt: Dass bei Kontaktformularen Kontaktdaten übertragen werden. Dass es bei Verträgen notwendig ist, dass bestimmte Angaben gemacht werden, denn – oh Wunder – sonst kann ja kein Vertrag geschlossen werden.

Der Datenschutz darf Menschen nicht das Denken abnehmen. Das hat noch niemals irgendjemandem gut getan.

Der Datenschutzbeauftrage als AB-Maßnahme

Wenn Ihr Unternehmen 10 oder mehr Mitarbeiter hat oder in eine von vielen anderen Kategorien fällt, müssen Sie einen Datenschutzbeauftragten einstellen oder zumindest über einen Dienstleister engagieren.

Das ist sinnvoll, wenn diese Person hilft, das Datenschutzniveau zu steigern. Das ist aber leider selten der Fall.

Ein Großteil der Datenschutzbeauftragten hat schon Probleme, die DSGVO überhaupt selbst zu verstehen. Wie soll diese Person nun helfen, diese Vorschriften umzusetzen? Da sie keinerlei Verantwortung trägt, wird sie sich ohnehin hüten, sich allzu tief in das Thema einzulesen oder Maßnahmen vorzuschlagen.

Es ist allseits bekannt, dass der Datenschutzbeauftragte eine leere Stelle ist, für die viel Geld bezahlt werden muss, die aber keinerlei Nutzen hat. Vor allem nicht für die Kunden. Denn sie müssen diesen am Ende mitbezahlen – für reine Untätigkeit und Unfähigkeit. Denn ein Datenschutzbeauftragter muss bequemerweise kaum nennenswerte Qualifikationen aufweisen – und das merkt man schnell, wenn man sich einmal mit einem unterhält.

Hohe juristische und technische Anforderungen

All das wäre ja noch zu ertragen, wenn Unternehmen die Anforderungen mit etwas gutem Willen erfüllen könnten. Können sie aber nicht.

Der juristische Handlungsbedarf ist enorm, darüber helfen auch nicht die vielen Mustertextgeneratoren hinweg. Denn mal abgesehen davon, dass sie viel Text liefern, der gar nicht einschlägig ist – sie lassen auch vieles weg, von dem sie fairerweise auch nichts wissen können. Die meisten Betreiber wissen gar nicht, welche Funktionen (insbesondere externer Dienstleister) ihre Website einsetzt. Dafür gibt es zu viele, dafür sind sie zu gängig. Selbst wenn sie sich selbst um die Erstellung gekümmert haben – dank fertiger WordPress Themes weiß kaum ein Selberbauer so genau, was er da eigentlich ins Netz gestellt hat. Von Mustertexten ist insofern abzuraten, wenn man nicht weiß, was man tut.

Und ohne einen Experten, der das technische Wissen mitbringt, lässt sich keine Website datenschutzkonform gestalten. Allein all die versteckten Häkchen zu finden bei den üblichen Diensten, die eingebunden werden, erweist sich als Schnitzeljagd. Manche Anbieter informieren auch kaum über die DSGVO (weil sie in den USA wirklich wichtigere Probleme haben) und so müssen Kunden sich mühsam diese Informationen selbst zusammensuchen. Bei manch einem muss dann sogar wirklich noch ein Vertrag ausgedruckt statt bequem online unterzeichnet werden. Wohl dem, der die Drucker noch nicht gänzlich abgeschafft hat.

Das Tracking mit Google Analytics, das gefühlt in Milliarden von Websites steckt, ist ein gutes Beispiel. Natürlich hat Google juristisch vorgesorgt und stellt alle wichtigen Funktionen bereit. Aber allein der Tracking Code, so wie er auch auf der deutschen Plattform angeboten wird, ist vollkommen unzureichend. Wer ihn so einsetzt, wie Google ihn präsentiert, hat eine eindeutig gegen Datenschutzrecht verstoßende Website (auch schon vor der DSGVO).

Der Code muss nicht nur durch eine Anonymisierungsfunktion ergänzt werden, er benötigt auch einen zusätzlichen Code mit einer JavaScript-Funktion, mit dem Nutzer ein Cookie setzen können, um das Tracking zu unterbinden. Selbst wenn man einen Code für die Anonymisierungsfunktion hat, ist die Wahrscheinlichkeit groß, dass es der falsche ist – denn Google hat vor nicht allzu langer Zeit den Tracking Code modernisiert und dafür wird ein anderer Code-Schnipsel benötigt. Der in vielen Anleitungen nicht berücksichtigt wird.

Dann müssen Sie natürlich daran denken, die Auftragsverarbeitungsverträge mitsamt Zusatzvereinbarungen mit Google zu schließen. Und eine Möglichkeit, den Aufbewahrungszeitraum der Daten zu begrenzen, gibt Google Ihnen auch (natürlich an anderer Stelle). Leider mit falsch eingestellten Standardwerten, die man für jede einzelne Website aktiv ändern muss. Und deren richtigen Wert man auch erst einmal kennen muss.

Google weist zwar über E-Mails und Hinweise sehr viel ausführlicher auf die Möglichkeiten hin als andere Dienste, die die Optionen bloß stillschweigend irgendwo verstecken oder in einem Corporate Blog darüber aufklären, den ohnehin niemand liest.

Das alles ist für normale Betreiber aber viel zu kompliziert. Die Beschäftigung mit der DSGVO kostet nicht nur viele Nerven, sondern vor allem Zeit und damit Geld. Geld, was am Ende der Kunde zahlen muss, denn niemand arbeitet schließlich umsonst. Und so werden Preise erhöht oder Leistungen eingeschränkt, um das alles zu kompensieren.

Konzerne können das problemlos stemmen, denn ob die Rechtsabteilung bzw. die IT-Abteilung noch ein paar Stunden länger arbeitet, spielt finanziell kaum eine Rolle. Aber all die kleinen Unternehmen, deren Geschäftsführer sich im Zweifel selbst jeden Abend an die Umsetzung machen muss, anstatt etwas zu tun, das seinen Kunden wirklich hilft – die zahlen einen hohen Preis für einen Datenschutz, der niemandem hilft.

Wenn die Datenschützer am Ziel vorbeischießen

Die EU und allen voran die Datenschützer behandeln Menschen wie Ungebildete, die nicht in der Lage sind, sich unfallfrei die Schuhe zuzubinden. Mit einer solchen Einstellung hilft man den Menschen aber nicht. Man macht sie bloß noch unmündiger, als sie in Wirklichkeit sind, mit dem Ergebnis, dass sie sich dieser Vorstellung immer weiter annähern.

Echter und fairer Datenschutz wäre in jeder Hinsicht zu begrüßen. Ein Datenschutz, der es Unternehmen erlaubt, Daten zu erheben, wenn sie darüber kurz, bündig und verständlich aufklären und wenn sie es nicht übertreiben (was übrigens die allerwenigsten schon mangels technischen Know-Hows tun).

Die Daten von Menschen sind schützenswert, keine Frage. Ich nehme zahlreiche Umständlichkeiten jeden Tag in Kauf, um meine eigenen Daten weitestgehend zu schützen. Aber ich weiß auch, dass die Steuerberatungskanzlei um die Ecke oder der Bäcker von nebenan nicht diejenigen sind, die mir schaden möchten, indem sie meine Website-Nutzung tracken, in der ich nur ein anonymisierter Datensatz von unzähligen bin.

Wenn sie versiert sind, dann nutzen sie diese Daten vor allem, um ihr eigenes Unternehmen oder wenigstens ihre Website für mich besser zu machen. Dafür bin ich gerne bereit, ein paar Daten zur Verfügung zu stellen, denn immerhin zahle ich für all die mühevollen Blogbeiträge ja keinen einzigen Cent.

Geschützt werden möchte ich hingegen vor Unternehmen wie Facebook, deren Datensammelei weit über das nötige Maß hinausgeht und eher an Voyeurismus erinnert. Die werden aber nicht davon abgehalten, dass sie einen unqualifizierten Datenschutzbeauftragen in einem fensterlosen Büro überbezahlen. Sondern von effektiven Maßnahmen, von denen die DSGVO weit entfernt ist. Genauso weit wie von Customer Obsession.

Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar, sondern lediglich eine Einschätzung der Geeignetheit der DSGVO-Maßnahmen. Um den Datenschutzanforderungen zu genügen, beauftragen Sie bitte einen Fachanwalt für Datenschutzrecht.

Foto: Unsplash.com / NeONBRAND

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.