Interview mit Dr. Jana Moser: Digitales Marketing im Zeitalter von DSGVO und ePrivacy

Von Timo von Focht - 11. Dezember 2019 | 203 0

Seit dem 25. Mai 2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) um dem unkontrollierten Datensammeln Grenzen zu setzen. Mit der e-Privacy-Verordnung wird die europäische Digitalwirtschaft nun vor neue Herausforderungen gestellt.

Das jüngste Gerichtsurteil des Europäischen Gerichtshofs (EuGH) vom 1. Oktober 2019 bestätigt, was Commanders Act schon seit 2018 seinen Kunden kommuniziert: Vor dem Setzen von Cookies oder dem Erheben sonstiger personenbeziehbaren Daten ist ein explizites Opt-in nötig.

Was dies für europäische Unternehmen und Online-Marketer bedeutet, erklärt Dr. Jana Moser, Expertin für strategischen Datenschutz, im Interview mit Timo von Focht, Country Manager DACH bei Commanders Act. Sie erläutert die Rahmenbedingungen und Auswirkungen der neuen EuGH-Rechtsprechung auf Datenschutz und Datenstrategien europäischer Unternehmen und beschreibt das aktuelle Marketing im Zeitalter von DSGVO und ePrivacy.

Timo von Focht: Hallo Jana, ich freue mich sehr, dass du mit mir dieses Interview machst. Seit wie vielen Jahren beschäftigst Du Dich mit Datenschutz und Datenstrategien in Unternehmen? Welche Entwicklung haben diese Themen Deiner Meinung nach in den letzten Jahren gemacht?

Dr. Jana Moser: Das Thema Datenschutz begleitet mich nun seit gut zehn Jahren. Alles hat damals mit meiner Tätigkeit als Datenschutzbeauftragte bei studiVZ/schülerVZ begonnen. Zu dieser Zeit war das Thema auch noch eher ein Nischenthema. Ich erinnere mich, dass wir es damals sehr schwer hatten, Behördenvertretern als auch Politiker zu erklären, wie datenschutzfreundliche Einstellungen in einem sozialen Netzwerk aussehen können. Zu dieser Zeit war alles, was nur im Ansatz in Richtung persönliche Daten digital verarbeiten oder verbreiten ging, nahezu verpönt.

In den letzten Jahren hat sich die Gesellschaft als auch die Politik durch die rasante Digitalisierung daran gewöhnt. Das sieht man sehr schön an Google Streetview. Das ist zum Beispiel mittlerweile gar kein Thema mehr. Auch nutzt fast jeder WhatsApp und das Zusammenarbeiten mit Tools wie Trello, Office 365, Slack oder Google Docs wird zunehmend zum Standard.

Zugleich gibt es aber auch mehr datenschutzrechtliche Urteile und Bewegungen, die die Privatsphäre von Menschen geschützt wissen wollen. Das ist gut so, aber nicht verwunderlich: Je mehr Menschen digital ihre Daten nutzen, desto größer ist die Präsenz des Themas und die Wahrscheinlichkeit, dass es zu offen ausgetragenen Meinungsverschiedenheiten kommt.

Timo von Focht: Ist die DSGVO aus Deiner Sicht eher ein notwendiges Übel oder ein Fortschritt bzw. eine Chance für die Digitalwirtschaft?

Dr. Jana Moser: Die DSGVO ist insoweit ein wirtschaftlicher Fortschritt, da sie versucht, die datenschutzrechtliche Regulierung europaweit zu vereinheitlichen. Einheitliche Regeln sind immer vorteilhaft, weil alle auf dem gleichen Feld spielen. Es gibt jedoch auch noch genug Möglichkeiten, dass die EU-Mitgliedsstaaten eigene Regelungen schaffen können und so wieder eine Disparität in Europa geschaffen wird. Zudem sind die Regeln aus Europa schwer außerhalb Europas durchzusetzen. Hier klaffen Wunsch und Wirklichkeit auseinander.

Klare Gewinner der DSGVO sind dagegen Datenschutzjuristen und Verbände, die nun die Chance bekommen, Klagen gegen Unternehmen einzureichen, die sich nicht an die DSGVO halten.

Insofern ist die Datenschutzgrundverordnung auch ein Vorteil für die Unternehmen, die aktuell auf den immer noch divergierenden Datenschutz in der Welt setzen, vor allem das abweichende Schutzniveau zwischen der EU und den USA. Kunden, die Klagen von Verbrauchern, Aufsichtsbehörden und Verbänden befürchten, werden ihr Heil bei den hiesigen Unternehmen suchen. Ich denke jedoch, dass sich dieser Vorteil der lokalen Niederlassung mittelfristig erledigen wird. Sowohl die EU als auch die USA haben ein Interesse, zusammen zu arbeiten. Dann ist es nur noch eine Frage, ob die Services aus Europa gut genug sind und ob sie bis dahin eine hohe Anzahl an Kunden haben gewinnen können, um gegen die Angebote aus dem Rest der Welt mitzuhalten.

Timo von Focht: Nach den drei EuGH Urteilen dieses Jahr zum Thema DSGVO: Welche Risiken gehen europäische Unternehmen ein, die sich weiter auf Ausnahmeregelungen wie das berühmte legitime Interesse (Art. 6 1 (f) DSGVO) bei der Sammlung von personenbezogenen Daten im Marketing stützen?

Dr. Jana Moser: Nutzt ein Unternehmen als Rechtsgrundlage das berechtigte Interesse und fehlt dieses, sprich überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, ist die Verarbeitung der Daten schlicht unrechtmäßig.

Möglich ist natürlich, dass eine andere Rechtsgrundlage greift, wie ein Vertrag mit dem Betroffenen oder eine Einwilligung. Letztere wird in den meisten Fällen, in denen Art. 6 Abs. 1 Satz 1 lit. (f) DSGVO herangezogen wurde, aber gerade nicht eingeholt.

Gibt es also keine Rechtsgrundlage, wurden die Daten zu Unrecht verarbeitet. Der Betroffene hat dann unter anderem das Recht, seine Daten löschen zu lassen (Art. 17 Abs. 1 lit. (d) DSGVO). Das Unternehmen muss in diesem Fall grundsätzlich die Empfänger dieser Daten über das Löschbegehren informieren.

Der Betroffene kann sich zusätzlich bei der zuständigen Aufsichtsbehörde beschweren, die dann im Detail die Datenverarbeitung prüft. Das kann zu entsprechenden Maßnahmen führen wie vorübergehende oder dauerhafte Beschränkung der Datenverarbeitung oder Widerruf von Zertifizierungen. Schließlich können Bußgelder von bis zu vier Prozent des jährlichen Gesamtumsatzes oder 20 Mio. EUR verhängt werden.

Daneben kann der Betroffene selbst gerichtliche Schritte direkt gegen das Unternehmen einleiten, beispielsweise Schadenersatzansprüche oder Auskunftsansprüche.

Timo von Focht: Wie hoch sind die Haftungsrisiken für das jeweilige Unternehmen? Wie hoch sind die persönlichen Risiken für die jeweiligen Datenschützer, Unternehmensvorstände bzw. Geschäftsführer? Welche Strafen wurden hier schon ausgesprochen?

Dr. Jana Moser: Die Haftungsfrage ist nicht nur angesichts der bereits genannten möglichen sehr hohen Geldbußen für die verantwortlichen Unternehmen äußerst relevant. Musste man früher nach dem Bundesdatenschutzgesetz (BDSG) mit maximal 300.000 EUR pro Fall rechnen, können nun 20 Mio. EUR weltweiter Umsatz im Raum stehen – und die Behörden machen davon Gebrauch. Zuletzt bekannt geworden ist das noch nicht rechtskräftige Bußgeld von 14,5 Mio. EUR gegen Deutsche Wohnen wegen fehlerhaftem Löschens/Archivierens. Beispielsweise Google bekam von der französischen Aufsichtsbehörde ein Bußgeld von 50 Mio. EUR wegen intransparenter Datenschutzinformationen auferlegt und der deutsche Lieferdienst Delivery Hero bekam ein Bußgeld von etwa 200.000 EUR wegen Nichtlöschung von Kundenprofilen.

Neben den Ordnungswidrigkeiten nach der DSGVO sind auch andere monetäre Risiken denkbar. Dazu zählen vor allem Schadenersatzansprüche des Betroffenen oder Untersagungsverfügungen, die zum Einbruch von Einnahmen führen können. Auch mittelbare Schäden durch einen sogenannten Shitstorm und damit eine geringere Reputation und einen Vertrauensverlust in eine Marke oder ein Unternehmen sollten nicht unterschätzt werden.

Außerdem können zivilrechtliche Ansprüche auf Auskunft oder Unterlassung in Betracht kommen. Dabei entstehen in der Regel zusätzlich Rechtsanwalts- und Gerichtskosten. Außerdem sind strafrechtliche Sanktionen vor allem gegen leitende Angestellte und Geschäftsführer möglich, wenn Daten vorsätzlich unberechtigt verarbeitet werden.

Das konkrete Risiko für ein Unternehmen und dessen Geschäftsführer oder Vorstände hängt jedoch immer vom Einzelfall ab. Wichtig ist, dass Dritte, gemeinsame Verantwortliche oder Auftragsverarbeiter nicht einfach die Haftung von sich weisen können. Denn die DSGVO räumt dem Betroffenen einen direkten Schadenersatzanspruch sowohl gegen den Verantwortlichen als auch den Auftragsverarbeiter ein. Das Bußgeld der Aufsichtsbehörden kommt noch dazu.

Timo von Focht: Im Mai 2018 verschärfte die US-Regierung unter Donald Trump den „Cloud Act“, nach dem US-Unternehmen und Unternehmen, die in den USA tätig sind, ihre Daten auch auf ausländischen Servern herausgeben müssen. Wie sollten Unternehmen nun mit Google, Amazon und anderen US-Cloud-Anbietern umgehen? Wie können sich europäische Unternehmen hier schützen und was sagt der EuGH dazu? Kann man sich noch auf das EU-US Privacy Shield Abkommen berufen?

Dr. Jana Moser: In der Tat reicht nicht mehr aus zu sagen „Die Daten werden in der EU verarbeitet.“ Angesichts der US-amerikanischen Gesetzgebung kann nämlich nicht ausgeschlossen werden, dass US-Geheimdienste auf Informationen zugreifen, die innerhalb der EU von EU-Tochtergesellschaften eines US-Unternehmens gespeichert werden.

Schon immer wichen die US-amerikanischen Anforderungen an einen solchen Zugriff von den europäischen ab. So wurde auch das ehemalige „Safe Harbor Abkommen“ mit den Vereinigten Staaten, das als Grundlage für die Übermittlung von Daten in die USA diente, als unzureichend angesehen. Das lag nicht nur daran, dass sich US-Unternehmen selbst als „Safe Harbor zertifiziert“ deklarieren konnten und die Kontrollen der Einhaltung durch die Federal Trade Commission (FTC) aus der Sicht der EU nicht effektiv waren. Vielmehr wurde durch die Gerichtsfälle wie der von Microsoft, die Daten von der irischen Tochtergesellschaft an die US-Mutter herausgeben mussten, deutlich, dass sich hier zwei widersprechende Rechtssysteme gegenüberstehen und dadurch der Schutz der Privatsphäre der Europäer gefährdet ist.

Der Nachfolger des Safe Harbor Abkommens, das EU-US Privacy Shield, wird nun aus denselben Gründen von Datenschützern kritisiert. Die Europäische Kommission hat hingegen im Oktober 2019 das Schild als ausreichende Grundlage für einen sogenannten Drittlandstransfer bestätigt. Damit dient es weiterhin als Bedingung, unter der eine Datenübermittlung in ein sonst „unsicheres Drittland“ erfolgen darf. Nur der EuGH kann diese Bewertung noch kippen. Das Verfahren ist bereits anhängig, sodass alle dem Urteil entgegenfiebern. Denn wenn das Datenschutzschild nicht mehr gilt, kann theoretisch auf Standardvertragsklauseln zurückgegriffen oder eine Einwilligung eingeholt werden. Es ist jedoch kaum denkbar, dass ein Unternehmen aus einem Land, welches aufgrund seiner Gesetzgebung (wie in Form des CLOUD ACT) kein angemessenes Schutzniveau aufweist, wirksame Standardvertragsklauseln unterschreiben und einhalten kann. Zudem wird von einer Einwilligung ein besonderes Maß an Transparenz und Ausführlichkeit gefordert werden müssen, damit dem Betroffenen auch das Risiko des fehlenden Datenschutzniveaus bekannt ist.

Solange sich die Gesetzgebungen so massiv in Bezug auf den Schutz Betroffener unterscheiden und es keine Einigung zwischen den Ländern gibt, wird es im Ergebnis immer ein Risiko für Unternehmen sein, mit Partnern zusammen zu arbeiten, die nicht ausschließlich in der EU niedergelassen sind.

Timo von Focht: Consent als Erlaubnistatbestand für das Erheben personenbezogener Daten und Setzen von Cookies wird immer wichtiger. Consent-Management-Plattformen gibt es inzwischen sehr viele. Was würdest Du Unternehmen bei der Auswahl der Anbieter empfehlen?

Dr. Jana Moser: Grundsätzlich sollte als erstes das Datenschutzkonzept des CMP-Anbieters abgefragt werden. Hier trennt sich oft schon die Spreu vom Weizen. Ein Experte erkennt in dem Konzept sehr schnell, ob der Anbieter weiß, wovon er spricht und ob er den Datenschutz wirklich lebt oder ihn nur als vielversprechende Einnahmequelle sieht. Als zweites würde ich genau überprüfen, wozu die verarbeiteten Daten vom Anbieter noch verwendet werden. Nicht selten werden sie weiter genutzt oder gar an Dritte übermittelt. Schließlich ist eine Mandantentrennung zu empfehlen, damit die Daten pro Unternehmen separat verarbeitet werden.

Ob man sich nun für ein EU- oder US-Unternehmen entscheidet, hängt von der eigenen Risikoaffinität ab und was konkret vom Anbieter verarbeitet wird. Reine on-premises-Lösungen sind sicherlich sehr risikoarm, wohingegen reine SaaS-Lösungen durchaus wegen des CLOUD ACT ein hohes datenschutzrechtliches Risiko in sich bergen.

Timo von Focht: Welche Vorteile bringen Log-In-Lösungen für das Marketing? Würdest Du empfehlen, eine solche Lösung selbst zu bauen oder auf eine Netzwerklösung (wie NetID oder Verimi) zu setzen? Für welche Branchen empfiehlt sich was?

Dr. Jana Moser: Log-in-Lösungen und damit Registrierungen von Nutzern werden essenziell sein, wenn man datenschutzrechtlich sauber Einwilligungen dokumentieren möchte. Interessanterweise haben das die aktuellen Monopolisten Google, Facebook, Apple, Amazon und Microsoft früher erkannt. Ohne eine Registrierung bei diesen Firmen, lassen sich deren Services nicht nutzen. Durch eine Registrierung können Einwilligungen zur Person gespeichert und dokumentiert werden. Dies ist dann die Grundlage, Nutzerprofile noch detaillierter aufzubauen und im Ergebnis wirtschaftlich zu nutzen.

Es ist richtig, dass nicht mehr Daten erhoben werden sollen, nur um „DSGVO compliant“ zu sein. Allerdings gilt eine Rechenschafts- und Nachweispflicht nach Art. 5 Abs. 2 DSGVO für die Verantwortlichen. Und es ist kaum möglich, eine datenschutzkonforme Einwilligung ohne eine Registrierung nachhaltig zu speichern und im Ergebnis zu belegen. Der Nutzer, zu dem beispielsweise nur eine Cookie-ID oder ein anderer Identifier gespeichert wurde, kann seine Geräteeinstellungen ändern und Cookies löschen – womit das Nutzerprofil eigentlich anonym wäre – aber sehr oft werden zusätzlich Daten gespeichert, sodass in Kombination doch wieder eine Person oder ein Endgerät ermittelt werden kann. Meldet sich ein Nutzer, der seine Daten löschen lassen möchte, ist es schwer, diesen als Berechtigten zu identifizieren. Hier kommt es also stark auf den Einzelfall an.

Abgesehen davon sind immer weniger Nutzer gewillt, eine umfassende Einwilligung zu erteilen, wenn sie dafür keine Mehrwerte bekommen. Diese Mehrwerte sind dann oft personenbezogen, sodass eine Registrierung Sinn macht. An dieser Stelle haben die Platzhirsche aktuell die Nase vorn: Wer schon Log-in-Daten bei einem Anbieter hat, der ohnehin Mehrwerte durch seine Dienste bietet, wird eher diese nehmen, als sich neue Registrierungsdaten merken zu müssen. Damit werden die Monopolisten weiter gestärkt und können früher und vermehrt Einwilligungen einholen und Daten sammeln.

Erkennt ein Unternehmen diese Sachlage, ist es bereits weit vorne mit dabei – jedoch sind das die wenigsten. Besonders wichtige sind daher Initiativen wie VERIMI und NetID: Diese Log-in-Allianzen wollen eine Alternative zu den Log-in-Monopolisten sein. Durch sie wird das „Registrierungsdilemma“ immer offensichtlicher. Leider haben das auch die Gesetzgeber vor Inkrafttreten der DSGVO nicht erkannt. Daher ist es wichtig, dass sich jetzt jedes Unternehmen mit diesen Alternativen und der Registrierung beschäftigt.

Die größten deutschen Log-in-Allianzen VERIMI und NetID verfolgen meiner Meinung nach vollkommen andere Ziele. Die Gesellschafterstruktur zeigt bereits, dass NetID auf die Vermarktung und damit Werbung in der Medienbranche ausgerichtet ist. Ich erwarte hier, dass vor allem Einwilligungen zum übergreifenden Tracking gemeinsam von allen NetID Unternehmen eingeholt werden. VERIMI ist dagegen branchenübergreifend und konzentriert sich stark auf die Mehrwerte für Nutzer durch das sichere Hinterlegen von Daten bei VERIMI. Ihr Fokus liegt nach meiner Perspektive auf Datenschutz und -sicherheit. Das scheint auch an den eher konservativen Gesellschaftern und Unternehmen rund um VERIMI zu liegen. Involviert sind zum Beispiel die Allianz Versicherung, die Deutsche Bank und die Bundesdruckerei.

Timo von Focht: Was können oder müssen europäische Unternehmen jetzt aus Deiner Sicht tun, um sich vor Abmahnungen zu schützen und eine solide, langfristige Datenstrategie aufzubauen?

Dr. Jana Moser: Unternehmen müssen sich mit dem Thema beschäftigen. Es bringt nichts, weiter abzuwarten und zu hoffen, dass sich jemand anderes um das Thema kümmert. Das haben die Monopolisten mit der DSGVO ganz hervorragend getan und gut lobbyiert. Warten Unternehmen weiter ab, ist im Zweifel ein Wettbewerber dabei, sich um ihr Datenschutzthema zu kümmern und sie abzumahnen oder die Aufsichtsbehörde auf sie aufmerksam zu machen.

Eine grobe Bestandsanalyse ist daher sicherlich der erste Schritt: Welche Daten, welche Dokumentationen und welche Partner sind vorhanden? Im zweiten Schritt würde ich die Risiken pro Bereich festlegen: Wie hoch ist das Risiko und wie wahrscheinlich ist es, dass es sich realisiert?

Danach würde ich jeden Bereich nach und nach angehen und umsetzen. Ich empfehle immer, zwei Personen intern den Hut für das Thema aufzusetzen. Anfangs können diese mit Hilfe externer Experten die Themen angehen und sich im Laufe der Zeit selbst Wissen aneignen, dann besteht auch keine Abhängigkeit von externen Experten. Schließlich verstehen Kollegen die Firma besser, haben mehr Einsicht in das Unternehmen als Externe und genießen oft mehr Vertrauen.

Timo von Focht: Wie sieht Deiner Meinung nach die Zukunft von ePrivacy aus? Worauf können sich Unternehmen und Anbieter von Lösungen einstellen?

Dr. Jana Moser: Die ePrivacy-Verordnung wird voraussichtlich nicht vor Ende 2021 In Kraft treten. Dennoch sollten sich Unternehmen darauf einstellen, dass das Thema Einwilligungen dann noch wichtiger wird. Das bereits erwähnte berechtigte Interesse, das aus der DSGVO bekannt ist, soll es nämlich nach aktuellem Stand nicht in der ePrivacy-Verordnung geben. Das gilt wahrscheinlich nicht nur für personenbezogene Daten, sondern auch für Metadaten und Maschinendaten. Die Details stehen jedoch noch nicht fest. Das Gleiche gilt übrigens auch für die Voreinstellung von Browsern und das so per Voreinstellung unterbundene Setzen von Third-Party-Cookies. Setzten sich die bisherigen Prognosen tatsächlich durch, wird es die Werbeindustrie, wie sie aktuell ist, bald nicht mehr geben. Gut für die Verbraucher, schlecht für die Werbetreibenden, die am Alten festhalten. Es ist also an der Zeit für neue Werbeideen und -konzepte.

Timo von Focht: Was können Unternehmen in ihren Privacy-Einstellungen optimieren, damit mehr Websitebesucher ihre Daten freigeben? Im Zuge dessen: Wann lohnt sich für Konsumenten welche Cookie-Zustimmung?

Dr. Jana Moser: Transparenz, Convenience und Mehrwerte sind sicherlich die entscheidenden Stichworte in diesem Zusammenhang.

Je klarer und übersichtlicher die Datenschutzeinstellungen sind, umso mehr Vertrauen hat ein Nutzer auch in den Dienst, den er nutzen möchte. Zudem müssen die Einstellungen gut und nachvollziehbar bedienbar sein. Überinformation durch Darstellung jeder kleinsten Cookie-Information und -bezeichnung halte ich für nicht notwendig. Dadurch entsteht kein Informationsmehrwert für den Betroffenen.

Wer noch Datenschutzoptionen irgendwo versteckt, wird sicherlich auch kein Lob vom Nutzer bekommen. Man muss berücksichtigen, dass in den sozialen Netzwerken immer öfter Negativbeispiele gepostet werden. Deshalb kann sich auch eine schlechte Datenschutzkommunikationsstrategie zu einem Shitstorm für ein Unternehmen entwickeln.

Letztlich sind Nutzer immer besser gestimmt, wenn sie gute Leistungen oder gar Mehrwerte von einem Unternehmen erwarten dürfen oder erhalten. Dann werden auch lange oder unübersichtliche Datenschutzbestimmungen hingenommen.

Im Ergebnis lässt sich nur grob sagen, welche Cookie-Zustimmung sich wann für welchen Konsumenten lohnt. Wenn ein Nutzer seine Ruhe haben will und keinerlei Personalisierung wünscht, sollte er keinerlei Einwilligung abgeben. Für diejenigen, die Personalisierung als angenehm und vorteilhaft sehen, kann eine Profilierung Sinn machen. Hierfür muss dann aber eine Einwilligung erteilt werden, wenn die Individualisierung nicht bereits notwendiger Vertragsgegenstand ist.

Timo von Focht: Vielen Dank für das Interview, Jana.

Über Dr. Jana Moser

 

Dr. Jana Moser ist Expertin für strategischen Datenschutz und berät vor allem zu Innovationen und datenbasierten digitalen Geschäftsmodellen. Zudem investiert sie als Business Angel mit der Datareality Ventures in zukunftsträchtige Geschäftsmodelle.

Frau Dr. Moser war zuvor als Syndikusanwältin und Datenschutzbeauftragte bei der VZnet Netzwerke Ltd. (studiVZ) tätig, bevor sie in die Rechtsabteilung der Axel Springer SE wechselte. Dort beriet sie vor allem in allen Fragen des Datenschutzrechts sowie des IT-Rechts. Im Anschluss leitete sie bei der Axel Springer SE als Head of Data Innovation mit dem Fokus auf Strategie und Wirtschaft ein konzernübergreifendes Projekt zur Nutzung von Kundendaten, bevor sie sich über drei Jahre als Rechtsanwältin für Datenschutzrecht selbstständig machte.

Frau Dr. Moser ist gefragte Teilnehmerin und Moderatorin auf nationalen und internationalen Konferenzen und Podiumsdiskussionen.

Bleiben Sie regelmäßig über alle Neuigkeiten und Events von Commanders Act informiert und abonnieren Sie unseren Newsletter!