1 Jahr DSGVO: Bilanz aus der Marketing-Praxis

Die Datenschutzgrundverordnung (DSGVO) feiert Geburtstag. Zeit für eine Bilanz aus Marketer-Sicht: Fluch oder Segen? Hier scheiden sich die Geister, ähnlich wie bei der Auslegung der EU-Verordnung. Abmahnwellen und Strafen in Millionenhöhe sind in Deutschland bisher ausgeblieben. Capgemini zufolge hat jedoch erst gut die Hälfte der Unternehmen ihre Hausaufgaben fertig und viele fühlen sich von den Datenschutzregeln ausgebremst. Dieser Artikel versorgt Sie mit DSGVO-Facts und Tipps aus der Praxis für die Praxis.

Michaela Jackel, Claranet GmbH
Marketing Specialist

Michaela Jackel ist bei Claranet verantwortlich für die Themen Content Marketing, Leadmanagement und Zielgruppenanalyse sowie für die Administration des CRM-Systems. Zuvor arbeitete die Diplom-Medienwirtin in der Marktforschung bei Nielsen und Ipsos und seit 2016 ist sie Mitglied im bvik.

 

Grafik: Eigene Darstellung der Claranet GmbH; Bild: https://www.pexels.com/photo/close-up-photography-of-pink-birthday-cake-851204/

Zeitenwende im Datenschutz & Frühjahrsputz in Unternehmen

Seit einem Jahr ist die EU-Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedsstaaten verbindlich anzuwenden. Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit, bezeichnet sie in seinem ersten Tätigkeitsbericht als „Zeitenwende im Datenschutz“6 und in der Tat bringt sie positive Effekte7:

  • Die europaweit einheitlichen Datenschutzregeln sorgen für besser geschützte Personendaten und außerdem für fairen Wettbewerb: Durch das Marktortprinzip gilt die DSGVO für alle, die Waren oder Dienstleistungen in der EU anbieten. Deutsche Unternehmen sind dadurch nicht länger im Nachteil gegenüber Konkurrenten aus Ländern mit weniger strengen Vorschriften.
  • Durch klare Sanktionslinien sind die Themen Datenschutz und Informationssicherheit zur Chefsache geworden. Sprich: Sie erhalten endlich die Aufmerksamkeit, die ihnen im Digitalzeitalter gebührt – sowohl aus unternehmerischem Interesse als auch zum Schutz der Betroffenen.
  • Viele Unternehmen haben „Frühjahrsputz“ gemacht: Sie haben Datenbestände aufgeräumt, Prozesse, Lieferanten und Tools hinterfragt und Silos zwischen Marketing, IT und Rechtsabteilung aufgebrochen.

Freud & Leid liegen nahe beisammen

Die Punkte oben klingen im Prinzip gut, in der Praxis herrscht jedoch nach wie vor eine gewisse Unsicherheit bei der Auslegung und Umsetzung der DSGVO. Abstrakte und unklare Formulierungen (z. B. „berechtigte Interessen“ oder „Kopplungsverbot“) stellen Unternehmen vor Herausforderungen. Kritiker merken darüber hinaus an, dass konkrete Regelungen zu zentralen Themen der Digitalisierung (z. B. Big Data, Soziale Netzwerke, Cloud Computing, IoT und KI) ergänzt werden sollten.

Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) zieht eine eher gemischte Jahresbilanz zur DSGVO. Einer repräsentativen Befragung des Verbands zufolge fühlen sich Unternehmen zunehmend von Datenschutzregeln ausgebremst. So sehen drei von vier Unternehmen Datenschutzanforderungen als die größte Hürde beim Einsatz neuer Technologien.4 Ein ähnliches Bild zeigt die Blitzumfrage des Bundesverbands Digitale Wirtschaft e.V. (BVDW), bei der 32 Prozent der befragten Mitglieder angaben, ihre digitalen Aktivitäten wegen der DSGVO eingeschränkt zu haben.5

Status quo bei der Umsetzung & Strafen

Beim bvik-Event “Marketing meets Datenschutz” haben wir ganz unterschiedliche Herangehensweisen und Ansätze zur Umsetzung der DSGVO kennengelernt. Erkennen Sie Ihr Unternehmen bei einer der folgenden „DSGVO-Personas“ wieder?

  • Die „Konservativen“: Firmen, die sich für eine sehr konservative Auslegung der DSGVO entschieden haben. Bei unklaren Formulierungen in der Verordnung verzichten sie im Zweifel auf datengetriebene Marketing- und Sales-Lösungen.
  • Die „Pragmatiker“: Firmen, die dem Rat von Experten wie Dr. Carsten Ulbricht folgen. Er rät dazu, die DSGVO praxisnah und ausgewogen auszulegen. „Dann wird man mit der DSGVO auch sinnvoll arbeiten können. Andernfalls muss man sich um die dringend notwendige Digitalisierung in Europa Sorgen machen“, so Ulbricht.7
  • Die „Spätzünder“: 47 Prozent aller Unternehmen in der DACH-Region haben die Vorgaben der DSGVO noch nicht komplett umgesetzt. Etwas mehr als ein Viertel arbeitet immerhin noch daran. Das sind die Ergebnisse einer Capgemini-Studie, die im Februar 2019 veröffentlicht wurde.2

In Anbetracht solcher Zahlen stellt sich die Frage, ob und wie häufig die im Vorfeld vielerorts gefürchteten Strafen der DSGVO bisher verhängt wurden.

Wie WELT AM SONNTAG – unter Berufung auf eine Umfrage bei den Behörden – im Mai berichtete, wurden bisher 81 Bußgelder verhängt. Die Verteilung auf die Bundesländer ist wie folgt: Baden-Württemberg (7 Fälle / 203.000 Euro), Rheinland-Pfalz (9 Fälle / 124.000 Euro), Berlin (18 Fälle / 105.600 Euro), Hamburg (2 Fälle / 25.000 Euro), Nordrhein-Westfalen (36 Fälle / 15.600 Euro), Sachsen-Anhalt (6 Fälle / 11.700 Euro) und Saarland (3 Fälle / 590 Euro). Mecklenburg-Vorpommern hat nicht an der Befragung teilgenommen.3 Strafen in Millionenhöhe blieben in Deutschland bislang aus, wobei es in den europäischen Nachbarländern teils anders aussieht: Spektakulär war z. B. die Verhängung eines Bußgelds gegen Google in Frankreich in Höhe von 50 Millionen Euro.8
Lässt sich daraus schließen, dass die DSGVO ein zahnloser Tiger ist und schlaue Unternehmer sich weitere Investitionen in die Themen Datenschutz und Informationssicherheit nach einer kühlen Kosten-Nutzen-Abwägung sparen? Das sollten Sie keinesfalls! Die bisher eher geringen Bußgelder sind Experten zufolge nicht überraschend, unter anderem aus den folgenden Gründen:

  • Zum einen hat die Unsicherheit bei der Auslegung der DSGVO vorerst auch die Angreifer-Seite erfasst. Zum Biespiel wird ein potenzieller Angreifer aufgrund der bisher nicht abschließend geklärten Frage zur Abmahnfähigkeit von DSGVO-Verstößen darauf verzichten, eine Abmahnung zu versenden, solange er nicht ausschließen kann, dass der Bumerang wegen einer unberechtigten Abmahnung zu ihm zurückfliegt. Und jeder, der einen Mitbewerber bei den Aufsichtsbehörden meldet, wird zunächst einmal sicher gehen wollen, dass er keine eigenen Leichen im Keller hat.
  • Zum anderen führen die Komplexität des Themas und die im Vergleich zu den Vorjahren stark gestiegene Zahl an Meldungen, Fragen und Beschwerden zu Verzögerungen bei Prüfungen und Verfahren. Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht konstatiert: „Wir sind momentan über die Grenzen der zumutbaren Belastung hinaus damit befasst, den Verantwortlichen, den betroffenen Personen und uns selbst bewusst zu machen, wie wir praxisorientiert die Anforderungen der DSGVO umsetzen.“9
  • Außerdem haben die Datenschutzbehörden sich in Deutschland wie angekündigt zunächst vor allem damit beschäftigt, ihrer Informations- und Beratungspflicht nachzukommen. Darüber hinaus haben Sie vermutlich häufig im ersten Schritt Verwarnungen ausgesprochen, statt Bußgelder zu verhängen.

Nichtsdestotrotz haben mehrere Aufsichtsbehörden verlautbaren lassen, dass sie in näherer Zukunft verstärkt die Sanktionierung von Verstößen in den Fokus nehmen wollen. Fazit: Auch wenn es derzeit recht still ist um die DSGVO, in den nächsten Monaten und Jahren wird sich vieles tun.

Halten Sie durch & bleiben Sie mutig!

Aber was heißt das nun genau für die Arbeit im Marketing? Ich habe nicht das Ei des Kolumbus für Sie, wage aber trotzdem eine Empfehlung:

  • Die DSGVO ist gekommen, um zu bleiben. Machen Sie daher, falls noch nicht geschehen, Ihre Hausaufgaben. Dabei können Sie sich z. B. an der Checkliste Datenschutz des bvik orientieren.
  • Lassen Sie sich nicht lähmen von der Unsicherheit bei der Auslegung der DSGVO in der Praxis. Finden Sie gemeinsam mit internen und externen Beratern den für Ihr Unternehmen richtigen Weg. Achten Sie auf Transparenz und scheuen Sie sich nicht davor, Ihre Meinung einzubringen.
  • Brechen Sie alte Silos auf. Wir haben bei Claranet die Erfahrung gemacht, dass die besten Lösungen häufig aus intensiver Zusammenarbeit zwischen Marketing, Sales, IT- und Rechtsabteilung entstehen, auch wenn dabei manchmal die Köpfe rauchen.
  • Jede Kette ist nur so stark wie ihr schwächstes Glied. Tragen Sie dazu bei, dass Datenschutz und Informationssicherheit in den Köpfen aller Mitarbeiter Ihres Unternehmens verankert sind, und rüsten Sie sich für Angriffe. Cyber-Attacken, deren Zahl täglich steigt, gewinnen durch die Informations- und Meldepflicht der DSGVO eine zusätz¬liche Brisanz. Neben dem Verlust geschäftskritischer Personendaten, Imageverlust und Schadensersatzforderungen drohen in Zukunft auch gesetzliche Sanktionen.
  • Bleiben Sie kontinuierlich dran. Betrachten Sie neue Projekte immer auch aus der Datenschutz-Perspektive und last but not least: Bleiben Sie positiv und innovationsfreudig.

Ich hoffe, dass Sie in diesem Beitrag die ein oder andere Anregung gefunden haben, wie Sie Datenschutz und Informationssicherheit im Marketing-Alltag integrieren können, ohne den Spaß an neuen Ideen und kundenzentriertem, datengetriebenem Marketing zu verlieren.

HINWEIS
Mehr zur DSGVO erfahren Sie im Blog-Beitrag von Datenschutz-Experte Daniel Simon mit dem Titel “DSGVO – ePrivacy – Bußgelder: Status quo 2019” sowie auf der bvik-Landingpage “DSGVO: Datenschutz und Datensicherheit im B2B”.

 

Quellenangaben:

1 Statista, „Umfrage zu Herausforderungen bei der Umsetzung der DSGVO in Deutschland 2018“, veröffentlicht im September 2018, https://de.statista.com/statistik/daten/studie/861808/umfrage/herausforderungen-bei-der-umsetzung-der-dsgvo-in-unternehmen-in-deutschland/

2 Capgemini, „IT-Trends des Jahres 2019: DSGVO-Compliance, Privacy by Design, Multi-Faktor-Authentifizierung, BYOx-Security und Security-Automation“, veröffentlicht am 12.02.2019, https://www.capgemini.com/de-de/news/studie-digitalisierung-ausbaufaehig-intelligente-technologien-im-kommen/

3 WELT AM SONNTAG, „485.000 Euro Strafe – Bundesländer ziehen Bußgeld-Bilanz“, veröffentlicht am 12.05.2019, https://www.welt.de/finanzen/article193326155/DSGVO-Verstoesse-Bundeslaender-ziehen-Bussgeld-Bilanz.html

4 Bitkom Pressemeldung „Bitkom zieht gemischte Jahresbilanz zur DS-GVO“, veröffentlicht am 16.05.2019, https://www.bitkom.org/Presse/Presseinformation/Bitkom-zieht-gemischte-Jahresbilanz-zur-DS-GVO

5 Bundesverband Digitale Wirtschaft e.V. (BVDW), Pressemitteilung „BVDW-Studie: DSGVO bremst Digitale Wirtschaft aus“, veröffentlicht am 22.5.2019, https://verbaende.com/news.php/BVDW-Studie-DSGVO-bremst-Digitale-Wirtschaft-aus?m=128879′

6 Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, „27. Tätigkeitsbericht zum Datenschutz 2017-2018“, veröffentlicht am 08.05.2019, https://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/27TB_17_18.html?nn=5217016

7 Quellen u.a. Upload Magazin, „Befragung zu DSGVO und e-Privacy-Verordnung: Wie geht es jetzt weiter?“, veröffentlicht am 11.11.2018, https://upload-magazin.de/blog/29598-dsgvo-eprivacy-verordnung/

8 t3n Interview „Ein Jahr DSGVO: Spektakulär war ein Bußgeld gegen Google“, veröffentlicht am 23.05.2019, https://t3n.de/news/1-jahr-dsgvo-1165697/?utm_source=newsletter&utm_medium=article&utm_campaign=20190523

9 Handelsblatt, „DSGVO in Zahlen: Hoher Aufwand, aber auch Ertrag“, veröffentlicht am 21.05.2019, https://www.handelsblatt.com/politik/deutschland/bussgeld-bilanz-dsgvo-in-zahlen-hoher-aufwand-aber-auch-ertrag/24361018.html?ticket=ST-4320026-6fvuh1VEcYM94D2SAAf3-ap3