MarTechs Leitfaden zur DSGVO: Die Datenschutz-Grundverordnung

Als die Europäische Union im Jahr 2018 ihre Datenschutz-Grundverordnung verabschiedete, wurde das Gesetz als bahnbrechend für den Datenschutz gepriesen, das eine neue Ära der Einwilligung in die Online-Datenerfassung einläuten und das Recht auf den Schutz personenbezogener Daten direkt in die Hände des Einzelnen legen würde.

Ziel war auch, die Datenschutzgesetze in den EU-Mitgliedstaaten zu vereinheitlichen. Die DSGVO würde die Notwendigkeit für einzelne Länder beseitigen, ihre eigenen Vorschriften zu erlassen – und jedes Unternehmen, das Waren oder Dienstleistungen an EU-Bürger vermarktet, unabhängig vom Standort, zur Einhaltung der Gesetze verpflichten.

Doch fünf Jahre später wird der Wendepunkt des Gesetzes durch Durchsetzungsbeschwerden beeinträchtigt, und Beschwerden, die am Tag des Inkrafttretens der DSGVO eingereicht wurden – mit der Behauptung, Facebook, Instagram, WhatsApp und Google hätten Benutzer gezwungen, personenbezogene Daten ohne entsprechende Zustimmung preiszugeben – gingen immer noch vor Gericht System.

Unterdessen entwickelt sich die Technologie in einem Tempo weiter, mit dem das eiszeitliche Rechtssystem einfach nicht mithalten kann (dieser Artikel über die Einhaltung der DSGVO und KI-Tools wie ChatGPT hilft dabei, sich ein Bild von den bevorstehenden Herausforderungen zu machen).

Diese Diskrepanz sowie Gerüchte über eine laxe Durchsetzung, insbesondere in Ländern, in denen große Technologieanbieter ihren Hauptsitz haben, sind nur einige der Gründe, warum die EU-Regulierungsbehörden nun versuchen, die Art und Weise, wie die DSGVO verwaltet wird, zu verfeinern.

In diesem Artikel werden diese Verfahrensänderungen sowie andere Datenschutzbestimmungen im Hopper genauer unter die Lupe genommen, einige der bislang höchsten Bußgelder des Gesetzes besprochen und untersucht, was Vermarkter auf dem Weg in die zweite Hälfte des Jahres 2023 wissen müssen .

Verfahrensänderungen am Horizont

Anfang des Jahres kündigte die Europäische Kommission an, dass sie die Zusammenarbeit der Datenschutzbehörden in der gesamten EU bei der Durchsetzung der DSGVO in grenzüberschreitenden Fällen optimieren wolle. „Dies wird ein reibungsloses Funktionieren der DSGVO-Kooperations- und Streitbeilegungsmechanismen unterstützen“, stellte die Kommission fest. Die Initiative mit dem Namen „Procedural Rules of Enforcement“ zielt darauf ab, eine Vielzahl von Problemen anzugehen, von der Art und Weise, wie mit DSGVO-Beschwerden umgegangen wird, bis hin zur Dauer des Verfahrens selbst. Und wenn kein Konsens erzielt werden kann, werden die vorgeschlagenen Durchsetzungsregeln die Verfahrensaspekte der Streitbeilegung „klären“.

Kritiker sagten, dass die neuen Durchsetzungsvorschriften nur wenige Einzelheiten enthalten, aber angesichts der fast 800 anhängigen Fälle im Rahmen der DSGVO ist eine Verfahrensreform von entscheidender Bedeutung. Wie das NOYB (European Center for Digital Rights), eine gemeinnützige Organisation mit Sitz in Wien, Österreich, es ausdrückt, wird die DSGVO nur theoretisch durchgesetzt, wobei die Technologieunternehmen Wege finden, Verfahren zu verzögern, gegen Urteile Berufung einzulegen und Bußgelder zu umgehen. („NOYB“ ist die Abkürzung für „none of your business“.)

Der staatliche Einfluss der DSGVO

In den USA sind in Virginia, Kalifornien, Colorado, Connecticut und Utah neue oder geänderte Datenschutzgesetze in Planung, deren Inkraftsetzungstermine vom 1. Januar dieses Jahres (Virginia) bis zum 31. Dezember (Utah) reichen, wobei Kalifornien und Colorado gelten , und Connecticut mit Wirkung zum 1. Juli (in Kalifornien ändert der California Privacy Rights Act (CPRA) den California Consumer Privacy Act (CCPA)).

Darüber hinaus haben neun weitere Bundesstaaten Gesetzesvorschläge vorgelegt, die noch ausstehen. Vermarkter sollten jedoch mit einer eventuellen Verabschiedung rechnen.

Diese Gesetze sind im vorliegenden Kontext bemerkenswert, weil sie – mit Ausnahme von Kalifornien – alle die „Terminologie“ der DSGVO übernehmen, sich jedoch in der Art und Weise ihrer Durchsetzung unterscheiden, und zwar mit Bezirksstaatsanwälten, Generalstaatsanwälten und, im Fall Kaliforniens, dem Staat Kalifornien Datenschutzbehörde, alles im Durchsetzungsmix.

Für Vermarkter wird die Cookie-Verwaltung von größter Bedeutung sein, da Marken/Websites weiterhin verstehen, wie Verbraucherrechte in Bezug auf sensible Daten durch die Landesgesetze geschützt werden.

Auf Bundesebene gibt es parteiübergreifende Bemühungen, ein neues Datenschutzgesetz – den American Data Privacy and Protection Act (ADPPA) – zu erlassen, das einen nationalen Standard für die Rechte des Einzelnen schaffen würde. Und am 1. März hielt der Ausschuss für Energie und Handel des Repräsentantenhauses eine Anhörung zum Gesetzesvorschlag ab.

Obwohl keine Abstimmung stattfand, stellen Datenschutzgruppen und andere Interessengruppen fest, dass der Wunsch nach einer bundesstaatlichen Datenschutzgesetzgebung besteht und letztendlich zu Maßnahmen führen könnte.

Schauen Sie genauer hin: Nur 11 % der US-Unternehmen halten sich vollständig daran CCPA Datenschutzrecht

Die DSGVO sieht hohe Bußgelder vor

Zurück in Europa haben einige Beschwerden trotz der Probleme bei der Durchsetzung der DSGVO zu hohen Geldstrafen geführt, die gegen Unternehmen wie Meta, Amazon und Google verhängt wurden.

Das Jahr begann mit einer Geldstrafe von 413 Millionen US-Dollar gegen Meta wegen DSGVO-Verstößen durch Facebook und Instagram. Die Maßnahmen der irischen Datenschutzkommission (DPC), die im Übrigen wegen ihres Umgangs mit DSGVO-Beschwerden heftiger Kritik ausgesetzt war, bestätigten eine Entscheidung des Europäischen Datenschutzausschusses, wonach „vertragliche Notwendigkeit“ kein angemessener Grund sei um verhaltensbezogene Anzeigen zu schalten. (Verhaltensanzeigen beziehen sich auf Online-Werbung oder Marketingbotschaften, die Verbrauchern basierend auf ihrem Suchverlauf zugestellt werden.)

Seit Jahren hat Meta seine Zustimmungsvereinbarung mit den Nutzern in die vertraglichen Nutzungsbedingungen seiner Apps gebündelt, was die Nutzer faktisch dazu zwang, der Datenerfassung zuzustimmen, wenn sie die Plattformen nutzen wollten.

Metas Geldstrafe Anfang Januar folgte auf ein sehr teures Jahr 2022 für das Unternehmen, in dem Strafen in Höhe von mehr als 800 Millionen US-Dollar verhängt wurden. Es wurde außerdem mitgeteilt, dass es drei Monate Zeit habe, Maßnahmen zu ergreifen, um Benutzer um Erlaubnis zum Schalten verhaltensbezogener Anzeigen zu bitten. Ende März berichtete das Wall Street Journal, dass Meta es Nutzern in Europa ermöglichen würde, gezielte Werbung abzulehnen. Doch das Unternehmen macht es sich nicht einfach und verlangt von den Nutzern, dass sie ihre Einwände in einem Online-Formular darlegen.

Neben den Meta-Bußgeldern gehören zu den weiteren bemerkenswerten DSGVO-Sanktionen:

• 785 Millionen US-Dollar gegen Amazon, entschieden im Juli 2021 von der luxemburgischen Datenbehörde. Gegen diese Entscheidung – die bisher größte Strafe im Rahmen der DSGVO, bei der es um die Art und Weise geht, wie das Unternehmen personenbezogene Daten verarbeitet – wird derzeit Berufung eingelegt.
• 237 Millionen US-Dollar gegen WhatsApp (den Meta-eigenen Messaging-Dienst), beschlossen im September 2021 von DPC, was den Höhepunkt einer dreijährigen Untersuchung darüber markierte, wie die App Benutzerdaten mit Facebook teilte.
• 52 Millionen US-Dollar gegen den Suchriesen Google, eine vorzeitige DSGVO-Geldstrafe (Januar 2019), die später im Berufungsverfahren vor einem französischen Gericht bestätigt wurde. Die nationale Datenschutzkommission dieses Landes stellte fest, dass Google die Datentransparenzrichtlinien der DSGVO nicht eingehalten hat und dass das Unternehmen nicht ausreichend klargestellt hat, wie Nutzerdaten erfasst und für zielgerichtete Anzeigen verwendet werden.

Was Vermarkter wissen müssen

Zwei Wörter müssen bei der DSGVO ganz oben auf der Liste aller Vermarkter stehen: Compliance und Einwilligung. Compliance bezieht sich natürlich auf die Notwendigkeit für Unternehmen mit jeder Art von Webpräsenz, die an Kunden in der EU vermarkten, die Vorschriften zu verstehen, über Änderungen auf dem Laufenden zu bleiben und bei auftretenden Problemen schnell reagieren zu können.

Daneben besteht natürlich auch die Notwendigkeit, dass Vermarkter verstehen, welche Arten von Daten ihre Unternehmen sammeln und, was noch wichtiger ist, wie diese Daten verarbeitet und gespeichert werden und welche Art sensibler personenbezogener Daten sie enthalten. Compliance hängt auch davon ab, dass nur die erforderlichen Daten erfasst werden.

Für Vermarkter sollte das andere Schlüsselwort im Vordergrund stehen: Einwilligung. Im Großen und Ganzen ist es wahrscheinlicher, dass Unternehmen die DSGVO einhalten, wenn sie die entsprechende Erlaubnis zum Sammeln oder Verwenden personenbezogener Daten von Benutzern erhalten haben. Es mag offensichtlich klingen, aber die DSGVO hat eine spezifische Definition für Einwilligung, die „jede freiwillig gegebene, spezifische, informierte und eindeutige Angabe“ ist, dass die betroffene Person damit einverstanden ist, dass Websites ihre personenbezogenen Daten sammeln und verarbeiten.

Es überrascht nicht, dass Vermarkter eine große Rolle spielen, nicht nur beim Verständnis, sondern auch bei der Ermöglichung der Einhaltung der DSGVO und der von ihr beeinflussten US-amerikanischen Regeln und Vorschriften. Während sich die Regulierungslandschaft ständig weiterentwickelt, wächst auch der Wunsch der Verbraucher, ihre Privatsphäre zu schützen.

In den fünf Jahren ihres Bestehens hat die DSGVO nicht zuletzt bewiesen, dass der Schutz von Daten eine unternehmerische Verantwortung ist. Unternehmen, die sorgfältig mit Daten umgehen und den Nutzern zeigen, dass ihre Bedenken hinsichtlich des Online-Datenschutzes berechtigt sind, werden gegenüber ihren weniger umsichtigen Konkurrenten einen Vorteil haben.

Graben Sie tiefer: Bauen Vertrauen , Umsatz steigern