EINE BILANZ
IM DIALOG
Interview mit Martin Führer, Datenschutzexperte bei der Anwaltskanzlei ulsr
„Auf jeden Fall wurde erreicht, dass der Datenschutz in den Köpfen angekommen ist.“
Im Interview mit dem Magazin Im Dialog zieht Martin Führer, Datenschutzexperte bei der Anwaltskanzlei ulsr ein positives Resümee über die DSGVO. Dabei erzählt er über österreichische Lösungen, die Gefahren von Kundenkarten und warum er die ePrivacy-Verordnung nicht als großen Gamechanger sieht.
Herr Führer, wie sieht Ihr persönliches Resümee nach einem Jahr DSGVO aus?
Mein persönliches Resümee ist, dass ich auf ein Jahr voller Arbeit zurückblicke, weil die Nervosität und die Panik, die sich in der Wirtschaft breitgemacht hat, sich auch auf diejenigen zurück durchschlägt, die in der Beratung tätig sind. Das spürte man schon und hält auch noch an, ist aber in den normalen Bereich zurückgekehrt.
Gab es bis jetzt schon irgendwelche großen Aufreger?
In meiner Funktion als Datenschutzbeauftragter für verschiedene große Unternehmen habe ich schon Zwischenfälle erlebt – zum Beispiel Data Breaches – die kurzfristig für Nervosität und auch Handlungsbedarf gesorgt haben. Ansonsten waren die ersten Auskunftsbegehren und deren Behandlung die ersten großen Aufreger, die wir aber gut hinbekommen haben.
Die große Klagsflut, die man am Anfang befürchtet hat, ist also ausgeblieben?
Die ist bis dato ausgeblieben. Wir hatten einige Anträge zu bearbeiten und Verfahren zu bestreiten. Wenn man aber schnell und richtig reagiert, bleibt zumeist ein behördliches Verfahren aus. Zivilrechtlichen Schadenersatz ausschließlich wegen Datenschutz vor den ordentlichen Gerichten hatten wir bislang überhaupt noch nicht.
In einer aktuellen Befragung haben rund die Hälfte der Unternehmen angegeben, ihre digitalen Aktivitäten aufgrund der DSGVO eingeschränkt zu haben. Ist das die Conclusio aus der DSGVO, dass man nicht mehr so viel machen kann wie früher – oder trauen sich viele Unternehmen einfach nicht mehr und schalten vorerst einen Gang zurück?
Ich halte das für ein interessantes Umfrageergebnis, weil ich nicht den Eindruck habe, dass die Unternehmen jetzt digital weniger unterwegs sind. Aber das ist auf jeden Fall der falsche Rückschluss, denn das kann man nicht der DSGVO anheften. Nämlich deswegen, weil die Frage, ob und was man mit den Daten verarbeiten darf, sich schlichtweg in den allermeisten Fällen nicht geändert hat. Es gibt einige bürokratische Herausforderungen mehr und zusätzlichen Dokumentationsaufwand, das ist richtig – aber das ändert nichts an der Zulässigkeit der Datenverarbeitung vor und nach der DSGVO.
Ist mit der DSGVO die angesagte Revolution eingetreten oder würden Sie diese aus heutiger Sicht eher als Sturm im Wasserglas bezeichnen?
Es war nicht der Sturm, den man befürchtet hat und ich bin mit den Auswirkungen der DSGVO eigentlich sehr zufrieden. Es herrscht bei Unternehmen wie auch bei Betroffenen jetzt mehr Bewusstsein hinsichtlich des Themas Datenschutz. Wenn das das Ziel der Grundverordnung war, dann wurde es zum Großteil erreicht. Bewusstsein Ja, Strafen nur in Ausnahmefällen – so wie es derzeit ist, finde ich das sehr angebracht.
Hat man mit der DSGVO das erreicht, was man erreichen wollte - saubere, trennscharfe Regulierung für die Praxis?
Ich denke schon. Es hat auf jeden Fall zur Bewusstseinsbildung beigetragen. Jede neue Rechtslage führt natürlich zu Unsicherheiten, insofern ist eine scharfe Trennung nicht unbedingt erreicht worden, weil einige Bereiche noch sehr vage formuliert sind und es dazu keine Rechtsprechung gibt – aber das ist jeder neuen Rechtslage immanent. In einigen Bereichen ist es klarer geworden, in anderen verbleiben Unsicherheiten, die noch durch Literatur und Judikatur zu klären sein werden. Aber auf jeden Fall wurde erreicht, dass der Datenschutz in den Köpfen angekommen ist.
Vor allem kleine und mittlere Unternehmen beklagen, dass die DSGVO keinen Unterschied zwischen einem Multimilliarden-Konzern und dem Bäcker ums Eck macht. Wie sehen Sie das?
Es gibt schon da und dort Ausnahmen, die zur Erleichterung beitragen, aber im Wesentlichen stimmt es, dass kein Unterschied gemacht wird, weil die gleichen Regeln für alle gelten. Der Unterschied wird dann allenfalls bei Verstößen auf Ebene der Rechtsprechung gemacht bzw sollte gemacht werden. Diese hat allfällige Strafen nach dem Verhältnismäßigkeitsprinzip zu beurteilen - sowohl hinsichtlich des Verschuldensgrads als auch der Strafhöhe. Aber auch hier ist der Rückschluss falsch, dass man sich als kleines oder mittleres Unternehmen jene Abwehrmaßnahmen und Kosten aufhalsen müsste, die große Unternehmen auch haben – wenngleich die Befürchtung natürlich da ist.
Ist die österreichische Lösung (Anm.: Vorerst hauptsächlich Abmahnungen statt Strafen) auch zum Schutz der Klein- und Mittelunternehmen vor Abmahn- oder Klagewellen gedacht?
Sie sprechen da die Regelung im österreichischen Datenschutzgesetz an, wonach der Datenschutzbehörde seitens des Gesetzgebers nahegelegt wird, beim Erstverstoß nur mit Verwarnungen zu agieren. Das ist natürlich eine österreichische Lösung, weil sich das meines Wissens auch nur im österreichischen Datenschutzgesetz so findet. Davon abgesehen, dass sich die Datenschutzbehörde bei der Rechtsprechung ohnedies nicht daran hält – sie hat bereits bei Erstverstößen Geldstrafen und Geldbußen ausgesprochen – wirkt es aber auch im Sinne eines Signals beruhigend. Rechtlich bindend ist das aber nicht. Die Datenschutzbehörde hat sich schlicht und alleine an der Verhältnismäßigkeit zu orientieren, wenn es um Strafen geht – und das tut sie auch. Und wenn sie zur Ansicht kommt, dass beim Erstverstoß eine Geldbuße verhältnismäßig ist, dann spricht sie das auch aus.
Eine massiv ansteigende Menge an Daten, die allerorts gesammelt werden und gleichzeitig zunehmend strengere Regulierungen – wie soll das langfristig unter einen Hut passen?
Ich glaube das passt ganz gut unter einen Hut. Im Wesentlichen ist es ja irrelevant, wie viele Daten über eine Person gespeichert werden, solange diese alle für den entsprechenden, vorgesehenen Zweck notwendig sind. Was teilweise schon erreicht wurde – aber auch das ist keine Neuerung durch die DSGVO, weil es den Grundsatz der Zweckbindung vorher auch schon gab – ist, dass bei der Erhebung von Daten jene Daten, die eigentlich gar nicht benötigt werden, auch nicht erfragt werden. Somit kommt man weniger in die Versuchung, Daten querzulesen oder in Richtung Profiling auszuwerten. Damit ist den Betroffenen geholfen, weil weniger Daten erhoben werden, gleichzeitig aber auch den Verantwortlichen, weil sie weniger an Sanktionen zu befürchten haben. Mir ist aber auch bewusst, dass das in Einzelfällen in der Praxis auch in eine andere Richtung geht, vor allem was die bekannten und jetzt in der Werbung ersichtlichen Kundenkarten diverser Unternehmen betrifft. Gerade hier ist die Gefahr relativ groß, dass wechselseitige Ableitungen über das zukünftige Kundenverhalten getätigt werden. An und für sich steuert die Rechtslage (auch schon vor der DSGVO) hier aber per Sanktion entgegen. Deswegen versuchen die Verantwortlichen ja, die Zulässigkeit der Datenverarbeitung über umfassende Einwilligungen zu erreichen. Mit der Konsequenz, dass man als Betroffener immer mehr unterschreiben wird müssen – mehr Erklärungen, die auch umfangreicher sind. Das ist eine logische Folge der Grundverordnung, weil die Einwilligung ein bekannter Rechtfertigungsgrund ist. Wenn die Leute dann alles blind unterschreiben, weil sie sich nicht den Aufwand machen wollen, es zu lesen, dann kann man aber auch der Grundverordnung nicht den Vorwurf machen, dass sie nicht greifen würde.
Zum Thema Profiling – wenn ein Unternehmen anhand von bestehenden Daten durch Wahrscheinlichkeitsberechnung und Schlussfolgerungen auf Merkmale wie eine politische Gesinnung schließt und dies als „sachbezogene Vermutung“ speichert, ist das ein Bereich, wo man von sensiblen Daten spricht?
Es würde in die Richtung gehen, weil die politische Einstellung oder Weltanschauung als sensibles Datum gilt. Wenn ich aus der Gesamtschau der Daten, selbst wenn der einzelne Datenpunkt jetzt nicht die Mitgliedschaft zu einer bestimmten Partei zum Inhalt hat, darauf rückgeschlossen werden kann, dann wird man wohl in Richtung sensibles Datum gehen. So auch das jüngste (nicht rechtskräftige) Urteil aus Vorarlberg. Dann stehen den Verantwortlichen aber weniger und nur bestimmte Rechtfertigungsgründe zur Verfügung, insbesondere keine allgemeine Interessensabwägung. Und dann hat man u.U. ein Problem, insbesondere dann, wenn eine Einwilligung fehlt.
Dürfte ich also eine Vermutung auf eine einzelne Person herunterbrechen und anderen zugänglich machen?
Das ist sicherlich ein Graubereich, wenn es nur eine Vermutung ist. Aber ich halte es nicht für zulässig, weil auch mit Vermutungen ein bestimmter Eindruck entsteht – ja gerade entstehen soll.
Ist die anstehende ePrivacy-Verordnung nun die Kür nach der Pflicht oder der nächste Gamechanger?
Ich glaube nicht, dass es für die breite Masse der große Gamechanger wird, weil sie sich im Gegensatz zur Grundverordnung nicht an die breite Bevölkerung richtet. Rechtsveränderungen oder neue Rechtslagen auf EU-Ebene gab es ja schon immer. Der große Aufruhr wegen der DSGVO war ja, dass alle in irgendeiner Form betroffen waren, sowohl Unternehmen als auch Vereine, Behörden, Gemeinden und natürlich auch die Privatpersonen. Das trifft nur bedingt auf die ePrivacy zu, vor allem weil der Einzelne nicht der eigentliche Adressat ist. Insofern wird es nicht der große Gamechanger. In jenen Bereichen, wo es Schnittstellen gibt, erwarte ich mir einige Klarstellungen. Da existieren derzeit ein paar Unschärfen und treffliche Streitigkeiten in der Literatur – und mittlerweile auch Judikatur. Da hoffe ich schlichtweg, dass man in Kenntnis dieser Diskussionen die Verordnung so ausgestaltet, dass man hier zur Klarheit beiträgt.
Erwarten Sie aufgrund der ePrivacy-Verordnung eine ähnliche Unsicherheit und – nennen wir es – Panik im Vorfeld?
Ich glaube, dass es eher Klarstellungen gibt. Und unabhängig davon, ob es klarer oder unklarer wird, glaube ich, dass die Tendenzen in Richtung Erleichterungen zur Verwendung von Daten gehen werden, also etwa leichterer Einsatz von Cookies und leichtere Versendung von Werbemails.
IM DIALOG
Interview mit Anton Jenzer, Präsident des Dialog Marketing Verband Österreich
„So etwas verstehen die Kunden dann auch.“
Anton Jenzer, Präsident des Dialog Marketing Verband Österreich erklärt im Gespräch mit Im Dialog, wie er die Umstellungsphase der Branche auf die DSGVO erlebt hat. Dabei spricht er offen über den Stimmungswandel zum Positiven, die ersten Aufreger und die Wichtigkeit von Verhaltensregeln.
Herr Jenzer, was ist ihr persönliches Resümee nach einem Jahr DSGVO?
Wir haben ganz unterschiedliche Einstellungen gesehen. Bis zum 25. Mai war es vor allem Verunsicherung – da waren auch viele fatalistische und durch Panik gesteuerte Handlungen zu erleben. Oder zum Teil auch abwartende Haltungen.
Im Endeffekt haben die Dämme gut gehalten und die befürchtete Flut an Anzeigen ist ausgeblieben. Dazu trägt auch die Haltung der Behörden, nämlich ‚Beratung vor Bestrafung‘ bei. Ich würde das jetzt nicht Sinneswandel, aber als ein gewisses Einlenken seitens der Behörde sehen. In erster Linie ist es wichtig, nachvollziehbar belegen zu können, dass DSGVO-konforme Maßnahmen ergriffen wurden.
Generell zeigt sich, dass sich die Unternehmen gut auf die DSGVO vorbereitet haben. Und mittlerweile ist auch jedem klar, dass Datenschutz ein ernstes Thema ist und berücksichtigt gehört. Damit meine ich vor allem die Dokumentationspflichten, eine der großen Neuerungen. Das bedeutet, als Marketingtreibender habe ich jetzt die Pflicht, dass ich die Zustimmung nachweisen kann. Neu ist auch das Strafmaß. Aber sonst hat es eigentlich vieles schon vorher in der Form gegeben,
Zu den Beschwerden muss man zwei Dinge wissen: Einerseits kann ich als Privatperson eine E-Mail, die ich ohne Zustimmung erhalten habe nicht einfach formlos an die Datenschutzbehörde weiterleiten, sondern ich muss diese Beschwerde auch formal korrekt einbringen. Dadurch versanden – laut Aussage der Behörde – viele Beschwerden bereits im Vorfeld. Andererseits betrifft ein großer Teil der Beschwerden den Privatbereich, zum Beispiel wenn die Videokamera des Nachbarn falsch eingestellt ist.
Wie hat der DMVÖ seine Mitglieder während der Vorbereitungs- und Umstellungsphase unterstützt?
Wir haben letztes Jahr rund ein Dutzend Veranstaltungen gemacht, wo wir auf Praxistipps gesetzt haben: Was ist zu tun, welche Prioritäten sind zu setzen et cetera. Bei großen Unternehmen haben wir Workshops abgehalten, bei denen wir gemeinsam mit den jeweiligen Datenschutzbeauftragten spezifische Fragestellungen behandelt und Handlungsempfehlungen gegeben haben.
Jetzt wurden auch unsere Verhaltensregeln (Anm.: für Adressverlage und Dialogmarketing-Unternehmen; Code of Conduct, kurz COC) genehmigt, allerdings unter der Bedingung, dass eine neutrale Überwachungsstelle einzurichten ist.
Warum Verhaltensregeln? Es gibt doch eine Verordnung, die rechtsverbindlich ist?
Die Verhaltensregeln sollen dabei helfen, die Verordnung für die Praxis konkretisieren. Um ein Beispiel zu nennen: Wenn ich als Unternehmen eine postalische Zusendung mache, muss ich die Herkunft der Daten offenlegen, das heißt, mit andrucken. Aber jetzt stellt sich die Frage, wie dieser Text auszusehen hat. Soll das ein ellenlanger Text sein oder genügt eine kurze Anmerkung – so, dass der Konsument trotzdem weiß, von wo die Daten kommen, aber eben nicht in der ganzen Ausführlichkeit. Oder wie geht man mit Beschwerden um, wie sind diese formal zu beantworten, welche Informationen müssen darin enthalten sein? Ab wann spricht man von Profiling? Die Verhaltensregeln sind sinngemäß wie ein Baukasten, der sich für das Unternehmen verwenden lässt und dabei eine hohe Rechtssicherheit bietet. An vielen Stellen gibt es bislang noch keine Judikatur, und im Zuge eines anhängigen Verfahrens kann man sich dann an die Verhaltensregeln berufen. Dass diese von der Datenschutzbehörde genehmigt sind, wird dann auch ein Richter berücksichtigen müssen.
Gab es schon die ersten großen Aufreger seit Inkrafttreten der DSGVO?
Da fällt mir das Thema ‚Parteiaffinität‘ bei der Post ein. Die Behörde hat dieses Vorgehen als DSGVO-widrig eingestuft, da läuft jetzt gerade der Einspruch. Ob hier jetzt eine Strafe erfolgt oder nicht, das wird man noch sehen. Wobei ich der Meinung bin, dass dieses Thema in der Kommunikation falsch dargestellt wurde. Wir haben seit kurzem die Verhaltensregeln, COC (Anm. Code of Conducts) und nach denen ist es grundsätzlich schon zulässig, sachbezogene Vermutungen anzustellen. Wenn jemand beispielsweise mit seiner Familie in einem Einfamilienhaus mit Garten wohnt, dann ist das Interesse an einem Gartengerät oder einem Kinderspielzeug wahrscheinlich als bei anderen. Da brauche ich keine Zustimmung, weil ich diese Informationen aus Daten gewonnen habe, die öffentlich zugänglich sind – und dass jemand in einem Einfamilienhaus wohnt ist, ja kein Geheimnis. Auch Geburtsdatum, Name, Titel, Postadresse und Kundeneigenschaften sind öffentlich zugängliche Daten, die von Adressverlagen gesammelt werden dürfen, etwa aus öffentlichen Quellen, durch Befragung oder Zukauf von Dritten. Aber natürlich darf ich nicht sagen, dass ich als Unternehmen weiß, welche Person welche Partei wählt, alleine schon aufgrund des Wahlgeheimnisses nicht. Aber Profilierungen für Marketingzwecke, bei denen ich dezidiert klarmache, dass es sich um Ableitungen handelt, die auf Wahrscheinlichkeiten beruhen, sind schon zulässig.
…auch wenn diese auf die einzelne Person heruntergebrochen werden…?
Ja, auch auf die einzelne Person, aber immer nur mit dem Vermerk, dass es eine Hochrechnung, eine Vermutung beziehungsweise Wahrscheinlichkeitsrechnung ist, die theoretisch auch komplett falsch sein kann.
Und dieser Eindruck wurde in der Kommunikation der Post halt erweckt; dass man das konkrete Wahlverhalten der einzelnen Person kennen würde. Und da ist man schnell in einem sensiblen Bereich wo man sehr aufpassen muss – genauso wie bei Gesundheitsdaten oder dem religiösen Bekenntnis. Ich kann auch keine Vermutungen äußern, ob eine Person an einer bestimmten Krankheit leidet und sie dadurch punzieren, also in eine bestimmte Ecke stellen -das wäre sicherlich strafbar.
Wie stark hat die DSGVO das Dialogmarketing insgesamt verändert: Haben wir eine Revolution erlebt oder eher einen Sturm im Wasserglas?
Beides. Die laufenden Branchenerhebungen, zeigen schon, dass es im Bereich des Dialogmarketings Rückgänge bei den Ausgaben gegeben hat. Am stärksten sieht man das beim E-Mail-Marketing, wo Unternehmen aus Vorsichtsdenken ganze Verteiler gelöscht haben, etwa weil es keine nachweisliche Einwilligung seitens der Empfänger gab. Denn viele Unternehmen haben übersehen, dass man in einer aufrechten Kundenbeziehung sehr wohl E-Mails auch ohne Zustimmung schicken darf. Wenn ein Kunde beispielsweise ein Angebot per E-Mail anfordert, dann darf dieser selbstverständlich auch per E-Mail kontaktiert werden. So gesehen war das Löschen ganzer Verteiler sicherlich eine Überreaktion, da wäre es sinnvoller gewesen, sich die Daten vorher im Detail anzuschauen und auf bestehende Kundenbeziehungen hin zu durchleuchten.
Datenschutz ist ja grundsätzlich eine Defensivhaltung. Viele Unternehmen erkennen jetzt aber auch, dass ein transparenter Umgang mit Kundendaten eine Chance, ein Wettbewerbsvorteil sein kann, weil man dadurch Vertrauen schafft – indem ich meinen Kunden gegenüber auch aktiv und offen agiere, Ihnen auch klarmache, warum ich gewissen Dinge tue. Ein klassisches Beispiel hierfür ist Amazon, wo ich als Konsument nachvollziehen kann, auf welchen Grundlagen eine Empfehlung basiert: Etwa, weil ich einen bestimmten Artikel gekauft habe oder andere Leute bestimmte Kombinationen gekauft haben. Und gegen solche Vorschläge habe ich als Konsument auch nichts einzuwenden, sofern ich nachvollziehen kann, wie diese zustande kommen. Ob sie dann im Einzelfall mit meiner Interessenslage auch tatsächlich übereinstimmen, ist dann eine andere Sache.
Ist die ePrivacy-Verordnung nun die Kür nach der Pflicht oder der nächste Gamechanger?
Mit Sicherheit wird sie die nächste große Herausforderung, die viel Diskussionsbedarf mit sich bringen wird. Hier sind elektronische Telekommunikationsmedien betroffen, im Fokus stehen dabei Themen wie targeting, re-targeting, cookies et cetera. Absehbar ist beispielsweise, dass sogenannte cookie-walls künftig verboten sein werden. Damit ist gemeint, dass Nutzer nicht von einer Website ausgesperrt werden können, nur weil sie das Setzen von cookies verweigert haben. Ebenso gibt es Überlegungen, dass bei neuen Endgeräten alle diesbezüglichen Funktionen werksseitig deaktiviert sind und erst aktiv freigeschalten werden müssen. Aber hier ist noch vieles unklar. Sobald es mehr Klarheit gibt, werden wir auch hier wieder branchenweite Verhaltensregeln anstreben.
Wird man sich als Nutzer von digitalen Angeboten künftig entscheiden müssen, in Daten oder in Geld zu bezahlen?
Da bin ich eher skeptisch. Insofern, weil auch die DSGVO diesen Deal, dass etwas kostenlos ist, weil im Gegenzug mit Daten bezahlt wird, eigentlich nicht goutiert. Das wird auch in der ePrivacy-Verordnung so zum Ausdruck kommen. Ich darf als Unternehmen beispielsweise auch keinen einmaligen Rabatt gewähren, der nur dann zum Tragen kommt, wenn der Kunde seine eMail -Adresse hergibt, das ist verboten. Die Einwilligung soll frei, unabhängig und bewusst erfolgen – und dieser Deal ‚E-Mail Adresse gegen Rabatt‘, sagt die DSGVO, ist dann nicht mehr freiwillig. Auch wenn ich diese Haltung nicht zur Gänze nachvollziehen kann, muss man diese Gegebenheiten akzeptieren.
Hatte die DSGVO auch so etwas wie eine Ventilfunktion, um dem – empfundenen – Ärger der Unternehmen über die überbordende Bürokratie Luft zu machen?
Zuerst wurde die DSGVO grosso modo als Belastung gesehen. Mittlerweile setzt sich aber die Ansicht durch, dass die positiven Effekte überwiegen, weil A nun mehr Klarheit darüber besteht, welche Daten im Unternehmen eigentlich vorhanden sind und B nun einheitliche Prozesse und Verantwortlichkeiten im Unternehmen da sind – was vorher oft nicht der Fall war. Und ein wesentlicher Vorteil ist, dass sich Unternehmen durch transparenten Datenschutz auch als fairer Player positionieren können. Wenn ein Unternehmen seinen Kunden freistellt, deren Kaufverhalten aufzuzeichnen oder nicht, dann können diese frei entscheiden. Im ersteren Fall können Aktionen oder Rabatte angeboten werden, die auf das individuelle Kaufverhalten abgestimmt sind, im zweiteren Falle erhält der Kunde mitunter irrelevante Werbung. So etwas verstehen die Kunden dann auch … und nehmen es positiv auf.
