Seit dem 25. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Wir werfen einen Blick darauf, was sich mit ihr verändert hat.
Dubiose Anwälte verschicken massenhaft Abmahnungen an kleine Unternehmen, professionelle Fotografen dürfen keine Bilder mehr im Netz teilen, hunderte Blogs schließen, weil die Betreiber überfordert sind – die Datenschutz-Grundverordnung versetzte im Vorfeld Internetnutzer in Angst und Schrecken. Waren das realistische Ängste? Seit nun mehr als zwei Jahren gilt die DSGVO. Das hat sich in dieser Zeit getan.
Auswirkungen auf IT-Riesen
Die DSGVO gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten. Damit müssen sich auch alle nicht-europäischen Firmen wie Google oder Facebook an die Regeln halten, wenn sie ihre europäischen Nutzer behalten wollen.
Kurz nach der Einführung der neuen Regelungen wurde gegen einige amerikanische Unternehmen geklagt, da sie eine „Zwangszustimmung“ für die Datenschutzbestimmungen nutzten. Wer diese Bestimmungen nicht akzeptierte, durfte Facebook oder Instagram nicht mehr verwenden. „Die DSGVO verbietet solchen Zwang zur Zustimmung und sieht auch ein ‚Koppelungsverbot‘ (Artikel 7 Abs. 4) vor, wonach man Dienstleistungen nicht mehr davon abhängig machen darf, ob ein Nutzer eine Zustimmung zur Datennutzung abgibt“, erklärt Datenschutz-Aktivist Max Schremms auf seiner Website.
In Frankreich gab es die erste große Strafe für einen Internetriesen: Google habe die neuen Anforderungen der DSGVO nicht ausreichend erfüllt, entschied die Datenschutzbehörde CNIL und verhängte eine Geldbuße von 50 Millionen Euro. Die Behörde stellte Verstöße gegen die DSGVO fest. Damit ist die CNIL die erste europäische Regulierungsinstanz, die auf Grundlage der seit Mai 2018 geltenden Regeln einen globalen Internetkonzern bestraft.
Cookies und die DSGVO
Fast alle Webseiten verwenden Cookies. Diese sind dazu da, Nutzer wiederzuerkennen und ihnen das Surfen auf einer Website zu erleichtern, etwa dadurch dass Zugangsdaten nicht bei jedem Besuch neu eingeben müssen oder erkannt wird, was der Websiten-Besucher bereits gekauft hat. Andere Cookies erstellen ein Werbeprofil für den User. Es wird sich gemerkt, welcher Artikel am häufigsten geklickt oder angeschaut wird.
Seit der Einführung der DSGVO müssen alle Webseitenbetreiber, die Cookies nutzen, ihre Datenschutzerklärung neu formulieren. Die DSGVO verlangt nämlich, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden. Die Verordnung regelt aber das Problem „Cookies“ nicht ausdrücklich. Das sollte die ePrivacy-Verordnung tun, diese ist aber weiterhin noch nicht in Kraft getreten. Webseitenbetreiber können sich aktuell also nur an dem orientieren, was der EuGH dazu aktuell entschieden hat und was die einzelnen Datenschutzbehörden und die Datenschutzkonferenz vorgeben.
Auf den meisten Websites wird es dem Nutzer absichtlich schwer gemacht, die einzelnen Cookies auszuwählen. Es besteht zwar die Möglichkeit, aus den verwendeten Cookies diejenigen zu selektieren, die einem von Nutzen sind, oder andere abzuschalten, die nicht gebraucht werden. Im Allgemeinen ist dies aber nur mit lästigem Durchwühlen der Cookie-Einstellungen möglich. Am Ende der Einstellung wird der Nutzer zusätzlich noch gefragt, ob er die eigene Einstellung wirklich übernehmen will, oder doch lieber die voreingestellten Cookies verwenden möchte. Der ganze Prozess beansprucht zu viel Zeit und ist ausgesprochen aufwendig und intransparent für den Endanwender.
Eine weitere Maßnahme der Webseiten ist das Design der Cookie-Info. Um den Nutzer dazu zu verführen die voreingestellten Cookies zu akzeptieren, werden unterschiedliche Design-Methoden verwendet. Der „Okay-Button“ für die voreingestellten Cookie-Einstellungen ist meist deutlich größer, als alle anderen Einstellungssymbole und hebt sich zudem farblich vom Rest ab. Das sogenannte Cookie-Banner, welches beim Nutzen einer Website erscheint, ist mit rund 65% Akzeptanzrate, laut Jan Winkler von consentmanager.net, das erfolgreichste Design. Es „fällt“ beim Betreten einer Website von oben nach unten über den Bildschirm, sodass der User den Inhalt der Seite nicht mehr erkennen kann, außer er selektiert die angegebenen Cookies, oder wählt die Voreinstellungen.