Cleveres oder illegales Marketing?

Auszug aus Bruno DUMAYs Buch: GDPR DECRYPTION – Für Manager, strategische Abteilungen und Mitarbeiter von Unternehmen und Organisationen – Vorwort von Gaëlle MONTEILLER

Um es klar zu sagen: In den letzten fünfzehn Jahren basierte gutes Marketing weitgehend auf der intelligenten Nutzung personenbezogener Daten. Hand hoch, wer noch nie ungefragt Produktinformationen an eine bestimmte Person weitergegeben hat. Na bitte? Hand hoch, dachte ich mir. Wer noch nie einen Namen, eine Telefonnummer oder eine E-Mail-Adresse gespeichert hat, ohne die betroffene Person zu informieren, wirft den ersten Stein. Okay, keine Steine. Wer... Ich denke, Sie verstehen, was ich meine.

Natürlich sind einige noch viel weiter gegangen und haben Profile angezogen, wiederhergestellt, dann umgeleitet oder übertragen, die interessant sind, weil sie Verbraucher sind, von unschuldigen Menschen, die die Schwäche hatten, eine Site zu öffnen, einem Link zu folgen oder sich auszudrücken, indem sie sich registrierten, beitraten, einen Kommentar abgaben… Und wer hat sich natürlich beeilt, die Allgemeinen Verkaufsbedingungen zu akzeptieren; sie gelesen? Das glauben Sie nicht. Die Verantwortung ist also geteilt.

Man muss zugeben, dass sich die Fallen in letzter Zeit vervielfacht haben. Konsumwahn, Netzwerksucht und das Bedürfnis nach Anerkennung – „Ich existiere, ich klicke!“ – haben nicht umsonst zur Entstehung riesiger Datenbanken geführt, in denen sich Hunderte Millionen Menschen ohne Zögern jedem ausliefern, der sie belästigen will.

Warum also auf etwas verzichten? Es war wunderschön, die neue Ökonomie, die Horizontalität, die Uberisierung, die künstliche Intelligenz. Daten, was für ein Hobby! Und wir haben es alle mit vollem Einsatz gemacht! Die Krise? Meine Güte. Nicht für alle und nicht für alles. Noch nie haben kleine Leute so viel produziert, verkauft und gekauft. Um nicht unterzugehen, verkaufen wir. Selbst wenn es den Zusammenbruch bedeutet. Jeder Name und jede mit diesem Namen verbundene Information war es wert, aufbewahrt, getestet und profiliert zu werden. Jeder braucht irgendwann etwas. Man muss es nur schaffen, dieses Bedürfnis, tut mir leid, es preiszugeben. Es befriedigen? Ja, aber nicht zu viel. Damit die Maschine weiterläuft.

Wir wussten es. Wir haben es akzeptiert. Ja, aber so ist es nun mal. Wir sind zu weit gegangen. Sind wir erwachsen? Nein, Erwachsene gibt es nicht. Nur Kinder werden erwachsen. Also wollten wir, wie Kinder, immer mehr und gingen zu weit. Oder fast. Bevor es zu spät war, griffen die Behörden ein. Die CNIL hatte uns nicht gehen lassen, aber wohlwollend und auf ihr eigenes Territorium beschränkt, war sie überfordert. Also griff Europa ein. Mehrmals. Erst 1995, dann 2016 und mit Wirkung zum heutigen Tag.

Was ist dieser Effekt? Illegalität. Was einst cleveres Marketing war, ist heute illegales Marketing. Wer ab sofort seine Kunden- oder Benutzerdateien wie bisher verwendet, handelt illegal. Und ja. Aber?… Nein. Wie?… Weil.

Es geht darum zu verstehen, was personenbezogene Daten sind und wie sie behandelt werden sollten. Es steht viel auf dem Spiel, die Risiken sind hoch. Bußgelder in Millionenhöhe, persönliche Haftung, Justiz, Gericht – klingelt da was? Wir machen keine Witze mehr. Mark, Larry, Serguei, Jeff, könnt ihr mich hören? Nicht lachen, ihr auch. Auch wenn die DSGVO vor allem die digitalen Giganten im Visier hat, sind alle Organisationen betroffen, unabhängig von ihrer Größe. Große Unternehmen, Start-ups, Klempner, das Rathaus von Triffouillis und Verbände und so weiter: Sie können Ihre Dateien nicht mehr nach Belieben verwenden.

Natürlich gab es bereits einige Regeln und Sanktionen. Wirklich? Ja. So wurde Darty im Januar 2018, noch vor Inkrafttreten der Verordnung, von der CNIL sanktioniert, weil es die Daten seiner Kunden nicht ausreichend gesichert hatte. Die umstrittene Nutzung erfolgte zwar durch einen Subunternehmer, doch das Unternehmen wurde mit einer Geldstrafe belegt. Eine Geldstrafe von 100.000 Euro. Es ist also nicht nichts, aber es ist ein Kavaliersdelikt im Vergleich zu dem, was Ihnen von nun an passieren kann, wenn auch Sie nicht wachsam genug sind.

Wir träumen. Nein, ganz und gar nicht. Europäisches Recht besagt, dass Daten den Bürgern gehören und dass keine Organisation sie nach eigenem Ermessen verwenden darf. Unternehmen müssen klar und deutlich angeben, wie sie personenbezogene Daten erheben, verarbeiten und speichern. Es geht um Loyalität, Transparenz, spezifische, legitime, angemessene und begrenzte Zwecke … Hä? Früher hätten uns diese Worte zum Lachen gebracht. Aber die Zeiten haben sich geändert. Die europäischen Behörden reagieren, und wir können verstehen, warum.

Sie müssen vor der Verarbeitung Ihrer Daten eine Folgenabschätzung durchführen, einen Verhaltenskodex einhalten, der die Praktiken in Ihrer Branche regelt, und einen Datenschutzbeauftragten ernennen, der alle Vorfälle der Aufsichtsbehörde, der CNIL in Frankreich, meldet. Bei Verstößen gegen diese Vorschriften sind verschiedene Strafen vorgesehen, die von einer Verwarnung bis hin zu einer Geldstrafe von 20 Millionen Euro oder 4 Milliarden Euro des weltweiten Unternehmensumsatzes reichen. Ähm … Oh je.

Es ist heftig. Sogar brutal. Aber es ist zu unserem Besten. Trotzdem … Okay, okay. Es stimmt, dass etwas getan werden musste. Dass wir, die Unternehmen, dazu neigten, uns, die Individuen, auszuplündern. Erstere nehmen den Letzteren einen Namen, dann eine Adresse, dann einen Geschmack, dann eine Gewohnheit, dann ein Profil und dann, ohne dass wir es merken, nehmen sie ihnen ihren freien Willen. Ihre Freiheit. Die meisten Unternehmen meinen es nicht böse. Nur Marketing. Aber am Ende … ist genug genug.

Mit Web 2.0 haben wir erkannt, dass Daten der Schlüssel zum Reichtum sind, was zur heutigen Allmacht von Big Data geführt hat. Diese Macht ist so groß, dass sich manche fragen, ob die Vorstellung einer Grenze zwischen öffentlichem und privatem Leben überhaupt noch Sinn macht. Ist es nicht zu spät?, fragen sich andere. Die Initiatoren der DSGVO sehen das anders, oder sagen es zumindest nicht. Ihrer Meinung nach können und müssen wir eingreifen, damit wir nicht von Rechenzentren und ihren Eigentümern enteignet oder ausgebeutet werden.

Dieses Pendel ist noch nicht ganz klar. Eine im Frühjahr 2017 von Pégasystems unter 7.000 Verbrauchern in sieben EU-Ländern durchgeführte Studie zeigt, dass 82 % der Bürger ihre Rechte gemäß der DSGVO geltend machen wollen. Dabei scheinen die Franzosen, neben den Spaniern und Italienern, am sensibelsten mit ihren persönlichen Daten umzugehen. So möchten 96 % der französischen Befragten wissen, welche Informationen Unternehmen über sie speichern. Angesichts des wachsenden Interesses der Bürger an der Anerkennung ihrer Rechte sind diese Zahlen nicht zu unterschätzen.

Vertrauen aufbauen, Schutz und Freizügigkeit verbinden

Die DSGVO ist daher kein Text, den man nach ihrem Inkrafttreten schnell wieder vergessen kann. Sie soll dem Diebstahl vertraulicher Informationen und dem Eindringen in die Privatsphäre ein Ende setzen. Der Schutz des Einzelnen ist daher das oberste Ziel der DSGVO.

Von Beginn der Erwägungsgründe (nicht weniger als 173) an wird der Ton vorgegeben: „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht“ (1^er in Betracht ziehen). Und sogar „Die Verarbeitung personenbezogener Daten sollte so gestaltet sein, dass sie der Menschheit dient“ (4^e angesichts).

Dass Schutzbedarf besteht, liegt daran, dass die Mitglieder des Europäischen Parlaments und des Rates, repräsentative Vertreter der EU-Bürger, der Ansicht waren, dass Unternehmen und in einigen Fällen vielleicht auch Verwaltungen bei der Nutzung personenbezogener Daten zu weit gegangen seien. Tatsächlich ist die DSGVO Teil einer sozioökonomischen Entwicklung, an die im 6.^e in der Erwägung, dass: „Die rasante technologische Entwicklung und die Globalisierung neue Herausforderungen für den Schutz personenbezogener Daten mit sich gebracht haben. Das Ausmaß der Erhebung und Weitergabe personenbezogener Daten hat erheblich zugenommen. Dank der Technologien können sowohl private Unternehmen als auch öffentliche Behörden personenbezogene Daten in nie dagewesenem Umfang für ihre Geschäftstätigkeiten verwenden. Immer mehr Einzelpersonen machen Informationen über sich öffentlich und weltweit zugänglich. Die Technologien haben sowohl die wirtschaftlichen als auch die sozialen Beziehungen verändert und sollten den freien Verkehr personenbezogener Daten innerhalb der Union sowie deren Übermittlung an Drittländer und internationale Organisationen weiter erleichtern und gleichzeitig ein hohes Maß an Schutz personenbezogener Daten gewährleisten.“

Es ist klar, dass die EU nicht einer Partei mehr Schuld zuweist als der anderen, sondern die gemeinsame Verantwortung von Unternehmen, Behörden, Technologie und Einzelpersonen aufzeigt.

Auch Europa ist davon nicht ausgenommen, denn seit dem 9.^e in der Erwägung, dass darin Folgendes festgestellt wird: „Die Richtlinie 95/46/EG (der erste europäische Referenztext zu diesem Thema) ist zwar hinsichtlich ihrer Ziele und Grundsätze nach wie vor zufriedenstellend, konnte jedoch weder die Fragmentierung bei der Umsetzung des Datenschutzes in der Union noch die Rechtsunsicherheit verhindern und auch nicht das weit verbreitete Gefühl in der Öffentlichkeit, dass weiterhin erhebliche Risiken für den Schutz des Einzelnen bestehen, insbesondere im Online-Umfeld.“

Das Hauptproblem besteht in den unterschiedlichen Schutzniveaus der einzelnen Länder. Einheitlichkeit für alle Unternehmen in der EU und auch für ihre Subunternehmer außerhalb der EU erscheint daher als unabdingbare Voraussetzung für eine wirksame Politik in diesem Bereich. „Um ein einheitliches und hohes Schutzniveau für natürliche Personen zu gewährleisten und Hindernisse für den Verkehr personenbezogener Daten innerhalb der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Daher ist es angebracht, eine einheitliche und kohärente Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten in der gesamten Union sicherzustellen“ (10^e angesichts).

Der Text ist zwar, wie wir sehen werden, sehr restriktiv, verfolgt aber dennoch ein positives wirtschaftliches Ziel: „Diese Entwicklungen erfordern einen soliden und kohärenteren Datenschutzrahmen in der Union, begleitet von einer rigorosen Anwendung der Vorschriften, denn es ist wichtig, das Vertrauen zu schaffen, das die Entwicklung der digitalen Wirtschaft im gesamten Binnenmarkt ermöglicht“ (7^e angesichts).

„Vertrauen“. Unserer Meinung nach ist dies das wichtigste Wort. Wenn die DSGVO darauf abzielt, das Vertrauen der Bürger in öffentliche und private Akteure im europäischen Binnenmarkt zu gewährleisten, wiederherzustellen oder zu stärken, dann unterstützen wir sie voll und ganz. Es ist wichtig, dass Menschen, die online einkaufen, einen Dienst nutzen, Angebote einsehen oder ihre Meinung äußern, diese Aktionen durchführen können, ohne befürchten zu müssen, einen Teil ihrer Privatsphäre zu verlieren.

Ohne Angst vor Enteignung oder gar Schikanen – um ein Schlagwort aus dem Jahr 2017 zu verwenden, das auch auf die digitale Technologie zutreffen könnte. Wie oft erhalten wir täglich Informationen, die wir nie angefordert haben, angeblich weil wir etwas abonniert haben, von dessen Existenz wir nichts wussten? Heute müssen wir uns abmelden, obwohl wir nie abonniert waren. Bei korrekter Anwendung der DSGVO wird dies nicht mehr nötig sein: Der Versand eines Newsletters ist künftig verboten, wenn der Empfänger nicht ausdrücklich eingewilligt hat.

Dieser neu gewonnene Respekt ist eine gute Sache. Wirtschaftlicher Austausch ist nie so fruchtbar, wie wenn die verschiedenen Parteien Vertrauen zueinander haben.

Dieser fließende Austausch wird ausdrücklich gefördert: „Um ein einheitliches Datenschutzniveau für natürliche Personen in der gesamten Union zu gewährleisten und Unterschiede zu vermeiden, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern, bedarf es einer Verordnung, die Wirtschaftsbeteiligten, einschließlich Kleinstunternehmen sowie kleinen und mittleren Unternehmen, Rechtssicherheit und Transparenz bietet, natürlichen Personen in allen Mitgliedstaaten die gleichen durchsetzbaren Rechte und Pflichten sowie die Zuständigkeiten der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter einräumt, eine einheitliche Aufsicht über die Verarbeitung personenbezogener Daten und gleichwertige Strafen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der verschiedenen Mitgliedstaaten gewährleistet. Für das reibungslose Funktionieren des Binnenmarkts ist es erforderlich, dass der freie Verkehr personenbezogener Daten innerhalb der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten wird.“ (13)^e angesichts).

Wie wir sehen, sollte Datenschutz kein Hindernis, sondern vielmehr ein Vorteil für das reibungslose Funktionieren des Binnenmarktes sein. Artikel 1 der DSGVO verkörpert diese Kombination der beiden Ziele. Zitieren wir einfach den ersten Absatz: „Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.“ Datenschutz und freier Datenverkehr, die beiden Grundpfeiler der Europäischen Union, hätten nicht deutlicher formuliert werden können.  

Die folgenden Erwägungsgründe kündigen manchmal wortwörtlich die folgenden Artikel an, mit der Ausnahme, dass sie meistens im Konditional geschrieben sind, um den Wunsch, die Absicht auszudrücken, während die Artikel im Indikativ stehen, was bedeutet, dass sie rechtlich bindend sind.

Nachdem wir die Philosophie des Textes dargelegt haben, wollen wir nun seine wichtigsten Bestimmungen betrachten.