Das Glyphosat der Internetszene: 4 Gründe warum die DSGVO weg muss

Thomas Handorf
May 27, 2018 · 7 min read

tl;dr Die DSGVO versucht durchaus einen Ausgleich zwischen wirtschaftlichen Interessen und dem Datenschutz der Nutzer zu finden. Aufgrund von eklatanten logischen Fehlern kommt es jedoch zu einer einseitigen strikten Auslegung, die aktuellen Technologien quasi verbietet, mit dramatischen Folgen für das europäische Internet-Ökosystem. Gewinner sind wieder mal die großen internationalen Konzerne, Verlierer kleinere innovative Unternehmen.

Bildquelle: gguy/Shutterstock.com

Das ein neues Gesetz wie die DSGVO noch ein paar Schwächen hat dürfte jedem klar sein, aber die Grundtendenz ist doch aber richtig, oder? Dokumentation der Datenverarbeitungen und Datensparsamkeit “by Design” sind doch gute Sachen!? Zunächst schien das auch lange Zeit so. In den letzten Tagen und Wochen wurde jedoch klar, dass der DSGVO ein sinnvoller Interessenausgleich sehr wahrscheinlich nicht gelingen wird. Die DSGVO beeinflusst viele Bereiche der Wirtschaft, die dramatischsten Auswirkungen hat sie jedoch auf die Internetszene, wo aktuelle Technologien zur Personalisierung und Optimierung von Produkten und Werbestrategien praktisch verboten werden.

Die Angst vor den Daten

Die DSGVO kommt aus einer unbestimmten Angst, dass diese Technologien sich gegen den Nutzer wenden könnten. Diese Ängste sind zum großen Teil unbegründet, da die pseudonymisierten Daten praktisch nicht mit echten Personen in Verbindung gebracht werden können. Teilweise sind sie aber auch begründet, wenn pseudonyme Verhaltensdaten mit echten persönlichen Daten verknüpft werden, wie z.B. auf Facebook.

Man muss jedoch auch einmal sagen, dass sogar durch solche personenbezogenen Profile bisher keine negativen Folgen durch pseudonyme Datenverarbeitung bekannt wurden. Niemand wurde bisher in den wirtschaftlichen Ruin getrieben, weil er die Zalando-Schuhe noch auf 10 Bannern im Internet gesehen hat.

“Aber Cambridge Analytica!” mögen einige jetzt rufen. Nein, dies ist meiner Meinung nach kein Negativbeispiel. Erstens fand dies auf einer geschlossenen Plattform statt (Facebook), die die DSGVO ja unabsichtlich sogar fördert (siehe Fehler #4 weiter unten)und zweitens wird der Effekt auf die US Wahl vermutlich grob überschätzt. Letztlich ist Cambridge Analytica nur eine Randnotiz einer Entwicklung, bei der autonome und teilweise intelligente Systeme unseren Alltag zunehmend beeinflussen und eben auch Unmengen an Daten personalisieren und gefiltert anzeigen (Stichwort “Facebook-Bubble”). Hier stellt sich grundsätzlich die Frage, ob wir in der Zukunft als Mensch noch in der Lage sein werden alle notwendigen Informationen zu erfassen und die richtigen Entscheidungen zu treffen. Diese post-demokratische Gesellschaft ist aber nicht Thema dieses Artikels und die DSGVO dagegen auch maximal ein Plastikschwert.

Zurück zum Thema: pseudonymisierte Daten qualitativ zu den personenbezogenen Daten zu rechnen, wie in Art. 4 DSGVO, ist also grundsätzlich kein Fehler. Jedoch täte der Gesetzgeber gut daran, hier die Quantität zu berücksichtigen, also den Fakt, dass die meisten derartigen Verfahren praktisch keine Rückschlüsse auf die Person zulassen und somit der Nutzen die Gefahren bei weitem übersteigt. Das ist jedoch nicht geschehen und mit den folgenden logischen Fehlern führt dies zu dem besagten Verbot dieser Technologien.

Fehler #1: informierte Einwilligung

Datenverarbeitungen müssen sich in Zukunft hauptsächlich auf die informierte Einwilligung der Nutzer stützen. Zwar bietet Art. 6 andere Rechtsgrundlagen, diese kommen jedoch entweder nicht in Frage oder weisen derzeit große Rechtsunsicherheiten auf (siehe auch Fehler #2). Grundsätzlich klingt das mit der Einwilligung aus Nutzersicht gut. Nur wollen wir das wirklich? Cookie-Banner waren immer schon lästig, aber das, was jetzt folgen wird, ist vermutlich Folter. Viele Seiten schauen wir nur ein paar Sekunden an, um festzustellen, ob diese die richtige ist. Jetzt müssen wir erstmal 5 min versuchen zu verstehen, wie hier Daten verarbeitet werden und wie wir uns dazu positionieren?! Blödsinn.

Hinzu kommt noch, dass viele Nutzer die Details auch gar nicht verstehen wollen und zum Teil auch nicht können. Die DSGVO sagt dazu, dass die Darstellung transparent sein soll (Art. 12 & 13) — aber es ist natürlich naiv anzunehmen, dass solche Entscheidungen in 3 Sekunden “informiert” getroffen werden können.

Letztlich versagt hier der Gesetzgeber in seinem Auftrag die Bürger zu schützen. Ich möchte nicht bei jeder Webseite entscheiden, ob die Verarbeitung nachteilig für mich sein könnte oder nicht. Der Gesetzgeber hätte sich diese Mühe machen müssen. Er hätte definieren müssen welche Verarbeitungen ok sind und welche nicht. Und zwar kontinuierlich für neue Technologien. Die informierte Einwilligung sollte nur ein Mittel in Einzelfällen sein, wenn diese Entscheidung einfach nicht verantwortungsvoll für die Allgemeinheit getroffen werden kann.

Fehler #2: im Zweifel für den Ankläger

Art. 6 DSGVO erlaubt Datenverarbeitungen ohne Einwilligung, wenn diese notwendig oder im berechtigten Interesse des Anbieters sind, wobei im letzteren Fall das Schutzinteresse des Nutzers berücksichtig werden muss. Wie dieser Interessenausgleich im Detail aussehen soll ist jedoch nicht in der DSGVO festgelegt. Hier sollen später weitere Regelungen folgen, wie z.B. die neue ePrivacy Richtlinie.

Lange Zeit schien es, als ob damit ein guter Kompromiss gelungen wäre, der die Interessen aller Marktteilnehmer berücksichtigt. Veröffentlichungen in den letzten Wochen haben diese Annahme jedoch gründlich widerlegt. Aufgrund der Formulierung wird jede spätere Regelung automatisch rückwirkend den “richtigen” Interessenausgleich definieren. Hat man zuvor einen anderen Interessenausgleich gefunden und begründet, so wird dieser dann rückwirkend als falsch definiert und man hat offensichtlich gegen die DSGVO verstoßen. Kürzliche Äußerungen von Datenschützern und auch der Entwurf der ePrivacy Richtline sehen den “Kompromiss” im Fall von pseudonymisierten Daten einseitig auf Seiten der Nutzerrechte. Diese Äußerungen werden quasi zum Gesetz, da sie als Hinweis auf den “richtigen” Kompromiss gesehen werden können. Hier gilt quasi “im Zweifel für den Ankläger”. Der Art. 6 (1) f) ist somit zur Zeit nicht nutzbar.

Fehler #3: Kopplungsverbot

Findige Anbieter könnten jetzt natürlich die Einwilligung der Nutzer erzwingen, indem sie es mit der Nutzung des Angebots koppeln. Dies hat der Gesetzgeber im Art. 7 jedoch verboten.

Nun sammeln die Anbieter die Daten aber nicht zum Spaß. Sie sind Teil des Deals. So werden die Daten z.B. genutzt, um das Produkt zu verbessern oder um die Zielgruppe effektiv anzusprechen. Ohne diese läuft das Geschäftsmodell u.U. nicht rund, die Daten sind quasi teil der Bezahlung. Das Kopplungsverbot stellt damit einen eklatanten Eingriff ins Geschäftsmodel dar. Im Extremfall ist es so, als wenn ein Supermarkt für die Ware nur dann Geld verlangen kann, wenn der Käufer dem freiwillig zustimmt.

Außerdem läßt sich zusammen mit Fehler #1 ein lustiges logisches Paradoxon konstruieren. Da nach dem Kopplungsverbot der Nutzer durch die Ablehnung der Datenverarbeitung keinen Nachteil erfahren darf, die Zustimmung jedoch eine hypothetische Gefahr darstellt, kann der informierte Nutzer eigentlich nur ablehnen. Dem Anbieter nun die Daten fehlen, um das Produkt zu verbessern und alle Nutzer haben letztlich das Nachsehen (Prisoners Dilemma). Im Umkehrschluss heißt dies aber auch, dass falls doch ein Nutzer der Datennutzung zustimmt, kann diese Zustimmung nicht informiert sein und wäre somit nach DSGVO ungültig.

Fehler #4: Folgenabschätzung vergessen

Ebenfalls lustig: die DSGVO verlangt nach Art. 35 eine Folgenabschätzung für neue Technologien. Für die DSGVO selbst wurde diese offensichtlich einfach vergessen. Deshalb möchte ich hier — vermutlich etwas naiv — einen Blick in die Zukunft wagen:

Einfluss auf den AdTech Markt

Da das Kopplungsverbot logische Fehler aufweist, wird es sich nicht mit letzter Konsequenz gerichtlich durchsetzen lassen. Große Werbenetzwerke wie Google und Facebook werden mit kostenlosen Angeboten, einem gewissen Vertrauen der Nutzer in die Marken und mit anwaltlichem Geschick das Kopplungsverbot umgehen und von vielen Nutzern die Einwilligung erhalten. Obwohl auch diese Firmen Nachteile durch die DSGVO zu erwarten haben, wird dies ihre Vormachtstellung letztlich zementieren.

Schlimmer noch, kleinere Anbieter werden in Scharen ihre Internetpräsenzen aus dem freien Internet auf diese proprietären Plattformen verlegen, da sie nur noch dort Kunden effektiv ansprechen können, ohne selbst eine Einwilligung einholen zu müssen. Wenn Facebook jetzt noch eine Shopping-Plattform startet, ist das Ding eh gelaufen.

Verlierer: das freie Internet; Gewinner: Facebook & Co.

Einfluss auf Unternehmen die “online” sind

In Deutschland werden mehr als 60% des BIP mit Dienstleistungen erwirtschaftet, die im Zuge der Digitalisierung immer mehr über das Internet stattfinden. Die meisten Unternehmen sind online und sprechen im Internet Kunden an.

Gerade für neue Online-Geschäftsmodelle ist es wichtig, a) die richtigen Kunden zielgenau anzusprechen und b) die Nutzererfahrung mit dem neuen Produkt ständig zu messen und zu optimieren. Beides kann in Zukunft nicht mehr in der EU stattfinden.

Und ganz allgemein werden große B2C Konzerne weniger Probleme durch Wegfall personalisierter Werbung haben. Sie zeigen Ihre Werbung dann einfach jedem. Kleinere, spezialisierte Unternehmen auf der anderen Seite können nicht einfach massiv Fernsehwerbung buchen in der Hoffnung unter den vielen Nichtkunden auch mal einen Kunden zu erwischen.

Verlierer: Innovation und kleinere Unternehmen; Gewinner: Nestlé & Co.

Fazit

Die DSGVO ist bestenfalls unausgereift, im schlimmsten Fall gar ein genialer Schachzug von Lobbyisten großer Konzerne. Diese sind jedenfalls die Gewinner — aber ich will hier keine Verschwörungstheorien starten. Durch die genannten Fehler wird die DSGVO notwendigerweise streng ausgelegt, mit stark negativen Auswirkungen auf den europäischen Internetsektor, vor allem auch, weil die wenigen Gewinner eben gerade nicht aus der EU kommen. Die DSGVO wird die falschen Sachen verhindern und die falschen Sachen fördern. Sie muss weg.

Wieder einmal zeigt sich eines der Hauptprobleme der EU. Im wesentlichen unbeobachtet von der Öffentlichkeit werden von Lobbygruppen, die grade Zeit und Lust haben, Gesetze in einem quasidemokratischen Prozess, also ohne den wichtigen Diskurs, definiert, die dann plötzlich national gelten und aufgrund ihrer Unausgereiftheit massive Probleme verursachen. Die DSGVO ist quasi das Glyphosat der Internetszene.

Lösungsansätze

  • DSGVO aussetzen (wohl unwahrscheinlich)
  • eine ePrivacy Richtlinie mit einem echten Kompromiss schnell verabschieden (schnell ist hier auch eher unwahrscheinlich)
  • Garantien, dass Art. 6 (1) f) in der Zwischenzeit als “im Zweifel für den Angeklagten” ausgelegt wird

Thomas Handorf

Written by

technologist, developer, marketeer, dataist, scientist; founder of @layerjs, @9fwr and @webpgr. not so concerned citizen.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade