Auswirkungen der Datenschutzverordnung für Startups
Bisher basieren die Datenschutzgesetze der EU-Mitgliedsstaaten, die sehr unterschiedlich ausgestaltet sind, weitgehend auf einer EU-Richtlinie aus dem Jahre 1995. Die Europäische Kommission unternimmt nun den Versuch, den Datenschutz europaweit einheitlich zu regeln und gleichzeitig internationale Standards zu setzen, die einseitige Wettbewerbsvorteile für Unternehmen außerhalb der EU aufheben sollen.
Die geplante EU-Verordnung würde unmittelbar in der gesamten Europäischen Union gelten, da Verordnungen – anders als Richtlinien – nicht gesondert in nationales Recht umgesetzt werden müssen. Was wohl von jedem Unternehmen – insbesondere Startups- begrüßt wird, ist, dass damit ein EU-weit einheitliches Datenschutzrecht geschafften werden soll. Inhaltlich gibt es jedoch an der Verordnung viel Kritik und Verbesserungsbedarf.
Ziel der EU-Datenschutzverordnung
Primäres Ziel der EU-Datenschutzverordnung scheint es zu sein, die europäischen Datenschutz-Vorstellungen global durchzusetzen. Hierzu sollen die Rechte der Betroffenen sowie die Verantwortlichkeit der datenverarbeitenden Unternehmen gestärkt werden.
Weiter verfolgen die Verantwortlichen mit der EU-Datenschutzverordnung, dass amerikanische Unternehmen ihre Leistungen in Europa nicht mehr ungeachtet der europäischen Datenschutzgesetze anbieten können.
Änderungen und Risiken für Startups
Weiter Begriff des personenbezogenen Datums
Im Datenschutzrecht sind alle Pflichten stets an das Vorliegen personenbezogener Daten gekoppelt. Liegen keine personenbezogenen Daten vor, sind datenschutzrechtliche Vorschriften nicht zu beachten – daher ist die Bestimmung des Begriffs der „personenbezogenen“ Daten von zentraler Bedeutung. Problematisch ist, dass die EU-Kommission einen sehr weiten Begriff des personenbezogenen Datums gewählt hat. Damit werden nicht nur unmittelbar personenbezogene Daten, wie Name, Adresse etcetera erfasst, sondern auch alle Daten, die erst unter Zuhilfenahme anderer Daten oder technischer Hilfsmittel Rückschlüsse auf die Person zulassen.
Bei dieser Regelung ist bedenklich, dass der Anwendungsbereich des Datenschutzrechtes ausgedehnt wird und die Pflichten der Unternehmen stark zunehmen. Die Begriffsbestimmung personenbezogener Daten erscheint viel zu weit. Hier ist es erforderlich, personenbezogene Daten genauer zu definieren und insbesondere eine Unterscheidung zu treffen, zwischen Daten mit direktem Personenbezug (Name, Adresse, Geburtsdatum) und Daten, die nur mittelbar Personenbezug haben.
Zum Beispiel wäre das Nutzen von Cookies und anderen Technologien zur Bildung von Nutzungsprofilen nur noch erschwert möglich. Denn der Gesetzesentwurf qualifiziert jedes mittelbare Datum als personenbezogenes Datum. Damit hätten alle Daten, die in Cookies gespeichert sind, Personenbezug. Das Verwenden von Cookies wäre demnach nur nach expliziter Einwilligung des Nutzers möglich. Zudem wird Scoring, Profiling und Data-Mining erheblich erschwert bis fast unmöglich.
Die zentrale Rolle von Cookies
Cookies und ähnliche Technologien spielen im Online-Handel eine zentrale Rolle. Sie ermöglichen, den Kunden in den Mittelpunkt des Handelns zu stellen und eine Win-win-Situation zwischen Kunde und Anbieter zu erreichen. Dies soll lästige und für den Kunden uninteressante Werbung vermeiden. Zudem erlauben diese Technologien den Besuch von verschiedenen Webseiten innerhalb eines Angebotes, ohne sich jedes Mal neu und umständlich, etwa mit einem Benutzerkonto, anmelden zu müssen.
Mit dem Einsatz von Cookies und ähnlichen Technologien ist es Online-Händlern wie Zalando gelungen, ein effizientes Online-Marketing aufzubauen, Kundenwünsche ohne Umstände zu erfüllen und schnell zu wachsen.
Eine einseitige Fokussierung auf die vermeintlichen Schutzinteressen der Verbraucher würde den Zugang zu allen Onlineangeboten unnötig für diese verkomplizieren. Informations- und Kaufbedürfnisse des Nutzers könnten somit nicht mehr im bisherigen Maße befriedigt werden. Cookies und ähnliche Technologien ermöglichen dem Nutzer Onlinedienste und Onlineangebote einfach zu handhaben und zielführend, schnell und einfach die gewünschten Informationen oder Leistungen im Internet abzurufen.
Für den Erfolg von E-Commerce-Unternehmen wie Zalando und anderer erfolgreicher Startups ist das Onlinemarketing basierend auf Cookies und ähnlichen Technologien von zentraler Bedeutung. Für das Jahr 2012 wird für die E-Commerce-Branche in Deutschland ein Umsatz von 29,5 Milliarden Euro prognostiziert. Das sind 13 Prozent mehr als 2011. Diese Umsatzerwartungen wären ohne das Onlinemarketing nicht möglich.
Womit müssen Startups rechnen?
Die geplanten Regelungen in der EU-Datenschutzverordnung führen zu einer großen Rechtsunsicherheit für die betroffenen E-Business-Unternehmen und stellen eine besondere Gefährdung der derzeitigen Onlinemarketings und damit der Geschäftsmodelle, die darauf aufbauen, dar.
Durch die geplante EU-Datenschutzverordnung wird das Setzen von Tracking Cookies und damit Werbung nur noch mit expliziter Einwilligung des Kunden möglich sein. Es ist davon auszugehen, dass der Kunde seine Einwilligung nicht erteilen wird. Werbung wird damit nicht mehr skalierbar sein und wird somit stupider. Es können viel weniger User erreicht werden.
Allerdings ist gerade das Online Marketing für das Wachstum der meisten Startups im Internet ganz entscheidend, um die Zielgruppe zu erreichen und am Ende mit den Umsätzen wachsen zu können. Bisher können Unternehmen wie Zalando mit seinem Online Marketing zirka 95 Prozent der Zielgruppe erreichen. Dies trägt entscheidend zum Erfolg des Unternehmens bei.
Startups, die jetzt gründen wollen, und für die die neue EU-Datenschutzverordnung gelten wird, werden es nach der geplanten Verordnung sehr wohl sehr viel schwerer haben, sich wie bereits erfolgreiche Unternehmen am Markt zu etablieren. Targeting und Retargeting werden aller Voraussicht nach nicht mehr wie bisher zum Einsatz kommen können.
Dadurch ist damit zu rechnen, dass bei Investoren das Interesse an Startups, deren Geschäftsmodell auf bisherigen Onlinemarketingstrategien basiert, vermutlich etwas nachlassen wird. Damit könnte es in Zukunft für diese Startups schwieriger werden, an Investitionen für ihre Geschäftsmodelle heranzukommen.
Generelles Opt-In, explizite Einwilligung für jegliche Datenverarbeitung
Im Bereich Online Marketing ist bald wohl immer eine ausdrückliche Einwilligung (Opt-In) einzuholen. „Einfache“ Einwilligungserklärungen im Rahmen von Datenschutzerklärungen etcetera wären nicht mehr möglich.
Weitreichende Widerrufsmöglichkeit
In dem Verordnungsentwurf ist ein Widerruf der Einwilligung des Nutzers jederzeit möglich und nimmt keinerlei Differenzierung vor. Vor allem die damit zusammenhängenden technischen Probleme, die auftreten werden, sollte nach einem Widerruf unmittelbar die Datennutzung und -verarbeitung sowie alle aufgrund einer erteilten Einwilligung erhobenen Informationen gestoppt beziehungsweise gelöscht werden müssen, bedürfen einer ausführlicheren und konkreteren Darstellung.
Risiken durch zusätzliche Informations-, Berichts- und Auskunftspflichten
Die Verordnung fordert, dass diejenigen, die personenbezogene Daten erhoben haben, diese nicht nur zwangsweise „vergessen“ müssen, wenn das „Datensubjekt“ das so möchte. Vielmehr gilt: Wer die Daten verwendet hat, muss auch sicherstellen, dass jede Kopie dieser Daten im Internet und jeder Link darauf gelöscht wird (Art. 15 Nr. 2).
Der Rechtsanspruch auf „digitales Vergessen“ steigert den Aufwand in der Datenverarbeitung erheblich. Der Löschungsanspruch bezüglich personenbezogener Daten wird erheblich ausgeweitet und führt gerade in Verbindung mit dem jederzeitigen Widerrufsrecht zu unübersehbaren Umsetzungsschwierigkeiten und Kostenbelastungen für E-Commerce-Unternehmen. Außerdem werden dem datenverarbeitenden Unternehmen durch zusätzliche Informationspflichten in Bezug auf öffentlich gemachte, personenbezogene Daten erhebliche Risiken auferlegt.
Hohe Sanktionen bei gleichzeitig bestehender Rechtsunsicherheit
Mit der geplanten EU-Datenschutzverordnung will die EU noch schärfer gegen Datenschutzverstöße vorgehen, um die Unternehmen anzuhalten, den Datenschutz mehr zu beachten. Danach sollen Unternehmen in Zukunft bis zu zwei Prozent ihres Weltumsatzes als Bußgeld zahlen, wenn sie gegen den Datenschutz verstoßen. In Anbetracht der noch sehr schwammigen Regelungen der geplanten EU-Datenschutzverordnung erscheinen die Sanktionen sehr hoch.
Die neue Datenschutzverordnung: Fazit
Die Begriffsbestimmungen und Regelungen der geplanten EU-Datenschutzverordnung sind kaum mit den Anforderungen und Gegebenheiten des Internethandels in Einklang zu bringen. Es erscheint empfehlenswert, der Kommission die Bedeutung der E-Business Branche und die erheblichen wirtschaftlichen Auswirkungen auf diese durch die EU-Datenschutzverordnung vor Augen zu führen.
Ein neue EU-Datenschutzverordnung sollte ermöglichen, dass E-Business-Unternehmen, die wie in Deutschland aufgrund eines bereits bestehenden strengen Datenschutzrechtes unter erheblichem wirtschaftlichen Einsatz datenschutzfreundliche Technologien entwickelt haben, nicht auch noch für die bisherigen Bemühungen „bestraft“ werden.
Bild: Ralph Aichinger / pixelio.de
