Bei der Digitalisierung von Geschäftsprozessen sind immer auch die Datenschutz-Grundverordnung und deren strikte Vorgaben zur Verarbeitung von personenbezogenen Daten ein zentrales Thema. Dabei ist eine korrekte Umsetzung der “General Data Protection Regulation” (GDPR) der Europäischen Union dringend anzuraten. So kann das Bußgeld im Fall einer Verurteilung bis zu 20 Mio. Euro oder 4% des Jahresumsatzes betragen. Von Strafen betroffen sind bereits der Suchmaschinenbetreiber Google (50.000.000 €), der Lieferdienst Delivery Hero (195.407 €), die Bank N26 (50.000 €) und die Online-Community Knuddels (20.000 €). Dabei sind diese Unternehmen wohl noch mit einem “blauen Auge” davongekommen und bilden erst den Anfang, denn die Strafzumessung wurde bis dato nicht komplett ausgereizt.

Sowohl für Unternehmen, Behörden und Verbraucher ist die DSGVO noch “Neuland”. Letztere sind sich zunehmend ihrer Rechte bewusst und melden immer mehr Zuwiderhandlungen. Dabei ist mit einer Nachsicht der Datenschutzbehörden immer seltener zu rechnen. Klar ist: die Strafsummen steigen. Aktuell sehen sich die Fluggesellschaft British Airways (204 Mio. €) und die Hotelkette Marriott (110 Mio. €) mit immensen Summen konfrontiert. Es wird also immer wichtiger, sich dieses Themas sorgsam und vollumfänglich anzunehmen.

“Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DS-GVO wirkt dem entgegen. (…) Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft.” (M. Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit)
Die DSGVO-Pflichten lasten schwer

Laut einer Studie geben zwar 86% aller KMUs an, dass die Einhaltung des Datenschutzrechts in Anbetracht der drohenden Strafen wichtig ist, doch ebenso geben 56% der Unternehmen in der EU zu bedenken, dass Sie die zahlreichen Vorgaben immer noch nicht erfüllen oder nicht erfüllen können, weil dies „schlicht nicht leistbar ist“. Oft ist der Aufwand zur Einhaltung der Gesetzgebung „unbezahlbar“ und die Kosten stellen wie die Strafen eine Belastung dar, die das Unternehmen nicht tragen kann. So werden die Ausgaben zur Einhaltung der DSGVO von den befragten Unternehmen auf monatlich 2.600 Euro taxiert. Im Zwang diese Kosten zu vermeiden, verfolgen viele Unternehmen einen riskanten Ansatz. Sie versuchen selbst den Datenschutzanforderungen gerecht zu werden, doch werden aufgrund von fehlendem Fachwissen nur selten den gesetzlichen Vorgaben gerecht. Und nicht wenige warten schlicht ab, in der Hoffnung als “zu unbedeutend” für eine Abmahnung zu gelten. Dabei vergessen diese Unternehmen, dass es nur eines unzufriedenen Kunden bedarf, der einen Verdacht meldet.

Cookies als Verdachtsmoment

Eine elementares Thema sind Cookies, kleine Textdateien, die lokal gespeichert werden und Identifikations- und Konfigurationsinformationen enthalten. Diese werden von einer Mehrheit aller Unternehmen verwendet, um wertvolle Einsichten in das Nutzungsverhalten zu erlangen und die eigenen Dienste zielgerichtet weiterzuentwickeln. Durch einen sogenannten Cookie-Consent-Banner sind die Verbraucher beim Besuch von Webseiten über die Verwendung von Cookies in Kenntnis zu setzen. Gleichzeitig ist deren Zustimmung einzuholen. Weil ein Versäumnis offen ersichtlich ist, muss diesem Teilaspekt besondere Aufmerksamkeit gewidmet werden. Gleichwohl kommt eine aktuelle Studie zum Ergebnis, dass 86% der gesetzlich erforderlichen Cookie-Hinweise nicht rechtskonform sind, d.h. den strengen Anforderungen nicht nachkommen.

“Angesichts der gesetzlichen Anforderungen, eine ausdrückliche Einwilligung in Kenntnis der Sachlage einzuholen, ist offensichtlich, dass die überwiegende Mehrheit der Cookie-Einwilligungserklärungen nicht mit dem europäischen Datenschutzgesetz vereinbar sind.” (Utz et al. (2019): (Un)informed Consent: Studying GDPR Consent Notices in the Field)

Eine rechtskonforme Umsetzung ist nunmehr auf zweifach verschiedene Art und Weise denkbar. Unternehmen können entweder (1) einen teuren spezialisierten Dienstleister beauftragen, der sowohl die technische Lösung bereitstellt als auch die Rechtmäßigkeit der Datenschutzbedingungen garantiert oder (2) die technische Lösung kostenlos selbst implementieren und einzig die eigenen Datenschutzbedingungen durch einen fachkundigen Rechtsanwalt oder -beistand ausarbeiten lassen.

Oil.js to the Rescue

Als geeignetes Cookie-Consent Framework ist insbesondere oil.js hervorzuheben, das maßgeblich von der Axel-Springer Verlagsgruppe entwickelt wird. Oil steht für Opt-In Layer und erfordert in Übereinstimmung mit den Anforderungen der EU und im Gegensatz zu vielen anderen Cookie-Kits die ausdrückliche Genehmigung der Besucher zum Speichern von Cookies. Diese können beim erstmaligen Besuch entweder alle oder einzeln zugelassen werden. Das Cookie-Kit ist Open-Source und wird ebenfalls von der Burda Verlagsgruppe unterstützt. Entsprechend kann man das Framework in das eigene Projekt integrieren in der Gewissheit, dass zwei Schwergewichte der Medienbranche die Rechtskonformität der technischen Lösung sicherstellen. Ziele der Axel-Springer Initiative sind nach eigenem Bekunden:

Wie man nun oil.js in das eigene Webprojekt integriert, soll in einem nachfolgenden Beitrag umfassend behandelt werden.