Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Bitkom-Studie zur DSGVO: Eine kritische Würdigung

1

Der Branchenverband Bitkom veröffentlichte eine Studie, wonach die DSGVO Schuld daran sei, dass Innovationen gehemmt würden und einiges mehr. Ist die DSGVO wirklich Schuld oder möchte Bitkom das zum Vorteil seiner Mitglieder nur so darstellen? Jedenfalls kann Bitkom selber einfache Datenschutzregeln nicht einhalten.

Die Bitkom-Studie hat den Titel „Datenschutz setzt Unternehmen unter Dauerdruck“. Der Titel der Studie lässt erkennen, dass Datenschutzregeln als etwas Negatives, Unvorteilhaftes angesehen werden. Dabei hat sich seit dem Bundesdatenschutzgesetz nicht viel verändert.

Bitkom kann auf der eigenen Webseite selbst einfache Datenschutzregeln nicht einhalten.

Bezieht sich auf ww.bitkom.org und das dort erscheinende “Cookie Popup”, welches in diesem Beitrag als Screenshot abgebildet ist und dort näher betrachtet wird. Stand: 17.09.2021.

Im Folgenden möchte ich zeigen, warum ich die Bitkom-Studie für einen plumpen Versuch halte, die DSGVO schlechtzureden, und zwar mit dem Ziel, Global Player wie Google, aber auch andere Datensünder zu schützen. Dass Google ein Datensünder ist, kann ich übrigens im Zweifelsfall beweisen. Ein erster Ansatzpunkt hierfür ist der neue Google Consent Mode, der meiner Meinung nach nur Google nützt und Verantwortliche noch mehr zum Rechtsbruch verleitet.

Fakt: Rechtsunsicherheit liegt nicht in der DSGVO

Laut der Bitkom-Studie sei die Rechtsunsicherheit, die von der DSGVO verursacht würde, mit 78 % der befragten Unternehmen der Hauptgrund für die Hemmnisse des wirtschaftlichen Erfolgs.

Jedenfalls kann festgestellt werden: Die Rechtsunsicherheit, die sich aus der Nutzung beispielsweise des Google Tag Manager ableiten, ist in meinen Augen extrem hoch. Bitte sehen Sie hierzu meine Untersuchung, die lediglich die bei Eröffnung eines Google Tag Manager Kontos zu bestätigenden Rechtsvorgaben von Google darstellt. Wussten Sie, dass Google Analytics alle Analytics-Daten immer in den USA verarbeitet? Das war lange nicht offiziell bekannt, weil Google es entweder vergessen hatte, explizit und deutlich zu erwähnen oder es nicht deutlich erwähnen wollte.

Übrigens ist auch Facebook Mitglied bei Bitkom. Ein Unternehmen, welches Studien durch Drohungen unterdrückt, die zeigen wollen, wie Facebook Daten missbraucht oder Plattformen anbietet, die Schäden erzeugen .

Natürlich ist jedes Gesetz Auslegungssache. Dennoch gilt: Wer nicht weiß, ob etwas erlaubt ist, tut es nicht. Dennoch nutzen zahlreiche Firmen Produkte von amerikanischen Anbietern und Konzernen, deren Rechtsunsicherheit ganz erheblich ist. Dies gilt spätestens seit dem Schrems II Urteil (Privacy Shield ungültig) und für Produkte von zahlreichen Internet-Konzernen generell.

Wenn Sie nicht wissen, ob eine theoretische Parkmöglichkeit legal ist, parken Sie dann dort? Kann sein. Aber sich danach aufzuregen, wenn der Strafzettel kommt, ist dann jedenfalls meistens nicht angebracht. Wer hingegen dauernd vor einer Feuerwehrzufahrt parkt, sollte am besten ganz still sein, wenn er deswegen Probleme bekommt.

Hier eine paar Hilfestellungen für alle, die die DSGVO nicht verstehen oder zu faul zum Lesen der DSGVO sind:

  • “Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden” (Art. 5 Abs. 1 DSGVO). Wo liegt hier ein Verständnisproblem? Wenn Diensteanbieter intransparente Angaben machen, dürfen diese Dienste nicht verwendet werden. So einfach ist es. Niemand muss Dienste von bestimmten Anbietern verwenden.
  • Ergänzend dürfen derartige Daten nur “für festgelegte, eindeutige und legitime Zwecke erhoben werden” (Art. 5 Abs. 1 b DSGVO)
  • Die Speicherbegrenzung aus Art. 5 Abs. 1 e DSGVO besagt, dass nicht mehr Daten als nötig gespeichert werden dürfen und auch die Speicherdauer entsprechend zu begrenzen ist.
  • Im Zweifel sind Daten im Sinne der betroffenen Person zu verarbeiten. So lässt sich Art. 25 DSGVO mit eigenen Worten zusammenfassen.
  • Die Sicherheit der Verarbeitung inklusive einer Pseudonymisierung, wann immer möglich, ist gemäß Art. 32 DSGVO vorzunehmen.
  • In Art. 44 ff DSGVO finden sich Regeln, wonach Datentransfers in Datenschutz-Entwicklungsländer wie die USA nur ausnahmsweise und nur nach Einwilligung stattfinden dürfen.
  • Wer Consent Tools einsetzt, findet dazu zahlreiche Vorgaben in Art. 12 DSGVO und anderswo (von diesem Artikel ausgehend). Siehe Checkliste. Wer den irreführenden Werbeversprechen von sog. Cookie Tool Anbietern glaubt, ist selber Schuld bzw. selber verantwortlich dafür. Bester Beleg: Die Anbieter solcher Dienste kennen einschlägige Datenschutzregeln selber nicht.

Übrigens: Wenn eine Marketing-Agentur Ihnen vorschlägt, dass Sie unbedingt ein tolles online Tool auf Ihrer Webseite integrieren sollten, dann weiß die Agentur doch sicher, ob dies erlaubt ist. Oder nicht?

Die Rechtsunsicherheit zur ePrivacy-Richtlinie wurde spätestens mit BGH-Urteil zu Planet49 (28.05.2020 – I ZR 7/16) beseitigt. Das Urteil ist nunmehr ca. 16 Monate alt. Arbeiten deutsche Unternehmen oder Bitkom genauso langsam wie deutsche Behörden und benötigen über ein Jahr, das zu verstehen?

Bei Prüfung beliebiger deutscher Webseite, inklusive der von Bitkom, fällt auf, dass selbst einfachste Datenschutzregeln nicht eingehalten werden. Beispielsweise fehlt oft der Hinweis auf eine Widerrufsmöglichkeit gemäß Art. 7 Abs. 3 DSGVO. Ich gebe zu, den Text aus diesem Artikel kann nicht jeder verstehen. Er ist einfach viel zu kompliziert. Hier der entscheidende Satz, der selbst für einen Muttersprachler kaum zu verstehen ist.

Die betroffene Person wird vor Abgabe der Einwilligung hiervon [über die Widerrufsmöglichkeit] in Kenntnis gesetzt“.

Wer hat sich das nur ausgedacht? Es müssen Genies gewesen sein. Lieber Bitkom-Verband, gerne gebe ich eine kostenfreie Unterstützung zur deutschen Sprache, damit Sie Ihre Webseite wenigstens bezüglich dieser extrem komplizierten Rechtsvorschrift korrekt gestalten können. Siehe weiter unten für Details zur Bitkom-Webseite.

Fakt: Netzwerkadressen sind schon lange personenbezogene Daten

Fakt ist: Netzwerkadressen (IP-Adressen) sind seit dem Jahr 2016 in Europa und seit 2017 speziell auch in Deutschland personenbezogene Daten. Siehe hierzu die Urteile vom EuGH (19.10.2016 – C-582/14) und BGH (16.05.2017 – VI ZR 135/13). Das liegt nun schon viele Jahre zurück.

Aufgrund dieser Tatsache ist jeder Aufruf einer Webseite oder online App mit dem Austausch von personenbezogenen Daten verbunden. Die meisten Datenschutzprobleme auf Webseiten entstehen meiner Erfahrung nach aufgrund dieser Tatsache und nicht aus anderen Gründen. Cookies mögen eine zusätzliche Gefahrenquelle für Rechtsbrüche sein, sind aber nicht derart invasiv wie die allgegenwärtige Netzwerkadresse.

Fakt: Identifizierer sind als personenbeziehbare Daten anzusehen

Die Article 29 Working Party der EU ist der Vorgänger des Europäischen Datenschutzausschusses (EDPB). Sie war bis zur DSGVO-Einführung, bekanntlich war dies der 25.05.2018, tätig und wurde dann vom EDPB planmäßig abgelöst. In der Opinion 4/2007 drückt sie aus:

In general terms, a natural person can be considered as “identified” when, within a group of persons, he or she is “distinguished” from all other members of the group.

Quelle: Opinion 4/2007 der Article 29 Working Party, S. 12.

Wenn ich richtig gesehen habe, stammt diese Aussage von vor vielen Jahren.

Die irische Datenschutzaufsicht hat diese Angaben bei der Begründung des Bußgelds von 225 Millionen Euro gegen WhatsApp als geltend hinzugezogen. Übrigens ist auch ein Browser Fingerprint als Identifizierer geeignet.

Danach sind rein Identifikatoren, die nicht namentlich auf eine Person deuten, aber eine Person von anderen abgrenzbar machen, personenbezogene Daten. Nur deswegen funktioniert Web Tracking überhaupt und nur deswegen erwirtschaftet Google einen Großteil seines über hundert Milliarden Euro pro Jahr liegenden Umsatzes mit möglichst personalisierter Werbung. Dies gilt bereits seit vielen Jahren und nicht erst seit Mitte 2018.

Zum Personenbezug von Identifizierern wird es bald einen Beitrag auf Dr. DSGVO geben, der noch genauer darstellt, warum Identifizierer personenbeziehbar und somit personenbezogen sind. Dass Cookies personenbezogen sind, steht für mich nach meiner Untersuchung fest.

Fakt: Altes Bundesdatenschutzgesetz war ähnlich der DSGVO

Das deutsche Bundesdatenschutzgesetz galt, bis es von der DSGVO ersetzt bzw. in einen anderen Rechtsrahmen gegossen wurde. Das alte BDSG wird als BDSG a.F. (alte Fassung) bezeichnet bzw. das neue BDSG als BDSG-neu oder nur BDSG.

Im alten BDSG findet sich in § 6 BDSG a.F. eine Nennung der Rechte von Betroffenen.

In § 5 BDSG a.F. wird ein Datengeheimnis postuliert, das die Verarbeitung personenbezogener Daten einschränkt. Klingt schon sehr nach Datenschutz.

Die Pflicht, einen Datenschutzbeauftragten zu bestellen, wird in § 4 f BDSG a.F. beschrieben. Auch das erscheint wie ein Konzept, welches aus der DSGVO bekannt ist.

In § 4d und e BDSG a.F. werden Pflichten zur Meldepflicht bei Verfahren der automatisierten Verarbeitung benannt. Wurde diese Pflicht jemals gelebt?

Ein Pendant zu den Rechtsgrundlagen aus Art. 6 DSGVO enthält § 4 c des alten BDSG. Dort ist als erstes die Einwilligung als Rechtsgrundlage genannt. In § 4 a BDSG a.F. wird sogar die Freiwilligkeit als Kriterium für eine gültige Einwilligung genannt. Dies ist analog zum Art. 7 Abs. 3 DSGVO, wo das gleiche Attribut verwendet wird. In § 4 BDSG a.F. wird anfangs weiter auf die Rechtmäßigkeit der Verarbeitung eingegangen, welche auch in der DSGVO verankert ist (etwa in Art. 5 oder 6 DSGVO).

Einen näheren Bezug zum Art. 5 Abs. 1 c DSGVO enthält § 3 a BDSG a.F. wo die Datensparsamkeit als Prinzip für die Datenverarbeitung genannt ist.

Der § 4 b BDSG a.F. widmet sich unter anderem der Übermittlung personenbezogener Daten ins Ausland. Das kommt in die Nähe von Art. 44 ff DSGVO.

Die in § 3 BDSG a.F. genannten Begriffsbestimmungen gehen in Art. 4 DSGVO über.

Das BDSG a.F. wurde am 14.1.2003 bekanntgemacht, also vor ziemlich langer Zeit. Vielleicht reichte diese Zeit nicht, damit die von Bitkom befragten Unternehmen die Datenschutzgesetze im Wesentlichen verstehen und einhalten konnten.

Wieso auf einmal die DSGVO Schuld an einem wesentlich höheren Aufwand sein soll, erschließt sich mir nicht. Der DSGVO-Start liegt 3,5 Jahre zurück. Vor Inkrafttreten der DSGVO gab es eine Übergangsphase von zwei Jahren. War es so kompliziert, Datenschutzhinweise anzupassen, um die Pflichtangaben aus Art. 12 DSGVO einzuhalten? Vielleicht lag es daran, dass den Verantwortlichen gar nicht bekannt war oder ist, welche Daten sie wie verarbeite, weitergeben und was die Rechtsgrundlage dafür sein soll. Übrigens stellte dies auch Helen Dixon in Ihrem Schreiben zum Bußgeld gegen WhatsApp fest. Dass es nämlich nur eine billige Ausrede ist, wenn es einem Verantwortlichen angeblich nicht möglich ist, Informationspflichten zu erfüllen. Wer nicht weiß, was zu erklären ist, weiß auch nicht, ob er die Gesetze einhält. Auch der Grundsatz „Alle machen es doch so“ gilt nicht als Rechtfertigung. Wer hätte das gedacht …

Fakt: Mitgliederliste des Bitkom

Aufgrund eines Gesprächs mit einem Vertreter von Bitkom vor einigen Monaten erfuhr ich, dass unter anderem Google ein Mitglied sei und es deshalb nicht so einfach sei, Datenschutzgesetze hoch zu loben. Schließlich müssten die Interessen der Mitglieder berücksichtigt werden. Das jedenfalls war mein Eindruck aus dem Gespräch.

Ein Blick in die Mitgliederliste des Bitkom zeigt zum Buchstaben G:

Quelle: Mitgliederliste Bitkom, Stand: 17.09.2021.

Der Slogan in der Mitgliederliste lautet:

Der Bitkom vertritt mehr als 2.000 Unternehmen der digitalen Wirtschaft, unter ihnen 1.000 Mittelständler, 500 Startups und nahezu alle Global Player.

Quelle: Mitgliederliste Bitkom, Stand: 17.09.2021.

Das klingt für mich nicht nach Unabhängigkeit, sondern nach Lobbyismus. Ich sehe den Lobbyismus hier als schädlich an. Siehe die Begründungen und Fakten in diesem Beitrag.

Fakt: Bitkom “Cookie Popup” ist fragwürdig

Auf der Webseite bitkom.org erscheint folgende Einwilligungsabfrage, die oft fälschlicherweise als „Cookie Popup“ bezeichnet wird, weil eine Einwilligung für stattfindende Datenverarbeitungen und nicht speziell für Cookies zu geben ist.

Fragwürdige Einwilligungsabfrage auf der Webseite bitkom.org, Grafiken von mir unkenntlich gemacht. Stand: 17.09.2021.

Wie zu sehen ist, ist eine direkte Ablehnung nicht möglich. Vielmehr kann der geneigte Nutzer sehr gerne direkt mit einem Klick einwilligen bzw. „Alle Cookies akzeptieren“. Dies erscheint mir rechtswidrig gemäß Art. 7 Abs. 3 DSGVO. Das LG Rostock sieht das ebenso (15.09.2020 – 3 O 762/19). Auch erfüllt diese Einwilligungsabfrage meiner Ansicht nach nicht die Vorschriften an eine ordentliche Einwilligungsabfrage.

Fragwürdige Einwilligungsabfrage auf der Webseite bitkom.org, Stand: 17.09.2021.

Wie hier zu sehen ist, fehlen zahlreiche Pflichtangaben zur einzuwilligenden Datenverarbeitung. Beispielsweise fehlt die Angabe der Anbieter bzw. Datenempfänger, der Empfangsländer (sofern diese als risikobehaftet eingestuft sind), der Risiken, der Namen, Zwecke und Funktionsdauern der einzelnen Cookies usw. Auch ein Klick auf einen Link „Weitere Informationen“ verrät nicht alles, was laut Art. 12 DSGVO bekanntzugeben wäre. Zudem ist der Klick auf den Link noch ein Klick mehr, der das ohnehin schon fragwürdigen Nudging noch fragwürdiger erscheinen lässt.

Sowohl auf der ersten als auf der zweiten Ebene des „Cookie Popups“ fehlt der schon weiter oben erwähnte Hinweis auf eine Widerrufsmöglichkeit, der gesetzlich vorgeschrieben ist.

Das eingesetzte Consent Tool erscheint mir in der Praxis in Gänze ungeeignet, um eine rechtskonforme Einwilligungslösung zu realisieren. Dies zeigt m. E. auch die betrachtete Webseite von Bitkom.

Mit der Studie zum Datenschutz bzw. dagegen möchte Bitkom möglicherweise dafür sorgen, dass aufgrund lascherer Gesetze die eigenen Rechtsverstöße legalisiert oder verharmlost werden, so lautet meine nur leicht provokant erscheinende Annahme angesichts der Studie und ihres offensichtlichen Ziels, die DSGVO schlechtzureden.

Fazit

Aufgrund der gezeigten Fakten erscheint mir Bitkom ein Verband zu sein, der sich nicht für den Datenschutz einsetzt, sondern dagegen.

Anscheinend konnte Bitkom folgende Idee noch nicht verwirklichen: Wenn Global Player, die Datenschutzgesetze tagtäglich massiv missachten, endlich ordentlich sanktioniert werden würden, könnten deutsche Firmen endlich ihre datenschutzfreundlichen Lösungen besser positionieren.

Quelle: Mitgliederliste Bitkom, Stand: 17.09.2021.

Ein weiterer Blick in die Bitkom-Mitgliederliste lässt erahnen, dass diese eben genannte Idee wohl keine Chance hat, von Bitkom aufgefasst zu werden.

Wie wäre es, wenn der Bitkom sich für digitale Lösungen deutscher Firmen starkmacht, anstatt Global Player mit ausländischen Wurzeln zu begünstigen? Anscheinend ist das nicht möglich, weil mögliche Konkurrenten aus dem Ausland zu den Mitgliedern von Bitkom gehören.

Hier ein Beispiel für die Bevorzugung von Mitgliedern, egal mit welchem geografischen Ursprung des Mutterkonzerns: Im ArtikelMit diesen Anwendungen kann digitaler Unterricht trotz Corona stattfinden“ werden als Anwendungen für virtuelle Klassenzimmer und Meetingräume zuerst die von Adobe genannt, ebenso ein Bitkom-Mitglied. Im Artikel von Bitkom wird nicht darauf hingewiesen, dass bevorzugt (oder nur?) Bitkom-Mitglieder genannt werden.

Wie wäre es zur Abwechslung mal mit guten deutschen Anbietern, die keine Bitkom-Mitglieder sind? Immerhin auf Platz 2 hat es ein deutscher Anbieter geschafft (der auch Bitkom-Mitglied ist), bevor es dann mit Cisco und Google weitergeht. Dafür erscheint in der Sparte Unterrichtsgestaltung auf den ersten beiden Plätzen ein Angebot von Adobe.

Liebe deutsche Unternehmen. Wenn Sie eine Lösung haben, die es in die Empfehlungsliste von Bitkom schaffen soll, werden Sie dort Mitglied. Am besten lassen Sie sich von einem Global Player aufkaufen, um die Chancen noch zu erhöhen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/bitkom-studie-zur-dsgvo-eine-kritische-wuerdigung
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. Anna Lühse

    Wäre der Datenschutz nicht so konkret geregelt – die Studie wäre vermutlich zu dem Schluss gekommen, dass fehlende klare Vorgaben der Politik ein Innovationshemmnis sind. Auch ein schönes Beispiel aus der Praxis: Wer hat nicht schon mal beim Arzt seines Vertrauens eine Einwilligung zur Datenverarbeitung unterschrieben? Begleitet vom allgemeinen Gejammer über die Bürokratie, die allen das Leben schwer macht. Dass aber das ganze Formular Unsinn ist (dazu gibt es eigens ein FAQ-Papier des LfDI Baden-Württemberg) interessiert niemanden. Das was den Kunden/Bürgern oft als von der Politik verordnete Bürokratie vorgelegt wird, ist nicht selten durch die Anbieter (insbesondere im Digitalen Bereich) zusammengeschriebene Verschiebung von Lasten und Risiken auf die Kunden. Nicht wirklich vom Gesetz vorgeschrieben – nur wenn man, wie gerade erwähnt. Lasten auf den Vertragspartner abwälzen will muss man das halt dokumentieren. Und der Kunde denkt “Sch… Bürokratie” und merkt nicht, was gespielt wird. So kann man gleichzeitig die Bürger verwirren, zu willenlosen Unterschriften erziehen und dabei ganz elegant den Unmut auf “die Politik” und “die Bürokratie” lenken.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Webinar: Google Analytics – Das sollten Datenschutzbeauftragte, Entscheider und IT-Anwälte darüber wissen