Sechs Jahre DSGVO: Gute Idee, schlechte Umsetzung

Kategorien: Datenschutz und Recht

Die Datenschutzgrundverordnung der EU (DSGVO) hat am 25.05.2018 angefangen zu wirken. Was ist seitdem passiert? Neben einigen positiven Entwicklungen sind zahlreiche Baustellen und Unzulänglichkeiten im System zutage getreten. Eine Bestandsaufnahme aus der Erfahrung der vergangenen Jahre.

Einleitung

Wahrscheinlich könnte man ein ganzes Buch über die Effekte der DSGVO schreiben und würde immer noch nicht alles aufschreiben können. Ich beschränke mich bei meiner Betrachtung daher auf eigene Erfahrungen. Diese Erfahrungen habe ich einerseits selber gemacht und andererseits über den Kontakt mit meinen Kunden mit erfahren.

Immerhin habe ich im Jahr 2017 angefangen, mich tiefgehend mit dem digitalen Datenschutz zu beschäftigen. Einige Kenntnisse zu allgemeinen Datenschutzthemen sind als Abfallprodukt dazugekommen. Der Auslöser für meinen Start war eine erhaltene Abmahnung, die ich Dank einer extra deswegen geschriebenen Software abwehren konnte. Meine Software scannt Webseiten und findet Probleme sowie Qualitätsmerkmale. Zu den Problemen wird über eine Wissensdatenbank eine mögliche Lösung ausgegeben. Den Check biete ich seitdem in einer abgespeckten Version kostenfrei online an.

Weiterhin berate ich Endkunden, aber auch Datenschutzbeauftragte und Anwälte in Fragen des digitalen Datenschutzes. Wo Technik und Recht aufeinander prallen, fühle ich mich wohl. Mittlerweile war ich zudem des Öfteren als Sachverständiger vor Gericht tätig und habe diverse Gutachten angefertigt. Auch Künstliche Intelligenz ist mein Thema, denn hier geht es vor allem um Technik, aber auch um Datenschutz.

Nebenbei betreibe ich diesen Datenschutz-Blog, Dr. DSGVO, und erhalte immer wieder wertvolle Rückmeldungen von Lesern. Vielen Dank für die Spenden, die mir nicht nur eine unabhängige Berichterstattung ermöglichen, sondern auch Anerkennung sind.

Jetzt zu meinem persönlichen Fazit nach sechs Jahren DSGVO.

Die DSGVO: Unendliche Weiten?

Im Gegensatz zum Raumschiff Enterprise musste Deutschland nicht Neuland erkunden. Das war gemäß Angela Merkel nur im Internet (was ist das doch gleich?) der Fall, als der Rest der Welt schon längst mit Höchstgeschwindigkeit Bits und Bytes hin- und herschicken konnte. Denn da gab es doch mal das Bundesdatenschutzgesetz (BDSG), das wohl einzige Gute, was es zum Datenschutz aus Hessen zu berichten gibt.

Zugegeben: Ich hatte vom BDSG damals so viel mitbekommen, wie eine kniende Ameise von der Mondlandung. Im BDSG waren jedenfalls sehr viele Konzepte bereits vorhanden, die die DSGVO dann – für viele neu – wieder aufgewärmt hat. Es stimmt also schon einmal nicht, dass die DSGVO am Übel der Datenschutzwelt schuld war. Hätte man früher seine Hausaufgaben bereits gemäß BDSG erledigt, wäre „jetzt“ nicht mehr so viel zu tun gewesen.

Neu ist seit dem Jahr 2017, und somit vor der DSGVO-Einführung, dass selbst dynamische IP-Adressen personenbezogene Daten sind, wenn objektiv der Anschlussinhaber ermittelt werden kann. Dies ist in Deutschland der Fall. Im Rest der Welt ist es immer dann der Fall, wenn Google Ihre Netzwerkadresse erhält. Google erhält diese immer von Ihnen, wenn Sie

• ein Google Endgerät nutzen,
• einen Google-Dienst wie die Google Suchmaschine oder Google Maps nutzen,
• eine Webseite besuchen, die ein Google Plugin wie Google Analytics, Google Maps Google reCAPTCHA oder Google Fonts einbindet,
• GMail nutzen,
• etc.

Analog gilt dies für Microsoft, Meta (Facebook, Instagram, WhatsApp) und Apple, um nur einige Datenkraken zu nennen.

All dies ist unabhängig von der DSGVO. Es war schon vorher so.

Betroffene haben aus der DSGVO zahlreiche Rechte, was an sich sehr gut ist. Zu nennen sind insbesondere:

• Recht auf rechtmäßige Datenverarbeitung: Es muss immer eine Rechtsgrundlage geben, damit Ihre personenbezogenen Daten von jemand anderem (Verantwortlicher) verarbeitet werden dürfen. Entweder soll ein Vertrag erfüllt werden (Online-Shop) oder es gibt ein Gesetz (Steuererklärung) oder es gibt gewichtige Interessen (Pandemiebekämpfung) oder Sie haben zugestimmt ("Cookie Popup" oder sonstige Art der Einwilligung) oder der Verantwortliche kann begründen, dass es berechtigt ist, Ihre Daten zu verarbeiten (Ihre Eingaben in einem Kontaktformular für die Antwort nutzen).
• Datenschutzhinweise: Welche Ihrer Daten werden warum, wie und wie lange von wem verarbeitet und an wem weitergegeben?
• Auskunftsrecht: Wie wurden Ihre Daten tatsächlich verarbeitet?
• Beschwerderecht bei einer Aufsichtsbehörde
• Klagerecht zur Durchsetzung eines wirksamen Rechtsbehelfs, vgl. diverse BGH-Urteile, u. a. „Sascha Hehn“
• Recht auf Löschung Ihrer Daten.

Auf dem Papier haben betroffene Personen, wie Dateninhaber auch heißen, deren personenbezogene Daten von anderen verarbeitet werden, also viele Rechte und Möglichkeiten.

Doch wie sieht die Realität aus?

Zunächst stelle ich fest, dass Deutschland bisher schon immer ganz gut im Datenschutz aufgestellt war. Jedenfalls ist das meine Wahrnehmung. Besser geht immer, aber schlechter ist anderswo oft anzutreffen.

Die DSGVO hat viele in die Angst getrieben. Deswegen kümmern sie sich seit dem 25.05.2018 mehr Unternehmen und auch Einzelpersonen um den Datenschutz als vorher. Immerhin sieht die DSGVO Strafen von bis zu 4 % des weltweiten Jahresumsatzes vor. Das schreckt ab. Aber eben nur bedingt.

Wie steht es jetzt um den Datenschutz?

Viele haben gemerkt, dass unsere Datenschutzbehörden überfordert sind. Während manche Behörden einfach zu wenig Personal zu haben scheinen, haben Behörden aus einigen Bundesländern gar keine Lust zum Arbeiten. Ich nenne als Negativbeispiel Hessen, mein Heimatbundesland.

In Hessen schickt die Behörde Betroffene gerne vor Gericht. So sagte ein Vertreter der Behörde öffentlich, dass man doch vor Gericht gehen solle anstatt sich bei seiner Behörde über dies und das zu beschweren. Außerdem redete die Person jedesmal (bei Treffen zweimal im Jahr über mehrere Jahre lang) von ihrer Pension, die aber noch einige Jährchen hin ist. Mich interessiert der Ruhestandsplan eines Beamten nicht. Derjenige soll gefälligst seine Arbeit machen, so wie ich sie auch machen muss und im Gegensatz zu diesem scheinbaren Arbeitsverweigerer auch gerne tue.

Zudem ist mir bekannt, dass gegen die Hessische Datenschutzaufsicht mindestens eine Untätigkeitsklage läuft, die bemerkenswert ist. Leider kann ich hier aus Vertraulichkeitsgründen nicht ins Detail gehen. Es ist so, dass die Beschwerde einer Person deswegen nicht weiter bearbeitet wurde, weil Daten, die als sensibel eingestuft werden müssen, als nicht besonders nennenswert abgetan werden. Die Daten, um die es in dem einen Fall (von mehreren Fällen) geht, sind in Art. 9 Abs. 1 DSGVO zu finden.

Merkwürdigerweise gibt es in Deutschland bisher kein einziges Bußgeld wegen rechtswidrigen Web Trackings. Wann und wie arbeiten Behörden eigentlich? Immer nur vom 29. auf den 30. Februar, wenn Ostern auf Weihnachten fällt oder von 24 bis 25 Uhr?

Web Tracking ist das Nachverfolgen des Nutzers, um ihn oder sie möglichst gut kennenzulernen. Das Ziel ist es, den Nutzer in seinem Verhalten zu manipulieren. Das wird auch als Werbung bezeichnet und reicht von Produktwerbung bis hin zur Wahlwerbung. Wie jedem bekannt ist, der das Internet schon mal aufgemacht hat, wurde und wird alleine Google Analytics auf sehr vielen Tausend Webseiten in Deutschland ohne Einwilligung und somit ohne Rechtsgrundlage gegen Betroffene eingesetzt. Dies kann jeder selbst feststellen. Einfach eine Webseite aufrufen, vorher einen Werbeblocker wie Ghostery installieren und sich die Anzeige des Blockers ansehen.

Übrigens ist mir eben die Spiegel Online Website wieder aufgefallen. Dort gibt es eine Paywall: Bezahlen mit Daten (Werbung ertragen) oder bezahlen mit Geld. Klickt man auf die Version mit Werbung, dann erscheint bei einem Artikel über Künstliche Intelligenz wieder eine Schranke und vom Artikel sind nur Titelbild und ein ganz kurzer Teaser-Text zu sehen. Diesmal muss man zwingend Geld bezahlen, um den Artikel lesen zu können. Gleichzeitig werden dutzende (nämlich mehr als 40) Tracker geladen. Also erst die Wahl, ob Werbung oder Geld zahlen. Danach Werbung und zusätzlich die Pflicht, Geld zu zahlen.

Fassen wir zusammen: Der Verstoß, der in Deutschland millionenfach auftritt und am leichtesten von allen Verstößen nachweisbar ist, wurde bisher null mal geahndet.

Wie sieht es mit Facebook Fanpages aus? Auch hier kein Verbot, außer einem einzigen mir bekanntem (Wirtschaftsakademie Schleswig-Holstein). Merkwürdig, wo doch hunderttausende Fanpages in Deutschland von Unternehmen rechtswidrig genutzt werden. Die Bundesregierung bekam kürzlich den Betrieb der Fanpage vom Bundesdatenschutzbeauftragten verboten. Statt sich daran zu halten, klagt die Bundesregierung mit unserem Steuergeld dagegen und sagt: „Wir sind nicht verantwortlich dafür, dass auf dieser rechtswidrigen Plattform namens Faceblöd die Daten unserer Fanpage-Besucher misshandelt werden. Meta ist dran schuld“ (das war kein Zitat, sondern von mir in den Mund gelegt, was ich als Meinung der Bundesregierung deute). Weiterhin schaltet die Bundesregierung Wahlwerbung mit meinem Steuergeld auf Faceblöd und beeinflusst so Wähler mit rechtswidrig erworbenen Daten. Profi-Tipp: Melden Sie sich von Faceblöd ab. Weil Faceblöd das nicht möchte, ist das ganz kompliziert. Deswegen habe ich extra eine Anleitung geschrieben, wie das geht, sich Abmelden beim Facedings.

Wo wir gerade bei Meta sind, einem amerikanisch geführten Unternehmen mit Pseudositz in Irland – genau wie Google. Die irische Datenschutzbehörde ist fast genauso wenig willens, unsere Rechte durchzusetzen wie die hessische. Wenn mal ganz selten eine Strafe erlassen wird, dann äußerst widerwillig und so gering, dass Meta es aus der Portotasche zahlen kann. Beispielsweise die 225 Millionen Euro gegen WhatsApp. Wer zig Milliarden mit geklauten Daten einnimmt, lacht über dieses Parkticket. Immerhin gab es jetzt erst eine Strafe von 1,2 Milliarden Euro (nach 10 Jahren Gezockel und Mühen durch noyb). Noch besser bzw. schlimmer für Meta: Die Plattform muss demnächst schließen, denn ein Datentransfer in die USA bzw. ein USA-Bezug im Sinne von „Schrems II“ will faktisch von Meta nicht unterbunden werden (siehe Geschäftsmodell und Inhaber der Assets).

Hessens Datenschutzbehörde schickt betroffene Datendeppen also vor Gericht. Ist dann jemand so blöd und geht vor Gericht, sagt das hessische Gericht: „Bitte gehen Sie zur Datenschutzbehörde.“ Mir sind sogar zwei hessische Gerichte bekannt, die sagen, dass betroffene Personen kein Recht auf Unterlassung haben, wenn deren Daten rechtswidrig verarbeitet werden.

Das heißt: Niemand darf vor Ihrer Zufahrt zum Haus parken. Wenn es aber doch jemand tut, dann haben Sie zwar das Recht, dass der andere das nicht darf. Es gibt aber niemanden, den das interessiert. Gehen Sie dann zur Polizei, erzählt Ihnen der Beamte, dass er bald in Pension geht. Gehen Sie vor das Gericht, sagt Ihnen das Gericht, sie sollen zum Ordnungsamt gehen. Gehen Sie zum Ordnungsamt (welches nachts zu hat, wenn jemand vor Ihrer Zufahrt parkt), dann schickt es Sie am nächsten Tag zur Polizei. Dieses Verfahren dauert in Realität allerdings ein paar Jährchen. Für manchen Beamten ein Wimpernschlag, für Normalbürger eine Ewigkeit.

Glücklicherweise leben andere Bundesländer nicht so sehr in der Datenschutz-Steinzeit wie Hessen. Natürlich gibt es auch in Hessen Gerichte, die wissen, wie man DS-GVO schreibt, aber anscheinend nur sehr wenige.

Die Auswirkungen des Google Fonts Urteils haben aus meiner Sicht mehr Positives bewirkt als ein Großteil der Arbeit deutscher Datenschutzbehörden.

Ich würde von Behördenversagen sprechen wollen, weil Datenschutzbehörden ihre Arbeit nicht ordentlich erledigen. Hessen verweigert die Arbeit aus meiner Sicht. Andere Bundesländer tun oft mehr, aber immer noch viel zu wenig.

Anscheinend tun sich deutsche Gerichte schwer damit, geltendes Europarecht anzuwenden. Anscheinend können oder wollen einige Gerichte nur Gesetzestexte aus Deutschland lesen. Regelmäßig wird zudem der EuGH (Curia) von einem deutschen Gericht gefragt, ob dies oder das mit der DSGVO vereinbar sei. Oft geht es um Fragen, die aus meiner Sicht aus der reinen Logik heraus und aus der Kenntnis der DSGVO heraus direkt beantwortet werden könnten. Stattdessen wird ein zeitaufwändiger Umweg genommen. Was sind schon drei Jahre mehr? Ein Wimpernschlag für eine Behörde, ein kleiner Schritt für eine Person.

Erst im März 2023 hat ein deutsches Gericht geurteilt, dass die Übermittlung von IP-Adressen an Google in die USA ohne besondere Rechtsgrundlage (etwa Einwilligung mit geeigneten Garantien) nicht erlaubt ist. Es dauerte also nahezu fünf Jahre, bis ein Gericht feststellte, was schon lange bekannt ist. Das Schrems II-Urteil ist schon lange da, aber es hat niemanden interessiert. Jetzt wird darüber diskutiert, ob die USA nicht doch als datenschutzfreundlich erklärt werden könnten, obwohl sie weiterhin ein Geheimdienststaat (und unsere Freunde in anderen Angelegenheiten) sind.

Am 01.12.2021 trat das deutsche Datenschutzgesetz namens TDDDG in Kraft, das am 14.05.2024 in TDDG umbenannt wurde. Dies passierte nicht, weil der deutsche Gesetzgeber Lust dazu hatte, sondern weil die EU jedem Mitgliedssaat auferlegte (als dies beschlossen wurde, war Deutschland damit einverstanden), die sogenannte ePrivacy-Richtlinie umzusetzen. Hierbei hat sich Deutschland um Jahre verspätet. Manche bezeichnen das als „Deutschlandgeschwindigkeit“ oder wahlweise auch als „Neuland“.

Statistik zur DSGVO

Eine kleine Spielerei von mir, die unter Einsatz von etwas Künstlicher Intelligenz sowie von Python, dem Nährboden für KI-Anwendungen, zustande kam. Gezeigt sind die häufigsten Begriffe aus dem Gesetzestext der DSGVO.

Die DSGVO hat genau 99 Artikel. In diesem sind die folgenden Begriffe am häufigsten vertreten:

• Person(281)
• Aufsichtsbehörde(280)
• Verantwortlicher(270)
• Daten(262)
• personenbezogen(242)
• Verarbeitung(237)
• betroffen(231)
• Auftragsverarbeiter(164)
• Mitgliedstaat(161)
• Verordnung(122)

Die Begriffe sind von mir normiert worden. Füllworte und solche ohne wesentliche Semantik habe ich ausgefiltert (beispielsweise „und“, „zwar“ etc.). Warum das Wort „Aufsichtsbehörde“ so oft vorkommt, ist mir ein Rätsel. Wahrscheinlich steht im 100. Artikel zur DSGVO; der nie veröffentlicht wurde: „War nur ein Witz, in Wirklichkeit kümmern sich Aufsichtsbehörden um vieles, aber jedenfalls nicht um Rechtsbrüche im Internet“.

Es ist natürlich richtig so, dass Aufsichtsbehörden überbewertet werden, denn das Internet ist ein ganz unbedeutender Teil unseres täglichen Lebens. So gut wie niemand nutzt das Internet und wenn, dann nur zum Nachsehen, ob heut Abend um 20 Uhr wieder die Tagesschau kommt.

Die Verarbeitung von Daten ist übrigens jede Art der (gewollten bzw. angebotenen) Datenbehandlung. Sogar der objektiv mögliche Erhalt von Daten (ohne Erhalt) ist eine Datenverarbeitung. Dies wird mit Erheben bezeichnet und ist die frühestmögliche Datenverarbeitungstätigkeit.

Manche meinen, rechtswidrig sei eine Datenverarbeitung nur, wenn auch gespeichert wird. Dies ist Bullshit. Selbst Irland sieht das anders (siehe Link oben zu WhatsApp). Die DSGVO definiert Datenverarbeitung in Art. 4 Nr. 2 DSGVO. Da steht nicht, dass nur Speichern böse ist. Wer logisch denken kann, ist klar im Vorteil. Man kann ja einfach einen Datenwert in einen kodierten Wert überführen und sich das Kodierverfahren merken (bzw. kennen). Dann muss man den Originalwert gar nicht speichern, sondern bekommt beim nächsten Kontakt mit der betroffenen Person über denselben Zielwert der Kodierung mit, dass es derselbe Blödi ist wie drei Tage vorher.

Ihr Beitrag zum Datenschutz als Grundrecht

Meiner Erfahrung nach helfen viele oder auch wenige kleine Nadelstiche dabei, das System in Deutschland dazu zu bringen, sich endlich so zu verhalten, wie es die DSGVO vorschreibt. Deswegen erwarte ich von jedem, der behauptet, dass er oder sie Datenschutz ernst nimmt und wichtig findet, dass er oder sie gerne mehrere der folgenden Maßnahmen ergreift. Am besten immer wieder mal.

• Beschwerde bei einer Aufsichtsbehörde: Sie müssen sich Mühe geben. Nur aufregen und meinen, Sie haben Recht, bringt es nicht. Anonyme Beschwerden sind ein Zeichen von Feigheit. Niemand wird Ihre Daten weitergeben, wenn Sie in die Beschwerde schreiben, dass Sie gefragt werden, wenn eine Behörde Ihre Daten weitergeben muss, damit Ihre Beschwerde bearbeitet werden kann. Mehrere unabhängige Beschwerden gegen denselben Datensünder führen zu einer erheblichen Effektivitätssteigerung, wie ich aus Erfahrung berichten kann.
• Auskunftsgesuch: Nutzen Sie doch meinen Auskunftsgeneratorr für Webseiten, der sogar einzigartige Texte erzeugt.
• Deutliches Anschreiben: Schreiben Sie eine E-Mail an den Verantwortlichen und weisen Sie auf Missstände hin. Setzen Sie eine Frist von, sagen wir 14 Tagen. Schreiben Sie gerne rein, dass Sie keine Ausreden hören wollen, sondern nur an einem positiven Ergebnis interessiert sind. Nutzen Sie eine glaubwürdige Mailadresse und bitte nicht GMX, Web.de oder andere Freemailer. Die nimmt niemand ernst. Verwenden Sie die Zustell- und die Lesebestätigung Ihres Mailprogramms für den Nachweis der Zustellung. Vermeiden Sie Anhänge. Beweise müssen Sie hier nicht liefern, sondern höchstens, wenn der Verantwortliche nachfragt und selbst nicht weiß, wie viel Mist die Internetagentur veranstaltet hat. Wird die Internetagentur erwähnt, dann empfehlen Sie dem Verantwortlichen, sich von seiner Agentur eine Haftungsübernahme geben zu lassen (und freuen Sie sich auf das Schauspiel, dass dann intern wohl stattfinden mag).
• Abmahnung: Nehmen Sie sich einen Anwalt oder fragen Sie mich, ob ich auf Ihr Schreiben schauen möchte. Ich selbst habe jedenfalls schon eine erfolgreiche Abmahnung selbst erstellt und mir, um Formfehler zu vermeiden, eine Stunde vom Anwalt eingekauft.
• Klage vor Gericht: Wenn Sie zur halbwegs gut verdienenden Schicht der Bevölkerung gehören oder einen Anspruch auf Prozesskostenhilfe haben, dann sollten Sie auch mal Klagen. Grund gibt es genug. Es immer nur anderen zu überlassen, Recht sprechen zu lassen und so für Klarheit zu sorgen, finde ich ziemlich traurig. Gerne gebe ich Ihnen meine Einschätzung. Mir ist mittlerweile viel über die Feinheiten von Gerichtsprozessen und über die Beweisführung bekannt.

Sie sehen, mit wenig Aufwand kann man schon viel erreichen. Mit mehr Aufwand kann man mehr erreichen. Das konzertierte Vorgehen (Beschwerden etc.) jedenfalls bringt eine erhebliche Steigerung der Erfolgsaussichten. Sprechen Sie mich gerne an, wenn Sie einen Angriff starten möchten. Mit meinem Website-Check (siehe weiter oben) oder Werbeblockern wie Ghostery oder uBlock Origin können Sie jedenfalls sehr schnell Datensünder im Internet entlarven.

Kleiner Tipp für Angestellte, die mit Ihrem Arbeitgeber (zurecht) unzufrieden sind und beruflich verdonnert sind, Microsoft Windows nutzen zu müssen: Ihr Arbeitgeber haftet dafür, dass Microsoft sich Ihre Daten von Ihrem Arbeitsplatz auf Veranlassung Ihres Arbeitgebers zuschickt. Außer, Ihr Arbeitgeber hat ein ganz teures Windows gekauft oder investiert ganz viel Zeit, um die Übertragung von Telemetriedaten an Microsoft nach jedem Windows-Update mühselig neu zu unterbinden. Fragen Sie doch mal nach, wie der Stand der Dinge ist. Und glauben Sie nicht alles, was man erzählt. Nur belegte oder belegbare Fakten sind Tatsachen. Uns wollten viele Jahre lang einige Datenschutzspezialisten ("Knöbsche drügge derfe nur mir") weismachen, dass Cookies Textdateien seien. Als ich dann anfing, kritisch zu hinterfragen, entstand dieser Datenschutzblog, der mit Bullshit verschiedenster Art versucht aufzuräumen. Auch nach sechs Jahren DSGVO noch.

Fazit

Die DSGVO hat einen sehr guten Ansatz. Leider dachte keiner der Gründungsmitglieder daran, dass in Staaten wie Deutschland negiert wird, dass vorhandene Rechte auch durchgesetzt werden können sollen dürfen müssen wollen werden wurden. Genauso Banane wie die Grammatik im Satz eben sind einige hessische Institutionen. Dies ist einer der wenigen Anlässe, wo ich mir wünschen würde, in Bayern zu leben, wo noch regelmäßig Recht im Sinne der Betroffenen gesprochen und nicht verneint wird.

Wir alle sollten dafür sorgen, dass Datensünder Probleme bekommen, und zwar am besten zahlreich. Anstatt dass von Behörden und Gerichten Abschreckung praktiziert wird, indem gemäß Europarecht gehandelt wird, werden Entscheidungen abgesagt oder auf die Lange Bank geschoben. Nur so ist es zu erklären, dass so viele Unternehmen weiterhin auf Facebook vertreten sind oder Dienste amerikanischer Anbieter ohne Rechtsgrundlage gegen Sie einsetzen.

Immerhin gab es jetzt ein weltbewegendes Urteil gegen die Facebook-Plattform von Meta. Es dauerte ewig, bis es kam. Wenn alles im Leben so lange dauert, dann können wir aufhören aufzuwachen und einfach weiterschlafen.

Zum Glück kann alleine über die modernen Möglichkeiten des Internets viel erreicht werden. Mir ist ein Unternehmen bekannt, dass seinen kompletten Web-Shop Auftritt auf links gedreht und datenschutzkonform gemacht hat, nur weil eine einzige Mail mit einem Auskunftsgesuch reinflatterte. Mehr noch: Die amerikanische Zentrale hat gesagt: „Entweder Ihr bringt den Shop in Deutschland innerhalb eines Monats auf DSGVOrdermann, oder wir schließen den Shop für ganz Europa“. Alleine in Deutschland hat der Shop einen sechsstelligen Umsatz pro Monat. Auch kann ich gesichert kundtun, dass eine Landeshauptstadt wegen einer einzigen erhaltenen Abmahnung die Herangehensweise an das Thema Datenschutz komplett (zum Positiven hin) verändert hat. Ich durfte dort vortragen und habe von der Leiterin der Kommunikation am Ende der Sitzung gehört, nachdem sie sich das Mikrofon herangezogen hat, dass sie ihren zahlreich erschienenen Mitarbeitern wortwörtlich gesagt hat, dass „die Lage ernst ist“ und es keine Option ist, Datenschutz einzuhalten, sondern eine Pflicht.

Datenschutz muss nicht teuer und kompliziert sein. Gerne berate ich Sie zu den Möglichkeiten datenschutzfreundlicher Alternativen und nenne Ihnen die Risiken bekannter Marketing-Lösungen. Eine Gegenüberstellung des Nutzens sorgt oft für Klarheit und die beste Strategie auf dem Markt.