Der Vertrauens-Pakt
 
APA / DPA

Ein Jahr DSGVO: Neue Verhaltensregeln von Wirtschaftskammer und DMVÖ sollen nun die Branche stärken und mehr Sicherheit bieten. Die Digitalbranche könnte folgen.

Dieser Bericht ist zuerst in Ausgabe Nr. 24/2019 des HORIZONT erschienen. Noch kein Abo? Hier klicken!

Seit einem Jahr ist die DSGVO nun in Kraft und hat in der Kommunikationsbranche für viel Unruhe, Verunsicherung und Vertrauensverlust gesorgt. Schritt für Schritt wird nun versucht, dieses Vertrauen zurückzugewinnen oder überhaupt neu aufzubauen. Die Wirtschaftskammer Österreich und der DMVÖ haben in diesem Sinne nun Verhaltensregeln, sogenannte Codes of Conducts, für Adressverlage und Direktmarketingunternehmen ins Leben gerufen, die auch von der Datenschutzbehörde abgesegnet wurden und auf der Homepage der Wirtschaftskammer abrufbar sind. Ein wesentliches Element dieser Verhaltensregeln stellen konkrete Mustervorschläge für Vereinbarungen, die zwischen Betreibern von Adressverlagen und den Inhabern von Kundendateien und ihren Kunden getroffen werden können beziehungsweise müssen, dar.

„WKÖ und DMVÖ haben als langjährige Partner mit diesen Verhaltensregeln einen organisatorischen Kraftakt gesetzt. Es geht im Dialogmarketing um die Marktplätze der Zukunft“, beschreibt Markus Deutsch, Geschäftsführer des Fachverbands Werbung und Marktkommunikation der WKO im Interview mit HORIZONT. Deutsch sieht Österreich in einer Vorreiterrolle: „Auch Wirtschaftsverbände und Behörden in anderen EU-Staaten werden unsere Erfahrungen berücksichtigen. Die Medien- und die Kommunikationsbranche sind in Österreich traditionell stark reguliert. Die Codes of Conduct bieten in Bezug auf Dialogmarketing und den Schutz der Privatsphäre ein gut funktionierendes und verantwortungsvolles System von geeigneten Maßnahmen.“

‚In Schockstarre verfallen‘
Vertrauen in der Kommunikation sei eine wesentliche Voraussetzung für funktionierende und nachhaltige Geschäftsmodelle. „Ebenso wichtig wie das Vertrauen in den Schutz der Privatsphäre ist auch das Vertrauen darauf, dass ein sicherer Rechts- und Geschäftsverkehr durch die Rechtsordnung ermöglicht wird“, so Deutsch. Die Unternehmen haben massiv in Datenschutz investiert, Rechtsabteilungen wurden aufgestockt, Betroffenenkommunikation umfangreich angepasst.

Die Zusammenarbeit mit der WKO ist für DMVÖ-Präsident Anton Jenzer ein wichtiger Schritt. „Mit der DSGVO, die wir immer begrüßt haben, ist ein Teil der Unternehmen in eine Art Schockstarre verfallen, andere waren passiv, einige haben das Ganze auf sich zukommen lassen. Derartige Regeln führen dazu, dass man wieder Mut schöpfen kann.“ Jenzer betont, dass Datenschutz und Marketing keine Gegensätze sein dürften. „Mehr Wissen über bestehende und potenzielle Kunden verhindert auf Seiten der Unternehmen und Organisationen unnötige Werbeanstrengungen bei letztlich falsch ausgewählten Zielgruppen und reduziert damit Streuverluste.“ Auf der anderen Seite profitierten Konsumenten von Angeboten zu Produkten und Dienstleistungen, die sie interessieren und die ihren Bedarf abdecken. „Und last, but not least: Der transparente Umgang mit Kundendaten führt bei den Konsumenten auch zu mehr Akzeptanz von Werbemaßnahmen“, so Jenzer.

Für Waltraut Kotschy von Data Protection Compliance Consulting (DPCC), langjähriges geschäftsführendes Mitglied der Österreichischen Datenschutzkommission im Bundeskanzleramt, sind die Verhaltensregeln ein wichtiger Schritt. „Der Grund liegt darin, dass hier sehr viele personenbezogene Daten verwendet werden müssen. Diese Daten enthalten Interessensprofile, müssen besonders gut geschützt werden und dürfen nicht falsch verwendet werden. Die gesetzlichen Regelungen sind sehr allgemein, daher war es notwendig, für die Unternehmen etwas zu schaffen, womit sie konkret arbeiten können.“

Positive EU-Bilanz
Die EU zeigt sich ein Jahr nach der Einführung der DSGVO zufrieden. Fast 145.000 Beschwerden von Bürgern seien seither bei den Datenschutzbehörden der EU-Länder eingegangen. Unternehmen meldeten laut der EU-Kommission fast 90.000 Fälle, in denen in ihrer Verantwortung liegende Daten versehentlich oder unrechtmäßig weitergegeben wurden. In Österreich waren es laut der Datenschutzbehörde knapp 2.000 Beschwerden von Personen und über 600 sogenannte „Data Breach Notifications“ von Unternehmen (siehe Tabelle). Die DSGVO verleiht den Datenschutzbehörden zudem das Recht, Strafen in Höhe von bis zu vier Prozent des Jahresumsatzes eines Unternehmens zu verhängen. So wurde in Frankreich Google zu 50 Millionen Euro wegen fehlender Zustimmung zu Werbung verurteilt, in Deutschland ein sozialer Netzwerkbetreiber zu 20.000 Euro wegen fehlender Sicherung von Benutzerdaten, und in Österreich ein Wettbüro wegen illegaler Videoüberwachung zu 5.280 Euro.

Den Menschen mehr Kontrolle über ihre persönlichen Daten zu verleihen sei das Hauptziel der Richtlinien, hieß es seitens der EU-Kommission. Fast sieben von zehn befragten Personen geben demnach inzwischen an, von der DSGVO gehört zu haben und fast sechs von zehn wissen nun, dass eine Datenschutzbehörde in ihrem Heimatland existiert. 2015 seien es nur knapp vier gewesen, teilte die Kommission mit und bezeichnete das steigende Bewusstsein für Datenschutz als „sehr ermutigendes Zeichen“.

Oberste Priorität ist für auch für die Kommission nunmehr, „die ordnungsgemäße und gleiche Umsetzung in den EU-Mitgliedsstaaten zu sichern“. Bis auf Griechenland, Slowenien und Portugal haben alle EU-Länder die notwendigen gesetzlichen Maßnahmen dafür bereits ­getroffen.



‚Nicht nur strafen‘
Mit der bisherigen DSGVO-Bilanz kann auch Deutsch gut leben. „Österreich ist hier mit Augenmaß vorgegangen. Von der Europäischen Kommission wurde der Grundsatz, dass wir eben nicht nur strafen, sondern auch beraten, als Best Practice anerkannt. In Österreich haben wir einen Anteil von 80 Prozent KMU und EPU. Da soll die Behörde nicht mit der Keule Strafe hineingehen.“

Apropos Strafen: Die neuen Verhaltensregeln sollen von den Unternehmen auch als besonderes Zeichen des Stellenwerts unterschrieben werden. Der Nachteil ist laut Jenzer zwar, „die Unternehmen müssen sich daran halten – no na. Der Vorteil aber ist, dass diese Unternehmen diesen Qualitätsnachweis dann in ihre Kommunikation einbinden können.“ Über die Konsequenzen bei Nichteinhaltung werde man demnächst entscheiden. Doch auch hier will die WKO eher „beraten statt strafen“.

„Ein kleiner Schritt fehlt noch“, meint allerdings Kotschy. Die Einhaltung der Verhaltensregeln muss laut DSGVO ständig überprüft werden. Die dafür zuständige Überwachungsstelle müsse noch bestimmt werden, so Kotschy, da es zumindest „stichprobenartige Kontrollen“ geben werde müssen. Die Codes of Conduct legen zudem auch die datenschutzrechtlichen Rollen der einzelnen Beteiligten fest. „In der Praxis konnte man eine Tendenz feststellen, dass alle Beteiligten für alles verantwortlich gemacht werden. Diese Verhaltensregeln gehen den anderen Weg und bemühen sich, konkret zu sagen, wer in welcher Situation für was genau verantwortlich ist“, erläutert Kotschy. „Denn beim Marketing ist es meist so, dass das werbetreibende Unternehmen nicht im Besitz der Daten ist, sondern eben ein Direktmarketing-Unternehmen. Daher gibt es eine Dreiecksbeziehung zwischen dem Unternehmen, das wirbt, dem Betroffenen, der mit der Werbung erreicht werden soll, und dem Direktmarketing-Unternehmen, das die Daten hat.“

Verständnis für Marketing
Kotschy findet zudem im Hinblick auf die DSGVO, „das Verständnis für Marketing bei den Endkonsumenten sollte auf jeden Fall gefördert werden. Eine gewisse Skepsis ist da, und aus der DSGVO kann man herauslesen, dass es einen Interessensausgleich geben soll.“ Die Gratwanderung zwischen den Interessen der Wirtschaft und jenen der Konsumenten sei schmal. „Die Aufgabe der Verhaltensregeln ist, diese Gratwanderung für die Beteiligten deutlicher zu machen. Hier müsste man den Konsumenten künftig auch noch deutlicher erklären, wie dieses vorher angesprochene Dreieck zwischen Werber, Adressverlag und Konsumenten funktioniert.“

Aber auch auf Seiten der Unternehmen war die Unsicherheit groß. Jenzer verweist auf eine Vielzahl von Anfragen zur DSGVO aus der Werbebranche: „Da war viel Unsicherheit vorhanden, wie etwa bei der Frage, wie mache ich die Datenquelle auf den Werbemitteln kenntlich. Da gab es bisher keine verbindlichen Regeln, da ja die alte Regelung mit der DVR-Nummer abgeschafft wurde.“ Derartige Themen wurden nun auch versucht zu regeln. „Scheinbar ein banales Beispiel, aber für jedes einzelne Unternehmen ein wichtiges Thema. Ein weiteres Beispiel waren die Begriffsbestimmungen, die genau definiert wurden, damit alle das gleiche Wording verwenden.“ Diese Verhaltensregeln sollen für Jenzer damit auch „ Mut machen, vermehrt zielgerichtetes, personalisiertes Marketing zu betreiben, ohne Bedenken haben zu müssen“. Zudem ortet Deutsch mit den gesetzten Maßnahmen, „sich von anderen Regionen wie USA oder Asien, die mit den Daten gänzlich anders umgehen, abzugrenzen. Hier ist der österreichische beziehungsweise europäische Weg erfolgsversprechend.“

Digital next
Die DSGVO hat natürlich auch massive Auswirkungen auf den Digital-Bereich, auch wenn befürchtete Horror-Szenarien nicht eingetroffen sind. „Die großen Befürchtungen an Abmahnungen oder Verurteilungen sind größtenteils ausgeblieben – bis dato hat die Datenschutzbehörde nur Strafen bezüglich Videoüberwachung in Österreich verhängt“, meint dazu iab-austria-Vizepräsidentin ­Alexandra Vetrovsky-Brychta gegenüber HORIZONT. „Auch wurde kein datenbasiertes Geschäftsmodell durch die DSGVO verunmöglicht; was sich jedoch zeigt ist, dass die Gewinner der DSGVO einmal mehr die Digital Giants aus Übersee sind, wenn man sich sämtliche Studien und Spendinganalysen des letzten und des heurigen Jahres ansieht.“

Nach mittlerweile einem Jahr sind laut Vetrovsky-Brychta die meisten Unternehmen damit beschäftigt, zu evaluieren, ob ihre Prozesse noch immer DSGVO-konform sind. „Das empfehlen wir jedem, da die DSGVO kein ‚One Shot Projekt‘ ist, sondern laufende Evaluierung benötigt. Das passiert auch gerade auf EU-Ebene. Wir sind gemeinsam mit der WKO dabei, Input zu dieser Evaluierungsphase zu geben und so vielleicht etwas mehr Rechtssicherheit in den immer noch unklaren Teilen zu schaffen.“

Die große Unbekannte ist jedoch die ePrivacy-Verordnung. „Die aktuelle Ratspräsidentschaft hat einen Fortschrittsbericht erarbeitet und übergibt diesen an die folgende Ratspräsidentschaft. Somit werden Trilog-Verhandlungen eher erst gegen Ende des Jahres starten und somit scheint eine Verabschiedung im heurigen Jahr unwahrscheinlich“, sagt ­Vetrovsky-Brychta. Die Hauptforderungen seien nach wie vor die Konformität mit der DSGVO, keine Einwilligung über Browser und kein Koppelungsverbot. „Das ist für transparenten und wirtschaftsfreundlichen Datenschutz unerlässlich.“ Für Vetrovsky-Brychta ist aber klar: „Die ePrivacy-Verordnung bietet in ihrer aktuellen Form nur standortnachteilige Bestimmungen. Ohne Standortschutzmechanismen werden keine Chancen entstehen.“

Kein Interessensausgleich
Auch Deutsch sieht noch offene Baustellen in Sachen ePrivacy. „Es gilt vor allem die Frage zu klären, wie die Zustimmung zur Verwendung der Daten aussehen wird. Ein Thema ist hier natürlich auch der Interessens­ausgleich zwischen Konsumenten und Unternehmen. Bei der DSGVO hat dieser Interessensausgleich Berücksichtigung gefunden. Bei der ePrivacy-Verordnung in der aktuellen Form gibt es diesen nicht.“ Hier verlangt der Entwurf klar eine explizite Zustimmung des Konsumenten. „Das sind unsere größten Bedenken. In dieser Form kommt den Internetgiganten eine Art Gatekeeperfunktion zu, die abzulehnen ist.“

Die neuen Verhaltensregeln für Adressverlage und Direktmarketer sehen Deutsch und Jenzer jedenfalls als Vorarbeit auch für das ePrivacy-Thema. Jenzer sieht „eine Grundlage, die im Wesentlichen auch als Basis für den digitalen Bereich, Stichwort ePrivacy-Verordnung, verwendet werden kann“.

[Michael Fiala]

stats