#NUEWW

Unser Social Media Hashtag

KONTAKT

Nürnberg Web Week
c/o NUE digital GmbH
Hessestraße 5-7
90443 Nürnberg

12.02.2018, Joschi Kuphal

Herausforderung DSGVO: ungeliebter Aufwand oder unternehmerische Gelegenheit?

Der Mai wird dieses Jahr von Machern und Entscheidern im Web nicht so sehr als Wonnemonat, sondern vor allem als Frist für die Umsetzung der DSGVO wahrgenommen. Um schnell noch compliant zu werden, werden in eiligen Maßnahmen Rechtstexte gesucht und Dokumentationen befüllt. Doch ist das der richtige Ansatz?

Der 25. Mai 2018 ist eigentlich keine Deadline, sondern markiert einen Paradigmenwechsel: die neue Gesetzgebung stellt den Benutzer/Anwender in den Vordergrund, und Unternehmen werden gezwungen, ihre Denkweisen anzupassen.

Rahmen für fairen Wettbewerb, aber auch signifikante Risiken

Im unternehmerischen Alltag wird leicht übersehen, dass es sich bei der europaweit (und darüber hinaus) einheitlich gültigen DSGVO nicht in erster Linie um bürokratische Hürden handelt, sondern der EU-Gesetzgeber einen Rahmen für Wettbewerb schafft, in dem datenschutzfreundliche Konzepte nicht länger benachteiligt sein sollen. Ab Mai spielen hier alle nach denselben Spielregeln — das eröffnet ganz neue Chancen.

Maßgeblich für den Erfolg ist hierbei, die neuen Regeln nicht in Silos einzusperren. Während Datenschutzfragen traditionell in einer zentralen Abteilung beheimatet waren, verlangen die sich ändernden Umstände, dass dieses Thema eine zentrale Rolle über alle Geschäftsbereiche erhält. Die klassisch einzelfallorientierte Herangehensweise wird so von einer ganzheitlichen Sicht verdrängt. Die neuen gesetzlichen Regelungen heben die Privatsphäre der Nutzer in eine zentrale Position, die nach gemeinsamen Visionen von Business, Produkt, Design und Entwicklung rufen.

Die neuen Datenschutzregeln bringen eine Reihe neuer Risiken für Unternehmer; nicht nur die oft zitierten hohen Strafgelder, sondern vor allem, dass Verbraucher einzeln oder über Verbände Handlungen der Behörden erzwingen und auch gegen mutmaßliche Verstöße klagen, Schadensersatz fordern und so die Unternehmen in umfassende Verfahren verwickeln können. Eine große Schwierigkeit bei der Verteidigung wird die Beweisführung, denn diese obliegt jetzt umfassend den Unternehmen, die ihre Datenverarbeitung entsprechend dokumentieren müssen.

Konzeptuelle Datenschutzschwächen sind schwer mit juristischen Mitteln zu "korrigieren"

Bestehende, datenschutzproblematische Umsetzungen auf Webseiten oder in Online-Diensten nachträglich DSGVO-kompatibel zu machen ist nur mit einschneidenden Kompromissen bei der User Experience oder gar dem Vergrämen von Nutzern durch hohe Zustimmungsanforderungen denkbar. Die Kernaussage der DSGVO ist, dass die Datenverarbeitung der betroffenen Person gegenüber absolut transparent und von ihr kontrollierbar sein muss. Dies ist am einfachsten durch verantwortungsvollen und nachvollziehbaren Umgang mit den Nutzerdaten zu erreichen. Andernfalls ist die vorgeschriebene Transparenz nur durch Überinformation möglich: komplexe Datenschutz-Banner mit mehrstufigen Dialogfeldern, möglicherweise zusätzlich zu den ohnehin schon ungeliebten Cookie-Bannern.

Der klassische Ansatz, verklausulierte Rechtstexte zur Absicherung einzubauen, bringt hier nicht weiter. Im Gegenteil: für den Laien unklare Datenschutzerklärungen stehen ab dem 25. Mai klar im Konflikt mit den Grundsätzen der DSGVO. Oft genutzte Disclaimer wie "Wir sammeln allerlei Daten, um ihren Aufenthalt auf unserer Seite angenehmer zu machen" erfüllen keine einzige der Anforderungen an spezifische und klare Benutzerinformation: sie benennen weder den konkreten Zweck der Datensammlung oder die zur Verarbeitung vorliegenden berechtigten Interessen, noch welche Datenkategorien nun eigentlich erfasst werden und von wem — alles ausdrücklich in Art. 13 DSGVO genannte Informationspflichten.

Effiziente Verbindung von juristischem Risikomanagement und datenschutzsensiblem Design

Hier kommt die Symbiose von Datenschutz und Design — also von unternehmerischem Risikomanagement und kreativer Produktgestaltung — ins Spiel. Abläufe, Implementierungen, ja ganze Produktkonzepte, müssen durchleuchtet werden nach der Überlegung, wo persönliche Daten wirklich einen Mehrwert für den Kunden bringen: Benutzerbrille aufsetzen, Unerwünschtes weglassen, Zusammenhänge greifbar machen. Die EU hat mit der DSGVO klar gemacht, dass Benutzerdaten nur unter strengen Voraussetzungen verarbeitet werden dürfen. All dies verlangt eine breite Beschäftigung mit der Zielsetzung der Datenschutz-Grundverordnung und der Erfordernisse daraus; nur so kann auch nachhaltiges Risikomanagement betrieben werden. In der Praxis bietet sich ein Ansatz aus Benutzer- und konkreter Zweck-Sicht an. Wenn hingegen die Gesetzestreue allein mit Rechtstexten als den klassischen Mitteln des Juristen erreicht werden soll, wird die DSGVO auf lange Sicht nur ein ungeliebter — und zudem unpräziser — Anforderungskatalog bleiben.

Wenn klar definiert ist, welchen individuellen Vorteil der Nutzer aus der Datenverarbeitung zieht und welche Daten dafür — dem Gebot der Datensparsamkeit folgend — nötig sind, fällt auch die notwendige nachvollziehbare Offenlegung dieser Prozesse nicht schwer. Nachdem nur noch die wirklich nützlichen Daten verarbeitet werden, sinkt die Gefahr von Rauschen und Fehlinterpretationen, wie auch das Schadenspotenzial bei Datenpannen. Liegen diese Gedanken einmal, quasi als Beiprodukt der strategischen Arbeit, strukturiert vor, ist eine DSGVO-konform belastbare Dokukentation bereits in ihren Grundzügen fertig.

Datenschutz in der Praxis: Wettbewerbsvorteil unter der DSGVO

Dadurch, dass die DSGVO alle Datenverarbeiter der Breite verpflichtet, können die Guten aus diesen Spielregeln einen Wettbewerbsvorteil ziehen. Wer die Vorgaben ignoriert, wird langfristig mit Konsequenzen zu rechnen haben. Richtig angegangen jedoch wird die DSGVO so nicht zum Hindernis für UX, sondern kann bei tiefgehender Beschäftigung mit ihr zum Design deutlich besserer Benutzererlebnisse führen. So wird aus dem scheinbaren Problem ein Vorsprung und Vorteil am Markt. Zugleich werden die anfänglich hohen bürokratischen Anforderungen zur Investition in einen ethisch einwandfreien Geschäftsbetrieb, die unnötige Risiken für die Zukunft minimiert.

Um als Websitebetreiber schnell zu guten Ergebnissen zu kommen, braucht man ein gutes Fundament an Kompetenzen. Zu diesem Zweck organisiert das tollwerk in Nürnberg am 5. März 2018 einen ersten fachübergreifend moderierten Praxis-Workshop "Datenschutz im Web — Fallstricke, Strategien, Risikomanagement, DSGVO". Das Event taucht in das vielversprechende Spannungsfeld zwischen Recht, Design und Entwicklung ein — mit dem Ziel, Risikofaktoren zu identifizieren und im veränderten Markt neues Potenzial zu erkennen. Wer sich dafür interessiert sollte rechtzeitig handeln: im ersten Durchgang sind nur bis zu 15 Teilnehmer vorgesehen.

Über die Autoren

Portraitfoto von Sebastian Greger

Sebastian Greger gestaltet seit über zehn Jahren benutzerzentrierte Online-Dienste und beschäftigt sich als selbständiger Designer und Soziologe mit der Frage, wo das Mögliche und Etablierte mit Benutzerinteressen kollidiert.

Website: sebastiangreger.net

T X X

Portraitfoto von Baltasar Cevc

Baltasar Cevc ist seit 2010 als Rechtsanwalt mit Interessensschwerpunkt im geistigen Eigentum und IT-Recht aktiv und hat jahrelange Erfahrung in IT- und Rechtsabteilungen gesammelt.

Website: cevc-consulting.com

T X X

Eure Ansprechpartner

Noch Fragen?

Wir beantworten sie gerne! Nehmt einfach mit uns Kontakt auf. Wir freuen uns auf alle eure Anfragen.

Ingo Di Bella
F T X X
Ingo Di Bella
Organisation & Sponsoren
Antonia Merkler
X
Antonia Merkler
Events
Philipp Nieberle
X X
Philipp Nieberle
Public Relations

Sponsoren und Partner

HauptsponsorenHauptsponsor werden?

GoldsponsorenGoldsponsor werden?

SilbersponsorenSilbersponsor werden?

Kooperationspartner

Initiatoren

Medienpartner