Zur Panik wegen der DSGVO und ePrivacy-Verordnung – Christoph Bauer, ePrivacy

In Hamburg steht am 10. und 11. April Data Driven Display Advertising auf dem Programm. Die d3con 2018 versammelt die schlausten Köpfe der Programmatic-Branche, um Trends, Herausforderungen und Lösungen zu diskutieren. Als offizieller Medienpartner stellen wir euch in den kommenden Wochen einige ausgewählte Speaker vor, um eine Vorschau auf die Themen zu geben, die bei der Konferenz im Zentrum stehen.

Prof. Dr. Christoph Bauer ist CEO und Gründer der ePrivacy GmbH. Als Experte für Datenschutzrecht betreibt sein Unternehmen datenschutzrechtliche Zertifizierungen für digitale Produkte und ist auch beratend tätig. Darüber hinaus vergibt ePrivacy europaweit eigene Datenschutz-Siegel. Bauer ist seit 20 Jahren in der Medienindustrie tätig und war Anfang der Neunziger VP im Controlling bei Bertelsmann. 1998 zog es ihn dann für acht Jahre als CFO zu AOL Deutschland, bevor er 2007 zu wunderloop wechselte. 2011 gründete Bauer dann die ePrivacy. Seit 2009 lehrt der Professor an der Hamburg School of Business Administration.

Interview mit Christoph Bauer, geschäftsführender Gesellschafter von ePrivacy

OnlineMarketing.de: Die Begriffe DSGVO und ePrivacy sind für Leute wie dich ein Segen – du wirst als Berater zum Thema derzeit alle Hände voll zu tun haben. Aber bei Unternehmen in unserer Branche lösen diese Begriffe üblicherweise keine Begeisterungsstürme aus. Kannst du kurz zusammenfassen, was die beiden Themen für in Deutschland ansässige Digitalunternehmen bedeuten und wie man sich darauf vorbereiten sollte?

Christoph Bauer: Die Datenschutzgrundverordnung (DSGVO) und die ePrivacy-Verordnung sind zwei neue Datenschutzgesetze, die die Digital-Branche erstmals vor europaweit einheitliche Regelungen zum Umgang mit personenbezogenen Daten stellen. Die Anforderungen sind für alle Unternehmen Neuland; deutsche Unternehmen stehen dabei aber vor etwas geringeren Herausforderungen als Firmen in unseren Nachbarländern, denn die bisherigen deutschen Datenschutzgesetze waren bereits sehr weit entwickelt.

Auf die DSGVO können Unternehmen sich gezielt vorbereiten, denn der Gesetzestext steht bereits seit fast zwei Jahren fest. Die ePrivacy-Verordnung ist allerdings noch nicht final verabschiedet, sodass Unternehmen weder wissen, was sie ändern müssen, noch bis wann. Wir rechnen mit einer Umsetzung der ePrivacy-Verordnung durch den Gesetzgeber erst in 2019.

Die Panik ist ja auch deswegen so groß, weil neuerdings horrende Bußgeldforderungen bei Verstößen drohen. Gibt es dafür schon Präzedenzfälle, die dir bekannt wären?

Es kann da noch gar keine Präzedenzfälle geben, da die DSGVO ja erst im Mai 2018 umgesetzt sein muss. Das heißt, zum jetzigen Zeitpunkt kann noch niemand wegen Missachtung der Datenschutzanforderungen an den Pranger gestellt werden. Es gibt aber z. B. Fälle von Verbraucherschutzklagen, die seit kurzem wegen Datenschutzverstößen zugelassen sind, auch Samsung stand zu dem Thema in der Öffentlichkeit. Der Streitfall wurde in diesem Fall sogar gerichtlich gegen das Unternehmen entschieden. In Zukunft werden solche Verfahren nicht nur öffentlich sein, sondern dann auch noch mit voraussichtlich hohen Bußgeldern verbunden sein.

Wie siehst du die Gefahr, die viele Kritiker des EU-Datenschutzes anführen, dass durch diese Entwicklungen das Online-Marketing-Oligopol der großen US-Player wie Facebook und Google weiter gestärkt wird, da es ihnen viel leichter fallen wird, ein Einverständnis des Nutzers zu erlangen?

Die genannten US-Unternehmen haben großenteils bereits weitreichende Einwilligungen ihrer Nutzer vorliegen – damit haben sie wesentlich mehr Spielraum für Werbezwecke als kleinere Anbieter, die zunächst aktiv die Einwilligung jedes Users einholen müssen. Wir gehen davon aus, dass der Gesetzgeber diesen Effekt so nicht beabsichtigt und daher den Gesetzestext gegebenenfalls noch ändern wird.

Siehst du unter deinen Kunden schon einen Trend der „Auswanderung“ in nicht-EU-Staaten, um Geschäftsmodelle dort zu betreiben, die mit dem EU-Datenschutz nicht mehr vereinbar sind?

Das haben wir bisher nicht beobachtet, da der europäische Markt zu wichtig ist, um ihn ganz zu verlassen: Wer die DSGVO und ePrivacy-Verordnung umgehen möchte, darf nämlich weder einen Firmensitz in der EU haben, noch EU-Bürgern irgendwelche Dienste anbieten. Schon wenn man eine Webseite z. B. auf Deutsch oder Französisch anbietet, muss man die DSGVO einhalten. Die meisten Geschäftsmodelle lassen sich ferner mit fachkundiger Unterstützung auch unter der DSGVO umsetzen, wenn z.B. Pseudonymisierungskonzepte eingeführt werden.

Auf der d3con sehen wir dich im April als Speaker auf einem Panel zum Thema DSGVO und ePrivacy. Wie betrifft das Thema insbesondere das Programmatic-Geschäft?

Das Programmatic Advertising wäre ohne umfangreiche Datenverarbeitung und die Erstellung von Profilen undenkbar. Die Akteure dieser Branche sind daher besonders gefordert, ihre Geschäftsmodelle und Technologien umsichtig an die Anforderungen der DSGVO anzupassen.

Vielen Dank für das Interview!

OnlineMarketing.de ist offizieller Medienpartner der d3con 2018. Dieser Artikel ist in Zusammenarbeit mit den Event-Organisatoren entstanden. Interessierte können sich hier für die d3con anmelden.