Seit Inkrafttreten der DSGVO (Datenschutz-Grundverordnung) im Jahr 2018 haben die Menschen in der Europäischen Union stärkere Datenschutzrechte. Das Gesetz ist allerdings bei weitem nicht perfekt – und große Tech-Unternehmen, Branchenanwält:innen und Lobbyist:innen setzen alles daran, DSGVO-Bestimmungen (durch Fehlinterpretationen) zu umgehen oder die öffentliche Meinung über das Gesetz so zu beeinflussen, dass Verbraucher:innen nicht ihnen, sondern der DSGVO selbst die Schuld für Verstöße geben. In den letzten Jahren hat dies zu einer Reihe von Missverständnissen über Datenschutz und insbesondere die DSGVO geführt. Aus diesem Grund klärt noyb anlässlich des diesjährigen Datenschutztages fünf der häufigsten Missverständnisse auf.
1. Die DSGVO zwingt Unternehmen, Cookie-Banner zu verwenden
Das ist inkorrekt. Die DSGVO zwingt Webseiten natürlich nicht zur Nutzung von Cookie-Bannern. Stattdessen sind Unternehmen dazu verpflichtet, deine ausdrückliche Einwilligung einzuholen, wenn sie deine Onlineaktivitäten tracken wollen. In der Regel passiert dies, um dir dann personalisierte Werbung auf Basis deiner Interessen anzuzeigen. Unternehmen haben sich dazu entscheiden, deine Einwilligung mittels Cookie-Bannern einzuholen und geben dafür oft der DSGVO die Schuld.
Aber das ist nicht alles: Um die Einwilligungsraten – und damit den Gewinn – zu maximieren, verwenden viele Websites absichtlich irreführende und täuschende Cookie-Banner. Diese machen es (fast) unmöglich, die Einwilligung zu verweigern oder zu widerrufen.
Wenn du also das nächste Mal einen Cookie-Banner siehst, denk daran: Er existiert nicht wegen der DSGVO, sondern weil ein Unternehmen von deinen persönlichen Daten profitieren möchte.
2. Unternehmen müssen Sanktionen durch die Datenschutzbehörden befürchten
Leider greifen Datenschutzbehörden nur in Ausnahmefällen zu strengen Durchsetzungsmaßnahmen. Eine noyb-Analyse der Behörden-Aktivitäten zwischen 2018 und 2023 ergab, dass nur 1,3 % der Fälle zu einer Geldstrafe führen. Die irische Datenschutzbehörde (DPC), die für die meisten großen Technologieunternehmen (Meta, Google, Apple, OpenAI, Microsoft und viele mehr) zuständig ist, verhängt sogar nur in 0,26 % der von ihr bearbeiteten Fälle Geldbußen. Und selbst wenn die Irish DPC eine Strafe verhängt, treibt sie das Geld nur selten ein, wie Medienberichte zeigen.
Aus unseren fast 900 Fällen wissen wir aus erster Hand, dass sich Verfahren oft über mehrere Jahre ziehen und Unternehmen häufig bloß mit einer Verwarnung davonkommen. Es gibt sogar Fälle, in denen die Behörden eine beratende Rolle für Unternehmen eingenommen hat, die Gegenstand einer Untersuchung waren. Ein Beispiel: Im Jahr 2024 ist noyb gegen die Hamburger Datenschutzbehörde vor Gericht gezogen, weil es Unstimmigkeiten bei den Ermittlungen in einem Pay-or-Okay-Verfahren gegen das deutsche Nachrichtenmagazin SPIEGEL gab.
Die Hamburger Behörde stand während des Verfahrens in engem Kontakt mit dem SPIEGEL. Anstatt unvoreingenommen zu ermitteln und zu entscheiden, traf sie sich außerdem mehrmals mit Vertretern des Unternehmens und gab Rückmeldungen zu den vorgeschlagenen Änderungsplänen. Für den Verwaltungsaufwand des Verfahrens stellte die Hamburger Behörde dem SPIEGEL € 6.140 in Rechnung. Das ist günstiger als praktisch jede Anwaltskanzlei.
Insgesamt ist es ein Irrglaube, dass Unternehmen bei Verstößen gegen das Grundrecht auf Datenschutz ernsthafte Konsequenzen durch Datenschutzbehörden zu befürchten haben.
3. Werbung muss personalisiert sein, sonst kauft sie niemand und die Werbeindustrie geht pleite!
Das Argument der Werbebranche, dass sie dich unbedingt im Internet tracken und mit irreführenden Cookie-Bannern belästigen MUSS, ist mehr als umstritten. Tatsächlich gibt es viele alternative Möglichkeiten zur Monetarisierung einer Website. Zum Beispiel kontextbezogene Werbung, Produktplatzierung, bezahlte Inhalte oder Freemium-Modelle, bei denen bestimmte Inhalte nur gegen eine Gebühr verfügbar sind.
Selbst wissenschaftliche Studien lassen Zweifel an der Profitabilität – und damit an der Notwendigkeit – von Ad-Tracking aufkommen. Eine US-Studie aus dem Jahr 2019 zeigt beispielsweise, dass die Verwendung personenbezogener Daten die Einnahmen einer Website nur um etwa 4 % steigert. „Dies entspricht einer durchschnittlichen Steigerung von 0,00008 Dollar pro Anzeige”, so das Fazit der Studie.
Es gibt sogar noch deutlichere Beispiele: Der niederländische öffentlich-rechtliche Rundfunk NPO meldete sogar einen Anstieg der Einnahmen, nachdem er auf gezielte Werbung verzichtet hatte.
Das verdeutlicht, dass es alternative Lösungen zu Online-Tracking gibt.
4. Die DSGVO schränkt die unternehmerische Freiheit ein
Nein, das tut sie nicht. In der EU-Grundrechtecharta wird ganz klar ausgeführt, dass die unternehmerische Freiheit „nach dem Unionsrecht und den einzelstaatlichen Rechtsvorschriften und Gepflogenheiten anerkannt“ wird.
Das heißt, dass Unternehmen sich an die Gesetze halten müssen, egal ob es um Steuern, Umweltschutz oder Datenschutz und Privatsphäre geht. Es gibt kein Grundrecht auf unternehmerische Freiheit, das die gesetzlichen Verpflichtungen eines Unternehmens außer Kraft setzt, auch wenn viele Unternehmen dies gerne hätten.
Tatsächlich bedeutet die unternehmerische Freiheit, dass du einer wirtschaftlichen Tätigkeit nachgehen darfst. Du kannst beispielsweise Apotheker:in werden, ohne dass deine Eltern Apotheker:innen gewesen sein müssen. Natürlich müssen auch ein Apotheker:innen die Gesetze einhalten. Das Gleiche gilt für große Technologieunternehmen und andere Firmen.
5. Die Leute missbrauchen ihr Auskunftsrecht und fluten Unternehmen mit Auskunftsersuchen
Das Auskunftsrecht gemäß Artikel 15 DSGVO ist unerlässlich, um im digitalen Zeitalter zumindest ein bisschen Kontrolle über die eigenen Daten zu behalten. Dennoch wehren sich einige Unternehmen dagegen und behaupten, dass es einen „unverhältnismäßigen Aufwand” verursachen würde. Solche Lobby-Behauptungen fanden sogar Eingang in ein deutsches Positionspapier, laut dem Auskunftsersuchen zunehmend „missbraucht” würden.
Die Realität bestätigt diese Behauptung aber nicht. Die DSGVO enthält bereits Schutzmaßhahmen, um einen Missbrauch zu verhindern. Gemäß Artikel 12(5) DSGVO können Unternehmen eine angemessene Gebühr erheben oder Anträge sogar ablehnen, wenn diese „offenkundig unbegründet“ oder „insbesondere im Fall von häufiger Wiederholung“ exzessiv sind.
Darüber hinaus arbeiten nur die wenigsten Unternehmen tatsächlich so datenintensiv, dass sie sehr viele Auskunftsersuchen erhalten. Im Rahmen einer (in Kürze erscheinenden) noyb-Umfrage gaben 73,3 % der Datenschutzbeauftragten an, dass das Auskunftsrecht wenig bis gar keine Arbeit verursacht. Häufig ignorieren größere Unternehmen Auskunftsersuchen einfach oder halten Teile der Informationen trotz gesetzlichem Anspruch zurück. Der Werbebroker Xandr (eine Tochtergesellschaft von Microsoft) meldete beispielsweise eine erstaunliche Antwortquote von 0 % auf Auskunfts- und Löschungsersuchen im Jahr 2022.
Die meisten großen Tech-Firmen haben inzwischen außerdem ein Tool, mit dem sie DSGVO-Auskunftsersuchen in großem Stil bearbeiten können. Meist geht das über eine Funktion zum Herunterladen der eigenen Daten. Deine Daten stellen sie dir jedoch immer noch nicht vollständig zur Verfügung.
Mit anderen Worten: Unternehmen verfügen über die Mittel, um Auskunftsersuchen ohne nennenswerten Arbeitsaufwand zu bearbeiten. Sie wollen dir bloß keinen Zugriff auf die verarbeiteten Informationen gewähren.
6. Bonus-Irrtum: Mit 2 Milliarden Euro an verhängten Geldstrafen muss noyb reich sein!
noyb erhält natürlich nichts von den durch Datenschutzbehörden verhängten Geldstrafen. Das Geld fließt in den Staatshaushalt des Landes, in dem die Behörde ihren Sitz hat (oder in Spanien z.B. direkt an die Datenschutzbehörde).
Unsere Arbeit ist nur dank unserer 5.400 Fördermitgliedern möglich. Wenn auch du zu unserem Anliegen beitragen möchtest, kannst du hier mehr über unsere Mitgliedschaften erfahren. Bei Fragen erreichst du uns auch unter info@noyb.eu.
