Do Not Track wird zum Standard 

Auch im Bereich des User-Trackings zieht die EU die Daumenschrauben an - und schafft damit in den Augen des BVDW "nichts anderes als das Ende des werbefinanzierten Internets". In einem Positionspapier zur geplanten E-Privacy-Richtlinie verweist der Verband darauf, dass eine generelle Zustimmungspflicht des Nutzers zur Annahme von First-Party-Cookies zwar die Zahl der Pop-up-Fenster erhöhen würde, nicht aber notwendigerweise den Datenschutz. Besonders ärgerlich aus Sicht des BVDW ist dabei der EU-Plan, Webbrowser künftig per default so ausliefern zu lassen, dass sie Third-Party-Cookies ablehnen, die nicht vom Seitenbetreiber selbst gesetzt werden. 

Damit, so argumentiert man in Düsseldorf, seien die Anbieter im Vorteil, die über eine große Zahl von First-Party-Cookies verfügen. Für andere Akteure fiele dann beispielsweise die Cookie-basierte Nutzung von Analysetools weg: "Kein Webseitenbetreiber (etwa ein Blog) hat die personellen oder wirtschaftlichen Ressourcen, Reichenweiten oder die Auslieferungsqualität für Inhalte zu messen." Dafür, so heißt es in dem Positionspapier, gebe es einen ganzen Markt von Anbietern in der digitalen Wirtschaft. Die neue Regulierung habe zur Folge, dass diese Reichweitenmessungen mangels Kontakt zum Nutzer unterbleiben müssten. Schlechte Zeiten also für die Agof und die IVW.

Eine deutsche Eigenheit bleibt voraussichtlich auch im neuen Datenschutz­gesetz erhalten: der betriebliche Datenschutzbeauftragte. Künftig muss ihn jedes Unternehmen bestellen, wenn eine genügend hohe Zahl an Personen mit der manuellen oder automatisierten Bearbeitung von personenbezogenen Daten beschäftigt ist. Zwingend vorgeschrieben ist ein Datenschutzbeauftragter in Unternehmen, bei denen die Bearbeitung der Daten mit einem besonders hohen Risiko für die Betroffenen verbunden ist. 

Demzufolge müssten Arztpraxen die Verarbeitung ihrer Patientendaten entweder komplett auslagern oder einen Datenschutzbeauftragten bestellen. Bei der Auslagerung in die Cloud sind neue Bestimmungen zu beachten, soweit die Bearbeitung in der EU stattfindet. Jens Eckhardt vom Eco-Verband verweist darauf, dass auch Altver­träge den neuen Gesetzen genügen müssen, sie müssen deshalb auf jeden Fall ­geändert werden. 

Den Aufsichtsbehörden - in der Regel sind das die Datenschutzbeauftragten in den einzelnen Bundesländern - billigt der neue Verordnungsrahmen mehr Durchgriffsmöglichkeiten zu. So sieht die DSGVO vor, dass Unternehmen bei gravierenden Datenlecks die Aufsichtsbehörde binnen 72 Stunden informieren müssen. Auch die Strafen, die die ­Datenschützer verhängen können, sind gesalzen. Lagen die bisher möglichen Höchststrafen bei Datenschutzvergehen bei 300.000 Euro pro Fall, soll sich der Rahmen zukünftig an dem orientieren, was bei Kartellrechtsverstößen üblich ist. 

Die bisherigen Entwürfe sehen bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes vor. Es bleibt abzuwarten, wie die Berechnungsgrundlage dazu aussehen wird. Bei einem digitalen Großkaliber wie Axel Springer entsprechen vier Prozent vom Jahresumsatz rund 132 Millionen Euro, bei Google wären es weltweit schon knapp drei Milliarden Euro.