Die deutsche Online-Marketingbrache sieht sich durch Berichte über den Verkauf umfangreicher Nutzerprofile aus dem Datenbestand der Browser-Erweiterung Web of Trust (WoT) zu Unrecht mit verunglimpft. Das Gebaren der Datenhändler, die sich rund um das Werkzeug des finnischen Anbieters entwickelt habe, "deckt kein Geschäftsmodell unserer Firmen ab", betonte Michael Neuber, Justiziar des Bundesverbands digitale Wirtschaft (BVDW), am Donnerstag gegenüber heise online. Es sei aber in der Branche durchaus bekannt, "dass solche Dinge passieren".

"Beliebte Mittel"

"Add-ons" und "Sidebars" von Browsern seien "beliebte Mittel", um Nutzer auszuspähen, erläuterte Neuber im Vorfeld einer nicht-öffentlichen "Datenschutz-Roadshow " des Verbands in Berlin. "Wir müssen uns klar davon distanzieren." Um Online-Werbung mithilfe von "Targeting" und "Tracking" so genau wie möglich auf eine Zielgruppe und Nutzerinteressen auszurichten, sei eine Personalisierung nicht nötig. Dabei gehe es vielmehr darum, bestimmte Kundensegmente auszumachen. Der Rechtsanwalt räumte aber ein, dass es nicht leicht sei, die Unterschiede "differenziert darzustellen". Leider sei es auch so, dass "jedes schwarze Schaf die Branche in Verruf bringt".

Was bei WoT geschehen sei, könne man nicht als Tracking bezeichnen, ergänzte der Berater Stefan Drewes, der unter anderem als externer Datenschutzbeauftragter des Online-Vermarkters Ad Pepper fungiert. Dabei sei es allein darum gegangen, "Daten abzugreifen". Der ganze Bereich dürfe aber nicht über einen Kamm geschoren werden. Wenn die neue Datenschutz-Grundverordnung der EU greife, müssten die Firmen aber generell klarer nachweisen, dass ihre Datensammlung "rechtmäßig ist".

Safe-Harbor existiert nicht mehr

Als "A und O" für die Branche machte die Berliner Datenschutzbeauftragte Maja Smoltczyk aus, sich bewusst zu werden, in welchen Bereichen überhaupt personenbezogene Daten aufträten. Vielen Firmen sei nicht bewusst, dass dies etwa auch bei Datentransfers in die Cloud der Fall sein könnte. In diesem Punkt sensibilisieren solle auch die angekündigte Prüfung von 500 Unternehmen, wie diese Daten im Ausland speichern. Die beteiligten zehn Aufsichtsbehörden wollten sich so auch einen Überblick darüber verschaffen, ob in den Firmen angekommen sei, dass das Safe-Harbor-System nicht mehr existiere.

Das heikle Tracking-Thema sei ein Dauerbrenner der Runden der Datenschutzbeauftragten, berichtete Smoltczyk. Es gebe dabei schließlich kaum Bereiche, die von findigen Unternehmen nicht missbraucht würden. Die rechtliche Anforderung sei aber klar: Einschlägige technische Prozesse für zielgerichtete Werbung müssten so gestaltet sein, dass personenbezogene Daten etwa durch Anonymisierung verschleiert würden und nicht einfach wieder einzelnen Nutzern zugeordnet werden können.

Neue EU-Vorgaben

An die Digitalbranche appellierte die Expertin, frühzeitig die Herausforderungen ernst zu nehmen, die mit den neuen EU-Vorgaben auf sie zukämen: "Das ist ein Thema, dem man sich jetzt stellen muss." So müssten Firmen etwa nachvollziehbar darlegen, wie sie mit personenbezogenen Daten umgingen, oder sich das neue Einwilligungsverfahren zu Gemüte ziehen. Wenn die Verordnung im Mai 2018 tatsächlich anwendbar sei, sei es zu spät dafür angesichts dann geltender ausgedehnter Sanktionsmöglichkeiten. Mit dem neuen EU-Recht gebe es aber auch nur noch einen Ansprechpartner auf Seiten der Datenschutzbehörden für die Wirtschaft, was die Sache erleichtere.

Teile des umstrittenen Referentenentwurfs, mit dem das Bundesinnenministerium die Verordnung grundlegend in einem ersten Schritt mit einem neuen Bundesdatenschutzgesetz umzusetzen gedenkt, kritisierte Smoltczyk als "inakzeptabel". Dies beziehe sich vor allem auf die Initiative, Betroffenenrechte einzuschränken. Sie bedauere, dass Innenminister Thomas de Maizière (CDU) "in manchen Bereichen den Schwerpunkt auf die Sicherheitsfrage" verschieben wolle. Die Politik dürfe jetzt aber nicht all das aufgeben, was im Bereich der informationellen Selbstbestimmung über die Jahre hinweg aufgebaut worden sei.

"Informationseinheiten" ohne Personenbezug

Dass die EU-Bestimmungen an sich an Prinzipien wie Datensparsamkeit und Zweckbindung festhalten, bezeichnete der Branchenvertreter Neuber nicht als Problem für die Digitalwirtschaft. Die Grundsätze stünden Big-Data-Anwendungen nicht generell entgegen, da es sich dabei eh meist um "Smart Data handelt, die schon zweckmäßig erhoben werden". Zu klären sei aber noch, wem aggregierte Daten aus dem Internet der Dinge gehörten, die der Jurist eher als "Informationseinheiten" ohne Personenbezug verstanden wissen will. Offen bleibe teils zudem noch die Frage, "wie man überhaupt an Daten herankommt". Diese werde wohl erst mit der geplanten Reform der Datenschutzrichtlinie für die elektronische Kommunikation beantwortet. (kbe)