Glaubt man den vielen Kassandrarufen, war am 25. Mai Weltuntergang – zumindest für die digitale Welt. Denn seitdem gilt die Datenschutz-Grundverordnung. Wie jeder Weltuntergang wurde auch dieser lange angekündigt. Und wie immer wurden die Warnungen ignoriert. Als Konsequenz hat fast ein Drittel der Unternehmen die Umstellung nicht rechtzeitig geschafft und lebt jetzt in Angst vor der Abmahnindustrie. Zahlreiche Blogger und Vereine schalten ihre Internetauftritte gleich ganz ab. Auch dem Geschäftsmodell der Social Media wurde „Tod durch DSGVO“ vorhergesagt. Passiert ist das nicht. Denn die Nutzer geben ihre Daten weiterhin freiwillig ab. Für das datenbasierte Marketing ändern sich vor allem die formalen Anforderungen an Prozesse und Dokumentation. Doch Gegenwart und Zukunft gehören, daran ändert sich nichts, dem Microtargeting und der individuellen Zielgruppenansprache. Man muss es nur richtig machen.

Ihre Brisanz erhält die DSGVO durch ihre Einführung als EU-Verordnung. Sie gilt sofort  und überall in vollem Umfang. Die sonst übliche, langwierige Umsetzung in nationales Recht entfällt. Was die EU sich mit diesem Projekt vorgenommen hat, ist ein ambitionierter Spagat. Sie will den freien Datenverkehr sicherstellen und gleichzeitig für mehr Datenschutz sorgen. Herausgekommen ist ein Regelwerk mit 99 Paragraphen in 11 Kapiteln. Unter die Verordnung fallen alle personenbezogenen Informationen, also alles, was mit einer Person verknüpfbar ist. Es geht nicht nur um sensible Daten, sondern um jede Visitenkarte, jeden Telefonbucheintrag und jede IP-Adresse.

Dass der Informationsbegriff von der EU so extrem weit definiert wird, ist nichts Neues. Nur hat es bisher niemanden gekümmert. Aber jetzt drohen bei Verstößen substanzielle Strafen, eine digitale Vogel-Strauß-Politik kann teuer werden. Streng reguliert ist zudem die Datenverarbeitung. Jede Speicherung, Verarbeitung oder Weitergabe personenbezogener Informationen ist grundsätzlich verboten – es sei denn, sie ist sachlich erforderlich und der Betroffene hat exakt dieser Nutzung zugestimmt.

Diese Einwilligung kann jederzeit zurückgenommen werden, was den Verwaltungsaufwand in die Zukunft fortschreibt. Hinzu kommt, dass der Betroffene jederzeit das Recht hat, zu erfahren, welche Informationen über ihn gespeichert sind und wie sie verarbeitet wurden. Er kann die Daten in strukturierter Form abrufen, er kann Korrekturen fordern, und er kann ihre Löschung verlangen. Das lange diskutierte „Recht auf Vergessen“ im Internet soll damit, zumindest in Europa, Realität werden.

Bei der Abwägung zwischen Datenverkehr und Datenschutz hat die Privatsphäre grundsätzlich Priorität. So ist auch Datensparsamkeit eine wichtige Prämisse. Es dürfen nur Informationen erhoben werden, die wirklich erforderlich sind. Und auch diese sind zu löschen, sobald ihr Zweck erfüllt ist. Datenverarbeitungssysteme sollen so konzipiert sein, dass sie den Schutz der Privatsphäre sicherstellen (Privacy by Design). Maximaler Datenschutz soll dabei die Standardeinstellung sein (Privacy by Default). Das widerspricht jedoch vielfach der heutigen Praxis.

Für den Bürger bringt die DSGVO einen erheblichen Zuwachs an Rechten, um die er sich aber selbst kümmern muss. Für datenverarbeitende Unternehmen und Organisationen führt sie zu erheblich mehr Auflagen und Dokumentationspflichten. Alle eingesetzten Systeme und Prozesse müssen nachweislich dem Stand der Technik entsprechen. Sobald die erhobenen Daten sensibler oder die Verarbeitung umfangreicher wird, kommen selbst KMU um einen Datenschutzbeauftragten nicht herum. Falls es trotz korrekt aufgesetzter IT zu Pannen kommt, etwa bei Hackerangriffen, müssen Behörden und Betroffene sofort über den Schaden und das Krisenmanagement des Datenverarbeiters informiert werden.

Die Neuordnung des digitalen Europa trifft vor allem kleine Unternehmen und Freiberufler, die mit dem Dokumentationsaufwand überfordert sind oder schlicht keine Ahnung haben, was von ihnen gefordert wird. Besonders kritisch ist die Situation für Schulen, Vereine und Non-Profits, in denen digitale Laien sensible Daten verarbeiten müssen. Sie verfügen fast nie über eine rechtskonforme Infrastruktur. Hinzu kommen die neuen Segmente digitaler Massenkommunikation, in denen Blogger und Influencer an der Grenze von Privatvergnügen und Business agieren. Auch hier ist eine hemdsärmelige Nebenbeschäftigung plötzlich mit erheblichen Auflagen verbunden.

Wie steht es denn um die Big Player? Zum Weltuntergangsszenario gehört auch die Warnung vor dem Aus der Geschäftsmodelle von Google, Facebook und Co – und ganz nebenbei auch der immer wichtigeren datengetriebenen PR und Werbung. Genau das aber ist aus drei Gründen nicht zu befürchten: Erstens sind die digitalen Giganten für den bürokratischen und juristischen Mehraufwand bestens gerüstet. Zweitens ist die DSGVO im Bereich Big Data blass – Microtargeting bleibt erlaubt, verboten ist nur ein Profiling, das Personen erheblichen Schaden zufügt. Drittens, und das ist am wichtigsten: Viele Internetnutzer wollen den maximalen Datenschutz überhaupt nicht.

Ein verbindlicher Rechtsrahmen für die digitale Informationsverarbeitung war überfällig, um den juristischen Flickenteppich zu überwinden. Die Frage ist, welche digitale Welt dabei im Zusammenspiel von Gesetz, Unternehmens- und Bürgerinteressen entsteht. Mit der DSGVO sind in diesem Kräftedreieck nun die Nutzer am Drücker. Die Rollenverteilung ist eindeutig: Datenverarbeiter müssen sich den Wünschen ihrer  Kunden beugen – was immer diese Wünsche sein mögen. Zwei Dinge werden allerdings nicht geschehen. Erstens wird es keine individuellen Verhandlungen zwischen Milliarden von Nutzern und ihren Social-Media-Plattformen geben. Die Nutzer werden ihre Präferenzen also weiterhin über die Privacy-Optionen der Anbieter konfigurieren. Zweitens werden die User in der Praxis aus blankem Eigennutz ihre Möglichkeiten nicht so weit ausreizen, dass die Geschäftsmodelle der Plattformen zusammenbrechen.

Wer das Nutzerverhalten in der digitalen Welt verstehen will, stößt schnell auf ein Paradox. Weniger als 20 Prozent der Deutschen haben Vertrauen in den Datenschutz von Serviceanbietern wie den Social Media.  Das hält allerdings kaum jemanden davon ab, diese zu nutzen – aktuell sind in Deutschland 87 Prozent der Internetnutzer auch in den Social Media aktiv, bei den Jüngeren sind es sogar 98 Prozent.  Offenbar wägen die User Fragen der Privatsphäre gegen die versprochenen Leistungen ab – diese Strategie wird als „Privacy Calculus“ bezeichnet. Reichweite schlägt hier Datenschutz. So nutzen 1,2 Milliarden den datenhungrigen Messenger WhatsApp. Diskretere Alternativen wie Telegram oder Threema kommen auf geringere Zahlen (0,1 Mrd. bzw. 0,004 Mrd.).  Kein Wunder – denn wer, wenn er nichts Fragwürdiges im Schilde führt, will ein Kommunikationstool, mit dem man sehr vertraulich nur sehr wenige Menschen erreicht?

Die Abwägung von Kosten und Nutzen bedeutet allerdings keine völlige Sorglosigkeit. Entgegen einem weit verbreiteten Vorurteil werden Default-Einstellungen mit minimalem Datenschutz nur von einer Minderheit der Nutzer blind übernommen. Ein Großteil der User schaut genauer hin, und knapp zwei Drittel konfigurieren nach, um mehr Privatsphäre zu haben. Unter zunehmendem öffentlichem Druck bieten Google, Facebook und Co inzwischen übersichtliche Menüs an, in denen Privacy-Optionen individuell justiert werden können. Das Problem sind nicht mehr die in den Tiefen diverser Navigationspfade versteckten Konfigurationstools für Spezialisten. Es ist die Geduldsprobe, sich Seite um Seite durch ausführlich kommentierte Reihen von Schiebereglern zu arbeiten.

Wer weiß, was er will, und reichlich Zeit mitbringt, kann sich seine diskrete Version des Internets zusammenbasteln. Er muss dann allerdings auch mit den Konsequenzen leben. Google beispielsweise sagt klipp und klar, dass seine Suchmaschine dann langsamer und weniger nützlich wird. Auf Facebook gibt es ohne die Nachverfolgung von Likes keine personalisierten Feeds, der Nutzer müsste sich also seine Informationen aus einer unüberschaubaren Fülle von Angeboten selbst zusammenstellen. Bei der Abwägung zwischen Privatsphäre und digitalem Service wird die Entscheidung daher selten für den maximalen Datenschutz ausfallen.

60 Prozent der User stimmen der Aussage zu, dass sie durch Social Media besser über die Aktivitäten im Freundes- und Familienkreis auf dem Laufenden gehalten werden. 68 Prozent schätzen den Informationsvorsprung, den Social Media ungefragt – aufgrund von Profilbildung – liefern. Genau dieser Mehrwert ist von der Erteilung entsprechender Trackingrechte abhängig. Ähnlich sieht es bei Google und Amazon aus. Wer ein gutes Restaurant in der Nähe vorgeschlagen bekommen will, muss der Suchmaschine seinen Standort preisgeben, und wer sich von Alexa an Termine erinnern lässt, muss Amazon in seinen Kalender schauen lassen. Theoretisch gibt die DSGVO also dem Nutzer die Macht, interessierte Unternehmen und ihre Algorithmen auszusperren. Praktisch verlieren digitale Eremiten damit aber genau das, was sie in den Social Media suchen – smarte Assistenten, maßgeschneiderte Informationen und nicht zuletzt die Plattform für ihre digitale Identitätsarbeit.

Die Zukunft wird deshalb weiterhin Big Data, künstlichen Intelligenzen und damit auch dem Microtargeting gehören. Dass die gezielte, datenbasierte Ansprache von Zielgruppen juristisch sauber geht, zeigte die von der Kommunikationsberatung komm.passion und dem Neuroinformatiker Dr. Klaus Holthausen entwickelte Forschungsinitiative PAS (Pragmatic Analytic Services) schon vor Einführung der DSGVO. Mit ihrem Tool für Social Media Analytics lassen sich Zielgruppen exakt analysieren, definieren und individuell bespielen. Ein eigens von PAS in Auftrag gegebenes Rechtsgutachten stellt fest: „Die Verarbeitung der anonymisierten Daten mittels des durch PAS entwickelten Systems ist nach altem wie neuem Recht unproblematisch. (…) Die Verarbeitung der Daten erfolgt frühzeitig voll anonymisiert und wahrt damit die Rechte aller Betroffenen und auch der Social-Media-Plattformen, deren Datensätze analysiert werden.“

Die legale Datenauswertung wird auch weiterhin immer mehr an Bedeutung gewinnen: als Teil eines Deals, von dem alle Beteiligten profitieren können.