My 2,718281828459045235 Cents - DSGVO-Entschärfung für KMUs: Überfällig!

April 12, 2025

Die EU will die DSGVO für kleine und mittelständische Unternehmen entschärfen – das war lange überfällig.
Und das sage ich als jemand, der selbst einige Jahre als Datenschutzbeauftragter in einem MarTech-Unternehmen tätig war.

Während große Unternehmen und Konzerne mehr oder weniger gut auf die DSGVO vorbereitet waren, verbreiteten sich unter kleinen Website-Betreibern eher Angst und Unsicherheit.

Ich war lange Zeit aktiv in der WordPress-Community unterwegs. Jedes kleine Webprojekt musste sich plötzlich mit mitunter komplexen juristischen Fragen auseinandersetzen.
In den Communities wurden hitzige Diskussionen darüber geführt, was denn nun personenbezogene Daten sind oder welche Informationen in der Datenschutzerklärung aufgeführt werden müssen.

Die DSGVO trägt ihr Ziel im Namen: den Schutz von Daten.
Der Grundgedanke der DSGVO ist und war – neben dem Datenschutz – eine einheitliche europäische Vorschrift zu schaffen. Davor gab es lediglich eine Richtlinie, die jeder Mitgliedsstaat so umsetzen konnte, wie er wollte.

Doch die Realität sah – und sieht – anders aus:

2018:
Dataleaks bei Facebook (50 Mio. Datensätze), Exactis, Google+, Marriott (500 Mio. Ds.),
British Airways (429k Ds.), Under Armour (150 Mio. Ds.)

2019:
Facebook – schon wieder (533 Mio. Ds.), Norsk Hydro (71 Mio. Ds.), First American Financial (885 Mio. Ds.)

2020:
Nintendo (160k Ds.), Clearview AI (3 Mrd. Fotos)

und so weiter
und so
fort…
und immer weiter

alt text (Bildquelle: Gemini - hat auch richtig gut funktioniert ༼ʘ̚ ʖ ʘ̚༽!)

Statt Datenschutz brachte die DSGVO vor allem drei Dinge hervor:

  1. Cookie-Banner
  2. Verunsicherte Nutzer:innen
  3. Ein neues Geschäftsmodell namens Consent Management Plattformen

Beim Besuch jeder Seite springt uns nun ein Cookie-Banner entgegen, mal mehr oder weniger lieblos getaltet, gerne unter dem Einsatz von Dark Patterns - also dem Versuch, die Nutzer:in zum Einverständnis zu bewegen.

alt text Bildquelle: Internet - der grüne Knop ist richtig und wichtig. Nicht.

Die DSGVO sollte vor allem für Transparenz sorgen – auch davon ist nicht viel zu sehen.
Die Seite chiefmartec analysiert jährlich das Online-Marketing-Ökosystem.
Die Anzahl der MarTech-Produkte ist seit 2011 von 150 auf über 14.000 gestiegen.
alt text (Bildquelle: https://chiefmartec.com/)

Die meisten Unternehmen – geschweige denn Nutzer:innen – haben keinen Überblick, wie und wo ihre Daten tatsächlich verknüpft und verarbeitet werden.

Datenschutzerklärungen sind zu Textwüsten verkommen, die nur noch Jurist:innen lesen (müssen) – und die nur einen Zweck erfüllen: Bloß nicht gegen die DSGVO (und ihre Geschwister) verstoßen!

Zwar gibt die DSGVO den Nutzer:innen umfassende Rechte an die Hand – etwa das Recht auf Auskunft, Löschung oder Änderung personenbezogener Daten.
Geht es um Adressdaten oder persönliche Informationen, ist das ein hilfreiches Werkzeug.

Aber darunter fallen natürlich auch Daten, die im Rahmen des Trackings erfasst werden – mit zweifelhaftem Nutzen.
Ich kann einem Unternehmen meine Cookie-ID übermitteln (wenn ich als normale:r Nutzer:in überhaupt weiß, wo ich die finde).
Und erhalte dann eine meist endlos lange Liste mit aufgezeichneten Online-Marketing-Aktivitäten, die für mich keinen Informationswert haben.

Das Unternehmen (bzw. das beauftragte MarTech-Konsortium im Hintergrund) nutzt diese Daten entweder in aggregierter Form – oder fürs Targeting, also für personalisierte Werbung.

Auch große Unternehmen wie Google, Facebook oder Apple mussten sich natürlich anpassen.
Aber der Leidensdruck war hier dank des Lock-In-Effekts deutlich geringer.

Wenn ich die Nutzer:innen erst jahrelang an meine Plattform binde und sie abhängig mache,
bekomme ich deren Einverständnis zur Verarbeitung personenbezogener Daten viel eher –
als die „dahergelaufene“ Webseite, die gerade erst versucht, ein Geschäftsmodell aufzubauen.

Die DSGVO hemmte also auch – wenn man diesen Schluss ziehen möchte – Innovation.

Ich hatte damals schon vorgeschlagen, die Verarbeitung personenbezogener Daten für das Targeting im Internet anders und neu zu denken.

Mein Vorschlag war – und ich halte ihn immer noch für sinnvoll – eine Art Profil, das jede:r Nutzer:in selbst mit den Daten befüllen kann, die sie oder er bereit ist zu teilen.

Publisher und Advertiser können anhand dieser Informationen ihre MarTech-Aktivitäten steuern –
und den Umfang der bereitgestellten Daten mit einem Bonussystem belohnen (ähnlich wie Payback): Je mehr Daten ich preisgebe, desto größer der Bonus.

Das Profil wird lokal im Browser gespeichert.
Da die meisten Browser eine Synchronisierung ermöglichen, kann das Profil auch geräteübergreifend eingesetzt werden:

{
  "profile_id": "user-abc123",
  "public_key": "04bfcabdf0d9a2e7e3f4b8e0e6f...", 
  "bonus_wallet": {
    "address": "bonus://user-abc123@profile.local",
    "points": 120,
    "last_transaction": "2025-04-12T14:30:00Z"
  },
  "shared_data": {
    "interests": ["tech", "gaming", "climate"],
    "region": "DE",
    "age_range": "25-34"
  },
  "publisher_access": {
    "example-news.de": {
      "granted": true,
      "scopes": ["interests", "region"],
      "reward_offer": {
        "points": 20,
        "conditions": "interests shared + newsletter signup"
      }
    },
    "shop-planet.com": {
      "granted": false
    }
  }
}

Der Beispiel Aufruf erfolgt über eine API:

if (window.UserProfileAPI && window.UserProfileAPI.hasConsent()) {
  const profile = await window.UserProfileAPI.getProfile();
  console.log(profile);
  // → { interests: ["tech", "travel"], age_range: "30–39", region: "DACH" }
}

(Um das Bullshit-Bingo zu bedienen: Man könnte das Profil sogar fälschungssicher in einer Blockchain verwalten…
aber das führt jetzt zu weit)

Eine andere, etwas radikalere Idee: Ein komplettes Verbot bezahlter Werbung. Aber dafür sind wir – vermutlich – noch nicht bereit…