Dass das Thema Datenschutz für Unternehmen eine heikle Angelegenheit ist, ist nicht erst seit Inkrafttreten der EU-Datenschutzgrundverordnung im Mai 2018 bekannt. Und dass Verstöße gegen diese auch geahndet werden, zeigt die aktuelle Millionenstrafe, mit der sich der jö Bonus Club derzeit konfrontiert sieht.

Zahlreiche Medien haben es schon im Detail berichtet, hier nun in aller Kürze: Konkret geht es für das mittlerweile 4 Millionen User starke Kundenbindungsprogramm, das die Rewe Group Österreich gemeinsam mit unternehmensfremden Partnern ins Leben gerufen hat, um eine Strafzahlung in Höhe von 2 Millionen Euro. Diese wird fällig, weil die Einwilligung zum Profiling via Website und papierbasiertem Anmeldeformular im Zeitraum zwischen Mai 2019 und Februar 2020 laut Meinung der Datenschutzbehörde nicht ordnungsgemäß gestaltet war. Damit war für die Kunden nicht ausreichend ersichtlich, dass sie dem Profiling zugestimmt haben. Ein Umstand der jedoch schon im März 2020 behoben wurde, weshalb Strafausmaß und Zeitpunkt nun doch überraschen. Weniger überraschend ist hingegen, dass der jö Bonus Club Beschwerde gegen das noch nicht rechtskräftige Urteil einlegen wird.

Ist die Nutzung von Daten wirklich überraschend?

Klar kann man jetzt sagen, dass es ein Irrsinn ist, dass ein Unternehmen wie die Rewe Group das sensible Datenschutz-Thema trotz Gestaltungsadaptierung nicht ausreichend ernst genommen hat, denn die 2,3 Millionen Kunden, die sich bis dato bereits zum Programm angemeldet haben, hat man nicht nochmals informiert und deren Daten munter weiter genutzt. Trotz dieses Fauxpas drängt sich die Frage auf, ob es heutzutage wirklich noch irgendjemanden wundert, dass bei der Anmeldung zu einem solchen Kundenbindungsprogramm – und davon gibt es ja mehrere auf dem Markt – Daten erhoben und diese auch entsprechend aufbereitet weiterverwendet werden?

Und nein, das soll natürlich kein Freibrief für Datensammler sein. Aber ist die Bevölkerung mit dem Wissen im Hintergrund und dem Sensibilisieren für die Thematik durch Konsumentenschutzverbände nicht ohnehin bereits darauf getrimmt, solche Einverständniserklärungen besonders kritisch unter die Lupe zu nehmen?  

Welche Signalwirkung könnte eine Verurteilung haben?

Überraschend in diesem Zusammenhang: Wenn es um tägliche Use Cases wie das Surfen im Internet, die Nutzung des eigenen Smartphones, die Inanspruchnahme von Social Network-Apps oder den Online-Einkauf bei Internet-Giganten geht, ist der Aufschrei bei den meisten Österreichern längst nicht so groß. Und wer glaubt denn ernsthaft, dass Amazon & Co. kein User-Profiling betreiben? Da werden Daten oft ohne mit der Wimper zu zucken, bereitwillig bekanntgegeben und Cookies blind akzeptiert, weil das Durchlesen und Anpassen der Bedingungen vielen dann doch zu mühsam ist.

Um mich nicht falsch zu verstehen: Ja, es ist gut und richtig, dass es ein Regulativ gibt und dass Organisationen wie die Datenschutzbehörde eingreifen, wenn Missbrauch vorsätzlich betrieben wird. Aber ich frage mich schon auch, welche Signalwirkung es hat, wenn die Strafe durchgeht und was das für die Zukunft digitaler heimischer Plattformen bedeutet, die im Wettbewerb mit ausländischen Onlinehändlern ohnehin um jedes Prozent Marktanteil kämpfen müssen. Denn digitale Lösungen schaffen immerhin die so wichtigen Schnittstellen zwischen stationärem Business und E-Commerce. Wenn sie aber hierzulande aufgrund befürchteter Strafen und juristischer Unschärfen in der Interpretation von Gesetzestexten nicht mehr zum Einsatz kommen, ist letztendlich niemandem geholfen.