DSGVO: Wie sich Gründer vor Abmahnungen und Bußgeldern schützen



Datenschutzskandal – das passiert uns nicht. Wer als Selbstständiger oder Unternehmer über seine Website ohne Einstimmung der User Daten sammelt, kann von Bußgeldern betroffen sein. Wir sprachen mit Mischa Rürup, CEO von Usercentrics, vorab zum OMR Festival über den Stand der Dinge der DSGVO und was man als Gründer und Freelancer beachten sollte.

GründerDaily: Hallo Mischa, die Einführung der DSGVO feiert bald ihren ersten Geburtstag. Wie hat sich die Lage seit der Einführung verändert?

Mischa von Usercentrics: Gefühlt ist nach dem 25. Mai 2018 erst einmal wenig bis gar nichts passiert. Das ist aber auch kein Wunder, denn Gerichte brauchen Jahre für die Rechtsdurchsetzung. Es sind aktuell aber über 100.000 Beschwerden in ganz Europa unbearbeitet – die eigentliche Abmahnwelle ist quasi noch in der Mache.

DSGVO Mischa Rürup Usercentrics
DSGVO: Um weiterhin sein Geschäft machen zu können, ist die Einwilligung der User unumgänglich, sagte uns Mischa Rürup, CEO von Usercentrics, im Interview und spricht darüber beim OMR Festival Anfang Mai. (Foto: Usercentrics)

GründerDaily: Das heißt, es ist alles noch sehr ruhig.

Mischa von Usercentrics: Tatsächlich kommt seit Ende des Jahres 2018 Bewegung in die Aufsichtsbehörden. Die bayerische Behörde (BayLDA) untersuchte im Februar die 40 größten Webseiten auf die Konformität von Cookie Bannern und freiwilliger, vorheriger sowie expliziter Einwilligung. Die französische Behörde hat bereits mehrere Bußgelder ausgesprochen, unter anderem 50 Mio. EUR an Google. Sonst bekommen wir von einigen Kunden mit, dass sie geprüft werden.

Wir merken auch einen Bewusstseinswandel bei Unternehmen. Viele wollen jetzt ihr Compliance Setup noch einmal sauber aufsetzen und sich absichern – aber ohne die Panik und Hektik, die vor dem 25. Mai geherrscht hat.

GründerDaily: Auf was müssen Start-ups 2019 besonders achten? Welche Fallstricke gibt es rund um Datenverarbeitung und Datenschutz?

Mischa von Usercentrics:

Neben der realen Chance, direkt von einer Behörde geprüft zu werden, werden Start-ups von ihren Kunden und Providern verpflichtet, die DSGVO hart umzusetzen.

Als B2B-Start-up verpflichtet man sich vertraglich zu immens vielen Datenschutzmaßnahmen. Prüfungen der eigenen Compliance initiiert durch den Kunden sind in vielen B2B-Verträgen absoluter Standard. Wer hierauf nicht vorbereitet ist, verspielt im Fall der Fälle sämtliches Vertrauen und verliert Kunden.

Als B2C-Startup ist man dem potentiell strengen User und dessen Anfragen ohnehin direkt ausgesetzt.

Auch wenn es die Mehrheit der Nutzer vielleicht nicht interessiert, reicht ein einziger Nutzer, um abgemahnt zu werden.

Darüber hinaus übertragen Google und andere große Tech-Unternehmen die Verantwortung so weit wie möglich auf ihre Kunden. Google beginnt gerade, seine Kunden dazu zu verpflichten, die Einwilligung der Nutzer programmatisch in einem bestimmten ConsentString Format zu übergeben. Leistet der Kunde dem nicht Folge, kann er künftig keine personalisierten Anzeigen mehr schalten.

GründerDaily: Ob Kleinunternehmer, Bäcker oder Start-up – wie schaffe ich es als Selbstständiger alle Richtlinien einzuhalten und die Kosten für die Absicherung (Datenschutzbeauftragten, Anwalt) gering zu halten?

Mischa von Usercentrics: Die DSGVO wird zwar von vielerlei Seiten für ihre Unklarheit kritisiert, aber es hilft tatsächlich, sich die Anforderungen im Originaltext einfach einmal durchzulesen. Beispielsweise Artikel 13 beschreibt das Recht auf Information und gibt genau vor, was darunter fällt.

Wichtig ist, dass die Grundhygiene gemacht ist, sodass Verfahrensverzeichnis, geschlossene AVVs und sämtliche öffentliche Elemente wie die Webseite, die App, Datenschutzerklärungen und datensammelnde Technologien wie Cookies entsprechend datenschutzkonform aufgesetzt sind.

Für die einzelnen Punkte gibt es verschiedene Software Provider, die einen in wenigen Klicks mit Vorlagen und Fragen bei der operativen Umsetzung der DSGVO unterstützen.

GründerDaily: Ihr habt Anfang 2018 Usercentrics gegründet und euch schnell als Marktführer im Bereich Consent-Management-Plattformen (CMP) etabliert. Was war die Initialzündung für die Geschäftsidee und wie habt ihr das schnelle Wachstum gemeistert?

Mischa von Usercentrics: In meinem vorherigen Leben stand ich mit meinem Unternehmen intelliAd quasi auf der anderen Seite (der Macht): Tracking. Als die DSGVO im Parlament verabschiedet wurde, hatte ich intelliAd bereits an DHL verkauft und verlassen und mir wurde schnell klar, dass dieses Gesetz meine ehemalige Branche und eigentlich jedes datengetriebene Geschäftsmodell extrem beeinflussen würde.

Dreh- und Angelpunkt, um weiterhin Business zu machen, ist dabei die Einwilligung.

Nachdem wir das Problem bei einigen Marketingabteilungen größerer Unternehmen validiert hatten, war klar, dass jedes Unternehmen eine solche Consent Software brauchen wird. Wir haben dann schnell ein erstes MVP gebaut und konnten die ersten Kunden damit gewinnen. Dann verselbstständigte sich das ganze fast um den 25. Mai herum, weil die Nachfrage so groß war.

Dank schneller Validierung unseres Ansatzes konnten wir sofort namhafte Kunden gewinnen und eine Marktführerposition besetzen. Außerdem positionieren wir uns seit jeher stark als Thought Leader und sind auf vielen Messen, Events, mit Content und in der Presse präsent.

usercentrics
Mit Hilfe von Consent Software können die Einstellungen zur Datenverarbeitung leichter ausgewählt und kontrolliert werden. (Foto: Usercentrics)

GründerDaily: Was ist das Alleinstellungsmerkmal eurer Technologie?

Mischa von Usercentrics: Am meisten unterscheiden wir uns in der maximalen Customizability, sowohl was rechtliche Einstellungen angeht, wie auch Design und User Journey.

Einzigartig ist außerdem die große Palette an Features, die sowohl die Rechtsabteilung und das Marketing happy machen: neben rechtlichen Features wie Versionierung, 24/7 Monitoring, Data Breach Notification Process und Pflege der Datenschutztexte gibt es auch spezielle Funktionen wie A/B-Testing, Opt-in Optimization und Incentive Opt-in für Marketers.

GründerDaily: Auf der OMR hältst Du Anfang Mai eine Masterclass zum Thema „DSGVO meets Performance Marketing“. Wie kann ich die DSGVO denn als Wettbewerbsvorteil nutzen?

Man darf nie vergessen, die DSGVO kam zu einem großen Teil, weil Nutzer mehr Rechte, Transparenz und Kontrolle gefordert haben. Und der Trend nimmt nicht ab, sondern wird durch weitere Datenskandale eher verstärkt und zur globalen Bewegung.

Privacy ist gekommen, um zu bleiben.

Je früher man das akzeptiert und in der eigenen Datenarchitektur und Prozessen integriert, desto nachhaltiger macht man sein Geschäftsmodell. Und man sticht kurz- und langfristig bereits Wettbewerber aus.

Datenschutz ist zum Kaufkriterium in sämtlichen Bereichen geworden. Gerade gegen die US-amerikanische Konkurrenz hat man jetzt einen Vorsprung, denn dort tritt im Januar 2020 ein DSGVO-ähnliches Gesetz in Kraft.

Europäische Unternehmen haben viele Prozesse und Dokumentationen bereits umgesetzt und sollten das proaktiv proklamieren und ausnutzen.

GründerDaily: Wie kann ich als Unternehmer das Endkundenrecht, für das sich die DSGVO einsetzt, einhalten und dennoch mit meinen Nutzern in Kontakt treten und Produkte bewerben?

Mischa von Usercentrics: In der DSGVO ist wortwörtlich festgelegt, dass Direktmarketing ein “berechtigtes Interesse” sein kann. Die DSGVO verbietet also keinem, weiterhin mit seinen Nutzern zu sprechen. Aber die DSGVO gebietet einigen aufdringlichen Praktiken Einhalt und verpflichtet das Unternehmen zu verhältnismäßiger Ansprache und transparenter Kommunikation mit dem Nutzer.

Für sämtliche werbliche Kundenkommunikation empfiehlt es sich, die vorherige, ausdrückliche und freiwillige Einwilligung des Nutzers einzuholen. Wenn diese sodann nicht überspannt oder gar missbraucht wird – ist alles ‘fine’.

GründerDaily: Reicht es, wenn ich einmalig eine Einwilligung von meinen Webseitenbesuchern einhole?

Mischa von Usercentrics: Die DSGVO macht keine Angaben dazu, wie lange eine Einwilligung gültig ist, außer, dass sie nicht für immer gelten soll. Wie oft man die Einwilligung einholen sollte, hängt vom Einzelfall ab und wird sich wohl leider erst in den nächsten Jahren höchstrichterlich entwickeln. Bis dahin kann als Anhaltspunkt aber beispielsweise die Rechtsprechung zu Double Opt-in für E-Mails dienen.

GründerDaily: Nach der DSGVO kommt dann Anfang 2020 ePrivacy-Verordnung. Was wird das für Start-ups bedeuten?

Mischa von Usercentrics: Ursprünglich sollte die ePrivacy-VO zeitgleich zur DSGVO in Kraft treten. Sie ist ein sog. lex specialis, regelt also besondere Einzelfälle, die in der DSGVO nur abstrakt abgehandelt werden.

Die ePrivacy-VO wird sämtliche Geschäftsmodelle, die auf einem Gerät des Nutzers laufen stark beeinträchtigen. Besonders Tracking-Technologien, egal ob für Online Werbung oder Location Data werden ihre Daten Architektur grundlegend umstrukturieren müssen. Besonders IoT wird extrem beeinflusst.

Ob die ePrivacy-VO tatsächlich Anfang 2020 kommt, ist aktuell noch nicht sicher abzusehen. Es gibt einige Lobby Kräfte, die dagegen kämpfen und das neue Gesetz abschwächen und herauszögern wollen.

GründerDaily: Auf was muss ich am besten jetzt schon im Marketing achten?

Mischa von Usercentrics: Gartner bezeichnet Consent als ‘die neue Currency’ für Marketer. Kurz gesagt meint das, die Einwilligung entscheidet darüber Daten zu haben oder nicht zu haben.

Wer das Ernst nimmt, versteht, dass er sein Geschäftsmodell so ausrichten muss, dass der Nutzer einen wirklichen Anreiz und Mehrwert hat, wenn er seine Einwilligung zur Datenverarbeitung gibt. 

Das wird vor allem für Marketer eine Herausforderung und erfordert eine tiefere Verknüpfung der Marketingaktivitäten mit der Wertschöpfung des eigentlichen Geschäftsmodells.

GründerDaily: Mischa, vielen Dank für den Einblick in die aktuelle Situation rund um die DSGVO.

  • Das OMR Festival 2019
    Das OMR Festival 2019 ist das führende digitale Marketing-Event in Europa. Am 7. und 8. Mai 2019 werden rund 50.000 Besucher in der Hamburg Messe erwartet. Über 400 Aussteller und mehr als 300 Speaker zeigen die neuesten Trends und geben ihr Wissen weiter. Abends wird gefeiert. Tickets gibt es ab 40 Euro. Mehr unter https://omr.com/festival2019/

Keyfacts über Usercentrics

  • Gegründet im Jahr: 2017
  • Firmensitz in: München
  • Unser aktuelles Team besteht aus: Insgesamt ca. 25 Mitarbeitern; Gründungsteam: Mischa Rürup, Vinzent Ellissen, Lisa Gradow
  • Die erste Finanzierung erfolgte durch / über: Cavalry Ventures und Reimann Investors sowie diverse Business Angels
  • Besonders wichtig im Arbeitsalltag sind für mich/uns folgende:
  • Menschen: Motivierte und engagierte Mitarbeiter, mit denen wir die Firma gemeinsam vorantreiben.
  • Internetseiten: Webbkoll https://webbkoll.dataskydd.net/de/ Webbkoll prüft die Datenschutzfunktionen von Webseiten und zeigt transparent auf, welche datenschutzrechtlichen Maßnahmen eine Website ergriffen hat, um dem Nutzer die Kontrolle über seine Privatsphäre zu geben.