Daten sind das neue Gold – wie und warum sie gesammelt und verkauft werden

Den Überblick über das zu haben, was wir im Internet machen, ist für Unternehmen interessant – und zwar in erster Linie aus finanzieller Sicht. Denn in der Tat hat wirklich alles, was wir tun, – einschließlich all unserer Klicks, auf allen von uns besuchten Webseiten, und alles, was wir kaufen – für irgendein Unternehmen einen Wert. Unsere Internetaktivität und Daten werden jeden Tag von einer Vielzahl von Unternehmen, Websites und Analysefirmen gesammelt, verarbeitet und verkauft.

Wozu? Damit sie unsere Daten dafür nutzen können, erneut etwas an uns zu verkaufen oder sie gewinnbringend weiterzuverkaufen. Fakt ist: Die Erhebung und der Verkauf von Daten haben einen wesentlichen Anteil an der modernen Digitalwirtschaft. Von inhabergeführten Onlineshops bis hin zu Giganten der Technologiebranche wie Google und Facebook werden Nutzerdaten für alle Zwecke verwendet, die irgendetwas mit Vertrieb, Marketing, Produktentwicklung, User Experience oder ähnlichem zu tun haben.

Im Folgenden werfen wir einen Blick auf die genaue Bedeutung der Erhebung und des Verkaufs von Nutzerdaten für Unternehmen. Und auch darauf, wie wichtig dabei die Einhaltung geltender Datenschutzgesetze ist und wie Sie sicherstellen können, dass sich Ihr Unternehmen an diese Gesetze hält, eine wirksame Einwilligung von Nutzern einholt und clevere Marketing- und Datenstrategien einsetzt.

Bevor Unternehmen Nutzerdaten verarbeiten, sichern oder verkaufen können, müssen diese zunächst erhoben werden. Die Behauptung, dass Daten im Internet wirklich „von überallher“ kommen, ist keine Übertreibung; selbst wenn wir als Nutzer meist der Ansicht sind, dass wir, während wir dort surfen, ja eigentlich gar nichts Besonderes tun.

Browser, Apps und andere Software können dabei die IP-Adresse erfassen, aus der hervorgeht, wo wir uns gerade befinden. Ebenso wird erfasst, welchen Browser (und welche Version) wir verwenden, genauso wie das Betriebssystem und das genutzte PC- oder Smartphone-Modell.

Der jeweilige Suchverlauf ist ebenfalls äußerst aufschlussreich, denn bei jeder Website, die wir besuchen, werden die von uns aufgerufenen Seiten erfasst, genauso wie die Suchbegriffe, die von uns angeklickten Elemente und andere Funktionen. Es wird auch nachverfolgt, auf welchen Websites oder Seiten wir zuvor waren und welche wir im Anschluss besucht haben. Welcher Artikel wurde in den Einkaufswagen gelegt, aber dann doch nicht gekauft? Und wenn wir etwas kaufen, wird alles von unserer Schuhgröße über die Lieblingsfarbe bis hin zu unseren Kreditkartendaten und der Lieferadresse erfasst.

Jede Person im Internet ist gleichzeitig auch eine reichhaltige Datenquelle, die einen Schatz an Informationen darüber offenbart, wer sie ist, was sie mag, wie sie lebt, und vieles mehr. Die Unternehmen möchten den größtmöglichen Anteil an diesem Schatz – um ihn entweder selbst gewinnbringend zu nutzen oder um ihn weiterzuverkaufen.

Was nicht allen Nutzern beim Surfen im Internet bewusst ist: All diese gesammelten Datenpunkte können miteinander verbunden werden, um daraus abzuleiten, für welche Produkte oder Dienstleistungen sie sich interessieren könnten und vieles mehr.

Ein Unternehmen, das solche Daten sammelt, kann diese für seine eigenen Zwecke nutzen – etwa um Nutzern eine E-Mail zu einem Sonderangebot zu schicken – oder sie an andere Firmen oder an ein Datenanalyseunternehmen verkaufen.

Diese Daten werden dann unter anderem für folgende Zwecke genutzt:

• eine bessere Anpassung von Produkten oder Dienstleistungen (einschließlich der Website oder der E-Commerce-Erfahrung) an die Zielgruppe
• zielgerichtetere Werbemaßnahmen
• eine statistische Analyse

Daten sind wertvoll, weil sie Unternehmen dabei helfen, ihre potentiellen Kunden und auch ihre Bestandskunden genauer zu verstehen, geschäftliche oder gesellschaftliche Trends und Veränderungen vorherzusagen und so letztlich mehr Geld zu verdienen.

Hatten Sie schon mal das Gefühl, dass Ihr Smartphone Sie gerade ausspioniert? Oder haben Sie sich schon einmal gefragt, wie ein Call-Center an Ihre Telefonnummer gekommen ist? Wundern Sie sich manchmal, warum Sie E-Mails mit Werbung für eine Marke bekommen, die Sie noch nie in Ihrem Leben gekauft haben? Falls ja, wurden Ihre Daten wahrscheinlich an Dritte verkauft.

Dies passiert üblicherweise auch, wenn Sie zu einem bestimmten Zweck – zum Beispiel, weil Sie Schuhe kaufen – mit einem Unternehmen im Internet agieren und dabei Ihre Einwilligung erteilen, von diesem Unternehmen oder seinen „zuverlässigen Partnern“ für Marketingzwecke kontaktiert zu werden. Dieser Vorgang wird normalerweise direkt in den Transaktionsprozess integriert. Obwohl Sie also eigentlich eingewilligt haben, war Ihnen dies wahrscheinlich nicht bewusst, oder Sie haben sich erst gar nicht zu dieser Passage im Kleingedruckten durchgeklickt, bevor Sie einen Haken in ein Kontrollkästchen gesetzt haben.

Diese Art der Datenerhebung und -nutzung kann für Unternehmen von großem Vorteil sein, wenn sie klug und gesetzeskonform eingesetzt wird. Es ist Gang und Gäbe, dass Unternehmen heutzutage Nutzer- oder Kundendaten erheben und verarbeiten, um verschiedene Marketingstrategien umzusetzen. Es gibt zahllose Tools und technische Lösungen, mit denen die Erhebung und Analyse von Nutzerdaten im Internet automatisiert und an individuelle Bedürfnisse angepasst werden kann.

Nicht alle Kundendaten dürfen verkauft werden, und einige Arten der Datenerhebung unterliegen besonderen Erfordernissen im Hinblick auf die Einwilligung, insbesondere auf Basis von Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) und dem California Consumer Privacy Act (CCPA). Personenbezogene Daten wie Sozialversicherungsnummern, Bankdaten und Gesundheitsdaten sind in der Regel nicht monetarisierbar, da sie nicht erhoben werden dürfen und gesetzlichem Schutz unterstehen.

Bei anderen Arten von sehr persönlichen Nutzerdaten, die oft als sensible Personally Identifiable Information (PII) bezeichnet werden, ist eine ausdrückliche Einwilligung des Nutzers erforderlich, damit sie überhaupt erhoben oder verarbeitet werden dürfen.

Andererseits können personenbezogene Daten, die öffentlich zugänglich sind oder öffentlich zugänglich gemacht wurden, etwa öffentliche Urkunden, Beiträge in den sozialen Medien oder Suchanfragen bei Suchmaschinen, im Allgemeinen verkauft werden. Da diese Daten bereits zugänglich sind und deshalb einfach erhoben werden können, ist für ihren Verkauf im Allgemeinen keine Einwilligung erforderlich.

Es ist jedoch wichtig, stets zu bedenken, dass Unternehmen, die Daten auf illegalem Wege erheben, verarbeiten oder verkaufen, hierfür haftbar gemacht werden und mit hohen Bußgeldern belegt werden können. Manche Datenschutzgesetze, etwa der Protection of Personal Information Act (kurz: POPIA, deutsch: Gesetz zum Schutz personenbezogener Daten) der Republik Südafrika, sehen in einigen Fällen sogar mögliche Haftstrafen vor.

Ob Nutzerdaten legal verkauft werden können, hängt davon ab, wo sich die Kunden befinden, und in einigen Fällen auch davon, wo ein Unternehmen seinen Sitz hat. Einige Datenschutzgesetze, wie etwa die DSGVO, erfordern die Einwilligung des Nutzers, bevor Daten erhoben, geschweige denn verkauft werden dürfen (Opt-In-Modell). In Kalifornien können gemäß dem CCPA jedoch Daten ohne Benachrichtigung oder Einwilligung des Nutzers erhoben werden; allerdings muss vor dem Verkauf der Daten eine Einwilligung eingeholt werden (Opt-Out-Modell).

Der CCPA verlangt auch, dass Websites über einen Button mit der Aufschrift „Do Not Sell My Information“ (Meine Daten nicht verkaufen), der auf der Homepage der jeweiligen Website deutlich zugänglich ist, oder ähnliche Funktionen verfügen müssen, mit denen die Verbraucher ihre Ablehnung zum Verkauf von Daten erklären können. Wie bereits erläutert, können Personen bei sensiblen Daten in der Regel sowohl deren Erfassung als auch ihrem Verkauf widersprechen.

Nicht in jedem Land (oder Bundesstaat) gilt ein Datenschutzgesetz, das seine Verbraucher derart schützt. In den USA haben bisher nur drei Bundesstaaten Datenschutzgesetze verabschiedet. Laut einer Prognose von Gartner Inc. wird bis zum Jahr 2023 jedoch der Datenschutz von 65 Prozent der Weltbevölkerung gesetzlich gewährleistet sein. Solange die gesetzlichen Voraussetzungen für die Erhebung und den Verkauf erfüllt sind, können Nutzerdaten rechtmäßig verkauft werden, sofern dem keine anderweitige Vorschrift im Wege steht. In manchen Fällen müssen Daten beispielsweise zuerst anonymisiert werden.

Regierungen auf der ganzen Welt setzen zunehmend auf Maßnahmen, um sicherzustellen, dass die Verbraucher wissen, wann und zu welchem Zweck Unternehmen ihre Daten erheben, und dass es ihnen als Verbraucher möglich ist, hierzu ihre Einwilligung zu verweigern, wenn sie dies wünschen.

Allerdings gab es in der Vergangenheit auch immer wieder Unternehmen, die versucht haben Verbraucher zur Einwilligung in die Erhebung von Daten zu zwingen, wenn sie die Dienstleistungen oder Produkte eines Unternehmens nutzen möchten. Dies macht es wesentlich unwahrscheinlicher, dass Nutzer ihre Einwilligung verweigern – und ermöglicht es den Unternehmen letztlich mehr Daten zu erheben. Viele Datenschutzgesetze verbieten es jedoch, den Zugang zu Produkten oder Dienstleistungen von der Einwilligung in die Nutzung von Daten abhängig zu machen.

Für Unternehmen stellt dieser Spagat zwischen gesetzlich vorgeschriebenem Datenschutz und Marketingaktivitäten eine große Herausforderung dar: Einerseits müssen Bestimmungen eingehalten werden, andererseits können es sich Unternehmen nicht leisten, dass die Benutzerfreundlichkeit leidet. Denn Verbraucher neigen zur Ungeduld wenn sie daran gehindert werden, entspannt im Internet zu surfen. Können sie dies auf einer Website oder App nicht, ist die Wahrscheinlichkeit hoch, dass sie sich ein anderes Angebot suchen. Im Klartext bedeutet das: Datenschutzhinweise und die Möglichkeiten zur Einwilligung müssen leicht und transparent sein, dürfen aber gleichzeitig nicht die Benutzererfahrung beeinträchtigen. Eine optimierte Benutzererfahrung kann dazu beitragen, die Akzeptanzraten der Nutzer zu erhöhen.

Im Allgemeinen verarbeiten Unternehmen, die Marketingdaten erheben, diese mittels einer Kategorisierung in verschiedene Graphen oder statistische Listen. Datenbroker oder ähnliche Geschäftszweige verarbeiten Daten oftmals auch durch deren Trennung in identifizierbare oder anonymisierte Datenkategorien.

Einige Daten werden anonymisiert, und die Personen, die die Datenpunkte zur Verfügung gestellt haben, werden den Käufern der Datensätze nicht offenbart. Für eine weiträumige demografische Nutzung oder zur allgemeinen Verbesserung der Kundenerfahrung sind diese Daten immer noch nützlich. Der Ansatz ähnelt dem von Google, das zunehmend auf Federated Learning of Cohorts (FLoC) und weniger auf Drittanbieter-Cookies setzt. (Weitere Informationen: Federated Learning of Cohorts bei Google: Warum FLoC uns alle angeht)

Andere Daten sind mit einzelnen Nutzern oder identifizierbaren personenbezogenen Daten (Name, ID-Nummer, E-Mail-Adresse usw.) verbunden.

Nicht alle Unternehmen oder Datenbroker haben gute Verarbeitungsmethoden umgesetzt. Teilweise sichern oder übertragen sie die erhobenen Daten nicht richtig. Oftmals schränken sie auch den Zugang zu diesen Daten nicht ordnungsgemäß ein oder anonymisieren sie nicht vollständig. Es ist unwahrscheinlich, dass Broker Daten einfach erheben und online stellen, damit jeder sie sehen kann, da sie auf diese Weise natürlich kein Geld verdienen würden. Wenn es zu einem Verstoß kommt und Daten gestohlen werden (obwohl gestohlene Daten auch Geld wert sind), kann es jedoch genau dazu kommen. Dies erhöht für Verbraucher unter anderem die Risiken von Kreditkartenbetrug und Identitätsdiebstahl.

Unternehmen, die Nutzerdaten erheben, verkaufen diese nicht immer an eine andere Organisation oder einen Datenbroker. Stattdessen teilen sie sie dann im Rahmen von Unternehmenspartnerschaften.

Facebook ist beispielsweise dafür bekannt, dies so mit einer Vielzahl anderer Software- oder Social-Media-Unternehmen zu handhaben. Diese Vereinbarung kann für beide Seiten von Vorteil sein, da Unternehmen dadurch von ihrer Marktbeherrschung profitieren, ihre Nutzerbasis vergrößern, ihre Marketingmaßnahmen sowie ihre Produkte oder Dienstleistungen verbessern und viele weitere zielführende Maßnahmen anstoßen können. Wenn Unternehmen Nutzerdaten teilen, können sie dadurch möglicherweise bestimmte Datenschutzbestimmungen umgehen, da für die Daten kein Geld gezahlt wird.

Wie bereits erwähnt, erheben und verarbeiten viele Unternehmen Daten für ihre eigenen geschäftlichen Zwecke, ihren eigenen Nutzen oder den Nutzen ihrer Partner. Bei einigen Unternehmen machen die Erhebung und der Verkauf von Daten einen erheblichen Teil des Umsatzes aus. Dies spiegelt sich in den Compliance-Anforderungen mehrerer Datenschutzgesetze wie dem CCPA wider. Die für Unternehmen geltenden Compliance-Anforderungen dieses kalifornischen Gesetzes lauten wie folgt:

• Das Unternehmen hat einen jährlichen Bruttoumsatz von mindestens 25 Millionen US-Dollar; oder
• das Unternehmen erhält, kauft, verkauft oder teilt zu kommerziellen Zwecken allein oder gemeinschaftlich personenbezogene Daten von mindestens 50.000 Einwohnern, Haushalten oder Geräten in Kalifornien; oder
• das Unternehmen erzielt mehr als die Hälfte seines Jahresumsatzes aus dem Verkauf personenbezogener Daten.

Der Verkauf von Nutzerdaten ist eindeutig lukrativ.

Die zunehmende Verbreitung leicht zugänglicher Nutzerdaten geht mit dem steigenden Angebot von Datenbrokern einher: Unternehmen, die personenbezogene Daten aus verschiedenen Quellen zusammenstellen und diese dann zu Werbe- und Marketingzwecken an andere Unternehmen verkaufen. Die Daten, die von diesen Unternehmen erhoben werden, sind ein kommerzielles Produkt; sie werden nicht in ihrem eigenen Geschäftsumfeld verwendet. Dieses Geschäftsmodell ist sehr profitabel. Im Jahr 2018 gaben amerikanische Unternehmen über 19 Milliarden US-Dollar für den Erwerb und die Analyse von Verbraucherdaten aus. Wozu?

Je mehr Daten einem Unternehmen zur Verfügung stehen, umso effektiver kann es Werbemaßnahmen für seine Zielkunden umsetzen und desto besser kann es die Käufer seiner Produkte verstehen. Daten sind das digitale Pendant zu Öl oder Gold: Nur sind Daten eben noch mehr wert, weil sich mit ihnen zukünftiges Verhalten beeinflussen lässt. Durch den Verkauf von Produkten an Kunden erzielen Unternehmen Einnahmen. Daten, die die Nutzer dem Unternehmen im Zuge des Austauschs von Geld und Produkten übermitteln, ermöglichen es dem Unternehmen, noch mehr Geld zu verdienen. Es sollte niemanden überraschen, dass mehr Datenbroker und Unternehmen als je zuvor versuchen, so viele personenbezogene Daten wie möglich zu erheben.

Nur weil Unternehmen Nutzerdaten erheben, verarbeiten und verkaufen und damit Geld verdienen können, bedeutet dies jedoch nicht, dass dies langfristig die beste Geschäftsstrategie ist. Jedenfalls nicht in der Art und Weise, wie dies bisher oft gemacht wurde. Wie bereits erwähnt, kann die nicht rechtskonforme Datennutzung zunehmend zu schwerwiegenden Sanktionen, dem Verlust dieser Daten und sogar zu Gefängnisstrafen führen.

Aber selbst wenn sich ein Unternehmen in den Regionen, in denen es geschäftlich tätig ist, um die Einhaltung des Datenschutzes bemüht, besteht die optimale Geschäftsstrategie nicht in der Erfüllung der Minimalanforderungen. Denn die Verbraucher sind nicht dumm, sondern im Gegenteil immer besser informiert und dementsprechend über ihre Privatsphäre und die Verwendung ihrer Daten im Internet besorgt.

Dies ist in nicht geringem Maße auf den Missbrauch ihrer Daten in der Vergangenheit zurückzuführen, dem viele Verbraucher ausgesetzt waren. Auch das Aufkommen von Tools, die es den Menschen ermöglichen, leicht zu überprüfen, wo, wie, von wem und welche ihrer Daten im Internet gesammelt werden, spielen in diesem Zusammenhang eine Rolle.

Das Einholen der Nutzereinwilligung sollte als ein wesentlicher Schritt beim Aufbau einer Beziehung gesehen werden, nicht nur als kurzfristige Aktion. Unternehmen sollten Transparenz in Bezug auf Einwilligungsanfragen und die Wahlmöglichkeiten der Nutzer als einen wesentlichen Teil ihres Marketings und Brandings betrachten. Wenn Website-Besuchern, App-Nutzern, E-Commerce-Kunden und anderen klar erläutert wird, weshalb ein Unternehmen um eine Einwilligung bittet und wie die erhobenen Daten verwendet und gesichert werden, zeigt dies, dass das Unternehmen Ressourcen in diese Verbraucher investiert und deren Privatsphäre respektiert.

Die Integration von Datenschutzmaßnahmen zeigt, dass Datenschutz, Sicherheit und Rechtskonformität zum Geschäftsmodell des Unternehmens gehören. Dies kann sich in scheinbar kleinen Details bemerkbar machen. Etwa dadurch, dass sichergestellt wird, dass das Cookie-Banner einer Website zur Marke und zum übrigen Web-Auftritt des Unternehmens und seinen anderen Eigenschaften passt. Oder dadurch, dass die Sprache auf dem Banner (oder in der Datenschutzrichtlinie) nicht nur klar und völlig transparent ist, sondern auch zum Duktus an anderer Stelle auf der Website oder zu anderen Materialien und Eigenschaften des Unternehmens passt. Stellen Sie sicher, dass die Verbraucher wissen, dass sie mit Ihnen Geschäfte machen – und Ihnen im Rahmen ihrer Benutzererfahrung vertrauen können.

So können Unternehmen aus der Einwilligung einen Wettbewerbsvorteil ziehen. So schaffen Sie bei den Nutzern Vertrauen und ermutigen sie zu wiederholten Besuchen und Käufen sowie zur Einwilligung in weitere Arten der Datennutzung, und ermöglichen so die Entwicklung langfristiger Kundenbeziehungen. Diese Strategie ist viel klüger, als nur zu versuchen, möglichst viele Daten abzugreifen, um sie dann an den Höchstbietenden zu verkaufen.

Der Verkauf von Verbraucherdaten ist ein lukratives Geschäft. Doch wer kauft sie? Die einfache Antwort: So gut wie jeder. Bekleidungshändler, Softwarefirmen, Filmstudios. Nahezu jede Branche möchte ihre potentiellen und Bestandskunden kennen und wissen, was ihnen gefällt, welche Produkte sie kaufen und wie sich ihr Interesse an weiteren Angeboten wecken lässt. Datenbroker können auch Daten voneinander kaufen, um ihre Listen zu vergrößern, ihre Algorithmen weiterzuentwickeln und ihre Technologie zur Datenerhebung zu verbessern.

Seien wir mal ehrlich: Es ist unwahrscheinlich, dass jemand, der einen Online-Shop, eine App oder ein ein anderes Business im Internet betreibt, Nutzerdaten sammelt und dabei die gesetzlichen Anforderungen an den Datenschutz nicht kennt. Selbst mit einfachen Website-Cookies, die nur die korrekte Funktionalität des Angebots ermöglichen, oder überall dort, wo eine Anmeldung erforderlich ist, erheben die meisten Websites einige Daten, die mit Sorgfalt behandelt werden müssen.

Im Allgemeinen müssen Unternehmen dabei berücksichtigen, wo sich ihre Benutzer oder Kunden befinden, da die Compliance-Anforderungen der Datenschutzgesetze in der Regel dergestalt definiert werden. Wenn ein Unternehmen beispielsweise Kunden mit Wohnsitz in Kalifornien hat, stehen sie unter dem Schutz des CCPA. Dabei spielt es keine Rolle, ob das Unternehmen dort seinen Hauptsitz hat oder überhaupt über ein physisches Büro in diesem Bundesstaat verfügt. Ebenso schützt die DSGVO Einwohner der Europäischen Union und ihre Daten, unabhängig davon, wo auf der Welt die Unternehmen ansässig sind, die ihre Daten erheben möchten. Für jedes Online-Unternehmen wird es zunehmend schwieriger, nicht global zu agieren.

Wie bereits erwähnt, ist es für ein Unternehmen wichtig, die Compliance-Parameter der Datenschutzgesetze zu kennen, denen es unterworfen ist. Ebenso kommt es auf die Art der Einwilligung an: ob die Kunden ihre Zustimmung erteilen müssen, bevor die Daten überhaupt erhoben werden, oder erst, bevor sie verkauft werden. Unternehmen, die Daten von speziellen Gruppen wie Kindern erheben oder erheben könnten, müssen ebenfalls von einem qualifizierten Rechtsanwalt geschult und beraten werden und dabei sicherstellen, dass auch ihre peripheren Vorgänge wie Sicherheit, Speicherung, Löschung, Verbraucheranfragen, Risikobewertungen und Audits korrekt abgewickelt werden.

Glücklicherweise stellt die Einhaltung der wichtigsten internationalen Datenschutzgesetze, insbesondere der etablierten und eher konservativen wie der DSGVO, sicher, dass ein beträchtliches Maß an Arbeit geleistet wurde, um die Einhaltung anderer aktueller und zukünftiger internationaler Gesetze zu erreichen.

Der CCPA verlangt von Unternehmen, auf ihrer Webpräsenz einen Button oder einen Link mit der Aufschrift „Do Not Sell My Personal Information“ an deutlich zugänglicher Stelle und deutlich sichtbar anzuzeigen. Diese gesetzliche Anforderung besteht nur für Unternehmen, die mit in Kalifornien ansässigen Personen Geschäfte tätigen. Gleichzeitig lässt sie sich jedoch auch als vertrauensbildende Maßnahme für andere Unternehmen interpretieren, die zudem immer häufiger zur Anwendung kommt.

Dies bedeutet, dass Unternehmen weiterhin (nicht sensible) Daten ohne die Einwilligung von in Kalifornien ansässigen Personen erheben können; doch wenn ein Verbraucher, der nachweislich mit diesen Daten in Verbindung gebracht werden kann, verlangt hat, dass sie nicht verkauft werden, ist ihre Verwendung auf das Unternehmen beschränkt, das sie erhoben hat.

Folgende Arten von personenbezogenen Daten können unter anderem von einer solchen Nicht- Einverständniserklärung betroffen sein:

• Vor-und Nachname
• E-Mail-Adresse
• Telefonnummer
• Kreditkartennummer
• Führerscheinnummern
• Sozialversicherungsnummer
• Reisepassnummer
• Benutzername für das Konto
• Finanzdaten
• Krankenakten
• Biometrische Daten

In allen Datenschutzgesetzen sind relevante Arten von personenbezogenen Daten und Arten von besonders sensiblen personenbezogenen Daten beschrieben. Diese Definitionen ähneln einander im Allgemeinen ziemlich stark; sie entwickeln sich jedoch ständig weiter, da sich auch die Technologien ständig weiterentwickeln und ändern. Auch die Art und Weise, wie Gesetze mit neuen Technologien umgehen, verändert sich stetig.

In Datenschutzgesetzen sind im Allgemeinen auch ähnliche Rechte beschrieben, die Verbraucher in Bezug auf ihre Daten haben, wie das Recht, Zugang zu diesen Daten zu erhalten oder sie berichtigen oder löschen zu lassen. Auch diese Vorgaben entwickeln sich im Zuge neuer technologischer Möglichkeiten weiter. Beispielsweise räumen manche Gesetze den Verbrauchern die Möglichkeit ein, sich dagegen zu entscheiden, dass KI Entscheidungen anhand ihrer Daten trifft. In anderen Gesetzen hat sich diese Thematik hingegen noch nicht niedergeschlagen.

Überall im Internet werden Verbraucherdaten gesammelt, und zwar zu mehr Zwecken, als der Durchschnittsbürger jemals verstehen wird. Doch Personen, die im Internet lesen, arbeiten, einkaufen und Spiele spielen, sind in Bezug auf die Erhebung, den Verkauf und die Verwendung ihrer Daten weder völlig unwissend, noch ist ihnen dies völlig gleichgültig. Vor allem, wenn ihnen der Umgang mit ihren Daten nicht klar kommuniziert wurde oder sie keine rechtswirksame Einwilligung hierzu erteilt haben.

Daran wird sich wohl auch in Zukunft wenig ändern. Nutzerdaten sind ein wichtiger Bestandteil vieler Unternehmensstrategien; egal, ob es sich bei ihnen um eine Liste ihrer eigenen Kunden oder riesige anonymisierte Datenpools handelt, mit denen Unternehmen weite Teile der Gesellschaft besser verstehen und beeinflussen können. Parallel dazu werden auf der ganzen Welt Gesetze verabschiedet und eingeführt, die mit dieser Realität Schritt halten sollen.

Glücklicherweise müssen all diese Überlegungen nicht im Widerspruch zueinander stehen. Die Unternehmen können Nutzern ihre Websites und Apps schmackhaft machen, ihre Produkte verkaufen und ausgeklügelte Marketingstrategien entwickeln. Die Verbraucher können sich sicher und in der Erwartung, dass ihre Privatsphäre respektiert wird, im Internet bewegen.

Alles hängt letztlich von ihrer Zustimmung ab, sowie von der entsprechenden Kommunikation. Und natürlich vom Erhalt der Einwilligung zur Erhebung der Daten – und eventuell auch in deren Verkauf. Unternehmen, die ihren Fokus auf eine konforme, transparente, vertrauensbildende Datenstrategie setzen, sind nicht nur zukunftssicher, sondern verschaffen sich so auch einen Wettbewerbsvorteil.