Ein praktischer Leitfaden zu Ist Big Tech tatsächlich ein großes Problem

Dieser Leitfaden erklärt Ist Big Tech tatsächlich ein großes Problem praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Big Tech ist kein Problem, nur weil ein Unternehmen groß ist. Einige digitale Produkte erfordern Skalierbarkeit: Suchmaschinen benötigen umfassende Indizes, Marktplätze benötigen Käufer und Verkäufer und soziale Netzwerke werden nur dann nützlich, wenn genügend Menschen teilnehmen.

Das Datenschutzproblem beginnt, wenn sich Größe, Marktmacht und Datenerfassung gegenseitig verstärken. Ein Unternehmen mit dominanter Verteilung kann mehr Verhaltensdaten sammeln. Mehr Verhaltensdaten verbessern das Targeting, die Personalisierung und die Anzeigenmessung. Eine bessere Monetarisierung finanziert mehr Akquisitionen, Integrationen und Ausfälle. Mit der Zeit fühlt sich der Markt möglicherweise weniger wie eine Reihe von Entscheidungen an, sondern eher wie eine Infrastruktur, die von einer Handvoll Unternehmen kontrolliert wird.

Skala verändert die Bedeutung der Einwilligung

Die Einwilligung lässt sich leichter verteidigen, wenn ein Benutzer eine realistische Alternative hat. Sie wird schwächer, wenn die Dienstleistung gesellschaftlich oder wirtschaftlich unvermeidbar ist.

Wenn eine kleine Website darum bittet, die aggregierten Seitenaufrufe zu messen, kann ein Besucher die Website verlassen, ohne dass dies Konsequenzen hat. Wenn eine marktbeherrschende Plattform darum bittet, Daten aus Suche, Karten, Videos, Werbung, App Stores, Messaging und eingebetteten Drittanbieter-Pixeln zu kombinieren, ist die Entscheidung nicht symmetrisch. Eine Ablehnung kann bedeuten, dass der Zugang zu wichtiger Kommunikation, geschäftlicher Reichweite oder Erkenntnissen verloren geht.

Dies ist einer der Gründe, warum sich der EU Digital Markets Act auf „Gatekeeper“ konzentriert. Die Europäische Kommission hat große Plattformen, darunter Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft und Booking, für bestimmte Dienste als Gatekeeper benannt, die auf der DMA-Gatekeepers-Seite der Kommission aufgeführt sind. Zu den DMA-Verpflichtungen gehören Einschränkungen bei der dienstübergreifenden Kombination personenbezogener Daten ohne gültige Einwilligung sowie Anforderungen, die digitale Märkte bestreitbarer machen.

Wettbewerbsrecht und Datenschutzrecht sind unterschiedliche Instrumente, aber sie treffen am gleichen Druckpunkt aufeinander: Datenvorteile können zu Marktvorteilen werden, und Marktvorteile können dazu führen, dass Datenschutzentscheidungen weniger sinnvoll sind.

Warum Datenkombination so leistungsstark ist

Ein Datensatz kann begrenzt werden. Kombinierte Datensätze sind viel aufschlussreicher.

Eine Suchanfrage zeigt Absicht. Eine Kartenroute zeigt den Standort. Ein Videoverlauf zeigt Interessen. Eine Einkaufshistorie zeigt den Haushaltsbedarf. Eine Anmeldeidentität verbindet Aktivitäten über Geräte hinweg. Ein Drittanbieter-Pixel kann zeigen, was jemand getan hat, nachdem er die Plattform verlassen hat.

Wenn diese Signale zusammengeführt werden, benötigt das Unternehmen kein einziges sensibles Feld mit der Bezeichnung „Gesundheit“ oder „Einkommen“, um auf sensible Dinge schließen zu können. Zu den Mustern können Schwangerschaft, Arbeitsplatzverlust, politisches Interesse, finanzieller Stress, Religionsausübung oder medizinische Bedenken gehören. Aus diesem Grund besteht das Datenschutzrisiko nicht nur darin, ob in einem Formular nach einem Namen gefragt wird. Es geht darum, ob das System genügend Beobachtungen verknüpfen kann, um ein Profil einer Person zu erstellen.

Die U.S. Federal Trade Commission hat eine ähnliche Aussage zu Datenbrokern gemacht. In dem Bericht „Data Brokers: A Call for Transparency and Accountability“ (https://www.ftc.gov/reports/data-brokers-call-transparency-accountability-report-federal-trade-commission-may-2014) wurde festgestellt, dass Broker Daten aus umfangreichen Online- und Offline-Quellen sammeln, oft ohne Wissen der Verbraucher. Big Tech-Plattformen sind nicht identisch mit Datenbrokern, aber die zugrunde liegende Lektion ist dieselbe: Opazität plus Skalierung erzeugen asymmetrisches Wissen.

Analytics ist Teil der Power Story

Websitebesitzer installieren invasive Analysen häufig nicht, weil sie eine Überwachung wünschen, sondern weil die vorherrschenden Tools in Workflows für Werbung, Suche und Conversion-Optimierung gebündelt sind.

Dadurch entsteht eine Abhängigkeitsschleife:

• Für Anzeigen ist eine Conversion-Messung erforderlich.
• Für die Conversion-Messung sind Skripte erforderlich.
• Berichterstattung über Skript-Feed-Plattformen.
• Plattformberichte prägen Budgetentscheidungen.
• Budgetentscheidungen erschweren das Verlassen der Plattform.

Google Analytics ist das deutlichste Beispiel. Das Produkt ist nützlich und vertraut, aber seine Rolle im breiteren Google-Ökosystem wirft rechtliche und vertrauenswürdige Fragen auf. Mehrere europäische Datenschutzbehörden stellten nach dem Schrems II-Urteil fest, dass bestimmte Verwendungen von Google Analytics unrechtmäßige Übermittlungen personenbezogener Daten an United States beinhalteten. In der vom Europäischen Datenschutzausschuss zusammengefassten Entscheidung der italienischen Behörde heißt es, dass bei Google Analytics-Übertragungen in diesem Fall angemessene Schutzmaßnahmen fehlten (EDPB-Zusammenfassung).

Für ein kleines Unternehmen lautet die praktische Frage nicht: „Ist Google böse?“ Es lautet: „Brauchen wir so viele Daten, so viele Dritte und so viel rechtliche Komplexität, um unsere Website zu verstehen?“

Oft lautet die Antwort nein.

Das Argument für eine verhältnismäßige Messung

Eine datenschutzorientierte Analysestrategie beginnt mit der Verhältnismäßigkeit:

• Messen Sie aggregierte Besuche, Quellen, Seiten und Conversions.
• Nutzen Sie UTMs, um Kampagnen ohne Cross-Site-Tracking zu verstehen.
• Vermeiden Sie persönliche Kennungen, es sei denn, ein bestimmter Arbeitsablauf erfordert sie.
• Halten Sie die Aufbewahrung kurz genug, um den Geschäftsanforderungen gerecht zu werden.
• Trennen Sie Produktanalysen von Werbeprofilen.
• Machen Sie Analysen in der Datenschutzerklärung verständlich.

Dies hindert ein Unternehmen nicht am Lernen. Es verhindert, dass Analysen zu einem stillen Datenauspuff in ein größeres Profiling-System werden.

Welche Regulierung versucht zu beheben?

Der GDPR befasst sich mit Rechtsgrundlagen, Transparenz, Zweckbindung, Datenminimierung, Benutzerrechten und internationalen Übermittlungen. Der DMA befasst sich mit Plattform-Gatekeeping und unfairen Datenvorteilen. Das Gesetz über digitale Dienste befasst sich mit systemischen Plattformrisiken und Transparenz. Die Datenschutzgesetze und der Löschungsgesetz von California befassen sich mit Verbraucherrechten und Datenbrokern.

Diese Gesetze unterscheiden sich, aber sie verfolgen eine gemeinsame Richtung: Die Datenextraktion in großem Umfang wird nicht länger als harmloser Standard behandelt.

Für kleinere Unternehmen ist das eine Chance. Sie müssen nicht auf die Durchsetzung bei den größten Plattformen warten, um einen besseren Messstapel aufzubauen. Die Verringerung der Abhängigkeit von invasivem Tracking kann das Compliance-Risiko verringern, die Seitengeschwindigkeit verbessern, die Einwilligung vereinfachen und die Verteidigung Ihres Datenschutzversprechens erleichtern.

Was Unternehmen jetzt tun sollten

Prüfen Sie, wohin Kunden- und Besucherdaten gehen. Beziehen Sie Analyseskripte, Pixel, Chat-Tools, Heatmaps, CDPs, CRMs, E-Mail-Plattformen und Werbenetzwerke ein.

Fragen Sie für jedes Tool:

• Welche Daten werden erfasst?
• Sind die Daten personenbezogen, pseudonym oder aggregiert?
• Werden sie für eigene Zwecke an Dritte weitergegeben?
• Verlässt es die Region des Besuchers?
• Haben wir eine Rechtsgrundlage und einen klaren Hinweis?
• Könnten wir dieselbe Geschäftsfrage mit weniger Daten beantworten?

Entfernen oder ersetzen Sie dann Werkzeuge, die den Test nicht bestehen. Ein einfaches Analyse-Setup, das 90 % der operativen Fragen beantwortet, ist oft besser als ein komplexes System, das niemand bei einer Datenschutzüberprüfung erklären kann.

Aktionen mit kleineren Stapeln

Verwandeln Sie die Datenschutzbedenken in Kontrollen, über die ein kleines Unternehmen tatsächlich verfügen kann: Entfernen Sie unnötige Skripte von Drittanbietern, vermeiden Sie die Anreicherung durch Broker, halten Sie die Analysen nach Möglichkeit aggregiert, verkürzen Sie die Aufbewahrung von Rohdaten, veröffentlichen Sie die Datennutzung im Klartext und vereinfachen Sie Opt-outs. Der Wert liegt nicht nur in der Einhaltung. Ein kleinerer Datenfußabdruck bedeutet, dass weniger Anbieter überprüft werden müssen, weniger Konsequenzen bei Verstößen auftreten, weniger Einwilligungsaufforderungen erforderlich sind und eine klarere Vertrauensstory vorliegt.

Das Fazit

Das Datenschutzproblem von Big Tech liegt nicht nur in der Größe. Es ist die Kombination aus dominantem Zugang, dienstübergreifenden Daten, Werbeanreizen und schwacher Benutzerauswahl. Unternehmen können darauf reagieren, indem sie Messinstrumente wählen, die zur tatsächlichen Entscheidung passen: genug Daten, um die Website zu verbessern, nicht genug, um standardmäßig an einer Überwachungsökonomie teilzunehmen.