Ein Beitrag von Giovanni Bruno (Foto)

Per 25. Mai 2018 tritt die DSGVO in Kraft, die EU-Datenschutz-Grundverordnung. Zielsetzung ist der EU-weit geregelte Schutz von Personendaten. Im Bürokraten-Deutsch sind das solche Daten, mit denen Personen on- und offline direkt oder indirekt identifiziert werden können. Welche Anforderungen stellt die EU-Grundverordnung an SEOs? Und sind die Vorschriften wirklich derart umwälzend, wie allgemein behauptet wird? EU-weit heißt die Antwort ganz klar „Ja“ − es herrscht deutlicher Nachhol- und Optimierungsbedarf. Hierzulande hingegen ist der Entwurf von Horrorszenarien kaum angebracht. Allerdings müssen die novellierten Regelungen zur Verarbeitung personenbezogener Daten zwingend beachtet werden. Ein kurzer Ratgeber für SEOs, Webseiten- und Shop-Betreiber:

In vielen Bereichen werden auf bundesdeutsche Unternehmen kaum nennenswerte Änderungen zukommen. Im Gegensatz zu einigen anderen europäischen Staaten ist man hierzulande schon lange für die Anforderungen des Datenschutzes sensibilisiert. Per Verordnung der Europäischen Union soll das nun für die Mitgliedsstaaten grenzüberschreitend vereinheitlicht werden. Nationales Landesrecht ist aufgrund der Verordnung aus Brüssel irrelevant. Wichtig zu wissen: Es handelt sich hier keinesfalls um eine Richtlinie, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden muss. Es handelt sich um eine Grundverordnung, die per Definition automatisch in sämtlichen EU-Staaten rechtsverbindlich gültig ist.

Neuralgische Schnittstelle der externen Datenauslagerung

Wie ernst es Brüssel mit der Umsetzung ist, zeigt die Höhe der Sanktionen bei etwaigen Verstößen: Verhängt werden können Strafen von bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes des Unternehmens. Halten müssen sich nach dem Wortlaut der DSGVO „in der EU tätige Unternehmen“, (…) die auf ihren Servern direkte oder indirekte Personendaten speichern. Also keinesfalls nur Großkonzerne, sondern auch ganz normale klein- und mittelständische Dienstleister. Die neuralgische Schnittstelle ist vor allem dort vorhanden, wo der Datenverantwortliche eine Online-Präsenz betreibt, die Kundendaten aber an externe Rechenzentren oder sonstige Dienstleister ausgelagert werden. Denn auch hier ist der Datenverantwortliche für den korrekten Umgang damit verantwortlich.

Ohne aktive Zustimmung zur Datenspeicherung geht gar nichts

Der vermutlich wichtigste Aspekt: Künftig müssen die Betroffenen der Verarbeitung ihrer Daten aktiv zustimmen. Nicht länger genügt der pauschalisierte Hinweis „Diese Website nutzt Cookies. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden.“ Ein voraussetzender Hinweis reicht nicht. Der User muss wissentlich, willentlich und dokumentierbar zustimmen. Und genau die Rechte der Personen, über die Daten erhoben werden, stehen im Mittelpunkt der Verordnung. Standen die Endverbraucher beziehungsweise User der Sammelwut der Internetkonzerne und Anbieter in der Vergangenheit relativ ohnmächtig gegenüber, soll hier ein ganz klares Signal gesetzt werden.

Auswirkungen für die SEO-Ziele werden sich in verschiedenen Bereichen zeigen, wobei man bei der Beachtung gar nicht kleinlich genug sein kann, um Risiken zu vermeiden. So wird der Versand von Newslettern deutlich erschwert; ohne erneute, explizite Zustimmung geht hier gar nichts. Sobald die Verordnung in Kraft tritt, sind nur noch Zustimmungen gültig, bei denen der Empfänger vollumfänglich und klar formuliert darüber informiert wurde, welche Daten wie und wo über ihn gespeichert werden. Wie erwähnt, heißt das auch für die Cookie-Zustimmung, dass sie nicht inaktiv, sondern aktiv erfolgen muss. Probleme sind allerdings hinsichtlich der Ladezeiten der Websites zu erwarten, zumal hier vermehrt mit Erweiterungen gearbeitet werden muss.

Grauzone IP-Adresse – Anonymisierung wird mit DSGVO zum Pflichtbestandteil

Wie eingangs erwähnt, regelt die DSGVO die Verarbeitung von personenbezogenen direkten und indirekten Daten. Per Definition müssen diese also unmittelbar Aufschluss über die nutzende Person geben, um überhaupt schutzmöglich zu sein. Verbleibt die Frage, inwieweit das mit einer IP-Adresse möglich ist, zumal keinesfalls letztgültig zugeordnet werden kann, wer konkret sich über eine IP-Adresse einloggt. Ermitteln lässt sich allenfalls der Besitzer der IP-Anschrift, nicht aber der jeweils aktuelle User. Insofern herrscht an dieser Stelle ein neuralgischer Verständniskonflikt zwischen Google und der Datenschutzverordnung der EU, beziehungsweise dem Umgang damit in Deutschland.

Bei Google Analytics können personenbezogene Daten grundsätzlich nicht gespeichert werden, die IP-Adresse durchaus. Konträr dazu gehören IP-Adressen in Deutschland zu den indirekten personenbezogenen Daten. Folgerichtig heißt das, dass nach Eintreten der DSGVO ausländische Normen mit hiesigen Vorschriften in Übereinstimmung gebracht werden müssen: Um etwaige Verstöße zu vermeiden, muss die IP-Adresse verschlüsselt und damit entpersonalisiert werden. Praktisch umgesetzt wird das mit der Code-Erweiterung „anonymizelp“.

Wirkt sich die DSGVO-auf den Google-Ranking-Faktor aus?

In der Theorie zunächst eindeutig „Nein“. In der Praxis auf lange Sicht durchaus. Klar, geradezu unvermeidbar ist es, dass sich die zu implementierenden Maßnahmen auf die User Experience und die Ladezeit auswirken werden. Die User Experience aber ist längst in die Rankingfaktoren mit aufgenommen worden. Und die wird zunächst eine Kurve, wenn nicht gar einen Knick in den negativen Bereich machen. Schon eine kuriose Vorstellung, wenngleich von manchen kaum bemerkt: Das Nutzererlebnis wird ab dem 25. Mai in die Knie gehen und zwar – mindestens – europaweit. Eurovision SEO-Contest sozusagen.

Was bei allen Beteiligten vom Datenverantwortlichen bis zum Auftragsverarbeiter für zusätzlichen Arbeitsaufwand sorgen wird, ist die Auskunftspflicht. Um darüber Auskunft geben zu können, welche personenbezogenen Daten gesammelt werden, muss das zunächst einmal dokumentiert werden. Personen, über die Daten erhoben werden, haben das Recht auf diese Auskunft. Im Worst Case werden einige auf SEO spezialisierte Dienstleister allein für diesen zeitintensiven Passus zusätzliches Personal einstellen und sich in eine selbsterklärte Auskunftei wandeln müssen. Nicht zu vergessen, dass die User auch die Korrektur falscher Daten und die Löschung der personenbezogenen Daten verlangen dürfen.

Zwiespältiges Fazit:

Unter dem Strich wird der User gestärkt, und das ist ganz sicher gut so. Allerdings wäre es die vermutlich erste Maßnahme der Welt, die ohne Kontrolle funktioniert. Angesichts der rasanten Entwicklung der digitalen Welt bleibt es fraglich, inwieweit der gute Wille aus Brüssel auch real sowie realistisch greifen kann und sich nicht als Arbeitsbeschaffungsmaßnahme für Unternehmen entpuppt, deren Geschäftskonzept das Abmahnwesen ist.

Autor: Giovanni Bruno ist Gründer und Geschäftsführer der fokus digital GmbH, einer Agentur für digitale Kommunikation in Berlin. Bruno widmet sich der Konzeption, Entwicklung und Umsetzung medienübergreifender Kommunikationsstrategien und Online Business-Modellen. Er ist Beisitzer im Landesvorstand DPRG Berlin/Brandenburg und engagiert sich als Mitglied im Ausschuss der IHK Berlin Digitale Wirtschaft.