Missing Link: Wie die DSGVO wirkt – schmutzige Tricks und Macht der Stärkeren

Die DSGVO sollte eigentlich den Datenschutz voranbringen, aber die großen Datensammler am Markt werden nur noch größer. Ist das Kartellrecht ein besserer Hebel?

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 373 Beiträge

(Bild: mixmagic/Shutterstock.com)

Von
  • Monika Ermert
Inhaltsverzeichnis

Europas Datenschutzgrundverordnung wurde als „Magna Charta“ des Datenschutzes bezeichnet. Harvard-Wissenschaftlerin Shoshana Zuboff nannte sie die „vorgeschobenste Grenzfeste“ bei der Zurückeroberung unserer Privatsphäre. Doch die wissenschaftliche Vermessung der Effekte zeigt einige unerwartete und unerwünschte Nebenwirkungen.

"Missing Link"

Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.

Wissenschaftler haben die Auswirkung der Datenschutzgrundverordnung in Studien zum Aufrufen von Third-Party-Domains, zur Verwendung von Cookies und bei der Reduzierung „sichtbar wiederkehrender Nutzer“ gemessen. Die Ausschläge im Mai 2018 sind deutlich sichtbar auf ihren Skalen. Zugleich aber konstatieren sie fast übereinstimmend eine stärkere Konzentration im Webtechnologie-/Webanalytics-Markt sowie im Online-Werbemarkt. Eine kleine Bestandsaufnahme.

Um etwa 12 Prozent fiel der Aufruf von Dritt-Webseiten bei HTTP/HTTPS-Anfragen an einen Satz von Alexa-Top-Websites im Mai 2018 schlagartig ab. Weil die Datenschutzgrundverordnung die Weitergabe von Nutzerdaten extrem eingehegt hat – und mindestens eine gut hinterlegte Einwilligung notwendig war –, zogen viele EU-Unternehmen mit dem Inkrafttreten der Verordnung aus Angst vor den möglichen hohen Bußgeldern erst einmal die Notbremse. Das zeigen die Zahlen einer Studie von Forschern der Eidgenössischen Technischen Hochschule in Zürich, Stefan Bechtold und Christian Peukert.

In einem Forschungsprojekt hatten der Jurist und der Ökonom gemeinsam mit weiteren Kollegen das Verhalten von 110.000 Top-Alexa-Websites über 18 Monate lang untersucht. Auf der Basis der im HTTPArchive gespeicherten Anfragen, die die Websites in Folge von Nutzeraufrufen an Dritt-Domains versandt hatten – sogenannte Third-Party-Cookies –, konnten sie feststellen, wie weit die Daten der anfragenden Nutzer geteilt wurden.

Abgebildet ist die durchschnittliche logarithmierte Anzahl von Drittunternehmen-Domains, an die Website-Hosts mit (nicht) länderspezifischen EU-Top-Level-Domains Anfragen senden.

(Bild: Peukert et al)

Auch die von den Kritikern insbesondere aus den USA vorab bekämpfte Exterritorialwirkung der DSGVO konnten Forscher in ihren Plots sehen. Zwar fiel der Rückgang von Third-Party-Cookies bei nicht in der EU ansässigen Sites mit 5,5 Prozent kleiner aus. Trotzdem war der Effekt so deutlich, wie man es wohl von keinem anderen singulären Ereignis erwarten dürfe, sagt Peukert. Der Befund deckt sich mit den Zahlen anderer Forschungsarbeiten. Die Regulierung schien zu wirken.

Zugleich aber machten Bechtold, Peukert und ihre Kollegen auch die Beobachtung, dass parallel zum Rückgang der Third-Party-Cookies einerseits die Zahl der First-Party-Cookies leicht zunahm. Unternehmen verlagerten das Sammeln von Daten also aus Vorsicht zunächst ins eigene Haus. 1,7 Prozent mehr First-Party-Cookies leisteten sich EU-ansässige Unternehmen, 2,5 Prozent mehr ihre Konkurrenz außerhalb der EU.

Noch bemerkenswerter ist allerdings die von den Zürcher Wissenschaftlern beobachtete Rückkehr zum Status quo. Schon nach 4 Monaten waren die Third-Party-Cookies bei Nicht-EU-Websites wieder auf dem Niveau vor dem Mai 2018. Für die EU berechneten die Forscher eine Wiederherstellung des Status quo nach etwa 22 Monaten.

Bechtold erklärt das Ergebnis mit der Erholung von einem ersten Regulierungsschock. „Die Unsicherheiten bezüglich der Regulierung und der Umsetzung waren anfangs groß“, sagt er. Nach und nach hätten nicht nur die europäischen Datenschutzbehörden durch Richtlinien Details zu Consent-Regelungen und weiteren Fragen klargestellt. Die Unternehmen stellten sich auch auf die neue Situation ein.