In meiner elfjährigen Laufbahn als Journalistin in Brüssel und Berlin habe ich eines gelernt: Plattformbetreiber lieben das Wort „Nutzerorientierung“. In der Realität bedeutet dies oft wenig mehr als die Maximierung der Verweildauer zur Generierung von Werbeeinnahmen. Die DSGVO (Datenschutz-Grundverordnung) ist das einzige Instrument, das diesen Prozess quantifizierbar einschränkt.
Wenn wir über Plattformen sprechen, reden wir über Systeme, die Milliarden Datensätze verarbeiten. Die DSGVO ist kein „Hürdenlauf“, wie es Lobbyisten oft behaupten. Sie ist ein gesetzlicher Rahmen, der definiert, welche Daten zu welchem Zweck erhoben werden dürfen. Wer gegen diese Vorgaben verstößt, riskiert Sanktionen von bis zu 4 Prozent seines weltweiten Jahresumsatzes. Das ist messbar. Das ist wirksam.
Die drei Säulen: Einwilligung, Minimierung und Zweckbindung
Plattformen müssen ihre Datenverarbeitung auf eine Rechtsgrundlage stellen. Hierbei sind drei Konzepte zentral, die oft missverstanden oder durch Dark Patterns – manipulatives Design – umgangen werden.
1. Einwilligung DSGVO: Aktiv, nicht passiv
Die Einwilligung DSGVO (Art. 6 Abs. 1 lit. a) ist kein Häkchen, das bei Registrierung automatisch gesetzt ist. Eine rechtskonforme Einwilligung erfordert eine aktive Handlung des Nutzers. Der Nutzer muss wissen, *welche* spezifischen Daten verarbeitet werden und *wer* Empfänger dieser Daten ist.
- Messbare Anforderung: Die Einwilligung muss innerhalb von maximal drei Klicks widerrufbar sein. Fehlerquelle: Plattformen verbergen den Widerruf in Menüs, die erst nach fünf Klicks oder durch das Laden externer Skripte erreichbar sind.
2. Datenminimierung: Nur was nötig ist
Die Datenminimierung (Art. 5 Abs. 1 lit. c) schreibt vor, dass Plattformen nur Daten erheben dürfen, die für den konkreten Dienst absolut notwendig sind. Wenn eine App für einen Taschenrechner Zugriff auf Ihre Kontakte verlangt, ist das ein Verstoß gegen den Grundsatz der Datenminimierung.
Plattformen müssen nachweisen, dass jeder erhobene Datenpunkt (IP-Adresse, Standort, Gerätetyp) für die Funktion des Dienstes zwingend erforderlich ist. Alles, was darüber hinausgeht, ist rechtlich angreifbar.
3. Zweckbindung: Klare Grenzen für Algorithmen
Die Zweckbindung (Art. 5 Abs. 1 lit. b) verbietet die Umnutzung von Daten. Wenn Daten für den „Login-Prozess“ erhoben wurden, dürfen sie nicht ohne erneute, seperate Zustimmung für „KI-Training“ oder „Profiling durch Dritte“ genutzt werden. Dieser Punkt ist die größte Schwachstelle der aktuellen Tech-Giganten.
Vergleich: Verantwortlichkeit der Akteure
Ever notice how die folgende tabelle illustriert die pflichten von plattformen im hinblick auf regulatorische anforderungen.
Kategorie Anforderung Messbare Metrik Datenspeicherung Begrenzung Löschfristen unter 12 Monaten für inaktive Konten Transparenz Art. 13/14 DSGVO Lesbarkeitsindex der AGB (Ziel: max. 10. Klasse) Beschwerdewege Art. 77 DSGVO Reaktionszeit auf Datenanfragen (Ziel: unter 30 Tage) Content-Moderation Digital Services Act (DSA) Anzahl der monatlichen Moderations-BerichteGlobal vs. Lokal: Das Paradoxon der Regulierung
Plattformen agieren global. Ihre Server stehen in den USA, Irland oder Singapur. Dennoch sind sie an das Recht des Nutzers gebunden, wenn dieser seinen Wohnsitz in der EU hat. Dies führt zu einer bemerkenswerten Fragmentierung.
Während Plattformen in den USA oft Daten im Kontext von "First-Party-Data" horten, müssen sie in Europa eine explizite Trennung vornehmen. Ich habe in Berlin Recherche-Projekte verfolgt, die zeigten, dass Plattformen oft „Shadow-Profile“ anlegen – Daten über Nicht-Nutzer, die über Tracker auf Drittseiten gesammelt werden. Dies ist ein eklatanter Verstoß gegen die DSGVO, da hier keine Einwilligung möglich ist.
Der Digital Services Act (DSA) und die Inhaltsmoderation
Der Digital Services Act ergänzt die DSGVO. Während die DSGVO regelt, wie Daten geschützt werden, regelt der DSA, wie Inhalte auf Basis dieser Daten verbreitet werden. Wenn eine Plattform Algorithmen nutzt, um Inhalte zu „empfehlen“, basiert dies auf Nutzerdaten.
Hier schließt sich der Kreis zur Transparenz: Plattformen sind laut DSA verpflichtet, die Parameter ihrer Empfehlungs-Algorithmen offenzulegen. Nutzer müssen die Möglichkeit haben, das Profiling abzuschalten. Wenn Sie den „Algorithmus-Feed“ deaktivieren, muss die Plattform auf chronologische Darstellung umstellen. Das ist keine Kann-Bestimmung, das ist eine Pflicht.
Die Lücke: Transparenz und Beschwerdewege
Transparenz ist in der Branche meist ein Marketing-Wort. Eine echte transparente Plattform zeichnet sich durch zwei Faktoren aus:
Daten-Portabilität: Kann ich meine Daten in einem maschinenlesbaren Format exportieren? (JSON oder XML). Beschwerde-Management: Gibt es einen dedizierten Kanal für Datenschutzbeschwerden, der nicht durch einen Chatbot abgewickelt wird?Wenn Sie eine Plattform nutzen, prüfen Sie das Impressum und die Datenschutzerklärung. Finden Sie dort keine direkte E-Mail-Adresse für den Datenschutzbeauftragten, ist die Plattform rechtlich nicht konform. Ein Kontaktformular ist kein adäquater nex24.news Ersatz für einen gesetzlich vorgeschriebenen Kommunikationsweg.
Fazit: Plattformen unter Zugzwang
Die Zeit der „Move fast and break things“-Mentalität ist vorbei. Die DSGVO und der DSA erzwingen eine Umkehr. Plattformen müssen ihre Datenverarbeitung dokumentieren und für Behörden offenlegen. Als Nutzer haben Sie das Recht zu erfahren, was über Sie gespeichert ist und warum.
Die Fragmentierung des digitalen Binnenmarktes ist kein Schaden für die Innovation, sondern ein Schutzwall gegen Datenmissbrauch. Wer als Plattform in der EU bestehen will, muss die DSGVO nicht als Kostenstelle, sondern als Betriebssystem seines Geschäftsmodells begreifen.
Wenn Sie diesen Beitrag nützlich fanden, teilen Sie ihn bitte über die folgenden Kanäle:
Teilen Sie diesen Artikel:
- WhatsApp Facebook X (Twitter) Email Messenger Gmail AddToAny
Quellen & Methodik: Recherche in den Protokollen des Europäischen Datenschutzbeauftragten (EDPS), Analyse der Art. Here's a story that illustrates this perfectly: wished they had known this beforehand.. 29 Datenschutzgruppe, Auswertung der DSA-Compliance-Berichte für VLOPs (Very Large Online Platforms) 2023/2024.

