von Ralf Keu­per, Bank­stil und Micha­el Ochs, Fraun­ho­fer IESE

Eine Co-Ver­öf­fent­li­chung des Blogs Bank­stil und des Blogs des Fraun­ho­fer IESE

Der Data Pro­tec­tion Day fin­det seit 2007 jähr­lich statt. Er wur­de auf Initia­ti­ve des Euro­pa­rats als Akti­ons­tag zur Sen­si­bi­li­sie­rung der Bür­ger Euro­pas für Daten­schutz ins Leben geru­fen. Grund genug – so fin­den wir – zum nun­mehr 12. Data Pro­tec­tion Day die aktu­el­len Ent­wick­lun­gen von Daten­schutz und Pri­va­cy in digi­ta­len Geschäfts­mo­del­len zu betrach­ten und ein­zu­ord­nen. Das The­ma war noch nie so aktu­ell wie heu­te und es zeich­nen sich erstaun­li­che Ver­än­de­run­gen ab!

Kun­den­da­ten im Zen­trum von digi­ta­len Geschäfts­mo­del­len – natür­li­cher „Feind“ Datenschutz?

In der Digi­tal Eco­no­my, die die Kun­den­da­ten ins Zen­trum neu­er Geschäfts­mo­del­le und Dienst­leis­tun­gen stellt, sind die­se inzwi­schen zum nicht mehr weg­zu­den­ken­den Roh­stoff gewor­den, der eine Mul­ti­mil­li­ar­den Indus­trie antreibt. Oft wur­de und wird – zu Recht – der Umgang der gro­ßen Inter­net­kon­zer­ne und Unter­neh­men mit Kun­den­da­ten und damit der Pri­vat­sphä­re von Indi­vi­du­en kri­ti­siert. Man möge dabei nur an die auf Basis einer Ände­rung der AGB geplan­te Über­mitt­lung von Mobil­funk­num­mern aus Whats­app an Face­book den­ken, die im April 2017 durch eine gericht­li­che Ent­schei­dung gestoppt wur­de, oder den Ver­such eini­ger Retail­ban­ken im Som­mer 2017 Kun­den­stamm­da­ten an den Bezahl­dienst Pay­di­rekt zum Zweck der „Kom­fort­re­gis­trie­rung“ zu über­ge­ben – eben­falls per Ände­rung der AGB. Hier prü­fen die zustän­di­gen Lan­des­da­ten­schutz­be­hör­den der­zeit noch die Recht­mä­ßig­keit, vor allem unter dem Aspekt der Frei­wil­lig­keit der Ein­wil­li­gung zur Ver­ar­bei­tung oder Über­tra­gung von Daten, der auch in der EU-Daten­schutz­grund­ver­ord­nung (DSGVO) tief ver­an­kert ist. Bei­de Ideen könn­ten doch den Kun­den „das Leben so viel leich­ter machen“ – über­le­sen Sie hier bit­te nicht den leicht sar­kas­ti­schen Unter­ton. Sol­chen Akti­vi­tä­ten möch­te die EU mit der DSGVO in ernst­zu­neh­men­der Wei­se einen Rie­gel vor­schie­ben. Eine lan­ge Zeit wur­de der am Hori­zont „dro­hen­de“ neue, har­te und mit hohen Buß­gel­dern bewehr­te Daten­schutz als schäd­lich für das Geschäft ver­dammt. Doch die Situa­ti­on hat sich vom Beschluss der DSGVO im April 2016 bis heu­te, nur weni­ge Mona­te vor Ablauf der Über­gangs­frist zwi­schen alter Daten­schutz­richt­li­nie und DSGVO, nicht uner­heb­lich verändert. 

Die gro­ßen Platt­for­men und Anbie­ter der Digi­tal Eco­no­my haben gut und schnell ver­stan­den – machen sie erneut das Rennen?

Es ist daher nicht ohne Iro­nie, dass aus­ge­rech­net die häu­fig als „Daten­kra­ken“ titu­lier­ten US-ame­ri­ka­ni­schen Tech­no­lo­gie­kon­zer­ne das The­ma Daten­schutz längst für sich ent­deckt haben. Goog­le und Micro­soft bie­ten bereits seit ca. 2 Jah­ren ein Pri­va­cy Cock­pit für Account­be­sit­zer an. Dies ermög­licht den Nut­zern selbst zu ent­schei­den, wel­che Art von Daten von den Anbie­tern erfasst und ver­wen­det wer­den dür­fen – wenn­gleich dem ein ent­spre­chen­der öffent­li­cher Druck vor­aus­ging. Nun kün­dig­te Face­book kürz­lich an, ein Pri­va­cy Cen­ter in sei­ne Platt­form zu inte­grie­ren und sogar glo­bal aus­zu­rol­len. Die Nut­zer sol­len auch hier künf­tig die Mög­lich­keit haben, ihre Pri­vat­sphä­re mit ent­spre­chen­den Ein­stel­lun­gen zu schüt­zen. Sheryl Sand­berg, COO von Face­book, sieht das sozia­le Netz­werk über­dies gut gerüs­tet, um die Anfor­de­run­gen der DSGVO zu erfül­len. Es dürf­te Face­book dann auch kei­ne all­zu gro­ßen Pro­ble­me berei­ten, die Anfor­de­run­gen der ePri­va­cy-Ver­ord­nung (Coo­kies und Track­ing) umzu­set­zen, gegen die hier­zu­lan­de die Ver­la­ge (G+J, FAZ, Sprin­ger und ande­re) und die Inter­net­wer­be­indus­trie Sturm lau­fen. Micro­soft plant dar­über hin­aus die Ein­füh­rung neu­er Pri­va­cy Manage­ment Fea­tures in Win­dows 10. Goog­le gibt Nut­zern künf­tig die Mög­lich­keit, ner­vi­ge Wer­bung abzu­schal­ten und unter­gräbt damit in gewis­ser Wei­se sein eige­nes Geschäfts­mo­dell. Mit Blick auf die­se Ver­än­de­run­gen ist es nur wenig über­ra­schend, dass einer der Autoren die­ses Arti­kels die ers­te eMail zu Arti­kel 14 DSGVO „Infor­ma­ti­ons­pflicht, wenn die per­so­nen­be­zo­ge­nen Daten nicht bei der betrof­fe­nen Per­son erho­ben wur­den“ mit dem Hin­weis auf die Spei­che­rung sei­ner per­so­nen­be­zo­ge­nen Daten vor weni­gen Tagen aus Nord­ame­ri­ka erhal­ten hat – und nicht aus Europa.

Kann es sein, dass, wie schon so oft in der Ver­gan­gen­heit, ein The­ma über den Umweg USA bei uns Ein­zug hält und zum „Ver­kaufs­schla­ger“ wird? Das wäre dop­pelt bit­ter, da der Daten­schutz im Aus­land (noch) als eine „Kern­kom­pe­tenz“ Euro­pas wahr­ge­nom­men wird. Wenn nun aus­ge­rech­net die Inter­net­kon­zer­ne und gro­ßen digi­ta­len Platt­for­men Daten­schutz nicht nur EU-kon­form umset­zen, son­dern für ihre Zwe­cke ent­de­cken, dar­aus ein funk­tio­nie­ren­des Geschäfts­mo­dell ent­wi­ckeln, dann läuft etwas grund­le­gend schief. Wäh­rend die ande­ren sich vor­wärts ent­wi­ckeln, blei­ben wir ste­hen bzw. gehen rückwärts. 

Asia­ti­sche Kon­zer­ne wie Ali­baba und WeChat machen dage­gen noch kei­ne gro­ßen Anstal­ten, den Daten­schutz zu ihrem Vor­teil zu nut­zen – eher im Gegen­teil. Bei­de Unter­neh­men sind zen­tra­le Akteu­re bei der Ein­füh­rung des Social Scoring durch die chi­ne­si­sche Regie­rung. Künf­tig soll ein Score-Wert die Lini­en- bzw. Regie­rungs­treue der Ein­woh­ner anzei­gen – mit Aus­wir­kun­gen auf das Leben der Indi­vi­du­en. WeChat soll sogar die Funk­ti­on eines Per­so­nal­aus­wei­ses übernehmen. 

Kri­tisch bewer­ten Daten­schüt­zer Ama­zon Go, den neu­en Laden ohne Kas­se. Hier wer­den beim Ein­kauf und Bezah­len zahl­rei­che per­so­nen­be­zo­ge­ne Daten erho­ben, die zu wei­te­ren Zwe­cken, die Kun­den nicht unmit­tel­bar beein­flus­sen kön­nen, ver­wen­det werden. 

Eines zeich­net sich immer mehr ab: Die per­so­nen­be­zo­ge­nen Daten wer­den in Zukunft für die Wer­be­indus­trie und Inter­net­kon­zer­ne nicht mehr so leicht zu beschaf­fen sein, wie in der Ver­gan­gen­heit. Die Kun­den wer­den sen­si­bler und begin­nen den Wert ihrer Daten und die Schutz­be­dürf­tig­keit ihrer Pri­vat­heit zu erken­nen. Die Stra­te­gie­wech­sel von MS, Goog­le und Face­book machen deut­lich, dass man die­se (Macht-)Verschiebung zum Kunden/​Nutzer erkannt und ange­nom­men hat, das Risi­ko in eine Chan­ce wan­deln will und wird. 

Daten­schutz und Daten­sou­ve­rä­ni­tät – die schnel­le Meta­mor­pho­se zum Feature

Künf­tig wer­den Daten­schutz und Daten­sou­ve­rä­ni­tät auf der einen und Cus­to­mer Jour­ney auf der ande­ren Sei­te in den Unter­neh­men und ins­be­son­de­re in der Start­up-Sze­ne nicht mehr als Gegen­satz­paar inter­pre­tiert. Sie wer­den als sich gegen­sei­tig bedin­gen­de und för­dern­de Fak­to­ren, um als Unter­neh­men im Geschäft zu blei­ben, betrach­tet. Es ist also kein Aus­druck von „Ger­man Angst“, wenn Face­book und ande­re dem Daten­schutz jetzt Prio­ri­tät ein­räu­men, son­dern pures Eigen­in­ter­es­se und Aus­druck betriebs­wirt­schaft­li­cher Logik und der rich­ti­gen stra­te­gi­schen Ent­schei­dun­gen – wir erle­ben die­ser Tage tat­säch­lich die Meta­mor­pho­se der „läs­ti­gen regu­la­to­ri­schen“ Anfor­de­rung Pri­va­cy zum Feature. 

Der bis­he­ri­ge Trend, dass Kon­su­men­ten für die Nut­zung von Diens­ten z.B. in digi­ta­len Free-Geschäfts­mo­del­len à la Goog­le, Face­book usw. mit ihren per­so­nen­be­zo­ge­nen Daten zah­len (im Sili­con Val­ley bedient man sich ger­ne State­ments wie „If you don’t pay for the pro­duct, your are the pro­duct.“) könn­te sich tat­säch­lich umkeh­ren. Die Ten­denz, dass Dienst­an­bie­ter in Zukunft durch die Erbrin­gung des Diens­tes und mög­li­cher­wei­se wei­te­rer Leis­tun­gen für die Daten der Kun­den zah­len, zeich­net sich bereits ab. Das klingt gleich? Ist es aber nicht. Zahlt der Dienst­leis­ter für die Kun­den­da­ten mit sei­nen Leis­tun­gen, kann der Kun­de ent­schei­den, wel­che Daten er dem Dienst­leis­ter anbie­ten möch­te, wel­che nicht und wel­che Dienst­leis­tun­gen er dafür erhält – ganz im Sin­ne der DSGVO, eben ech­te Daten­sou­ve­rä­ni­tät. Gleich­zei­tig beflü­gelt dies die Dienst­an­bie­ter im Ver­tei­lungs­kampf um die Kun­den­da­ten stän­dig bes­se­re Diens­te zu kre­ieren und anzu­bie­ten – ein ech­ter Inno­va­ti­ons­be­schleu­ni­ger. Die nächs­ten Jah­re wer­den zei­gen, ob die Kun­den das ver­än­der­te Ange­bot von MS, Goog­le, Face­book und Ama­zon anneh­men. Es wird sich auch zei­gen, ob der Trend in Rich­tung Daten­sou­ve­rä­ni­tät wie mit IND²UCE oder selbst-ver­wal­te­ter Daten und Digi­ta­len Iden­ti­tä­ten wie mit Idento.one läuft oder, ob wir Daten­treu­hän­der, wie u.a. die Alli­anz sie schon heu­te für Auto­da­ten for­dert, brau­chen werden.

Digi­ta­le Iden­ti­tät: der „Web­feh­ler“ des World Wide Web und wie er kor­ri­giert wer­den kann

Heu­te schon – und in Zukunft immer öfter und umfas­sen­der – nut­zen wir digi­ta­le Diens­te und schlie­ßen auf die­sem Weg Ver­trä­ge und täti­gen Ein­käu­fe oder Ver­käu­fe. Hier­für ist neben dem adäqua­ten Umgang und dem Schutz von Daten auch eine siche­re und ver­trau­ens­wür­di­ge digi­ta­le Iden­ti­tät erfor­der­lich. Das Inter­net wur­de jedoch ohne eine Schicht für die Ver­wal­tung digi­ta­ler Iden­ti­tä­ten kon­zi­piert. Fol­ge davon ist, dass wir uns im Inter­net mit ver­schie­de­nen Pass­wör­tern anmel­den müs­sen, um die diver­sen Diens­te in Anspruch neh­men zu kön­nen. Face­book, Goog­le & Co. konn­ten u.a. mit­tels Social Log­in (Gmail, Face­book Con­nect) ihre eige­nen Sub­sys­te­me schaf­fen. Dar­auf basie­ren Tei­le ihres Geschäfts­mo­dells bis heu­te. Solan­ge die­ser Zustand anhält, liegt der Schutz die­ser per­so­nen­be­zo­ge­nen Daten – auch wenn dafür Pri­va­cy Cock­pits ange­bo­ten wer­den – in den Hän­den von Goog­le, Face­book & Co. Soll­te sich aber eine Infra­struk­tur, wie die Block­chain-Tech­no­lo­gie mit ihrer dezen­tra­len Phi­lo­so­phie, durch­set­zen, dann könn­ten die Nut­zer ihre Daten und digi­ta­len Iden­ti­tä­ten wei­test­ge­hend selb­stän­dig ver­wal­ten. Wer dann auf die Daten zugrei­fen will, muss um Erlaub­nis fra­gen. Nicht ganz zu Unrecht sehen eini­ge in der Block­chain-Tech­no­lo­gie die größ­te Bedro­hung für Face­books ande­re Sei­te Face­book Con­nect. Dass Face­book auch die­se Ent­wick­lung bereits auf dem Radar hat, zeigt die aktu­el­le Mel­dung, wonach das Unter­neh­men das auf bio­me­tri­sche digi­ta­le IDs spe­zia­li­sier­te Start­up confirm.io über­nom­men hat. Mit der neu­en Lösung will Face­book die Sicher­heit der Nut­zer erhö­hen, d.h. die Daten vor unbe­fug­tem Zugriff schüt­zen: Daten­schutz und Infor­ma­ti­ons­si­cher­heit als inhä­ren­ter Teil eines unter ande­rem durch die DSGVO ange­pass­ten Geschäfts­mo­dells. Dabei ver­folgt ein Teil die­ser neu­en Aus­rich­tung in der ers­ten Wel­le der Ser­vices rund um digi­ta­le Iden­ti­tät. Dies bedeu­tet eine erneu­te, ver­scho­be­ne Macht­kon­zen­tra­ti­on, die bei anzu­neh­men­der Leich­tig­keit des Ein­stiegs in die Nut­zung eines Iden­ti­ty Ser­vice das Poten­zi­al birgt bereits in weni­gen Jah­ren durch die hohe Anzahl an Face­book Bestands­nut­zern zu meh­re­ren hun­dert Mil­lio­nen Nut­zern eines Iden­ti­ty Ser­vice zu kom­men. Es wäre dabei grob fahr­läs­sig zu ver­mu­ten, dass sol­che Iden­ti­ty Daten im Wert gerin­ger ein­zu­schät­zen sind als die jet­zi­gen Daten auf der Face­book Social Media Platt­form. Wer wird in die­sem Ren­nen die Nase vorn haben – Euro­pa oder Nord­ame­ri­ka? Die Chan­cen für Nord­ame­ri­ka ste­hen der­zeit außer­or­dent­lich gut dafür.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert