“Personal Data Banks wären .. eine wichtige Grundlage für umfassende digitale und datenbasierte Dienstleistungen” – Interview mit Michael Ochs (Fraunhofer IESE)

Michael Ochs

Beim Thema Datenschutz scheiden sich die Geister. Für die einen mehr oder weniger ein notwendiges Übel, das die Customer Journey nicht zu sehr beeinträchtigen soll, für die anderen die Ultima Ratio auf dem Weg zur Datensouveränität. Dazwischen bleibt nicht mehr allzu viel Interpretationsspielraum. Dass diese Sichtweise verkürzt ist und Datenschutz sogar ein Wettbewerbsvorteil sein kann, davon ist Michael Ochs (Foto), Geschäftsfeldmanager Digital Services beim Fraunhofer IESE in Kaiserslautern, überzeugt. Im Interview mit Bankstil erläutert Michael Ochs, warum das Thema Datenschutz moderner denn je ist, welchen Beitrag die vom Fraunhofer IESE entwickelte Lösung IND²UCE bei der Umsetzung der DSGVO und darüber hinaus leisten kann und warum er die Zeit für Personal Data Banks kommen sieht. 

  • Herr Ochs, können Sie kurz Ihre Funktion am Fraunhofer-Institut für Experimentelles Software Engineering IESE beschreiben?

Ich verantworte das Geschäftsfeld »Digital Services«. In diesem Geschäftsfeld beschäftigen wir uns mit Digitalisierung in verschiedenen Branchen mit verschiedenen Arbeitsschwerpunkten. Arbeitsschwerpunkte sind z.B. digitale Geschäftsmodelle, digitale Ökosysteme und Plattformökonomie, Technologien für Privacy bzw. Datenschutz, User Experience, Softwarearchitekturen – auch für Ökosysteme oder das Zusammenspiel zwischen Security und Safety. Die Branchen sind beispielsweise Automotive, Nutzfahrzeuge, Business Software und Financial Services. Hier arbeiten wir für und mit Unternehmenskunden in Projekten an einzelnen dieser Schwerpunkte oder an Kombinationen von diesen.

  • Sie sind von Haus aus Wirtschaftsmathematiker – was hat Sie zum Thema Datenschutz geführt?

Datenschutz ist eines der Themen, die wir mit Blick auf die Digitalisierung mit eigenen Technologien für Privacy by Design unterstützen. Daher liegt es auf der Hand, sich intensiv mit Datenschutz auch auf der regulativen Ebene zu beschäftigen. Dass ich Wirtschaftsmathematiker bin, ist hierbei kein Nachteil. Die Ausbildung war im Schwerpunkt eine Mischung aus Mathematik und Informatik. Dazu kamen noch Wirtschaftswissenschaften, darunter auch das Thema Recht – damals mit Fokus auf HGB und BGB natürlich. Das macht es heute durchaus leichter, sich als Nicht-Jurist durch EU-Verordnungen und -Richtlinien zu arbeiten.

  • Bietet das Fraunhofer IESE in diesem Bereich Lösungen und Services an?

Wir haben eine Lösung für das einfache und direkte Management von Einwilligungen zur Datenverarbeitung für Kunden bzw. Konsumenten und Dienstanbieter entwickelt. Dies geschieht mittels sogenannter Privacy Cockpits. Dort kann der Kunde bzw. Nutzer eines Dienstes transparent sehen und festlegen, was mit seinen Daten geschieht. Das Festlegen der Art der Verarbeitung umfasst beispielsweise, welche Daten für welche Analysen –oder generell für eine Verarbeitung – in welcher Weise verwendet werden dürfen. Hierzu kann auch fallbezogen eine Pseudonymisierung oder Anonymisierung gehören. Genauso kann festgelegt und überprüft werden, welche weiteren Dienstanbieter auf Daten des Kunden zugreifen und auf welche Weise sie diesen nutzen dürfen. Das Besondere und Einzigartige ist die Möglichkeit, die im Privacy Cockpit vorgenommenen Einstellungen zur Datenverarbeitung direkt in der Verarbeitung in den IT-Systemen durchsetzen zu können – also ein Ende-zu-Ende-Privacy-Enforcement. Die Lösung besteht aus der Technologie IND²UCE und weiteren unterstützenden Dienstleistungen bei der Einführung und Integration von IND²UCE in die eigenen Systeme. Technisch gesehen ist IND²UCE eine Privacy-Architekturschicht für datenverarbeitende Systeme, die leicht in bestehende und sich in der Entwicklung befindende Systeme integriert werden kann. Als Dienstanbieter löst man damit die Herausforderungen der Datenschutzgrundverordnung (DSGVO) in Bezug auf das einfache Geben und Zurücknehmen von Einwilligungen zur Datenverarbeitung mit der geforderten engen Zweckbindung sowie Privacy by Design im Hinblick auf die IT-Systeme. Außerdem besteht eine erhebliche Aufwandsersparnis im Vergleich zur Entwicklung eines eigenen Einwilligungsmanagements mit Enforcement in den IT-Systemen. Dazu ist IND²UCE nahezu wartungsfrei und mindert damit deutlich die Wahrscheinlichkeit für solche Fehler in der Software, die im schlimmsten Fall zu meldepflichtigen Datenschutzverletzungen führen können.

  • Beim Thema Datenschutz bilden sich – überspitzt formuliert – schnell zwei Lager heraus: einmal diejenigen, denen der Datenschutz gar nicht weit genug gehen kann, und dann die Gruppe, für welche der Datenschutz latent geschäftsverhindernd ist. Wo würden Sie sich ansiedeln?

Ich würde mich in keinem der beiden Lager wohlfühlen. Wichtig ist immer, die richtige Balance zwischen Datenschutz und Datennutzung zu halten. Das hängt im Einzelfall von vielen Faktoren ab, z.B. den Kategorien der Daten oder dem jeweiligen Zweck der Verarbeitung.

  • Könnte Datenschutz auch ein Standortvorteil für Europa sein und Innovationen fördern?

Eine der Neuerungen – in meinen Augen eine der wichtigsten – in der Datenschutzgrundverordnung ist das Recht auf Datenübertragbarkeit. Dies ist die Öffnung von digitalen Diensten untereinander. Einerseits kann ich so als Kunde meine Daten, die bei einem Dienstanbieter liegen, auch ganz oder in Teilen durch Übertragung bei einem anderen Dienstanbieter nutzen. Dies schafft eine ganz neue rechtliche Grundlage für neue digitale Wirtschaftszweige in den Bereichen Plattformökonomie und digitale Ökosysteme. Andererseits fällt mir so auch ein Wechsel des Dienstanbieters zu einem möglicherweise „besseren“ Anbieter leichter, da durch das Recht auf Datenübertragbarkeit das Data Lock-in von Anbietern aufgebrochen wird. Dies schafft zum Beispiel Raum für alternative Angebote zu großen Dienstanbietern, die aktuell quasi eine Monopolstellung bei ihren Angeboten innehaben. Würden Konkurrenten in den Markt eindringen, könnte ich als Kunde beim Wechsel des Anbieters meine gesamten Daten zum neuen Anbieter mitnehmen.

  • Aus Kanada stammt die Idee des Privacy by Design, d.h. der Datenschutz bzw. der Schutz der Privatsphäre wird in die Applikationen eingebaut und nicht erst später mit hohem Aufwand integriert. Wie ist der Stand in Deutschland?

Die DSGVO fordert unter anderem entsprechende Maßnahmen. Praktisch schließt dort Privacy by Design technische und organisatorische Maßnahmen für Datenschutz ein. Organisatorische Maßnahmen beginnen dabei für mich bereits auf Ebene der Geschäftsprozesse, die auf Datenschutz und die sorgsame Handhabung von personenbezogenen Daten ausgerichtet werden müssen. Dies sollte sich dann in entsprechenden Risikoanalysen für Datenschutz wiederfinden und auch in die Anforderungen für Software, die die Geschäftsprozesse unterstützt, Eingang finden. In der Software selbst wäre beispielsweise eine Privacy-Architekturschicht ein sinnvoller Aspekt, um durchgängig den Datenschutz und die Privatsphäre von Kunden durch die Software und die damit ausgeführte Datenverarbeitung zu unterstützen. Bisher habe ich wenige solcher technischen Lösungsansätze im Sinne der DSGVO im Einsatz gesehen. An vielen Stellen befinden sich zwar Berechtigungsmanagementsysteme im Einsatz, jedoch ist dies mehr die Innensicht auf die Prozesse und Daten und deren Nutzung durch Mitarbeiter des jeweiligen Unternehmens. Das hat noch wenig von den Aspekten, die ab Mai mit der DSGVO auf Unternehmen, deren Prozesse und damit auch deren Software zukommen. Dazu zählen unter anderem freiwillige Einwilligungen zur Verarbeitung von personenbezogenen Daten, die jederzeit– so leicht wie sie gegeben wurden – widerrufbar sein müssen.

  • PSD2/Open Banking und demnächst die neue Datenschutzgrundverordnung (DSGVO) versetzt die Kunden in die Lage, ihre Daten in Besitz zu nehmen und zu entscheiden, wer etwas mit ihnen machen darf. Wie sieht das in der Praxis aus, d.h. welche Hürden müssen dazu überwunden werden?

Die PSD2 versetzt Kunden in die Lage, z.B. ihre Kontodaten und insbesondere ihre Kontotransaktionen von mehreren Zahlungskonten in einer Sicht darstellen zu lassen. Dies kann entweder durch eine Bank geschehen oder durch einen Zahlungsdienstleister, der sogenannte Kontoinformationsdienste anbietet. Dies ist ein Konstrukt, das in etwa dem Recht auf Datenübertragbarkeit in der DSGVO entspricht. Dabei dürfen die Daten vom Anbieter des Kontoinformationsdienstes zunächst nur zum Zweck des Kontoinformationsdienstes selbst verwendet werden. Alle weitergehenden Analysen dieser so aggregierten Daten, wie z.B. Mehrwertdienste aufgrund von Profiling und Unterbreitung von maßgenauen Angeboten aller nur erdenklichen Art, würden eine weitere Einwilligung auf Basis der DSGVO und gegebenenfalls auch des UWG erfordern. Aktuell werden immer wieder Diskussionen geführt, bei denen die erste Interessengruppe keine Notwendigkeit für Unterscheidungen bei den Arten der Kontotransaktionen sieht. Kontotransaktionen können z.B. mit Girocard getätigte regelmäßige Apothekenbezahlungen, Partei- oder Gewerkschaftsbeiträge, Spenden an religiöse Gruppen oder Unterhaltszahlungen an minderjährige und außerhalb des Haushalts lebende Kinder beinhalten. Man könnte diese Liste von besonders sensiblen Inhalten in Kontotransaktionen noch sehr lange fortsetzen. Die zweite Interessengruppe möchte sicherstellen, dass auf Basis der DSGVO für Mehrwertdienste entsprechende Einwilligungen freiwillig gegeben oder Verträge mit Zweckbindung geschlossen werden. Dies hätte aber auch zur Folge, dass beispielsweise ein Mehrwertdienst für Freizeitangebote entweder Kontotransaktionsdaten wie z.B. Partei- oder Gewerkschaftsbeiträge erst gar nicht „sehen“ sollte oder sicherstellen und bei Bedarf auch nachweisen können müsste, dass solche Daten nicht in ein Profiling eingehen. Hier besteht noch erheblicher Klärungsbedarf. Die VZBV (Verbraucherzentrale Bundesverband) in Berlin kommentiert dies mit: „Das ist eine Friss-oder-Stirb-Lösung […]“ – also das, was die EU mit der DSGVO eigentlich abschaffen wollte. Helfen könnten bei der Klärung zum Beispiel die Artikel-29-Gruppe zum Datenschutz und verschiedene Arbeitsgruppen der Landesdatenschutzbeauftragten. Nicht zuletzt muss das Thema auf EU-Ebene einheitlich reguliert werden. Technologisch gäbe es bereits eine Lösung: IND²UCE könnte auch hier vollumfänglich eingesetzt werden.

  • Vor einigen Wochen kündigten die Sparkassen die Pilotierung des Voice Bankings mit dem Google Assistent an. (Vor Jahren sah man das dort noch anders: Deutsche Sparkassen legen sich mit Google an). Dagegen äußerten Datenschützer einige Bedenken – auch die beste Verschlüsselung könne nicht verhindern, dass die Hersteller mithören. Wie sehen Sie das?

Ich finde die Idee naheliegend und innovativ. Als Konsument und Kunde erhöht das definitiv meinen Komfort beim Banking und die Integration mit den gängigen Sprachassistenten ist ein möglicher und konsequenter nächster Digitalisierungsschritt. Denken wir einen Moment „zurück“ an das bekannte Telefonbanking: Hier gibt es die Sprachsteuerung schon. Aber es gibt einen großen Unterschied: Die gängigen Sprachassistenten sind lediglich „Mikrofon“ und „Lautsprecher“. Sämtliche Verarbeitung findet in der Cloud beim jeweiligen Assistenzanbieter statt. Beim Telefonbanking war die Bank auch der Dienstleister für Sprachein- und -ausgabe; in der Wertschöpfungskette gab es also eine direkte Verbindung zwischen Kunde und Bank. Beim Voice Banking wird ein Mittler, nämlich der Anbieter des Assistenzsystems, dazwischengeschaltet. Ich denke, ab hier muss jeder über die Nutzung von Voice Banking für sich selbst entscheiden, z.B. nach intensivem Studium der Datenschutzerklärungen der Bank zum Voice Banking, des Anbieters des Sprachassistenzsystems und auch der Funktionalität des Voice Bankings, die man selbst tatsächlich nutzen möchte.

  • Statt die Diskussion auf den Datenschutz zu konzentrieren, fordern einige eine neue Datenpolitik, welche berücksichtigt, dass Daten Teil eines größeren Ökosystems sind und in sozialen und ökonomischen Austauschbeziehungen entstehen. Der richtige Ansatz?

Für mich ist es definitiv der richtige Ansatz, sich nicht nur auf Datenschutz zu konzentrieren. Ohne Daten und Datennutzung wird sich die in Zukunft immer mehr digitalisierte Wirtschaft weit unter ihrem Potenzial entwickeln. Datennutzung sollte dabei aber immer adäquat und zweckbezogen sein. Das heißt, dass nicht jeder Dienstanbieter in einem Ökosystem für einen bestimmten Zweck alle meine personenbezogenen Daten in voller Detailstufe sehen und kennen muss. Ein weiterer Aspekt ist auch die Frage, wie lange bestimmte Daten dann wiederum mit Personenbezug beim Anbieter persistieren dürfen und wann diese vollständig anonymisiert oder gelöscht werden müssen.

  • Sollte sich das dezentrale Internet (Web 3.0) durchsetzen, könnten neue Geschäftsmodelle und Institutionen, wie Personal Data Banks oder Datengemeinschaften, entstehen. Mehr als eine Utopie?

Ich halte das nicht für eine Utopie. Es wird aber auch nicht gleich schon morgen dazu kommen. Personal Data Banks wären in meinen Augen eine wichtige Grundlage für umfassende digitale und datenbasierte Dienstleistungen, mit denen Daten zu einem Teil eines größeren Ökosystems werden würden und, bei entsprechender Datensouveränität der Konsumenten, tatsächlich auch umfassend, aber kontrolliert zur Wertschöpfung genutzt werden könnten. Ich finde übrigens die Bezeichnung Personal Data Bank ziemlich gelungen: Eine Bank im klassischen Sinne verwaltet mein Geld sicher und ich kann selbst entscheiden, wie ich es ausgebe und für was. Dieser Analogie folgend liegt bei Personal Data Banks der Fokus klar auf Sicherheit und Datenschutz für die Daten der Kunden, die selbst entscheiden können, an wen sie welche Daten herausgeben. Solche Konzepte – die Nutzung von Daten in Ökosystemen und aus Personal Data Banks heraus durch Dienste – lassen sich übrigens ebenfalls mit unserer Technologie IND²UCE umsetzen.

  • Wo könnten wir in fünf Jahren in Deutschland in Sachen datengetriebene Geschäftsmodelle und Datenschutz stehen? 

Ich bin Optimist und schätze, dass dann Daten mit adäquatem Datenschutz in Ökosystemen für Dienstleistungen zweckbezogen global genutzt werden. Im besten Fall werden schon viele Menschen eine Personal Data Bank nutzen. Die Personal Data Bank sollte dabei möglichst alle wichtigen und relevanten Daten zu einer natürlichen Person halten. Das kann von Wohnanschrift über Bankverbindungen oder Geoposition bis hin zu Gesundheitsdaten reichen. Ich weiß, auf dem Weg dahin haben wir noch viel zu tun in punkto Software, IT-Sicherheit, Datenschutz und natürlich der Kreation innovativer Geschäftsideen. Beim Thema Privacy by Design auf Softwareebene wäre IND²UCE die ideale Technologie auch in verteilten Ökosystemen. Und – immer noch als Optimist – bin ich der Meinung, dass es in den kommenden fünf Jahren spannend, hochinteressant und innovativ wird. Wir werden es schaffen, in einigen Schlüsselbranchen die Marktführerschaft in digitalen, datenbasierten Diensten zu erobern. Dabei wird Innovation in Verbindung mit Datenschutz der wesentliche Wettbewerbsvorteil gegenüber nicht-europäischen Anbietern sein.

  • Herr Ochs, vielen Dank für das Gespräch!

Sehr gerne, Herr Keuper.

Dieser Beitrag wurde unter Interviews, Personal Data Bank abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.