Beim The­ma Daten­schutz schei­den sich die Geis­ter. Für die einen mehr oder weni­ger ein not­wen­di­ges Übel, das die Cus­to­mer Jour­ney nicht zu sehr beein­träch­ti­gen soll, für die ande­ren die Ulti­ma Ratio auf dem Weg zur Daten­sou­ve­rä­ni­tät. Dazwi­schen bleibt nicht mehr all­zu viel Inter­pre­ta­ti­ons­spiel­raum. Dass die­se Sicht­wei­se ver­kürzt ist und Daten­schutz sogar ein Wett­be­werbs­vor­teil sein kann, davon ist Micha­el Ochs (Foto), Geschäfts­feld­ma­na­ger Digi­tal Ser­vices beim Fraun­ho­fer IESE in Kai­sers­lau­tern, über­zeugt. Im Inter­view mit Bank­stil erläu­tert Micha­el Ochs, war­um das The­ma Daten­schutz moder­ner denn je ist, wel­chen Bei­trag die vom Fraun­ho­fer IESE ent­wi­ckel­te Lösung IND²UCE bei der Umset­zung der DSGVO und dar­über hin­aus leis­ten kann und war­um er die Zeit für Per­so­nal Data Banks kom­men sieht. 

• Herr Ochs, kön­nen Sie kurz Ihre Funk­ti­on am Fraun­ho­fer-Insti­tut für Expe­ri­men­tel­les Soft­ware Engi­nee­ring IESE beschreiben?

Ich ver­ant­wor­te das Geschäfts­feld »Digi­tal Ser­vices«. In die­sem Geschäfts­feld beschäf­ti­gen wir uns mit Digi­ta­li­sie­rung in ver­schie­de­nen Bran­chen mit ver­schie­de­nen Arbeits­schwer­punk­ten. Arbeits­schwer­punk­te sind z.B. digi­ta­le Geschäfts­mo­del­le, digi­ta­le Öko­sys­te­me und Platt­form­öko­no­mie, Tech­no­lo­gien für Pri­va­cy bzw. Daten­schutz, User Expe­ri­ence, Soft­ware­ar­chi­tek­tu­ren – auch für Öko­sys­te­me oder das Zusam­men­spiel zwi­schen Secu­ri­ty und Safe­ty. Die Bran­chen sind bei­spiels­wei­se Auto­mo­ti­ve, Nutz­fahr­zeu­ge, Busi­ness Soft­ware und Finan­cial Ser­vices. Hier arbei­ten wir für und mit Unter­neh­mens­kun­den in Pro­jek­ten an ein­zel­nen die­ser Schwer­punk­te oder an Kom­bi­na­tio­nen von diesen. 

• Sie sind von Haus aus Wirt­schafts­ma­the­ma­ti­ker – was hat Sie zum The­ma Daten­schutz geführt?

Daten­schutz ist eines der The­men, die wir mit Blick auf die Digi­ta­li­sie­rung mit eige­nen Tech­no­lo­gien für Pri­va­cy by Design unter­stüt­zen. Daher liegt es auf der Hand, sich inten­siv mit Daten­schutz auch auf der regu­la­ti­ven Ebe­ne zu beschäf­ti­gen. Dass ich Wirt­schafts­ma­the­ma­ti­ker bin, ist hier­bei kein Nach­teil. Die Aus­bil­dung war im Schwer­punkt eine Mischung aus Mathe­ma­tik und Infor­ma­tik. Dazu kamen noch Wirt­schafts­wis­sen­schaf­ten, dar­un­ter auch das The­ma Recht – damals mit Fokus auf HGB und BGB natür­lich. Das macht es heu­te durch­aus leich­ter, sich als Nicht-Jurist durch EU-Ver­ord­nun­gen und ‑Richt­li­ni­en zu arbeiten.

• Bie­tet das Fraun­ho­fer IESE in die­sem Bereich Lösun­gen und Ser­vices an?

Wir haben eine Lösung für das ein­fa­che und direk­te Manage­ment von Ein­wil­li­gun­gen zur Daten­ver­ar­bei­tung für Kun­den bzw. Kon­su­men­ten und Dienst­an­bie­ter ent­wi­ckelt. Dies geschieht mit­tels soge­nann­ter Pri­va­cy Cock­pits. Dort kann der Kun­de bzw. Nut­zer eines Diens­tes trans­pa­rent sehen und fest­le­gen, was mit sei­nen Daten geschieht. Das Fest­le­gen der Art der Ver­ar­bei­tung umfasst bei­spiels­wei­se, wel­che Daten für wel­che Ana­ly­sen –oder gene­rell für eine Ver­ar­bei­tung – in wel­cher Wei­se ver­wen­det wer­den dür­fen. Hier­zu kann auch fall­be­zo­gen eine Pseud­ony­mi­sie­rung oder Anony­mi­sie­rung gehö­ren. Genau­so kann fest­ge­legt und über­prüft wer­den, wel­che wei­te­ren Dienst­an­bie­ter auf Daten des Kun­den zugrei­fen und auf wel­che Wei­se sie die­sen nut­zen dür­fen. Das Beson­de­re und Ein­zig­ar­ti­ge ist die Mög­lich­keit, die im Pri­va­cy Cock­pit vor­ge­nom­me­nen Ein­stel­lun­gen zur Daten­ver­ar­bei­tung direkt in der Ver­ar­bei­tung in den IT-Sys­te­men durch­set­zen zu kön­nen – also ein Ende-zu-Ende-Pri­va­cy-Enforce­ment. Die Lösung besteht aus der Tech­no­lo­gie IND²UCE und wei­te­ren unter­stüt­zen­den Dienst­leis­tun­gen bei der Ein­füh­rung und Inte­gra­ti­on von IND²UCE in die eige­nen Sys­te­me. Tech­nisch gese­hen ist IND²UCE eine Pri­va­cy-Archi­tek­tur­schicht für daten­ver­ar­bei­ten­de Sys­te­me, die leicht in bestehen­de und sich in der Ent­wick­lung befin­den­de Sys­te­me inte­griert wer­den kann. Als Dienst­an­bie­ter löst man damit die Her­aus­for­de­run­gen der Daten­schutz­grund­ver­ord­nung (DSGVO) in Bezug auf das ein­fa­che Geben und Zurück­neh­men von Ein­wil­li­gun­gen zur Daten­ver­ar­bei­tung mit der gefor­der­ten engen Zweck­bin­dung sowie Pri­va­cy by Design im Hin­blick auf die IT-Sys­te­me. Außer­dem besteht eine erheb­li­che Auf­wands­er­spar­nis im Ver­gleich zur Ent­wick­lung eines eige­nen Ein­wil­li­gungs­ma­nage­ments mit Enforce­ment in den IT-Sys­te­men. Dazu ist IND²UCE nahe­zu war­tungs­frei und min­dert damit deut­lich die Wahr­schein­lich­keit für sol­che Feh­ler in der Soft­ware, die im schlimms­ten Fall zu mel­de­pflich­ti­gen Daten­schutz­ver­let­zun­gen füh­ren können.

• Beim The­ma Daten­schutz bil­den sich – über­spitzt for­mu­liert – schnell zwei Lager her­aus: ein­mal die­je­ni­gen, denen der Daten­schutz gar nicht weit genug gehen kann, und dann die Grup­pe, für wel­che der Daten­schutz latent geschäfts­ver­hin­dernd ist. Wo wür­den Sie sich ansiedeln?

Ich wür­de mich in kei­nem der bei­den Lager wohl­füh­len. Wich­tig ist immer, die rich­ti­ge Balan­ce zwi­schen Daten­schutz und Daten­nut­zung zu hal­ten. Das hängt im Ein­zel­fall von vie­len Fak­to­ren ab, z.B. den Kate­go­rien der Daten oder dem jewei­li­gen Zweck der Verarbeitung.

• Könn­te Daten­schutz auch ein Stand­ort­vor­teil für Euro­pa sein und Inno­va­tio­nen fördern?

Eine der Neue­run­gen – in mei­nen Augen eine der wich­tigs­ten – in der Daten­schutz­grund­ver­ord­nung ist das Recht auf Daten­über­trag­bar­keit. Dies ist die Öff­nung von digi­ta­len Diens­ten unter­ein­an­der. Einer­seits kann ich so als Kun­de mei­ne Daten, die bei einem Dienst­an­bie­ter lie­gen, auch ganz oder in Tei­len durch Über­tra­gung bei einem ande­ren Dienst­an­bie­ter nut­zen. Dies schafft eine ganz neue recht­li­che Grund­la­ge für neue digi­ta­le Wirt­schafts­zwei­ge in den Berei­chen Platt­form­öko­no­mie und digi­ta­le Öko­sys­te­me. Ande­rer­seits fällt mir so auch ein Wech­sel des Dienst­an­bie­ters zu einem mög­li­cher­wei­se „bes­se­ren“ Anbie­ter leich­ter, da durch das Recht auf Daten­über­trag­bar­keit das Data Lock-in von Anbie­tern auf­ge­bro­chen wird. Dies schafft zum Bei­spiel Raum für alter­na­ti­ve Ange­bo­te zu gro­ßen Dienst­an­bie­tern, die aktu­ell qua­si eine Mono­pol­stel­lung bei ihren Ange­bo­ten inne­ha­ben. Wür­den Kon­kur­ren­ten in den Markt ein­drin­gen, könn­te ich als Kun­de beim Wech­sel des Anbie­ters mei­ne gesam­ten Daten zum neu­en Anbie­ter mitnehmen. 

• Aus Kana­da stammt die Idee des Pri­va­cy by Design, d.h. der Daten­schutz bzw. der Schutz der Pri­vat­sphä­re wird in die Appli­ka­tio­nen ein­ge­baut und nicht erst spä­ter mit hohem Auf­wand inte­griert. Wie ist der Stand in Deutschland?

Die DSGVO for­dert unter ande­rem ent­spre­chen­de Maß­nah­men. Prak­tisch schließt dort Pri­va­cy by Design tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men für Daten­schutz ein. Orga­ni­sa­to­ri­sche Maß­nah­men begin­nen dabei für mich bereits auf Ebe­ne der Geschäfts­pro­zes­se, die auf Daten­schutz und die sorg­sa­me Hand­ha­bung von per­so­nen­be­zo­ge­nen Daten aus­ge­rich­tet wer­den müs­sen. Dies soll­te sich dann in ent­spre­chen­den Risi­ko­ana­ly­sen für Daten­schutz wie­der­fin­den und auch in die Anfor­de­run­gen für Soft­ware, die die Geschäfts­pro­zes­se unter­stützt, Ein­gang fin­den. In der Soft­ware selbst wäre bei­spiels­wei­se eine Pri­va­cy-Archi­tek­tur­schicht ein sinn­vol­ler Aspekt, um durch­gän­gig den Daten­schutz und die Pri­vat­sphä­re von Kun­den durch die Soft­ware und die damit aus­ge­führ­te Daten­ver­ar­bei­tung zu unter­stüt­zen. Bis­her habe ich weni­ge sol­cher tech­ni­schen Lösungs­an­sät­ze im Sin­ne der DSGVO im Ein­satz gese­hen. An vie­len Stel­len befin­den sich zwar Berech­ti­gungs­ma­nage­ment­sys­te­me im Ein­satz, jedoch ist dies mehr die Innen­sicht auf die Pro­zes­se und Daten und deren Nut­zung durch Mit­ar­bei­ter des jewei­li­gen Unter­neh­mens. Das hat noch wenig von den Aspek­ten, die ab Mai mit der DSGVO auf Unter­neh­men, deren Pro­zes­se und damit auch deren Soft­ware zukom­men. Dazu zäh­len unter ande­rem frei­wil­li­ge Ein­wil­li­gun­gen zur Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, die jeder­zeit– so leicht wie sie gege­ben wur­den – wider­ruf­bar sein müssen.

• PSD2/​Open Ban­king und dem­nächst die neue Daten­schutz­grund­ver­ord­nung (DSGVO) ver­setzt die Kun­den in die Lage, ihre Daten in Besitz zu neh­men und zu ent­schei­den, wer etwas mit ihnen machen darf. Wie sieht das in der Pra­xis aus, d.h. wel­che Hür­den müs­sen dazu über­wun­den werden?

Die PSD2 ver­setzt Kun­den in die Lage, z.B. ihre Kon­to­da­ten und ins­be­son­de­re ihre Kon­to­trans­ak­tio­nen von meh­re­ren Zah­lungs­kon­ten in einer Sicht dar­stel­len zu las­sen. Dies kann ent­we­der durch eine Bank gesche­hen oder durch einen Zah­lungs­dienst­leis­ter, der soge­nann­te Kon­to­in­for­ma­ti­ons­diens­te anbie­tet. Dies ist ein Kon­strukt, das in etwa dem Recht auf Daten­über­trag­bar­keit in der DSGVO ent­spricht. Dabei dür­fen die Daten vom Anbie­ter des Kon­to­in­for­ma­ti­ons­diens­tes zunächst nur zum Zweck des Kon­to­in­for­ma­ti­ons­diens­tes selbst ver­wen­det wer­den. Alle wei­ter­ge­hen­den Ana­ly­sen die­ser so agg­re­gier­ten Daten, wie z.B. Mehr­wert­diens­te auf­grund von Pro­fil­ing und Unter­brei­tung von maß­ge­nau­en Ange­bo­ten aller nur erdenk­li­chen Art, wür­den eine wei­te­re Ein­wil­li­gung auf Basis der DSGVO und gege­be­nen­falls auch des UWG erfor­dern. Aktu­ell wer­den immer wie­der Dis­kus­sio­nen geführt, bei denen die ers­te Inter­es­sen­grup­pe kei­ne Not­wen­dig­keit für Unter­schei­dun­gen bei den Arten der Kon­to­trans­ak­tio­nen sieht. Kon­to­trans­ak­tio­nen kön­nen z.B. mit Giro­card getä­tig­te regel­mä­ßi­ge Apo­the­ken­be­zah­lun­gen, Par­tei- oder Gewerk­schafts­bei­trä­ge, Spen­den an reli­giö­se Grup­pen oder Unter­halts­zah­lun­gen an min­der­jäh­ri­ge und außer­halb des Haus­halts leben­de Kin­der beinhal­ten. Man könn­te die­se Lis­te von beson­ders sen­si­blen Inhal­ten in Kon­to­trans­ak­tio­nen noch sehr lan­ge fort­set­zen. Die zwei­te Inter­es­sen­grup­pe möch­te sicher­stel­len, dass auf Basis der DSGVO für Mehr­wert­diens­te ent­spre­chen­de Ein­wil­li­gun­gen frei­wil­lig gege­ben oder Ver­trä­ge mit Zweck­bin­dung geschlos­sen wer­den. Dies hät­te aber auch zur Fol­ge, dass bei­spiels­wei­se ein Mehr­wert­dienst für Frei­zeit­an­ge­bo­te ent­we­der Kon­to­trans­ak­ti­ons­da­ten wie z.B. Par­tei- oder Gewerk­schafts­bei­trä­ge erst gar nicht „sehen“ soll­te oder sicher­stel­len und bei Bedarf auch nach­wei­sen kön­nen müss­te, dass sol­che Daten nicht in ein Pro­fil­ing ein­ge­hen. Hier besteht noch erheb­li­cher Klä­rungs­be­darf. Die VZBV (Ver­brau­cher­zen­tra­le Bun­des­ver­band) in Ber­lin kom­men­tiert dies mit: „Das ist eine Friss-oder-Stirb-Lösung […]“ – also das, was die EU mit der DSGVO eigent­lich abschaf­fen woll­te. Hel­fen könn­ten bei der Klä­rung zum Bei­spiel die Arti­kel-29-Grup­pe zum Daten­schutz und ver­schie­de­ne Arbeits­grup­pen der Lan­des­da­ten­schutz­be­auf­trag­ten. Nicht zuletzt muss das The­ma auf EU-Ebe­ne ein­heit­lich regu­liert wer­den. Tech­no­lo­gisch gäbe es bereits eine Lösung: IND²UCE könn­te auch hier voll­um­fäng­lich ein­ge­setzt werden.

• Vor eini­gen Wochen kün­dig­ten die Spar­kas­sen die Pilo­tie­rung des Voice Ban­kings mit dem Goog­le Assis­tent an. (Vor Jah­ren sah man das dort noch anders: Deut­sche Spar­kas­sen legen sich mit Goog­le an). Dage­gen äußer­ten Daten­schüt­zer eini­ge Beden­ken – auch die bes­te Ver­schlüs­se­lung kön­ne nicht ver­hin­dern, dass die Her­stel­ler mit­hö­ren. Wie sehen Sie das?

Ich fin­de die Idee nahe­lie­gend und inno­va­tiv. Als Kon­su­ment und Kun­de erhöht das defi­ni­tiv mei­nen Kom­fort beim Ban­king und die Inte­gra­ti­on mit den gän­gi­gen Sprach­as­sis­ten­ten ist ein mög­li­cher und kon­se­quen­ter nächs­ter Digi­ta­li­sie­rungs­schritt. Den­ken wir einen Moment „zurück“ an das bekann­te Tele­fon­ban­king: Hier gibt es die Sprach­steue­rung schon. Aber es gibt einen gro­ßen Unter­schied: Die gän­gi­gen Sprach­as­sis­ten­ten sind ledig­lich „Mikro­fon“ und „Laut­spre­cher“. Sämt­li­che Ver­ar­bei­tung fin­det in der Cloud beim jewei­li­gen Assis­tenz­an­bie­ter statt. Beim Tele­fon­ban­king war die Bank auch der Dienst­leis­ter für Sprach­ein- und ‑aus­ga­be; in der Wert­schöp­fungs­ket­te gab es also eine direk­te Ver­bin­dung zwi­schen Kun­de und Bank. Beim Voice Ban­king wird ein Mitt­ler, näm­lich der Anbie­ter des Assis­tenz­sys­tems, dazwi­schen­ge­schal­tet. Ich den­ke, ab hier muss jeder über die Nut­zung von Voice Ban­king für sich selbst ent­schei­den, z.B. nach inten­si­vem Stu­di­um der Daten­schutz­er­klä­run­gen der Bank zum Voice Ban­king, des Anbie­ters des Sprach­as­sis­tenz­sys­tems und auch der Funk­tio­na­li­tät des Voice Ban­kings, die man selbst tat­säch­lich nut­zen möchte.

• Statt die Dis­kus­si­on auf den Daten­schutz zu kon­zen­trie­ren, for­dern eini­ge eine neue Daten­po­li­tik, wel­che berück­sich­tigt, dass Daten Teil eines grö­ße­ren Öko­sys­tems sind und in sozia­len und öko­no­mi­schen Aus­tausch­be­zie­hun­gen ent­ste­hen. Der rich­ti­ge Ansatz?

Für mich ist es defi­ni­tiv der rich­ti­ge Ansatz, sich nicht nur auf Daten­schutz zu kon­zen­trie­ren. Ohne Daten und Daten­nut­zung wird sich die in Zukunft immer mehr digi­ta­li­sier­te Wirt­schaft weit unter ihrem Poten­zi­al ent­wi­ckeln. Daten­nut­zung soll­te dabei aber immer adäquat und zweck­be­zo­gen sein. Das heißt, dass nicht jeder Dienst­an­bie­ter in einem Öko­sys­tem für einen bestimm­ten Zweck alle mei­ne per­so­nen­be­zo­ge­nen Daten in vol­ler Detail­stu­fe sehen und ken­nen muss. Ein wei­te­rer Aspekt ist auch die Fra­ge, wie lan­ge bestimm­te Daten dann wie­der­um mit Per­so­nen­be­zug beim Anbie­ter per­sis­tie­ren dür­fen und wann die­se voll­stän­dig anony­mi­siert oder gelöscht wer­den müssen. 

• Soll­te sich das dezen­tra­le Inter­net (Web 3.0) durch­set­zen, könn­ten neue Geschäfts­mo­del­le und Insti­tu­tio­nen, wie Per­so­nal Data Banks oder Daten­ge­mein­schaf­ten, ent­ste­hen. Mehr als eine Utopie?

Ich hal­te das nicht für eine Uto­pie. Es wird aber auch nicht gleich schon mor­gen dazu kom­men. Per­so­nal Data Banks wären in mei­nen Augen eine wich­ti­ge Grund­la­ge für umfas­sen­de digi­ta­le und daten­ba­sier­te Dienst­leis­tun­gen, mit denen Daten zu einem Teil eines grö­ße­ren Öko­sys­tems wer­den wür­den und, bei ent­spre­chen­der Daten­sou­ve­rä­ni­tät der Kon­su­men­ten, tat­säch­lich auch umfas­send, aber kon­trol­liert zur Wert­schöp­fung genutzt wer­den könn­ten. Ich fin­de übri­gens die Bezeich­nung Per­so­nal Data Bank ziem­lich gelun­gen: Eine Bank im klas­si­schen Sin­ne ver­wal­tet mein Geld sicher und ich kann selbst ent­schei­den, wie ich es aus­ge­be und für was. Die­ser Ana­lo­gie fol­gend liegt bei Per­so­nal Data Banks der Fokus klar auf Sicher­heit und Daten­schutz für die Daten der Kun­den, die selbst ent­schei­den kön­nen, an wen sie wel­che Daten her­aus­ge­ben. Sol­che Kon­zep­te – die Nut­zung von Daten in Öko­sys­te­men und aus Per­so­nal Data Banks her­aus durch Diens­te – las­sen sich übri­gens eben­falls mit unse­rer Tech­no­lo­gie IND²UCE umsetzen.

• Wo könn­ten wir in fünf Jah­ren in Deutsch­land in Sachen daten­ge­trie­be­ne Geschäfts­mo­del­le und Daten­schutz stehen? 

Ich bin Opti­mist und schät­ze, dass dann Daten mit adäqua­tem Daten­schutz in Öko­sys­te­men für Dienst­leis­tun­gen zweck­be­zo­gen glo­bal genutzt wer­den. Im bes­ten Fall wer­den schon vie­le Men­schen eine Per­so­nal Data Bank nut­zen. Die Per­so­nal Data Bank soll­te dabei mög­lichst alle wich­ti­gen und rele­van­ten Daten zu einer natür­li­chen Per­son hal­ten. Das kann von Wohn­an­schrift über Bank­ver­bin­dun­gen oder Geo­po­si­ti­on bis hin zu Gesund­heits­da­ten rei­chen. Ich weiß, auf dem Weg dahin haben wir noch viel zu tun in punk­to Soft­ware, IT-Sicher­heit, Daten­schutz und natür­lich der Krea­ti­on inno­va­ti­ver Geschäfts­ideen. Beim The­ma Pri­va­cy by Design auf Soft­ware­ebe­ne wäre IND²UCE die idea­le Tech­no­lo­gie auch in ver­teil­ten Öko­sys­te­men. Und – immer noch als Opti­mist – bin ich der Mei­nung, dass es in den kom­men­den fünf Jah­ren span­nend, hoch­in­ter­es­sant und inno­va­tiv wird. Wir wer­den es schaf­fen, in eini­gen Schlüs­sel­bran­chen die Markt­füh­rer­schaft in digi­ta­len, daten­ba­sier­ten Diens­ten zu erobern. Dabei wird Inno­va­ti­on in Ver­bin­dung mit Daten­schutz der wesent­li­che Wett­be­werbs­vor­teil gegen­über nicht-euro­päi­schen Anbie­tern sein.

• Herr Ochs, vie­len Dank für das Gespräch!

Sehr ger­ne, Herr Keuper.