von Ralf Keuper, Bankstil und Michael Ochs, Fraunhofer IESE
Eine Co-Veröffentlichung des Blogs Bankstil und des Blogs des Fraunhofer IESE
Der Data Protection Day findet seit 2007 jährlich statt. Er wurde auf Initiative des Europarats als Aktionstag zur Sensibilisierung der Bürger Europas für Datenschutz ins Leben gerufen. Grund genug – so finden wir – zum nunmehr 12. Data Protection Day die aktuellen Entwicklungen von Datenschutz und Privacy in digitalen Geschäftsmodellen zu betrachten und einzuordnen. Das Thema war noch nie so aktuell wie heute und es zeichnen sich erstaunliche Veränderungen ab!
Kundendaten im Zentrum von digitalen Geschäftsmodellen – natürlicher „Feind“ Datenschutz?
In der Digital Economy, die die Kundendaten ins Zentrum neuer Geschäftsmodelle und Dienstleistungen stellt, sind diese inzwischen zum nicht mehr wegzudenkenden Rohstoff geworden, der eine Multimilliarden Industrie antreibt. Oft wurde und wird – zu Recht – der Umgang der großen Internetkonzerne und Unternehmen mit Kundendaten und damit der Privatsphäre von Individuen kritisiert. Man möge dabei nur an die auf Basis einer Änderung der AGB geplante Übermittlung von Mobilfunknummern aus Whatsapp an Facebook denken, die im April 2017 durch eine gerichtliche Entscheidung gestoppt wurde, oder den Versuch einiger Retailbanken im Sommer 2017 Kundenstammdaten an den Bezahldienst Paydirekt zum Zweck der „Komfortregistrierung“ zu übergeben – ebenfalls per Änderung der AGB. Hier prüfen die zuständigen Landesdatenschutzbehörden derzeit noch die Rechtmäßigkeit, vor allem unter dem Aspekt der Freiwilligkeit der Einwilligung zur Verarbeitung oder Übertragung von Daten, der auch in der EU-Datenschutzgrundverordnung (DSGVO) tief verankert ist. Beide Ideen könnten doch den Kunden „das Leben so viel leichter machen“ – überlesen Sie hier bitte nicht den leicht sarkastischen Unterton. Solchen Aktivitäten möchte die EU mit der DSGVO in ernstzunehmender Weise einen Riegel vorschieben. Eine lange Zeit wurde der am Horizont „drohende“ neue, harte und mit hohen Bußgeldern bewehrte Datenschutz als schädlich für das Geschäft verdammt. Doch die Situation hat sich vom Beschluss der DSGVO im April 2016 bis heute, nur wenige Monate vor Ablauf der Übergangsfrist zwischen alter Datenschutzrichtlinie und DSGVO, nicht unerheblich verändert.
Die großen Plattformen und Anbieter der Digital Economy haben gut und schnell verstanden – machen sie erneut das Rennen?
Es ist daher nicht ohne Ironie, dass ausgerechnet die häufig als „Datenkraken“ titulierten US-amerikanischen Technologiekonzerne das Thema Datenschutz längst für sich entdeckt haben. Google und Microsoft bieten bereits seit ca. 2 Jahren ein Privacy Cockpit für Accountbesitzer an. Dies ermöglicht den Nutzern selbst zu entscheiden, welche Art von Daten von den Anbietern erfasst und verwendet werden dürfen – wenngleich dem ein entsprechender öffentlicher Druck vorausging. Nun kündigte Facebook kürzlich an, ein Privacy Center in seine Plattform zu integrieren und sogar global auszurollen. Die Nutzer sollen auch hier künftig die Möglichkeit haben, ihre Privatsphäre mit entsprechenden Einstellungen zu schützen. Sheryl Sandberg, COO von Facebook, sieht das soziale Netzwerk überdies gut gerüstet, um die Anforderungen der DSGVO zu erfüllen. Es dürfte Facebook dann auch keine allzu großen Probleme bereiten, die Anforderungen der ePrivacy-Verordnung (Cookies und Tracking) umzusetzen, gegen die hierzulande die Verlage (G+J, FAZ, Springer und andere) und die Internetwerbeindustrie Sturm laufen. Microsoft plant darüber hinaus die Einführung neuer Privacy Management Features in Windows 10. Google gibt Nutzern künftig die Möglichkeit, nervige Werbung abzuschalten und untergräbt damit in gewisser Weise sein eigenes Geschäftsmodell. Mit Blick auf diese Veränderungen ist es nur wenig überraschend, dass einer der Autoren dieses Artikels die erste eMail zu Artikel 14 DSGVO „Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“ mit dem Hinweis auf die Speicherung seiner personenbezogenen Daten vor wenigen Tagen aus Nordamerika erhalten hat – und nicht aus Europa.
Kann es sein, dass, wie schon so oft in der Vergangenheit, ein Thema über den Umweg USA bei uns Einzug hält und zum „Verkaufsschlager“ wird? Das wäre doppelt bitter, da der Datenschutz im Ausland (noch) als eine „Kernkompetenz“ Europas wahrgenommen wird. Wenn nun ausgerechnet die Internetkonzerne und großen digitalen Plattformen Datenschutz nicht nur EU-konform umsetzen, sondern für ihre Zwecke entdecken, daraus ein funktionierendes Geschäftsmodell entwickeln, dann läuft etwas grundlegend schief. Während die anderen sich vorwärts entwickeln, bleiben wir stehen bzw. gehen rückwärts.
Asiatische Konzerne wie Alibaba und WeChat machen dagegen noch keine großen Anstalten, den Datenschutz zu ihrem Vorteil zu nutzen – eher im Gegenteil. Beide Unternehmen sind zentrale Akteure bei der Einführung des Social Scoring durch die chinesische Regierung. Künftig soll ein Score-Wert die Linien- bzw. Regierungstreue der Einwohner anzeigen – mit Auswirkungen auf das Leben der Individuen. WeChat soll sogar die Funktion eines Personalausweises übernehmen.
Kritisch bewerten Datenschützer Amazon Go, den neuen Laden ohne Kasse. Hier werden beim Einkauf und Bezahlen zahlreiche personenbezogene Daten erhoben, die zu weiteren Zwecken, die Kunden nicht unmittelbar beeinflussen können, verwendet werden.
Eines zeichnet sich immer mehr ab: Die personenbezogenen Daten werden in Zukunft für die Werbeindustrie und Internetkonzerne nicht mehr so leicht zu beschaffen sein, wie in der Vergangenheit. Die Kunden werden sensibler und beginnen den Wert ihrer Daten und die Schutzbedürftigkeit ihrer Privatheit zu erkennen. Die Strategiewechsel von MS, Google und Facebook machen deutlich, dass man diese (Macht-)Verschiebung zum Kunden/Nutzer erkannt und angenommen hat, das Risiko in eine Chance wandeln will und wird.
Datenschutz und Datensouveränität – die schnelle Metamorphose zum Feature
Künftig werden Datenschutz und Datensouveränität auf der einen und Customer Journey auf der anderen Seite in den Unternehmen und insbesondere in der Startup-Szene nicht mehr als Gegensatzpaar interpretiert. Sie werden als sich gegenseitig bedingende und fördernde Faktoren, um als Unternehmen im Geschäft zu bleiben, betrachtet. Es ist also kein Ausdruck von „German Angst“, wenn Facebook und andere dem Datenschutz jetzt Priorität einräumen, sondern pures Eigeninteresse und Ausdruck betriebswirtschaftlicher Logik und der richtigen strategischen Entscheidungen – wir erleben dieser Tage tatsächlich die Metamorphose der „lästigen regulatorischen“ Anforderung Privacy zum Feature.
Der bisherige Trend, dass Konsumenten für die Nutzung von Diensten z.B. in digitalen Free-Geschäftsmodellen à la Google, Facebook usw. mit ihren personenbezogenen Daten zahlen (im Silicon Valley bedient man sich gerne Statements wie „If you don’t pay for the product, your are the product.“) könnte sich tatsächlich umkehren. Die Tendenz, dass Dienstanbieter in Zukunft durch die Erbringung des Dienstes und möglicherweise weiterer Leistungen für die Daten der Kunden zahlen, zeichnet sich bereits ab. Das klingt gleich? Ist es aber nicht. Zahlt der Dienstleister für die Kundendaten mit seinen Leistungen, kann der Kunde entscheiden, welche Daten er dem Dienstleister anbieten möchte, welche nicht und welche Dienstleistungen er dafür erhält – ganz im Sinne der DSGVO, eben echte Datensouveränität. Gleichzeitig beflügelt dies die Dienstanbieter im Verteilungskampf um die Kundendaten ständig bessere Dienste zu kreieren und anzubieten – ein echter Innovationsbeschleuniger. Die nächsten Jahre werden zeigen, ob die Kunden das veränderte Angebot von MS, Google, Facebook und Amazon annehmen. Es wird sich auch zeigen, ob der Trend in Richtung Datensouveränität wie mit IND²UCE oder selbst-verwalteter Daten und Digitalen Identitäten wie mit Idento.one läuft oder, ob wir Datentreuhänder, wie u.a. die Allianz sie schon heute für Autodaten fordert, brauchen werden.
Digitale Identität: der „Webfehler“ des World Wide Web und wie er korrigiert werden kann
Heute schon – und in Zukunft immer öfter und umfassender – nutzen wir digitale Dienste und schließen auf diesem Weg Verträge und tätigen Einkäufe oder Verkäufe. Hierfür ist neben dem adäquaten Umgang und dem Schutz von Daten auch eine sichere und vertrauenswürdige digitale Identität erforderlich. Das Internet wurde jedoch ohne eine Schicht für die Verwaltung digitaler Identitäten konzipiert. Folge davon ist, dass wir uns im Internet mit verschiedenen Passwörtern anmelden müssen, um die diversen Dienste in Anspruch nehmen zu können. Facebook, Google & Co. konnten u.a. mittels Social Login (Gmail, Facebook Connect) ihre eigenen Subsysteme schaffen. Darauf basieren Teile ihres Geschäftsmodells bis heute. Solange dieser Zustand anhält, liegt der Schutz dieser personenbezogenen Daten – auch wenn dafür Privacy Cockpits angeboten werden – in den Händen von Google, Facebook & Co. Sollte sich aber eine Infrastruktur, wie die Blockchain-Technologie mit ihrer dezentralen Philosophie, durchsetzen, dann könnten die Nutzer ihre Daten und digitalen Identitäten weitestgehend selbständig verwalten. Wer dann auf die Daten zugreifen will, muss um Erlaubnis fragen. Nicht ganz zu Unrecht sehen einige in der Blockchain-Technologie die größte Bedrohung für Facebooks andere Seite Facebook Connect. Dass Facebook auch diese Entwicklung bereits auf dem Radar hat, zeigt die aktuelle Meldung, wonach das Unternehmen das auf biometrische digitale IDs spezialisierte Startup confirm.io übernommen hat. Mit der neuen Lösung will Facebook die Sicherheit der Nutzer erhöhen, d.h. die Daten vor unbefugtem Zugriff schützen: Datenschutz und Informationssicherheit als inhärenter Teil eines unter anderem durch die DSGVO angepassten Geschäftsmodells. Dabei verfolgt ein Teil dieser neuen Ausrichtung in der ersten Welle der Services rund um digitale Identität. Dies bedeutet eine erneute, verschobene Machtkonzentration, die bei anzunehmender Leichtigkeit des Einstiegs in die Nutzung eines Identity Service das Potenzial birgt bereits in wenigen Jahren durch die hohe Anzahl an Facebook Bestandsnutzern zu mehreren hundert Millionen Nutzern eines Identity Service zu kommen. Es wäre dabei grob fahrlässig zu vermuten, dass solche Identity Daten im Wert geringer einzuschätzen sind als die jetzigen Daten auf der Facebook Social Media Plattform. Wer wird in diesem Rennen die Nase vorn haben – Europa oder Nordamerika? Die Chancen für Nordamerika stehen derzeit außerordentlich gut dafür.
Crosspost von Bankstil