Montag, 25. Juni 2018

Folgen der neuen Datenschutzgrundverordnung DSGVO Deutschland droht eine Datenflucht

Datenschutzgrundverordnung DSGVO: Ist gut, wer wenige Daten erhebt?
Paper Boat Creative via Getty Images
Datenschutzgrundverordnung DSGVO: Ist gut, wer wenige Daten erhebt?

Daten sind die Grundlage der digitalen Wirtschaft, Datenschutz und Datensicherheit berechtigte Anforderungen für die digitale Zukunft. Nur: Eine zu radikale Beschneidung und zu restriktive Regulierung des Datenflusses aufgrund der neuen Datenschutzgrundverordnung (DSGVO) könnte zu einer Beeinträchtigung der Wettbewerbsfähigkeit Deutschlands und Europas führen. Neben der Steuerflucht von Unternehmen droht jetzt auch eine Datenflucht - mit gravierenden Folgen für den Standort.

Es ist erstaunlich, welchen Wirbel eine zwei Jahre alte Meldung noch auslösen kann. Es geht um die Einführung der Datenschutzgrundverordnung (DSGVO), "die am 25. Mai 2018 verpflichtend in Kraft tritt" und mit deren Auswirkungen sich viele erst jetzt so richtig zu befassen scheinen. Das verwundert, denn "in Kraft" getreten ist sie schon 2016. Es hätte also genug Zeit gegeben, sich darauf vorbereiten.

Tobias Kollmann
  • Copyright:
    Tobias Kollmann ist Professor für BWL und Wirtschafts-Informatik an der Universität Duisburg-Essen. Seine Schwerpunkte sind E-Business und E-Entrepreneurship.

Ab dem 25. Mai 2018 allerdings muss sie verpflichtend angewendet werden - und schon bricht vielerorts Panik aus: Vereine dürfen keine Ergebnislisten zu Sportereignissen ohne explizite Einwilligung aller Teilnehmer mehr im Internet veröffentlichen, Fotos mit einer Gruppe von Menschen dürfen ohne die formale Zustimmung aller Beteiligten nicht mehr gepostet werden, Unternehmen können bei der Nutzung komplex verteilter Cloud-Services der Auskunftspflicht des Kunden im Hinblick auf die Verwendung seiner Daten nicht mehr gerecht werden, europäische und amerikanische Start-ups fragen sich, ob ihre digitalen Geschäftsmodelle unter dem DSGVO-Diktat überhaupt noch funktionieren (zum Beispiel Whois/Denic oder Slack).

Einige US-Firmen nehmen das Inkrafttreten der Verordnung zum Anlass, sich vom europäischen Markt zurückzuziehen oder europäische Nutzer von den Angeboten auszuschließen (zum Beispiel Verve). Alles übertrieben?

Geschäftsmodelle gefährdet

Sicher: Jede rechtliche Anpassung bedeutet eine Veränderung, die für den einen mehr, für den anderen weniger mühsam umzusetzen ist. Wenn es Onlinehändlern ab dem 25. Mai 2018 verboten sein wird, die E-Mail-Adressen ihrer Kunden Postdienstleistern ohne weiteres zur Verfügung zu stellen, holt man sich eben die Erlaubnis ein. Die großen digitalen Player im Markt können den notwendigen Aufwand problemlos bewältigen, auch wenn Schlagzeilen wie "Riesiger Aufwand: Google hat 500 Jahre Arbeit in die Umsetzung der DSGVO investiert" durchaus zu Erstaunen führen.

Aber was ist mit den vielen kleinen und mittelständischen Unternehmen sowie den Start-ups, die nicht über die nötigen Ressourcen verfügen oder sich gerade erst aufgemacht haben, den Onlinehandel für sich zu entdecken? Wie wirkt sich die Höhe der möglichen Strafzahlungen, die bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes betragen können, auf die unternehmerische Onlinebegeisterung aus?

Einer aktuellen Umfrage des Branchenverbands Bitkom zufolge werden drei von vier Unternehmen die Frist zur Umsetzung der Datenschutzgrundverordnung verfehlen, 58 Prozent erwarten dauerhaft mehr Aufwand, fast jedes zehnte Unternehmen sieht sogar sein Geschäftsmodell gefährdet.

Ist gut, wer wenige Daten erhebt?

Der Gesetzgeber hatte mit Blick auf Facebook, Google & Co. sowie die zunehmende Datensammelwut der dazugehörigen Plattformökonomie im Netz sicherlich eine notwendige Stärkung der Transparenz im Hinblick auf die Verwendung persönlicher Daten im Auge. Dagegen ist auch nichts zu sagen, nur kann man sich durchaus die Frage stellen, ob er nicht über das Ziel hinausgeschossen ist und ein Ungetüm von Verordnung aufgebaut hat, deren korrekte Umsetzung wohl erst vor Gericht reifen wird.

Die Bandbreite der positiven und negativen Betrachtungsweisen ist denkbar weit. Der vermeintlich einfachen Anpassung der Datenschutzerklärung mit DSGVO-Mustern steht die deutlich kompliziertere Umsetzung der dahinterstehenden technischen Systeme gegenüber. Ähnliches gilt für die Nachfrageseite: Die Spanne reicht von Kunden, die einfach den "Ich stimme zu"-Button drücken bis hin zu denjenigen, die - unter Umständen sogar gleich mit dem Anwalt im Schlepptau - ganz konkret wissen wollen, welche persönlichen Daten ein Unternehmen wo speichert und was es damit anstellt. Von den zu erwartenden Abmahnwellen ganz zu schweigen.

Die entscheidende Frage wird sein, wie die notwendige Balance zwischen dem Datenschutz des Einzelnen und der notwendigen Nutzung der Daten zur Durchführung von digitalen Geschäftsmodellen aussehen kann. Die Antwort darauf ist elementar. Start-ups, die als Datensammler unterwegs sind, müssen sich fragen, ob ihr Geschäftsmodell vielleicht grundsätzlich inkompatibel zum europäischen Datenschutzrecht ist. Ist das DSGVO-Gebot der Datenvermeidung, Datensparsamkeit und Transparenz vor allem im ersten Punkt wirklich die richtige Antwort auf das digitale Zeitalter? Droht womöglich eine Diskussion darüber, welches Geschäftsmodell "gut" ist, weil es einfach ist, und welches "schlecht", da es komplizierter ist und mehr Daten verwendet?

Das Risiko wird zum Gradmesser, nicht die Innovation

Die neuen Datenschutzregeln bringen manche Unternehmen an ihre Grenzen. Experten befürchten, dass die Innovationskraft gehemmt wird, wenn sich Firmen mit datenbasierten Geschäftsmodellen nicht mehr in Europa niederlassen oder europäische Nutzer von bestimmten Datenplattformen im Netz ausgeschlossen werden. Können komplexe Digitalmodelle, beispielsweise im eHealth-Bereich noch aufgebaut werden, wenn Daten über eine Cloud zwischen Krankenversicherungen, Fachärzten, Krankenhäusern, Hausärzten, Rettungsdiensten, Apotheken, Versicherten nicht mehr ohne Weiteres ausgetauscht werden dürfen? Wer übernimmt das Risiko?

Diese Befürchtungen sind durchaus begründet: Laut derFireEye-Studie von 2016 würden 52 Prozent der Verbraucher negative Einstellungen zu Organisationen entwickeln, denen Datenpannen passieren. 59 Prozent würden juristische Schritte gegen Organisationen einleiten, deren Datenpanne einen böswilligen Missbrauch persönlicher Daten zur Folge hätte. Und 90 Prozent erwarten innerhalb von 24 Stunden informiert zu werden, nachdem ihre Daten kompromittiert wurden. Von den gewetzten Messern der Abmahner mal ganz zu schweigen.

Haben wir es vor diesem Hintergrund mal wieder geschafft, dass das Risiko zum Gradmesser für ein digitales Engagement wird und nicht die Innovation im Hinblick auf digitale Geschäftsmodelle? Die Wahrheit wird sich zeigen, wenn Gerichte die Anwendung der DSGVO im Einzelfall klären müssen. Bis dahin könnte es viel Verunsicherung, eingeschränkte Risikobereitschaft für Digitalprojekte und finanzielle Abmahnopfer geben. Ob uns diese Zeit hilft, um den Rückstand im digitalen Wettbewerb aufzuholen?

Seite 1 von 2

© manager magazin 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der manager magazin Verlagsgesellschaft mbH