Folgen der neuen Datenschutzgrundverordnung DSGVO Deutschland droht eine Datenflucht

Daten sind die Grundlage der digitalen Wirtschaft, Datenschutz und Datensicherheit berechtigte Anforderungen für die digitale Zukunft. Nur: Eine zu radikale Beschneidung und zu restriktive Regulierung des Datenflusses aufgrund der neuen Datenschutzgrundverordnung (DSGVO) könnte zu einer Beeinträchtigung der Wettbewerbsfähigkeit Deutschlands und Europas führen. Neben der Steuerflucht von Unternehmen droht jetzt auch eine Datenflucht - mit gravierenden Folgen für den Standort.
Datenschutzgrundverordnung DSGVO: Ist gut, wer wenige Daten erhebt?

Datenschutzgrundverordnung DSGVO: Ist gut, wer wenige Daten erhebt?

Foto: Paper Boat Creative via Getty Images

Es ist erstaunlich, welchen Wirbel eine zwei Jahre alte Meldung noch auslösen kann. Es geht um die Einführung der Datenschutzgrundverordnung (DSGVO), "die am 25. Mai 2018 verpflichtend in Kraft tritt" und mit deren Auswirkungen sich viele erst jetzt so richtig zu befassen scheinen. Das verwundert, denn "in Kraft" getreten ist sie schon 2016. Es hätte also genug Zeit gegeben, sich darauf vorbereiten.

Tobias Kollmann

Tobias Kollmann ist Professor für BWL und Wirtschafts-Informatik an der Universität Duisburg-Essen. Seine Schwerpunkte sind E-Business und E-Entrepreneurship.

Ab dem 25. Mai 2018 allerdings muss sie verpflichtend angewendet werden - und schon bricht vielerorts Panik aus: Vereine dürfen keine Ergebnislisten zu Sportereignissen ohne explizite Einwilligung aller Teilnehmer mehr im Internet veröffentlichen, Fotos mit einer Gruppe von Menschen dürfen ohne die formale Zustimmung aller Beteiligten nicht mehr gepostet werden, Unternehmen können bei der Nutzung komplex verteilter Cloud-Services der Auskunftspflicht des Kunden im Hinblick auf die Verwendung seiner Daten nicht mehr gerecht werden, europäische und amerikanische Start-ups fragen sich, ob ihre digitalen Geschäftsmodelle unter dem DSGVO-Diktat überhaupt noch funktionieren (zum Beispiel Whois/Denic oder Slack).

Einige US-Firmen nehmen das Inkrafttreten der Verordnung zum Anlass, sich vom europäischen Markt zurückzuziehen oder europäische Nutzer von den Angeboten auszuschließen (zum Beispiel Verve). Alles übertrieben?

Geschäftsmodelle gefährdet

Sicher: Jede rechtliche Anpassung bedeutet eine Veränderung, die für den einen mehr, für den anderen weniger mühsam umzusetzen ist. Wenn es Onlinehändlern ab dem 25. Mai 2018 verboten sein wird, die E-Mail-Adressen ihrer Kunden Postdienstleistern ohne weiteres zur Verfügung zu stellen, holt man sich eben die Erlaubnis ein. Die großen digitalen Player im Markt können den notwendigen Aufwand problemlos bewältigen, auch wenn Schlagzeilen wie "Riesiger Aufwand: Google hat 500 Jahre Arbeit in die Umsetzung der DSGVO investiert"  durchaus zu Erstaunen führen.

Aber was ist mit den vielen kleinen und mittelständischen Unternehmen sowie den Start-ups, die nicht über die nötigen Ressourcen verfügen oder sich gerade erst aufgemacht haben, den Onlinehandel für sich zu entdecken? Wie wirkt sich die Höhe der möglichen Strafzahlungen, die bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes betragen können, auf die unternehmerische Onlinebegeisterung aus?

Einer aktuellen Umfrage des Branchenverbands Bitkom zufolge werden drei von vier Unternehmen die Frist zur Umsetzung der Datenschutzgrundverordnung verfehlen, 58 Prozent erwarten dauerhaft mehr Aufwand, fast jedes zehnte Unternehmen sieht sogar sein Geschäftsmodell gefährdet.

Ist gut, wer wenige Daten erhebt?

Der Gesetzgeber hatte mit Blick auf Facebook, Google & Co. sowie die zunehmende Datensammelwut der dazugehörigen Plattformökonomie im Netz sicherlich eine notwendige Stärkung der Transparenz im Hinblick auf die Verwendung persönlicher Daten im Auge. Dagegen ist auch nichts zu sagen, nur kann man sich durchaus die Frage stellen, ob er nicht über das Ziel hinausgeschossen ist und ein Ungetüm von Verordnung aufgebaut hat, deren korrekte Umsetzung wohl erst vor Gericht reifen wird.

Die Bandbreite der positiven und negativen Betrachtungsweisen ist denkbar weit. Der vermeintlich einfachen Anpassung der Datenschutzerklärung mit DSGVO-Mustern steht die deutlich kompliziertere Umsetzung der dahinterstehenden technischen Systeme gegenüber. Ähnliches gilt für die Nachfrageseite: Die Spanne reicht von Kunden, die einfach den "Ich stimme zu"-Button drücken bis hin zu denjenigen, die - unter Umständen sogar gleich mit dem Anwalt im Schlepptau - ganz konkret wissen wollen, welche persönlichen Daten ein Unternehmen wo speichert und was es damit anstellt. Von den zu erwartenden Abmahnwellen ganz zu schweigen.

Die entscheidende Frage wird sein, wie die notwendige Balance zwischen dem Datenschutz des Einzelnen und der notwendigen Nutzung der Daten zur Durchführung von digitalen Geschäftsmodellen aussehen kann. Die Antwort darauf ist elementar. Start-ups, die als Datensammler unterwegs sind, müssen sich fragen, ob ihr Geschäftsmodell vielleicht grundsätzlich inkompatibel zum europäischen Datenschutzrecht ist. Ist das DSGVO-Gebot der Datenvermeidung, Datensparsamkeit und Transparenz vor allem im ersten Punkt wirklich die richtige Antwort auf das digitale Zeitalter? Droht womöglich eine Diskussion darüber, welches Geschäftsmodell "gut" ist, weil es einfach ist, und welches "schlecht", da es komplizierter ist und mehr Daten verwendet?

Das Risiko wird zum Gradmesser, nicht die Innovation

Die neuen Datenschutzregeln bringen manche Unternehmen an ihre Grenzen. Experten befürchten, dass die Innovationskraft gehemmt wird, wenn sich Firmen mit datenbasierten Geschäftsmodellen nicht mehr in Europa niederlassen oder europäische Nutzer von bestimmten Datenplattformen im Netz ausgeschlossen werden. Können komplexe Digitalmodelle, beispielsweise im eHealth-Bereich noch aufgebaut werden, wenn Daten über eine Cloud zwischen Krankenversicherungen, Fachärzten, Krankenhäusern, Hausärzten, Rettungsdiensten, Apotheken, Versicherten nicht mehr ohne Weiteres ausgetauscht werden dürfen? Wer übernimmt das Risiko?

Diese Befürchtungen sind durchaus begründet: Laut derFireEye-Studie von 2016  würden 52 Prozent der Verbraucher negative Einstellungen zu Organisationen entwickeln, denen Datenpannen passieren. 59 Prozent würden juristische Schritte gegen Organisationen einleiten, deren Datenpanne einen böswilligen Missbrauch persönlicher Daten zur Folge hätte. Und 90 Prozent erwarten innerhalb von 24 Stunden informiert zu werden, nachdem ihre Daten kompromittiert wurden. Von den gewetzten Messern der Abmahner mal ganz zu schweigen.

Haben wir es vor diesem Hintergrund mal wieder geschafft, dass das Risiko zum Gradmesser für ein digitales Engagement wird und nicht die Innovation im Hinblick auf digitale Geschäftsmodelle? Die Wahrheit wird sich zeigen, wenn Gerichte die Anwendung der DSGVO im Einzelfall klären müssen. Bis dahin könnte es viel Verunsicherung, eingeschränkte Risikobereitschaft für Digitalprojekte und finanzielle Abmahnopfer geben. Ob uns diese Zeit hilft, um den Rückstand im digitalen Wettbewerb aufzuholen?

Datenflucht ist ebenso schädlich wie Steuerflucht

Datenflucht ist ebenso schädlich wie Steuerflucht

Das scheint kurz vor Toresschluss auch die Politik erkannt zu haben - ohne dass kurzfristige Änderungen zu erwarten wären. In der "Berliner Zeitung" warnte Bundeskanzlerin Angela Merkel vor Folgen der neuen Gesetze, manches sei "wirklich eine Überforderung". Im benachbarten Österreich, werden einige Bestimmungen der DSGVO übrigens anders realisiert als in Deutschland. "Es könnten sich aus der EU-DSGVO sogar negative Folgen für die Wirtschaft ergeben", so Merkel - und diese Einschätzung liegt nahe, wenn man etwa an künstliche Intelligenz denkt, bei der nicht die Datensparsamkeit über die Qualität der Ergebnisse entscheidet, sondern die Menge an Daten, aus der die Systeme ihre Rückschlüsse ziehen.

Im Gegensatz dazu ist die Vorschrift der Datenportabilität ein echter Meilenstein, denn er erlaubt es dem Nutzer, seine Daten von einer Plattform zur anderen mitzunehmen (wenn es denn eine Alternative im Einflussbereich der DSGVO gibt oder geben wird). So oder so, der Datenschutz droht aus der Diskussion über die digitale Innovationsfähigkeit eine negative zu machen, nach dem Motto "Dürft Ihr das?". Viel besser wäre eine positive Diskussion nach dem Motto "Was hat der Kunde davon?" Am Ende geht es im E-Business immer um den elektronischen Mehrwert für den Kunden, für den er dann auch vielleicht gerne bereit ist, seine Daten zur Verfügung zu stellen.

Egal, wie man die Vor- und Nachteile der DSGVO bewertet: Sie darf kein Wettbewerbsnachteil für die digitale Wirtschaft werden. Daran sollten alle ein Interesse haben. Auch die Verbraucher, die sonst keinen Zugriff auf bestimmte Angebote mehr haben werden. Noch schlimmer wäre es, wenn diese Online-Angebote und -Plattformen in unseren digitalen Breitengraden gar nicht mehr entstünden oder betrieben würden. In diesem Fall hätten wir ein großes Problem, denn alle Seiten würden darüber nachdenken, wie man seine Daten, seine digitale Identität und die zugehörige Datenverarbeitung dorthin auslagern kann, wo weniger restriktive Vorschriften angewendet werden. Dann käme es zu einer Datenflucht - und die wäre genauso schädlich wie die Steuerflucht. Wenn Unternehmen sich Mittel und Wege suchen, wo ihre Geschäfte am wenigsten beeinträchtigt werden, ist dies zum Schaden der Wirtschaft und vor allen Dingen auch der Gesellschaft.

Prof. Dr. Tobias Kollmann ist Vorsitzender des Beirats Junge Digitale Wirtschaft (BJDW) im Bundeswirtschaftsministerium. Kollmann ist Mitglied der MeinungsMacher von manager-magazin.de. Trotzdem gibt diese Kolumne nicht notwendigerweise die Meinung der Redaktion des manager magazins wieder.

Die Wiedergabe wurde unterbrochen.