Ausschuss für Digitale Agenda zu Datenschutz im Mittelstand: Wettbewerbsvorteil oder Hindernis?

B-M5zRUCcAAj2Hu

Gestern fand ein öffentliches Fachgespräch des Ausschusses für die Digitale Agenda im Bundestag statt. Thema: „Start-ups, Mittelstand und Datenschutz in der digitalen Welt“. Zu Gast waren unsere Bundesdatenschutzbeauftragte Andrea Voßhoff, Sascha Schubert vom Bundesverband Deutsche Start-ups, Stephan Noller, Geschäftsführer einer Targeting-Plattform, Hermann Weiß von naturtrip.org und Dean Ceulic von Posteo.

Datenschutz Wettbewerbsvorteil oder Hemmnis?

Eines der dominanten Themen im Gespräch war die Frage, ob Datenschutz einen Vor- oder Nachteil für die Wettbewerbsfähigkeit deutscher Unternehmen darstellt. Die Meinungen unter den Gästen gingen auseinander. Voßhoff argumentierte sowohl in ihrem Eingangsstatement als auch im weiteren Verlauf der Diskussion immer wieder dafür, dass Datenschutz kein „beliebiges“ Thema sei, sondern Grundrechtsschutz. Daher sei es nicht nur ein Innovationshemmnis. Das Bewusstsein für Datenschutzproblematiken wachse bei den Nutzern und damit auch der potentielle Marktvorteil, auch wenn das noch nicht immer „in der Kasse ankommt“. Ein Unternehmen, bei dem Datenschutz als Geschäftsmodell funktioniert ist Posteo, Ceulic betonte im Verlauf des Gesprächs auch immer wieder, dass man bewusst nach alternativen Geschäftsmodellen schauen müsse und eben nicht nur darauf, Daten „schöner und schneller“ verarbeiten zu können. Uns gegenüber kommentierte Posteo zusätzlich:

Die strengeren europäischen Rahmenbedingungen im Bereich des Datenschutzes stehen der Wirtschaft auch nicht im Wege. Im Gegenteil: Europäische Unternehmen haben die Chance, die strengeren Regelungen zum Datenschutz für sich zu nutzen und sich mit anspruchsvollen Datenschutzkonzepten von Mitbewerbern, zum Beispiel aus dem US-amerikanischen Raum, abzusetzen.

Eine Mittelposition nahm in der Wettbewerbsfrage Noller ein. Er bestätigte, dass man mit starkem Datenschutz wettbewerbsfähig sein könne, erwähnte jedoch auch, dass sich mitunter Potentiale für wirtschaftliches Wachstum in Daten verstecken würden, die bei der Erhebung noch nicht ersichtlich seien. Dafür sei es wichtig, die Verarbeitung anonymisierter und pseudonymisierter Daten ohne Opt-In zuzulassen, anders als bisher in der EU-Datenschutzgrundverordnung vorgesehen. Big Data brauche einen flexibleren Umgang, von Zweckbindung müsse man in gewissen Fällen abrücken.

Ganz egal schien die Frage nach mehr oder weniger Datenschutz Weiß von naturtrip.org zu sein, er verlässt sich wohl blind auf den Markt:

Mehr oder weniger Datenschutz? Man kanns nicht wissen. Das Gesetz schafft nur die Rahmenbedingungen. Der Wirtschaft selber ist das egal. Die ist halt ethisch ziemlich neutral. Die macht halt da ihre Geschäfte, wo’s Geschäfte zu machen gibt.

Auch sonst redete er eher davon, dass sein Unternehmen immer noch nicht die Fahrplandaten der Deutschen Bahn bekäme und trug wenig Konstruktives zu der eigentlichen Debatte um Personendaten bei. Eine Vermischung von offenen, allgemeinen und personenbezogenen Daten, die auch an anderen Punkten des Gesprächs immer wieder auftauchte, wie Ceulic anmerkte.

Schubert von Bundesverband Deutsche Start-ups argumentierte immer wieder, dass die Nutzer Datenschutz nicht derartig wichtig fänden, dass ein Wettbewerbsvorteil entstünde. Amerikanische Unternehmen seien aufgrund der lockeren Bestimmungen im Vorteil. Man müsse die Erkenntnisse nutzen können, die „in den Daten schlummern“ und besser Werbung machen können, indem man Nutzerverhalten auswertet. Daher würden auch immer mehr europäische und deutsche Start-ups in die USA abwandern. Freiheit „bedeutet eben auch, dass man einfach mal loslegen kann“. Der ein oder andere entscheide sich daher für die USA, wo man weniger Probleme habe.

Datenschutzbedingungen sei einer der Punkte, die Europa daran hinderten, digitale Weltmarktführer zu werden:

[Das ist] wie mit einem Zahnstocher da hin zu gehen, wo man eigentlich einen Hammer braucht

Opt-In und Transparenz

Weiteres Thema, das immer wieder aufkam, war die Frage nach der Einwilligung in die Datenverarbeitung, beziehungsweise in die Datenschutzbestimmungen eines Unternehmens generell. Thomas Jarzombek von der CDU/CSU-Fraktion fragte, ob bekannt sei, wie viele Menschen überhaupt Datenschutzbestimmungen lesen würden und ob demnach Zustimmung überhaupt ein relevantes Prinzip sei. Voßhoff kommentierte darauf, dass die Anzahl derer, die wirklich lesen, in was sie einwilligen, vermutlich sehr gering sei und es daher nicht ausreiche, eine Zustimmung einzuholen. Die Information über die Bestimmungen müsse so transparent und umfassend sein, dass auch verstanden werden könne, was sich hinter den Datenschutzbestimmungen verbirgt.

Schubert argumentierte gegen die Einführung eines Opt-Ins bei pseudonymisierten Daten. Bisher habe das deutsche Gesetz „Incentives“, denn pseudonyme Daten seien unkritischer und können einfacher verarbeitet werden. Mit der EU-Datenschutzgrundverordnung würden diese wegfallen, denn der Datenverarbeiter müsse pseudonymisieren und damit seine Daten „schwächen“, gleichzeitig aber immer noch die Zustimmung einholen. Dabei verkennt Schubert, dass die Pseudonymität von Daten an sich bereits ein kritischer Punkt ist. Denn gerade mit den Datenbergen von Big Data ist es oftmals nicht besonders schwierig, durch die Korrelierung verschiedener pseudonymer Daten auf die ursprüngliche Identität des Datensubjekts zu schließen. Und damit nachträglich wieder einen Personenbezug herzustellen.

Safe Harbor

Wenn es um Datenschutz beim Datenaustausch mit den USA geht, ist das Thema Safe Harbor nicht weit. Die Vereinbarung, die eigentlich dazu dienen sollte, europäische Datenschutzstandards für europäische Bürger auch bei der Verarbeitung durch US-Unternehmen zu gewährleisten, kann als gescheitert betrachtet werden. Die EU-Kommission kündigte daher bereits Anfang 2014 an, über eine Revision oder Aufhebung der Vereinbarung zu entscheiden. Bisher ist nichts passiert, das kritisierte vor allem Voßhoff, die Kommission müsse hier deutlich mehr Druck machen. Ceulic bekräftigte, dass Safe Harbor „ein großes Loch in Bemühungen um Datenschutz“ reiße. Doch nicht nur die EU sollte sich deutlicher positionieren, auch von deutscher Seite ist wenig zum dem Thema passiert. Schubert zitierte einen Beamten des Innenministeriums auf die Frage, ob ein Canceln der Einigung geplant sei mit einem „klaren Nein“.

EU-Datenschutzgrundverordnung

Die konkreten Bedingungen an den Datenschutz bei deutschen und europäischen Unternehmen werden in Zukunft durch die kommende EU-Datenschutzgrundverordnung festgelegt sein, daher stand auch sie immer wieder im Mittelpunkt der Kommentare. Dass eine Harmonisierung des europäischen Rechtsrahmens notwendig ist, darin waren sich die Sachverständigen im Wesentlichen einig. Voßhoff kommentierte, dass die lange blockierten Verhandlungen nun „in positivem Sinne Fahrt aufgenommen hätten“. Dennoch, die kürzlich geleakten Papiere zu geplanten Aufweichungen von Datenschutzstandards bei den Diskussionen Rat für Jusitz und Inneres der EU geben Grund zur Sorge. Die geplanten Änderungen müssten daher beim Trilog in der Öffentlichkeit thematisiert werden.

Fazit

Insgesamt enthielt das Gespräch gute Punkte, vor allem die weitgehende Einigkeit, dass ein einheitlicher Rechtsrahmen notwendig ist. Unsere sonst so unsichtbare Bundesdatenschutzbeauftragte äußerte sich angenehm klar dafür, dass Datenschutz durchaus ein Wettbewerbsvorteil sein kann und diesen nicht etwa hemmt. Das stieß auf weitgehende Zustimmung. Nur Schubert argumentierte immer wieder destruktiv, dass man mit europäischen Datenschutzstandards zwangsläufig gegen US-Unternehmen verliere.

Leider wurden von den CDU/CSU-Vertretern primär die Aspekte aus der Debatte herausgepickt, die für weniger Datenschutz sprechen und weiter verdreht. So deklariert Nadine Schön in ihrer Pressemitteilung Opt-In als Datenschutzrisiko:

Auch ist zu bedenken, dass mit Opt-in basierten Geschäftsmodellen auch kritischere, weil personenbezogene Datensätze generiert werden, die bei Hacking größere Probleme verursachen können als pseudonomisierte und anonymisierte Datensätze.

Unterm Strich ist also eine generelle opt-in-Lösung innovations- und datenschutzfeindlich.

Und auch Thomas Jarzombek glänzt auf Twitter durch die Wirtschaftsbrille:

Fachgespräch im #btAda zeigt, dass Datenschutz große Hürde für Startups sein kann. Opt-in und Datensparsamkeit Prinzipien von gestern.

Dem kann man nur mit dem Kommentar von @JoernPL, Mitarbeiter von Konstantin von Notz im Bundestag, begegnen:

@tj_tweets in Schlussstatements haben 4 von 5 Sachverständigen, darunter #BfDi, exakte Gegenteil gesagt. Aber: Nice try ;) #btADA

Offenlegung: Posteo gehört zu unseren regelmäßigen Spendern. Das hat keine Auswirkungen auf unsere Berichterstattung, wir weisen aber aus Transparenzgründen gerne daraufhin.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Auch ist zu bedenken, dass mit Opt-in basierten Geschäftsmodellen auch kritischere, weil personenbezogene Datensätze generiert werden, die bei Hacking größere Probleme verursachen können als pseudonomisierte [sic] und anonymisierte Datensätze.

    Kann jemand diese Logik erklären?

  2. Insgesamt habe ich das Gefühl, man müsste irgendwie aggressiver gegen diese Big Data-Unternehmen vorgehen. Vielleicht indem man das jeweilige Geschäftsmodell analysiert und dann Software entwickelt, die die Daten des Anwenders gezielt verfälscht. Es würde ja schon genügen, wenn man Zweifel an der Qualität der Daten nährt, um das Geschäftsmodell zu unterminieren.

  3. Ein bischen mehr Präzision wäre schön: Die Frage, ob ein besonders hohes, von Unternehmen garantiertes Datenschutz-Niveau ein Wettbewerbsvorteil sein kann, ist zu unterscheiden von der Frage, ob Datenschutz-Regulierung dies erreichen kann. Wenn es um „Wettbewerb“ geht, müsste man eben auf den freien Wettbewerb setzen. Vgl. zB den Accountability-Ansatz (http://informationaccountability.org/)
    Es ist natürlich bequem, einer besonders komplexen Datenschutzregulierung auch noch die Weihen eines Wettbewerbsvorteil zu verleihen – das wäre aber vor allem empirisch zu klären, nicht normativ. Hier kann man die Meinung eines Vertreters von Start-Ups nicht einfach „destruktives Verhalten“ vorwerfen.

  4. Das sehe ich nun aber ganz anders. Ich würde erst einmal die Gesellschaft den normativen Rahmen klären lassen und dann den Wettbewerb an diesem Rahmen ausrichten. das wäre dann ja auch wieder fair, da alle mit diesem Rahmen zu leben haben. Danach kann man empirisch klären, welches Unternehmen gewonnen hat. Bisher läuft das ja wohl eher anders herum. Unternehmen wecken Bedürfnisse, die es ohne sie nicht gäbe um sie dann anhand erhobener Daten zu befriedigen. Wie albern ist das denn. Wettbewerb ist frei, wenn für alle die gleichen Bedingungen gelten. Wie diese Bedingungen angelegt sind liegt ganz allein im Ermessen der Gesellschaft. Wenn diese noch nicht ganz hörig ist, sollte sie sich zu artikulieren wissen. Und wenn sich manche höher entwickelte Gesellschaften, z.B. in Europa von anderen abzusetzen und abzugrenzen verstehen, dann soll es eben so sein.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.