15. Juni 2015

Datenschutz als Wettbewerbsvorteil - vielleicht klappt es doch... [Frederick Richter]

Ein möglichst starker Schutz der personenbezogenen Daten von Kunden und Interessenten – lange wurde dieses Anliegen entweder als selbstverständlich vorausgesetzt oder weitgehend ignoriert. Zwar setzte sich unter Datenschützern schon vor Jahren eine Sicht durch, nach der guter Datenschutz nicht bloßer (hemmender) Wettbewerbsfaktor sein solle, sondern vielmehr Wettbewerbsvorteil. Ein Blick auf die Realität jedoch zeigte, dass man sich noch näher am Wunsch als an der Wahrheit bewegte; im tatsächlichen Wirtschaftsleben blieb Skepsis. Diese wurde auch von der Politik aufgegriffen. So stellte noch in diesem Mai der CDU-Generalsekretär fest, dass es mit dem vielbeschworenen "Geschäftsmodell Datenschutz" offenbar nicht weit her sei.

Die anhaltende Debatte um die Aktivitäten von Nachrichtendiensten im Bereich der Internet- und Telekommunikation hat jedoch über die letzten zwei Jahre etwas bewegt. Zum einen natürlich lösten die Snowden-Enthüllungen allgemeine Empörung über das Gebaren befreundeter Staaten aus. Zum anderen aber kam ein interessanter Prozess in Gang, dem alle Datenschützer Aufmerksamkeit schenken sollten: Es zeichnet sich in der IT-Wirtschaft langsam eine Veränderung des Stellenwertes von praktiziertem Privatsphärenschutz ab. Ganz langsam zwar, doch lassen sich Beispiele finden, im Kleinen wie im Großen.

Kundenbindung einmal anonym

Die Deutschen lieben Rabattsysteme. Vor Jahrzehnten waren es Marken zum Aufkleben, später folgten die „Deutschland-Card“ und die „Payback“-Karte – beide zusammen haben mittlerweile 35 Millionen aktive Nutzer. Folglich nimmt fast die Hälfte der deutschen Bevölkerung nur geringen Anstoß daran, wenn beim Einkauf mit jeder Kartenbenutzung ein winziges Stückchen Privatsphäre gegen einen winzigen Rabatt getauscht wird.

Dennoch gibt es seit dem vergangenen Jahr auch einen anderen Ansatz, bei dem der Schutz von Kundendaten besonders hervorgehoben wird. Die Supermärkte von Kaiser´s-Tengelmann haben ein Loyalty-System aufgesetzt, wie es im deutschen Einzelhandel bislang einzigartig sein mag. Es werden keine Namen, Adressen, Geburtstage oder ähnliches abgefragt, sondern es wird allein elektronisch registriert, was gekauft wurde. Jedes Produkt wird als statistischer Hinweis auf die individuelle Produktvorliebe gewertet – die Karte fungiert dabei als „physischer Cookie“. Auf diese Weise werden Kundenprofile gebildet, aber eben ohne Personenbezug. Bei Bargeldzahlung schließlich ist für ganz datensensible sogar ein komplett anonymer Einkauf trotz individuellem Rabatt möglich. Es sind im ersten Jahr erst 100.000 Karten verteilt worden und nach Tengelmann-Auskunft werden nur 60.000 davon aktiv genutzt. Dennoch soll die anonyme Kaiser´s-Kundenkarte weiter ausgebaut werden.

Die Privatsphäre rückt nach vorn

Auch in anderen Branchen werden Datenfragen mittlerweile weiter nach vorn gezogen, sichtbar jüngst bei Automobilen und Informationstechnik. Der Chef von Audi zeigte, dass ihm Bedenken der Fahrer hinsichtlich des Zugriffs auf ihre Bewegungsdaten nicht entgangen sind: „Das Auto ist ein zweites Wohnzimmer. Und das ist privat.“ Einziger Zugriffsberechtigter solle der Fahrer sein. Und in derselben Woche stellte der Chef von Apple heraus, dass man nicht an den persönlichen Daten seiner Nutzer interessiert sei, sondern ihnen allein schöne Geräte verkaufen wolle. Wie auch immer man diese Aussagen bewerten will, sie sind ein Signal, dass das Thema Datenschutz angekommen ist – nicht nur in der Rechtsabteilung.

Ob sich solche neuen Marschrouten durchhalten und mit den übrigen Unternehmensstrategien kombinieren lassen, ist freilich eine andere Frage. Denn ob die diversen neuen und noch kommenden Dienstmerkmale eines vernetzten Autos ohne größere Zugriffe von außen lauffähig sein können, erscheint fraglich. Wenn z.B. Ferndiagnosen und Fernwartungen reibungslos laufen sollen, wird man in vielen Fällen um Fremdzugriffe, mitunter auch auf Fahrdaten, nicht umhinkommen. Ein grundsätzlich allein dem Fahrer reservierter Zugriff würde diesem dabei andauernde Zustimmungserfordernisse auferlegen. Allerdings ließe sich an diesem Punkt gut zeigen, wie man eine „informierte“ Einwilligung fahrerfreundlich ausgestalten kann. Auch könnten an dieser Stelle transparente Sammel-Einwilligungen für zusammengefasste ähnliche Prozesse erprobt werden.

Im Fall von Apple wiederum mag es sich schlicht um die Absicht handeln, sich stärker von der US-amerikanischen Großkonkurrenz abzugrenzen. Das Unternehmen hatte unter anderem Google kritisiert, zu viele Daten über Nutzer zu sammeln und selber angekündigt, zukünftig verstärkt Nutzerdaten lokal auf den Endgeräten statt zentral auf eigenen Servern zu speichern.

„It´s the economy, stupid“

Wenn sich andeutet, dass ein Wettbewerb entsteht, bei dem sich relevante IT-Anbieter beim Datenschutz zu überbieten suchen, so kann dies nur begrüßt werden. Die Nutzung von Marktmechanismen kann vor allem in den Vereinigten Staaten mehr in Gang setzen als die meisten politischen Forderungen – oder als solche Gesetze, die nicht konsequent durchgesetzt werden (können). Das ein Nachdenken über die Relevanz von Datenschutz im Silicon Valley ankommen ist, war schon im vergangenen Jahr vernehmbar, als sich der Facebook-Chef und andere öffentlichkeitswirksam beim US-Präsidenten beschwerten. Obama dürfe nicht durch zu starkes Gewährenlassen bei seinen Geheimdiensten die Kunden in Übersee verunsichern.

So erfreulich das neue Betonen der Privatsphärenaffinität auch ist - behauptetes muss natürlich stimmen. Wenn konkrete technische oder operative Vorkehrungen in Sachen Datensparsamkeit und Privatsphärenschutz für Vermarktungszwecke herangeholt werden, dann sind die Unternehmen gut beraten, nicht mit dem Nutzervertrauen zu spielen sondern allein mit Tatsachen zu werben.

…und zum Beleg ein Zertifikat

An dieser Stelle drängt sich das Thema Zertifizierung geradezu auf. Denn bei nahezu allen Varianten von Gütesiegeln und Zertifikaten zum Datenschutz geht es um genau diesen Vorgang: Das Herausstellen von besonderem Aufwand, den ein Unternehmen betrieben hat, um die Daten seiner Kunden gut zu schützen und um gesetzeskonform zu sein. Zentral ist dabei der Gedanke von anreizgetriebenem Datenschutz, quasi induzierter Selbstregulierung. Wo Gesetze entweder zu langsam sind (siehe Modernisierungszyklus des europäischen Datenschutzrechts) oder nur mit negativen Anreizen (Bußgeld) arbeiten, ist das freiwillige  Setzen positiver Anreize eine richtige Ergänzung.

Inwieweit die bald zu verabschiedende Datenschutzgrundverordnung die Datenschutzzertifizierung voranbringen kann, ist noch offen. Die aktuellen Vorschläge aus den Ratsarbeitsgruppen sind jedoch vielversprechend. So soll es unter anderem möglich werden, mit der Vorlage eines anerkannten Zertifikats im Sinne des Art. 39 GVO-E die Übereinstimmung mit der Vorgaben zum Datenschutz per Produktgestaltung und zum Datenschutz per Voreinstellung zu belegen (Art. 23 Abs. 2a GVO-E). Auch soll es mittels Zertifikatsvorlage Auftragsdatenverarbeitern möglich werden, die Zuverlässigkeit ihrer technisch-organisatorischen Vorkehrungen nachzuweisen (Art. 26 Abs. 2aa). Ähnliche zertifikatsgestützte Erleichterungen sind im Bereich der Datensicherheit geplant (Art. 30 Abs. 2a).

Auf der Hand liegt bei allem, dass eine Europäisierung des Datenschutzrechts mittelfristig auch eine Europäisierung des Zertifizierungswesens zeitigt. Das Werben auf einem globalen Markt digitaler Dienstleistungen mit gutem Datenschutz kann mit einheitlichen Zertifizierungsanforderungen nur erleichtert werden. Das Interesse am Werben mit Belegen über die eigenen Anstrengungen zu gutem Umgang mit Personendaten wächst jedenfalls auch international. Einer der weltgrößten Datenhändler, die Acxiom Corporation, teilte in diesem Monat mit, dass sie ein Datenschutzgütesiegel der European Interactive Digital Advertising Alliance erhalten habe.

Die Chancen, dass Datenschutz sich vom ungeliebten Hemmschuh zum Marketing-Argument entwickelt, scheinen jedenfalls derzeit so gut wie lange nicht mehr zu stehen. Auch das von Apple indirekt gescholtene Google will nicht zurückfallen, sondern startete eine Transparenz- und Kontrollinitiative. Mit dem neu gestalteten Werkzeug „My Account“ soll die Übersicht über das, was Google macht, deutlich erhöht werden. Daneben wird es auch nicht-angemeldeten Google-Nutzern erlaubt, Einstellungen hinsichtlich der von Google zu speichernden personenbezogenen Daten vorzunehmen. In welchem Ausmaß diese neuen Möglichkeiten genutzt werden, wird sich zeigen. Es wäre durchaus wünschenswert, wenn Google diesen Weg weiter beschreitet. Und wenn das Unternehmen dabei nicht allein bleibt, kann es durchaus vorangehen mit „Datenschutz als Element des Wettbewerbs“.

Autor/in

Frederick Richter

Frederick Richter studierte Rechtswissenschaften an der Universität Hamburg. Nach einem Masterstudiengang zum Informationsrecht an den Universitäten Wien und Hannover trat er in den juristischen Vorbereitungsdienst in Berlin ein. 2005 wurde er zur Rechtsanwaltschaft zugelassen und arbeitete als wissenschaftlicher Mitarbeiter eines Bundestagsabgeordneten. Von 2008 bis 2010 war er Datenschutzbeauftragter des Bundesverbandes der Deutschen Industrie. Von 2010 bis 2012 beriet er eine Fraktion des Deutschen Bundestages zur Rechtspolitik. Seit 2013 leitet er die Stiftung Datenschutz in Leipzig.