Immer wieder steht der Datenschutz unter Verdacht, deutsche IT-Innovationen auszubremsen. Sind die fantastischen Erfolge von Facebook, Google, Microsoft und Co. tatsächlich damit zu begründen, dass sich diese Unternehmen weniger um den Datenschutz kümmern müssen? Die Diskussion um den NSA-Abhörskandal und das gerade gekippte Safe-Harbor-Abkommen könnten dies vermuten lassen. Auch der Ruf manchen IT-Unternehmens, die Datenschutzgesetze zu lockern, geht in diese Richtung. Bei genauerer Betrachtung ergibt sich ein differenzierteres Bild.
Patriot Act verletzt Persönlichkeitsrechte
Der potenzielle Zugriff der NSA auf Basis des Patriot Act erzeugt einen Rechtskonflikt zwischen EU und den USA, weil er die Persönlichkeitsrechte von EU-Bürgern verletzt. Der Europäische Gerichtshof hat gerade erst das Safe-Harbor-Abkommen gekippt, das eigentlich das Sicherheitsniveau für den Datenaustausch personenbezogener Daten zwischen der EU und der USA regeln soll. Hiervon sind jedoch vorwiegend Anbieter betroffen, deren Rechenzentren und Sitz in den USA liegen (siehe auch "Datenschutz in der Cloud"). Deren Nutzung ist zwar für deutsche Anwender problematisch, für deutschen Erfinder- und Entwicklergeist stellt dies jedoch keine Eingangshürde dar - zumindest solange nicht, wie keine Cloud-Services aus den USA als zwingende Basistechnologien eingesetzt werden.
Deutsches und US-Datenschutzrecht im Vergleich
Nachrichten über naive Unternehmen, die es Hackern leicht machen, und Kriminelle, die ihre Kunden täuschen, kommen von beiden Seiten des Atlantiks. Interessanter ist der Vergleich zwischen dem amerikanischen und dem deutschen Datenschutzrecht.
In den USA gibt es durchaus inhaltlich vergleichbare Datenschutzregelungen zur hiesigen Rechtsauffassung. Auch wenn diese nicht in einem Zentralgesetz wie dem Bundesdatenschutz-Gesetz (BDSG) geregelt sind, gibt es dennoch verschiedene Rechtsnormen, die dem Schutz personenbezogener Daten dienen. Der Health Insurance Portability and Accountability Act (HIPAA) beispielsweise schränkt die Weitergabe von Gesundheitsdaten ein. Der Children`s Online Privacy Protection Act (COPPA) maßregelt den Umgang mit persönlichen Daten von Kindern unter dreizehn Jahren und die Zustimmungspflichten der Eltern.
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
Beim Strafmaß, wenn beispielsweise Krankendaten verloren gehen, sind US-Gerichte nicht zimperlich: Für Datenverluste wurden bereits zweistellige Millionen-Beträge an Strafzahlungen fällig. Dagegen mutet das BDSG mit seinen 300.000 Euro Strafandrohung und den bislang verhängten Strafen eher freundlich an. Zwar soll das Strafmaß im Zuge der geplanten Datenschutznovelle deutlich steigen, doch kann die Anhebung noch keinen Einfluss gehabt haben. Die Verletzung von Datenschutzgesetzen ist jedenfalls auch für amerikanische Unternehmen ein nicht zu vernachlässigendes Risiko.
Das Geschäftsmodell kostenloser Plattformen
Dennoch hat man den Eindruck, dass amerikanische Firmen personenbezogenen Daten einfacher weitergeben könnten. Vor allem Google und Facebook stehen in der Kritik, weil sie Benutzerinformationen sammeln und anderen zur Nutzung anbieten. Aber wie "dreist" ist das wirklich?
Die meisten von uns nutzen gerne die kostenlosen Services, um zu suchen, zu navigieren, Fotos zu posten oder an Social Communities teilzuhaben. Zu glauben, dass Google und Facebook diese Leistung nur aus "Nettigkeit" anbieten, wäre naiv. Natürlich steht dahinter ein Geschäftsmodell, das auf der Ausnutzung des daraus gewonnenen Wissens beruht. Abgesehen von spendenfinanzierten Gemeinwohl-Modellen wie Wikipedia oder manchem Open-Source-Projekt, sind entweder kostenpflichtige Premium-Leistungen oder die Nutzung der gesammelten Informationen die Finanzquelle solcher kostenlosen Plattformen.
Natürlich wecken einmal gesammelte Daten bei manchem Unternehmen auch Begehrlichkeiten, daraus weiteren Profit zu schlagen und diese einem neuen, gegebenenfalls externen Nutzungszweck zuzuführen. Die Nutzungsbedingungen geben darüber in der Regel Auskunft und werden im Zuge solcher erkannten Chancen angepasst. Aufgrund der amerikanischen Klagekultur und den häufig sehr hohen Schadensersatz-Ansprüchen sind die Nutzungsbedingungen in den USA in der Regel sogar präziser und ausführlicher formuliert als deutsche. Für Ihren Inhalt gilt beiderseits des Atlantiks Ähnliches wie für das Kleingedruckte in AGBs oder für Beipackzettel von Medikamenten: Es ist meist schwer zu verstehen, nicht immer erfreulich, was man dort liest, und häufig auch nicht im Sinne derer, die sich das Lesen sparen.
An dieser Nahtstelle gibt es einen grundsätzlichen Interessenkonflikt: Unternehmen und ihre Lobbys verfolgen das Ziel, ihren Profit zu mehren. Die Gesellschaft, vertreten durch ihre Rechtssysteme, versucht schwache Mitglieder vor starken so weit zu schützen, dass die schwachen keinen unangemessenen Schaden nehmen. Für die These, dass in den USA Lobbys dieses Ringen in den letzten Jahren deutlich zugunsten der Industrie verschoben haben, gibt es durchaus Indizien. Dieser Vorteil, könnte den Erfolg amerikanischer IT-Unternehmen für Geschäftsmodelle erklären, die personenbezogene Daten ausschlachten. Nur sind weder Microsoft noch Oracle und weder Apple noch IBM mit solchen Geschäftsmodellen groß geworden. Es muss noch einen anderen Grund für ihre Dominanz geben.
Defizit Gründungskultur
Und dieser liegt wohl vor allem in der anderen Gründungskultur in den USA. Während in Deutschland unternehmerisches Scheitern vielfach immer noch als Makel angesehen wird, lautet die amerikanische Unternehmerdevise: "Fail early, fail fast, fail often". Universitäten, Unternehmen und Venture Capital sind eng verzahnt. Zudem ist die Bereitschaft, in neue Geschäftsmodelle zu investieren und unternehmerisches Risiko einzugehen ungleich höher. Wenn eine Volkswirtschaft in der Lage ist ein Vielfaches an neuen Geschäftsmodellen hervorzubringen, ist die Chance, das ein neuer internationaler Marktführer dabei herauskommt, entsprechend groß.
Das vereinzelt deutsche ITK-Unternehmen in ihrem Sektor international erfolgreich sind, zeigen Beispiele wie SAP, Infineon oder die Deutsche Telekom. Auch einige deutsche Newcomer wie Metaio und 6Wunderkinder entwickeln so gute Software, dass sie von Apple und Microsoft aufgekauft werden. Will man mehr erfolgreiche Unternehmen, sollte man vor allem für ein gründungsfreundliches Klima und eine bessere Versorgung mit Wagniskapital sorgen.
Chancen durch Datenschutz
Der amerikanische Unternehmensberater und Autor Dov Seidmann vertritt die These, dass durch die Transparenz des Internets, Produkte immer vergleichbarer werden. Dadurch erlangt das Unternehmensimage und die Art, wie Leistungen erbracht werden, eine zunehmende Wettbewerbsbedeutung. Die sogenannte Corporate Social Responsibility (CSR) und damit auch der Umgang mit den Daten der Kunden wird für Unternehmen demnach langfristig größeren Nutzen stiften als die schnelle Monetarisierung durch den zweifelhaften Verkauf von Daten an Dritte.
Gründer begreifen den Datenschutz mittlerweile durchaus als Chance. In der Berliner Start-up Szene, die sich europaweit mittlerweile die Pool-Position erkämpft hat, fällt es nicht schwer, Beispiele dafür zu finden. Aus der Erkenntnis heraus, dass eigentlich die meisten lieber die Kontrolle über private und sensible Daten behalten wollen, erwuchs etwa bei Cosboo die Idee, ein für Kunden sicheres Werbeportal zu entwickeln. Dazu wurde eine Systematik geschaffen, die einerseits die Anonymität des Werbeempfängers sicherstellt und andererseits dem Werbenden eine genaue Selektion der Zielgruppen ermöglicht.
Die strikte Trennung befriedigt nicht nur datenschutzrechtliche Befindlichkeiten, sondern ermöglicht eine viel bessere Selektion der Zielgruppe, so dass sich höhere Preise pro Click, lokal begrenzte Werbung und auch Werbung in besonders sensiblen Bereichen realisieren lassen. Damit das Betriebsmodell nicht an der Compliance scheitert, wurde aktiv der Austausch mit dem Landesdatenschutzbeauftragten und den Finanzbehörden gesucht.
Auch bei dem Berliner Start-up StoneOne AG wird Datenschutz groß geschrieben. Die Berliner bieten mit ihrer Web Service Factory ein Baukastensystem für die Entwicklung von elastischen Cloud-Applikationen an. Die Kunden sind in der Regel selbst Softwareanbieter, die etwa im Personalbereich tätig sind und damit besonders hohe Sorgfaltspflichten beim Umgang mit sensiblen Daten haben. In der Web Service Factory wurden deshalb sowohl ein detailliertes Rollen- und Rechte-Management implementiert als auch hochwertige Signatur-und Verschlüsselungsmechanismen.
Der Grund, warum US Firmen den ITK-Markt dominieren, dürfte vor allem in einer deutlich risikofreudigeren Investitionskultur begründet sein. Datenschutz mag manches Geschäftsmodell ausbremsen. Aber er ist kein allumfassender Geschäftsverhinderer, geschweige denn die Ursache für mangelnden Erfolg von IT-Anbietern. Ganz im Gegenteil kann der Datenschutz sogar neue Marktsegmente erschließen, wenn Unternehmen von Beginn an, Datenschutz und Compliance berücksichtigen und intelligent designen.