Vorteil für Facebook

Datenschutz: Übertreiben wir es in Deutschland?

Folker Scholz schreibt zu den Themen Governance, Risk, Compliance, Nachhaltigkeit/CSR und Veränderungsmanagement. Als selbständiger Berater und Coach hilft er Unternehmen das dynamische IT-Umfeld und den Innovationsdruck neuer Geschäftsmodelle zu beherrschen. Er engagiert sich in der Fachgruppe Cloud der ISACA, in der Risk Management Association (RMA) und im Deutschen Netzwerk Wirtschaftsethik (DNWE).
Kein Zweifel, Datenschutz muss sein. Doch welches Maß ist das richtige? Bremst der Datenschutz deutsche IT-Innovationen aus? Sind US-Firmen erfolgreicher, weil sie sich weniger darum kümmern müssen?

Immer wieder steht der Datenschutz unter Verdacht, deutsche IT-Innovationen auszubremsen. Sind die fantastischen Erfolge von Facebook, Google, Microsoft und Co. tatsächlich damit zu begründen, dass sich diese Unternehmen weniger um den Datenschutz kümmern müssen? Die Diskussion um den NSA-Abhörskandal und das gerade gekippte Safe-Harbor-Abkommen könnten dies vermuten lassen. Auch der Ruf manchen IT-Unternehmens, die Datenschutzgesetze zu lockern, geht in diese Richtung. Bei genauerer Betrachtung ergibt sich ein differenzierteres Bild.

Patriot Act verletzt Persönlichkeitsrechte

Der potenzielle Zugriff der NSA auf Basis des Patriot Act erzeugt einen Rechtskonflikt zwischen EU und den USA, weil er die Persönlichkeitsrechte von EU-Bürgern verletzt. Der Europäische Gerichtshof hat gerade erst das Safe-Harbor-Abkommen gekippt, das eigentlich das Sicherheitsniveau für den Datenaustausch personenbezogener Daten zwischen der EU und der USA regeln soll. Hiervon sind jedoch vorwiegend Anbieter betroffen, deren Rechenzentren und Sitz in den USA liegen (siehe auch "Datenschutz in der Cloud"). Deren Nutzung ist zwar für deutsche Anwender problematisch, für deutschen Erfinder- und Entwicklergeist stellt dies jedoch keine Eingangshürde dar - zumindest solange nicht, wie keine Cloud-Services aus den USA als zwingende Basistechnologien eingesetzt werden.

Deutsches und US-Datenschutzrecht im Vergleich

Nachrichten über naive Unternehmen, die es Hackern leicht machen, und Kriminelle, die ihre Kunden täuschen, kommen von beiden Seiten des Atlantiks. Interessanter ist der Vergleich zwischen dem amerikanischen und dem deutschen Datenschutzrecht.

In den USA gibt es durchaus inhaltlich vergleichbare Datenschutzregelungen zur hiesigen Rechtsauffassung. Auch wenn diese nicht in einem Zentralgesetz wie dem Bundesdatenschutz-Gesetz (BDSG) geregelt sind, gibt es dennoch verschiedene Rechtsnormen, die dem Schutz personenbezogener Daten dienen. Der Health Insurance Portability and Accountability Act (HIPAA) beispielsweise schränkt die Weitergabe von Gesundheitsdaten ein. Der Children`s Online Privacy Protection Act (COPPA) maßregelt den Umgang mit persönlichen Daten von Kindern unter dreizehn Jahren und die Zustimmungspflichten der Eltern.

Beim Strafmaß, wenn beispielsweise Krankendaten verloren gehen, sind US-Gerichte nicht zimperlich: Für Datenverluste wurden bereits zweistellige Millionen-Beträge an Strafzahlungen fällig. Dagegen mutet das BDSG mit seinen 300.000 Euro Strafandrohung und den bislang verhängten Strafen eher freundlich an. Zwar soll das Strafmaß im Zuge der geplanten Datenschutznovelle deutlich steigen, doch kann die Anhebung noch keinen Einfluss gehabt haben. Die Verletzung von Datenschutzgesetzen ist jedenfalls auch für amerikanische Unternehmen ein nicht zu vernachlässigendes Risiko.

Das Geschäftsmodell kostenloser Plattformen

Dennoch hat man den Eindruck, dass amerikanische Firmen personenbezogenen Daten einfacher weitergeben könnten. Vor allem Google und Facebook stehen in der Kritik, weil sie Benutzerinformationen sammeln und anderen zur Nutzung anbieten. Aber wie "dreist" ist das wirklich?

Die meisten von uns nutzen gerne die kostenlosen Services, um zu suchen, zu navigieren, Fotos zu posten oder an Social Communities teilzuhaben. Zu glauben, dass Google und Facebook diese Leistung nur aus "Nettigkeit" anbieten, wäre naiv. Natürlich steht dahinter ein Geschäftsmodell, das auf der Ausnutzung des daraus gewonnenen Wissens beruht. Abgesehen von spendenfinanzierten Gemeinwohl-Modellen wie Wikipedia oder manchem Open-Source-Projekt, sind entweder kostenpflichtige Premium-Leistungen oder die Nutzung der gesammelten Informationen die Finanzquelle solcher kostenlosen Plattformen.

Sind amerikanische Behörden großzügiger, wenn es um das Durchleuchten von Webnutzern geht?
Sind amerikanische Behörden großzügiger, wenn es um das Durchleuchten von Webnutzern geht?
Foto: Dyn

Natürlich wecken einmal gesammelte Daten bei manchem Unternehmen auch Begehrlichkeiten, daraus weiteren Profit zu schlagen und diese einem neuen, gegebenenfalls externen Nutzungszweck zuzuführen. Die Nutzungsbedingungen geben darüber in der Regel Auskunft und werden im Zuge solcher erkannten Chancen angepasst. Aufgrund der amerikanischen Klagekultur und den häufig sehr hohen Schadensersatz-Ansprüchen sind die Nutzungsbedingungen in den USA in der Regel sogar präziser und ausführlicher formuliert als deutsche. Für Ihren Inhalt gilt beiderseits des Atlantiks Ähnliches wie für das Kleingedruckte in AGBs oder für Beipackzettel von Medikamenten: Es ist meist schwer zu verstehen, nicht immer erfreulich, was man dort liest, und häufig auch nicht im Sinne derer, die sich das Lesen sparen.

An dieser Nahtstelle gibt es einen grundsätzlichen Interessenkonflikt: Unternehmen und ihre Lobbys verfolgen das Ziel, ihren Profit zu mehren. Die Gesellschaft, vertreten durch ihre Rechtssysteme, versucht schwache Mitglieder vor starken so weit zu schützen, dass die schwachen keinen unangemessenen Schaden nehmen. Für die These, dass in den USA Lobbys dieses Ringen in den letzten Jahren deutlich zugunsten der Industrie verschoben haben, gibt es durchaus Indizien. Dieser Vorteil, könnte den Erfolg amerikanischer IT-Unternehmen für Geschäftsmodelle erklären, die personenbezogene Daten ausschlachten. Nur sind weder Microsoft noch Oracle und weder Apple noch IBM mit solchen Geschäftsmodellen groß geworden. Es muss noch einen anderen Grund für ihre Dominanz geben.

Defizit Gründungskultur

Und dieser liegt wohl vor allem in der anderen Gründungskultur in den USA. Während in Deutschland unternehmerisches Scheitern vielfach immer noch als Makel angesehen wird, lautet die amerikanische Unternehmerdevise: "Fail early, fail fast, fail often". Universitäten, Unternehmen und Venture Capital sind eng verzahnt. Zudem ist die Bereitschaft, in neue Geschäftsmodelle zu investieren und unternehmerisches Risiko einzugehen ungleich höher. Wenn eine Volkswirtschaft in der Lage ist ein Vielfaches an neuen Geschäftsmodellen hervorzubringen, ist die Chance, das ein neuer internationaler Marktführer dabei herauskommt, entsprechend groß.

Das Datenschutz und Kommerz durchaus Hand in Hand gehen können, zeigen einige Berliner Startups.
Das Datenschutz und Kommerz durchaus Hand in Hand gehen können, zeigen einige Berliner Startups.
Foto: luckylight - Fotolia.com

Das vereinzelt deutsche ITK-Unternehmen in ihrem Sektor international erfolgreich sind, zeigen Beispiele wie SAP, Infineon oder die Deutsche Telekom. Auch einige deutsche Newcomer wie Metaio und 6Wunderkinder entwickeln so gute Software, dass sie von Apple und Microsoft aufgekauft werden. Will man mehr erfolgreiche Unternehmen, sollte man vor allem für ein gründungsfreundliches Klima und eine bessere Versorgung mit Wagniskapital sorgen.

Chancen durch Datenschutz

Der amerikanische Unternehmensberater und Autor Dov Seidmann vertritt die These, dass durch die Transparenz des Internets, Produkte immer vergleichbarer werden. Dadurch erlangt das Unternehmensimage und die Art, wie Leistungen erbracht werden, eine zunehmende Wettbewerbsbedeutung. Die sogenannte Corporate Social Responsibility (CSR) und damit auch der Umgang mit den Daten der Kunden wird für Unternehmen demnach langfristig größeren Nutzen stiften als die schnelle Monetarisierung durch den zweifelhaften Verkauf von Daten an Dritte.

Gründer begreifen den Datenschutz mittlerweile durchaus als Chance. In der Berliner Start-up Szene, die sich europaweit mittlerweile die Pool-Position erkämpft hat, fällt es nicht schwer, Beispiele dafür zu finden. Aus der Erkenntnis heraus, dass eigentlich die meisten lieber die Kontrolle über private und sensible Daten behalten wollen, erwuchs etwa bei Cosboo die Idee, ein für Kunden sicheres Werbeportal zu entwickeln. Dazu wurde eine Systematik geschaffen, die einerseits die Anonymität des Werbeempfängers sicherstellt und andererseits dem Werbenden eine genaue Selektion der Zielgruppen ermöglicht.

Die strikte Trennung befriedigt nicht nur datenschutzrechtliche Befindlichkeiten, sondern ermöglicht eine viel bessere Selektion der Zielgruppe, so dass sich höhere Preise pro Click, lokal begrenzte Werbung und auch Werbung in besonders sensiblen Bereichen realisieren lassen. Damit das Betriebsmodell nicht an der Compliance scheitert, wurde aktiv der Austausch mit dem Landesdatenschutzbeauftragten und den Finanzbehörden gesucht.

Auch bei dem Berliner Start-up StoneOne AG wird Datenschutz groß geschrieben. Die Berliner bieten mit ihrer Web Service Factory ein Baukastensystem für die Entwicklung von elastischen Cloud-Applikationen an. Die Kunden sind in der Regel selbst Softwareanbieter, die etwa im Personalbereich tätig sind und damit besonders hohe Sorgfaltspflichten beim Umgang mit sensiblen Daten haben. In der Web Service Factory wurden deshalb sowohl ein detailliertes Rollen- und Rechte-Management implementiert als auch hochwertige Signatur-und Verschlüsselungsmechanismen.

Der Grund, warum US Firmen den ITK-Markt dominieren, dürfte vor allem in einer deutlich risikofreudigeren Investitionskultur begründet sein. Datenschutz mag manches Geschäftsmodell ausbremsen. Aber er ist kein allumfassender Geschäftsverhinderer, geschweige denn die Ursache für mangelnden Erfolg von IT-Anbietern. Ganz im Gegenteil kann der Datenschutz sogar neue Marktsegmente erschließen, wenn Unternehmen von Beginn an, Datenschutz und Compliance berücksichtigen und intelligent designen.

 

Hubert Daubmeier

Keine Frage, die faktischen Unterschiede im Rechtssystem sind wie beschrieben. Ich bin mir nicht sicher, ob die These jetzt wäre es müssten das deutsche Rechtssystem geändert werden, denn nur der Appell an den Goodwill scheint mir als Motivator etwas schwach.

Ich würde eine Gegenthese aufstellen wollen: irgendwo habe ich mal den Satz gelesen "the EU is strong in regulation; the US is strong in implementation". Auf gut deutsch und aus der Praxis eines DSB:

A) wir meinen wir hätten die besseren Gesetze, aber wir scheren uns einen Teufel darum sie umzusetzen. Fragen Sie irgendeinen banalen Webseitenbetreiber warum er keine Datenschutzerklärung auf seiner Web site hat. Oder bestenfalls bei ERecht24 abgekupfert hat, ohne durchgelesen zu haben, was das Ganze soll (und man etwa mal ins die Notwendigkeit des Logging reinschauen sollte, wo personenbezogene Daten erhoben werden, die kein Mensch braucht und niemand jemals wieder löscht). Es gibt Millionen von Web sites ohne DS Info, schlicht weil es geht. Anderes Beispiel UWG: welche Unzahl an Marketingratgebern gibt es, die gradewegs behaupten Cold Calls an Verbraucher sind vollkommen ok. In Kürze: jede Sünde wird gemacht, weil es geht und niemand verfolgt. In den USA wüsste man "der Spaß könnte teuer werden, also mach ich mich erstmal schlau".
B) die Beispiele HIPPA/HiTech oder COPPA zeigen auch, dass wir in der D/EU eben nicht die besseren Gesetze haben. Sind Gesundheitsdaten ein Thema? Interessiert sich jemand für Kinder im Internet? Während wir uns an Randthemen aufreiben, weder Gesundheitskarte noch EPerso mit Zertifikat geregelt kriegen, beschäftigt man sich über dem Teich mit Zukunftsthemen: Internet of Things, selbstfahrende Autos, etc. In Kürze: die eh schon Defizite werden jeden Tag größer.

comments powered by Disqus