* EU und Deutschland sehen Datenschutz als Wettbewerbsvorteil
* Firmen beklagen nicht zu viel Auflagen - sondern Graubereich
* Klage über unterschiedliche Auslegung der Regeln
* Daten müssen auch gegen Diebe verteidigt werden
- von Andreas Rinke und Nadine Schimroszik
Berlin, 07. Mai (Reuters) - Wenn in Deutschland über Datenschutz gesprochen wird, kochen die Emotionen schnell hoch – gerade in der Corona-Pandemie. "Datenschutz ist ein Hemmnis in der Pandemie", wettert Nordrhein-Westfalens Ministerpräsident Armin Laschet (CDU) und kritisiert, dass etwa die Corona-Warn-App deshalb nicht das könne, was sie müsse. "Virenschutz müsste klar Vorrang haben. Stattdessen sind alle stolz darauf, dass niemand auf die Daten in der App zugreifen kann", giftet auch Tübingens Bürgermeister Boris Palmer (Grüne). Umgekehrt platzt aber auch dem Bundesbeauftragten für Datenschutz, Ulrich Kelber, der Kragen bei solchen Äußerungen: "Ich habe schon den Eindruck, dass die Neigung, beispielsweise von Ministerpräsidenten und Bürgermeistern, deutlich zugenommen hat, eigene Versäumnisse schnell auf den Datenschutz zu schieben", sagt Kelber der Nachrichtenagentur Reuters.
Der Dauer-Streit um eine oft als zahnlos kritisierte WarnApp ist nur die Spitze des Eisbergs in der erbitterten Schlacht um den Datenschutz, in der viele im Alltag über Vorgaben der 2018 eingeführten Datenschutzgrundverordnung (DSGVO) fluchen - in der aber die Wirtschaft mittlerweile eine auf den ersten Blick überraschende Position einnimmt: Sie dringt gar nicht mehr auf weniger Datenschutz, sondern sogar teilweise auf mehr, vor allem aber klarere Regeln. Außerdem wächst ein ganz neues Bewusstsein in Politik und Unternehmen heran, was "Datenschutz" eigentlich bedeutet. In der Debatte geht es nicht mehr nur um staatliche Vorschriften, sondern auch um Orte der Datenspeicherung oder den Schutz vor Cyberangriffen.
DEUTSCHLAND LIEGT ZURÜCK - HILFT DER DATENSCHUTZ?
Dass zunehmend über Datenschutz gesprochen wird, liegt vor allem an dem rasanten Wachstum der IT-Branche und der steigenden Datenflut. Inzwischen sind fast vier von fünf Deutschen regelmäßig online. Laut Berechnungen der Investitionsbank Berlin ist die Bruttowertschöpfung der Digitalwirtschaft in Deutschland von 2010 bis 2018 von 86 auf 146 Milliarden Euro gestiegen - also noch vor dem Corona-Effekt. "Die Corona-Krise hat die Digitalisierung in vielen Bereichen beschleunigt", sagt Bitkom-Präsident Achim Berg. Aber gerade weil Daten das Gold der Zukunft sind, schlägt die Industrie längst Alarm: "Deutschland muss in die Weltspitze bei der Nutzung von Daten aufsteigen", fordert etwa Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung.
Während bisher vor allem über die Kapitalstärke amerikanischer oder chinesischer IT-Giganten gesprochen wurde, rückt ein anderer Aspekt der Wettbewerbsfähigkeit nun stärker in den Vordergrund - eben der Schutz der Daten. Denn nach einer Untersuchung des Instituts der deutschen Wirtschaft (IW Köln) im Auftrag des Bundesverbands der Deutschen Industrie (BDI) bleibt das Potenzial der Datennutzung in Unternehmen auch deshalb oft ungenutzt, weil es Sorge vor dem unautorisiertem Zugriff Dritter gibt. Vor allem gebe es "datenschutzrechtlichen Grauzonen" bei den Prozessen zur Anonymisierung und Pseudonymisierung personenbezogener Daten.
Aber genau die braucht man für die Verarbeitung riesiger Datenmengen, für "Big Data", auf der neue Geschäftsmodelle von autonomen Fahren bis zur besseren Diagnostik bei Krankheiten aufbauen. "Datenschutz und Datenökonomie müssen zusammengehen", fordert Plöger deshalb mit Blick auf die Notwendigkeit, Daten zwar als Wirtschaftsgut verstehen und monetarisieren zu können, mit ihnen aber verantwortungsvoll umzugehen.
Auch bei Siemens Healthineers SHLG.DE , einem Unternehmen, das in einem der größten Wachstumsbereiche von "Big Data" aktiv ist, nämlich der Auswertung von Gesundheitsdaten, dringt man auf klarere Regeln etwa für die Anonymisierung von Daten. "Wenn sie richtig gemacht sind, fördern Datenschutzanforderungen Innovationen. Gesetze und Regularien bedeuten eine Marktnivellierung – nach oben", sagt Carlos Arglebe, Corporate Cybersecurity Officer des Unternehmens zu Reuters. Gewinnen würden Firmen mit den jeweils höchsten Datenschutzstandards. "Die Technologie geht mit den höchsten Daten-Schutzanforderungen mit."
Arglebe verweist ebenso wie Datenschützer Kelber darauf, dass in einer aufgeklärten, liberalen und demokratischen Gesellschaft das nötige Vertrauen der Datenbesitzer entscheidend sei. Denn für die Nutzung von "Big Data" fragen Firmen ihre Kunden immer häufiger, ob sie ihnen anonymisierte Daten überlassen. Gerade in Deutschland sind die Bürger dabei häufig zurückhaltend - das Wort "Datengeiz" spiegelt dieses Verhalten wider. Laut Arglebe gibt es dagegen nur ein Mittel: "Wenn wir hohe Standards haben, wird das Vertrauen verstärkt".
Auch deshalb weisen Kanzleramtschef Helge Braun sowie die Entwickler Deutsche Telekom DTEGn.DE und SAP SAPG.DE die Kritik an der Corona-Warn-App gelassen zurück. Braun verweist auf die mehr als 27 Millionen Downloads gerade wegen der hohen Datenschutzstandards. Nach der Cluster-Erkennung und der Möglichkeit, Schnelltest-Ergebnisse einzuspeisen, soll noch vor den Sommerferien der digitale Impfnachweis in die Corona-Warn-App integriert werden. Das könnte laut einer Studie des Branchenverbandes Bitkom für einen Nutzerzustrom sorgen: Ein Fünftel derjenigen, die die App noch nicht installiert haben, wollen sie dann einsetzen.
NICHT DATENSCHUTZ STÖRT - SONDERN DIE UNSICHERHEIT
Experten betonen immer wieder, dass die Corona-Warn-App beim Datenschutz anderen Angeboten wie beispielsweise der Luca-App, die etliche Bundesländer eigentlich als Begleitmaßnahme zur Öffnung der Geschäfte und Restaurants einsetzen wollen, überlegen sei. Auch die jüngsten Erweiterungen gelten als datensparsam. Grundlage dafür bildet die nach zähen Verhandlungen in der EU beschlossene DSGVO, die allerdings auch nicht als Weisheit letzter Schluss gilt. Bitkom-Datenschutzexpertin Rebekka Weiß sagt: "Die Datenschutzgrundverordnung befindet sich zwar seit fast drei Jahren in der Anwendung, doch in der Umsetzung ist vieles nach wie vor schwierig und mit einem andauernden Aufwand verbunden. Hat man eine Frage gelöst, kommen zwei neue hinzu."
Dazu kommt, dass das 2018 beschlossene Regelungswerk von der technologischen Entwicklung überholt wird. "Die DSGVO ist nicht gemacht für neue Technologien wie Blockchain, Künstliche Intelligenz, Gesichts- und Stimmerkennung oder sich automatisch verbindende Geräte", kritisiert etwa der Europa-Abgeordnete Axel Voss (CDU) und schlägt eine Anpassung der EU-Vorgaben vor. Auch für eine Pandemie sei die DSGVO nicht geeignet, weil der Trend zum Homeoffice die Grenzen zwischen Privatem und Beruflichem verschwimmen lässt. Quer durch die Republik fluchen Schulen, dass sie gängige virtuelle Konferenzsysteme nicht oder nur unter der Hand nutzen dürfen, weil sie etwa durch eine Datenspeicherung in den USA nicht den Vorgaben entsprechen. "Die Aufsichtsbehörden sagen häufig nur, was nicht geht, statt zu sagen, wie Unternehmen oder Behörden Dinge DSGVO-konform umsetzen können", kritisiert Bitkom-Expertin Weiß.
Zudem beklagen Firmen fehlende Vorgaben für die Anonymisierung von Daten. "Das Problem bei der Anonymisierung oder Pseudonymisierung ist, dass zu einem bestimmten Zeitpunkt Anforderungen gestellt werden – die aber später nachträglich konkretisiert, geändert und erhöht werden", warnt Siemens-Healthineers-Experte Arglebe. Das könne massive Konsequenzen für Firmen haben. Denn aus Sicht der Unternehmen sei der Datenschutz kein zahnloser Tiger mehr. Schließlich können laut der DSGVO bei Verstößen Strafen in Höhe von bis zu fünf Prozent des Umsatzes fällig werden. Laut einer Veritas-Erhebung verhängten im vergangenen Jahr deutsche Datenschutzbehörden Bußgelder in Höhe von 48,1 Millionen Euro und damit rund 50 Prozent mehr als 2019.
ABER WELCHES RECHT GILT JETZT?
Und obwohl die DSGVO einheitliche Vorgaben macht und die EU einen Binnenmarkt hat, zerfällt die Staatengemeinschaft in der digitalen Welt wieder in viele Untermärkte. "Es gibt eine uneinheitliche Rechtsauslegung in den einzelnen EU-Mitgliedstaaten und abweichende Interpretationen der Datenschutzbehörden von Bund und Ländern", kritisiert BDI-Expertin Plöger. Viele Firmen dringen darauf, dass der digitale EU-Binnenmarkt gleiche Wettbewerbsbedingungen garantiert – weil IT-Konzerne aus den USA lockere Auslegungen etwa in einzelnen Mitgliedstaaten ausnutzen. "Es gibt Länder wie Irland, die versuchen, aus Wettbewerbsgründen sowohl bei Steuern als auch beim Datenschutz für internationale Konzerne systematisch nach unten auszuscheren", sagt auch Datenschützer Kelber. "Das ist ärgerlich, weil es eine Wettbewerbsverzerrung zulasten unserer europäischen Unternehmen darstellt und muss abgestellt werden."
Dazu kommt Unsicherheit im transatlantischen Arbeiten mit Daten, besonders nachdem der Europäische Gerichtshof 2020 das sogenannte Privacy-Shields-Abkommen kippte. Der EuGH verwarf die Annahme, dass auf beiden Seiten des Atlantiks das gleiche, hohe Datenschutz-Niveau für personenbezogene Daten herrscht - was Firmen in Nöte bringt. "Darf man überhaupt noch Daten aus Europa in den USA speichern oder einen US-Cloud-Anbieter beauftragen? Ist dort ein adäquates Schutzniveau gegeben?", fragt Arglebe. "Das sollte schnell geklärt werden." Immerhin hat ein Unternehmen wie Siemens Healthineers Standorte in mehr als 60 Ländern und ein weltweites Netzwerk, das durch Datenfluss verbunden ist.
WER SPEICHERT, KONTROLLIERT DIE DATEN
Genau diese Unsicherheit über Datensicherheit will die Politik nun dazu nutzen, um den Rückstand Deutschlands im Big-Data-Rennen mit den USA und China zu verkürzen. Bundeswirtschaftsminister Peter Altmaier puschte deshalb das europäische Cloud-Projekt Gaia-X, das "datenschutzkonforme" Angebot in der EU ermöglichen soll. Ein gemeinsam organisierter Datenschutzraum soll zudem die gemeinsame Nutzung von Forschungsdaten in Europa ermöglichen. "Wenn wir Anwendungen entwickeln, die gleichzeitig anwendungs- und datenschutztechnisch auf der Höhe der Zeit sind, dann haben wir ein Alleinstellungsmerkmal gegenüber den USA und China – auch für den weltweiten Markt", meint Kelber.
Aber der Schutz der eigenen Daten ist heikel und wirft neue Fragen auf, die weder die Bundesregierung noch die EU bisher abschließend beantwortet haben: Sollen amerikanische oder chinesische Firmen bei Gaia X überhaupt mitmachen dürfen? Verpflichtet die US-Regierung amerikanische Firmen nicht dazu, dem Staat unter bestimmten Umständen auch den Zugriff auf Daten zu erlauben, die außerhalb der USA gespeichert sind? Und wo beginnt der Daten-Protektionismus durch einen vorgeschobenen Datenschutz? So hat das kommunistische China angeordnet, dass Daten chinesischer Bürger das Land nicht ohne Kontrolle verlassen dürfen. Deutsche Automobilhersteller müssen etwa bei Forschungen zum autonomen Fahren Daten in der Volksrepublik direkt speichern und können sie nicht außer Landes bringen.
"Mit Sorge blicken deutsche Unternehmen auf die umfangreichen Vorgaben zur lokalen Datenspeicherung und die Einschränkungen im grenzüberschreitenden Datentransfer", moniert der Vorsitzende des Asien-Pazifik-Ausschuss der Wirtschaft, Joe Kaeser. "Ein möglichst freier globaler Fluss von nicht personenbezogenen Daten ist für moderne Industrie 4.0-Anwendungen von zentraler Bedeutung", mahnt der ehemalige Siemens SIEGn.DE -Chef.
PLÖTZLICH VORBILD FÜR KALIFORNIEN
Zumindest in der westlichen Welt, wo Bürger zunehmend über ihre Daten verfügen wollen, scheint der Trend zu mehr Datenschutz nach Ansicht von Experten aber nicht mehr aufzuhalten. Mittlerweile orientieren sich selbst US-Bundesstaaten wie Kalifornien an den viel gescholtenen europäischen Regeln. "Und den gesellschaftlichen Druck spüren mittlerweile auch die großen amerikanischen IT-Konzerne", meint Siemens-Healthineers-Experte Arglebe. Die öffentliche Debatte ist mittlerweile geschäftsschädigend für "Daten-Schlamper", wie das Abwandern der Kunden vom Messengerdienst WhatsApp zu Konkurrenten wie Signal oder Threema nach Bekanntwerden der neuen Nutzungsbedingungen zeigt. Im Gegensatz zu Facebook (NASDAQ:FB) legte Signal beispielsweise seine Programmcodes offen. "Viele Nutzer möchten einfach nicht, dass ihre Daten beim Staat oder großen Konzernen landen", erklärt Kelber als oberster Datenschützer des Bundes. "Übrigens ist es auch für die Beziehungen zwischen Unternehmen wichtig, sich auf die Sicherheit und Vertraulichkeit der anfallenden Daten verlassen zu können."
In diesem Umfeld gedeihen auch neue Unternehmen, deren Geschäftsmodell auf Datenschutz aufbaut: "Datenschutzfreundliche Alternativen haben gerade eine sehr gute Möglichkeit, den Markt zu erobern und zum Exportschlager zu werden", meint etwa der Chef des Berliner Startups Xayn, Leif-Nissen Lundbaek. Die Firma hat eine Suchmaschine entwickelt, die anders als Google GOOGL.O kein Datenfresser ist. Und das britische Tech-Start-Up Gener8 hat eine Browser-Erweiterung auf den Markt gebracht, die Internetnutzern dabei helfen soll, mit ihren eigenen im Netz der Werbebranche zur Verfügung gestellten Informationen Geld zu verdienen. Firmen könnten ihnen personalisierte Anzeigen zeigen und seien bereit, dafür zu zahlen, erklärt Gener8-Gründer Sam Jones.
Während der Zug Richtung mehr Schutz digitaler Daten fährt, kommt eine Gefahr von einer ganz anderen Seite, nämlich durch gezielten Diebstahl. Die Schwachstellen bei Microsoft MSFT.O -Servern haben in den vergangenen Wochen gezeigt, in welch großen Umfang Daten von Privatpersonen oder Firmen erbeutet werden können. "Zum Vertrauen gehört auch, dass Daten in Firmen geschützt werden", betont deshalb Siemens-Healthineers-Experte Arglebe. Er bemängelt, dass Datenschutz, Patientenschutz und Cyber-Sicherheit etwa im Gesundheitsbereich zu wenig zusammengedacht würden.
Und er warnt vor einer weiteren Bedrohung für Bürger und Unternehmen, die selten diskutiert wird. "Eine Gefahr ist etwa, dass ein Unternehmen Daten für einen bestimmten Zweck sammelt – sie aber später für einen anderen Zweck verkauft oder selbst aufgekauft wird", sagt Arglebe. Viele Nutzer wissen weiterhin nicht, wo ihre Daten etwa von Fitness-Apps am Ende landen und wer davon profitiert. Dagegen hilft auch keine DSGVO. (redigiert von Hans Seidenstücker. Bei Rückfragen wenden Sie sich bitte an die Redaktionsleitung unter den Telefonnummern 030 2201-33702 (für Unternehmen und Märkte) oder 030 2201-33711 (für Politik und Konjunktur)