CreditSuisse: Datenschutz-Grundverordnung eröffnet Anlagechancen

“For many years it’s been, ‘How much data can we trick people into giving us?’ and ‘We’ll figure out how to use it later!’ That is not going to be an acceptable way to operate anymore under GDPR.”
Jason R. Straight, Chief Privacy Officer beim Rechtsdienstleister UnitedLex¹

Die Datenschutz-Grundverordnung, besser bekannt unter ihrem Kürzel DSGVO (englisch: GDPR - General Data Protection Regulation), ist seit Mai 2018 in Kraft. Das Go-Live ging einher mit Klagen gegen die grossen Technologieunternehmen Google und Facebook betreffend der Art und Weise, wie sie Verbraucher zur Zustimmung derer Dienstleistungsbestimmungen² «zwingen». Das geschah zeitgleich mit einem Anstieg der Verbraucherbeschwerden und Meldungen von Datenschutzverletzungen³ im Allgemeinen. Es wird sich jedoch erst allmählich abzeichnen, wie sich die wichtigste Verordnung personenbezogener Daten der letzten beiden Jahrzehnte in Europa langfristig auswirken wird.

Wir haben den Umfang und Geltungsbereich der DSGVO bereits in einem früheren Thematic Insight erläutert. In diesem Artikel legen wir unseren Schwerpunkt auf die wirtschaftlichen Auswirkungen für Branchen, die eine Datenerfassung ermöglichen, und stellen Lösungen für die Verwaltung und Sicherheit von Daten bereit.

Der breite Geltungsbereich der DSGVO

Zunächst eine kurze Zusammenfassung: Die DSGVO ist die neueste Verordnung der EU zum Schutz personenbezogener   Daten   und   der   Privatsphäre.   Sie   ersetzt   die   mittlerweile   veraltete,   1995   erlassene Datenschutzrichtlinie. Obwohl die DSGVO nicht ausschließlich digitale Daten betrifft, deckt sie alle Aspekte im Hinblick auf Online-Erfassung, -Speicherung und -Verarbeitung unserer persönlichen Daten ab. Die 88 Seiten der DSGVO zielen auf Transparenz und Kontrolle ab und sollen Datenschutzgesetze in ganz Europa vereinheitlichen, Verbraucher zur Kontrolle ihrer Datenverwendung befähigen und sicherstellen, dass Unternehmen für ihren Umgang mit den von ihnen erfassten persönlichen Daten haftbar sind.

Das vielleicht wichtigste Merkmal der DSGVO ist ihr Geltungsbereich. Bei der Verordnung wurde sorgfältig darauf geachtet, dass alle Einzelpersonen, Organisationen und Unternehmen, die allfällige personenbezogene Daten entweder kontrollieren, speichern oder verwenden, berücksichtigt sind. Auch die Definition personenbezogener Daten ist äußerst umfassend. Alle Informationen, die zur Identifikation einer Person verwendet werden können, fallen in den Geltungsbereich der Verordnung – sei es Name, E-Mail-Adresse, Telefonnummer, physische oder virtuelle Adressen, Standortdaten usw. In der Praxis heißt das, dass die DSGVO für alle Unternehmen gilt, die auch nur eine einzige relevante Information zu einem beliebigen EU-Bürger speichern. Damit sind nicht nur die großen Unternehmen im Bereich der sozialen Medien, wie Facebook, Google und Twitter, gemeint, sondern auch kleine App-Entwickler, Online-Shops und Fast-Food-Restaurants, die Informationen womöglich für die gelegentliche Essenslieferung speichern.

DSGVO-Bereitschaft

Obwohl die DSGVO vor ihrer offiziellen Verabschiedung im Jahr 2016 über einen Zeitraum von vier Jahren bearbeitet wurde und Unternehmen anschließend ein Zeitfenster von zwei Jahren zur Vorbereitung auf ihre Umsetzung hatten, dauert ein großer Teil der Arbeiten in den Unternehmen noch immer an. Branchenexperten von Bloomberg gehen davon aus, dass die Arbeiten zur Einhaltung der DSGVO bis zum Jahr 2020 andauern werden.⁴

Das ist nicht darauf zurückzuführen, dass Unternehmen bequem sind und die Arbeiten auf den letzten Moment schieben, sondern darauf, dass es üblich ist, zu beobachten, wie Mitbewerber und Konkurrenten sich auf die neue Verordnung vorbereiten, Rat zur rechtlichen Auslegung einholen, Geschäftsprozesse und Risiken bewerten und erst dann mit der Umsetzung der erforderlichen Änderungen zu beginnen. Oftmals handelt es sich bei dem Go- Live-Datum für neue Verordnungen (in diesem Fall der 25. Mai 2018) lediglich um einen „Softstart“, da die Aufsichtsbehörden in vielen Fällen selbst noch nicht in der Lage sind, neue Gesetze sofort zu überwachen oder durchzusetzen. In der Tat zeigte eine von Reuters einen Monat vor dem Start der DSGVO durchgeführte Umfrage, dass 17 von 24 lokalen EU-Aufsichtsbehörden entweder nicht über ausreichende Finanzmittel oder rechtliche Befugnisse zur Erfüllung ihrer Pflichten verfügten.⁵  Das Abwarten macht zudem Sinn, bis sich Branchennormen etablieren, um herauszufinden, welche Verhaltensweisen untersucht und bestraft werden und welche als weniger kritisch erachtet werden.

Die Einhaltung der DSGVO gestaltet sich für viele Unternehmen aufgrund der Komplexität der Datenwertschöpfungskette ziemlich schwierig. Selbst in einer einfach strukturierten Organisation werden Daten unter Umständen mithilfe einer Art CRM (Client Relationship Management)-Software von Vertriebsmitarbeitenden eingegeben, aktualisiert und verwendet. Vielleicht werden die Daten und mit diesen Daten zusammenhängende „Transaktionen“ in einer Datenbank gespeichert und womöglich hat eine Reihe von Management- und Marketingsystemen Zugriff auf diese Datensätze, damit das Unternehmen ihren geschäftlichen Ausblick prognostizieren oder auf ihre Kunden ausgerichtete Marketingkampagnen erstellen kann. Bereits an diesem einfachen Beispiel zeigt sich, dass es einige bewegliche Teile gibt. Die DSGVO macht zudem Unternehmen für die Sicherheit der von ihnen gespeicherten Kundendaten verantwortlich. Das erhöht natürlich die Komplexität in einem Unternehmen, da IT-Sicherheitsdienstleister und Partner möglicherweise Zugriff auf die Daten haben und sie selbst verwenden könnten.

Blockierung von Online-Werbung

Für viele Unternehmen zieht die DSGVO zusätzlich Arbeit und Aufwand nach sich, für einige Unternehmen bedeutet sie sogar eine Änderung ihres Geschäftsmodells. Ein besonders stark betroffener Bereich ist Online-Marketing. Nur  20 %  der  von  Demand  Metric  und  Demand  Base befragten 2556  Marken sind davon überzeugt, dass sie keinem Rechtsrisiko ausgesetzt sind, falls ihre Dienstleister für digitales Marketing gegen die DSGVO verstoßen. Aufgrund der Natur des Werbegeschäfts werden zahlreiche Benutzerinformationen über Internet-„Cookies“ – kleine, einen Benutzer und seine Aktivität auf einer bestimmten Website beschreibende Datenmengen, auf die der Webserver zugreifen kann – an Dritte weitergegeben. Diese „Cookies“ enthalten unter Umständen unter die DSGVO fallende Informationen, wie Standort oder IP-Adresse, und wurden bisher in der Regel mehreren Anzeigenverkäufern zur Anzeige sogenannter „gezielter Werbeanzeigen“ weitergereicht. Darum sehen wir oftmals Anzeigen online, die zum Beispiel mit der Stadt im Zusammenhang stehen, in  der  wir uns zum entsprechenden Zeitpunkt aufhalten oder zu der wir vielleicht kürzlich Informationen gesucht  haben. Das beginnt sich jetzt jedoch zu ändern.

Abbildung 1 zeigt, dass die durchschnittliche Anzahl der Cookies von Drittunternehmen auf Nachrichtenseiten in ganz Europa im Allgemeinen zurückgeht. Eine Möglichkeit, im Hinblick auf die DSGVO auf der sicheren Seite zu sein, ist natürlich die Entfernung aller Cookies von der Website. Allerdings könnte sich das negativ auf die Kundenerfahrung, die Fähigkeit des Unternehmens zur Betreuung seiner Kunden und natürlich den Wert von Werbeflächen auf der Homepage auswirken.

Quelle: Reuters Institute for the Study of Journalism (2018)

Online-Werbetreibende nutzen vermehrt eine Lösung namens „kontextbezogene Werbung“, wobei der Websiteinhalt selbst anstatt des Browserverlaufs der Nutzer zur Bestimmung der Werbeanzeige herangezogen wird. So würde beispielsweise das Lesen eines Reiseblogs die Anzeige von Werbung für günstigere Flugtickets bewirken. Zudem stellen wir fest, dass kleinere Werbeunternehmen Marktanteile an Google und Facebook verlieren, wobei sich die Reichweite von Online-Werbeanzeigen insgesamt scheinbar verringert hat (Abbildung 2). Eine mögliche Erklärung dafür ist, dass Marken sich Sorgen machen, dass kleinere Akteure nicht DSGVO-konform sind und schlussfolgern, dass die großen Technologie- unternehmen besser zur Bewältigung der neuen Verordnung  aufgestellt  sind. Zahlreiche  Experten hatten Bedenken geäußert,⁷ dass die Verordnung große Unternehmen begünstigen könnte, die sich eigene Abteilungen für den Umgang mit Datenschutz leisten können.

Quelle: Reuters Institute for the Study of Journalism (2018)

Um auf den Standpunkt der Unternehmen zurückzukommen, welche die Entwicklung der DSGVO abwarten: Eine weitere interessante Beobachtung ist, dass viele US-amerikanische Websites begonnen haben, den Zugriff für europäische Besucher zu blockieren, oder einfach Inhalte von Dritten vorübergehend von ihren Seiten zu entfernen. Die Folge ist eine durchschnittliche Ladezeit für die europäische Version einer Website von unter einer Sekunde gegenüber 9,9 Sekunden für die entsprechende US-amerikanische Website⁸.

Der Speicherort von Daten ist wichtig

Der Ort der Speicherung ist ein wichtiger Bestandteil der Diskussion rund um den Datenschutz, daher wird das Augenmerk verstärkt auf Rechenzentren gelegt. Da die Europäische Kommission zwischen sicheren und unsicheren Drittländern unterscheidet, stehen Unternehmen der Inanspruchnahme der Dienstleistungen von Rechenzentrumsbetreibern, die außerhalb der EU tätig sind, skeptisch gegenüber. Die Benennung als unsicheres Land impliziert, dass die nationalen Gesetze der Länder, in denen sich Rechenzentren physisch befinden, kein mit EU-Recht vergleichbares Schutzniveau für personenbezogene Daten bieten.

Falls für ein Land kein „Angemessenheitsbeschluss“ vorliegt, ist deswegen die Datenübermittlung in dieses Land nicht zwingend untersagt. Stattdessen muss der Auftragsverarbeiter oder Verantwortliche (d. h. das Unternehmen) anderweitig sicherstellen, dass die personenbezogenen Daten angemessen vom Empfänger geschützt werden, beispielsweise mithilfe von Vertragsklauseln. Darüber hinaus spielen Unterschiede zwischen der Speicherung und Verarbeitung von Daten eine Rolle.

Das bedeutet, dass selbst kleine Einzelhändler über ein relativ umfassendes Wissen sowohl zu rechtlichen als auch technischen Aspekten der Übertragung, Speicherung und Verarbeitung von Daten verfügen müssten. Die Einhaltung der DSGVO könnte somit zu einem Verkaufsargument für die in Europa oder im Europäischen Wirtschaftsraum (EWR) ansässigen versierten (und hochgradig sicheren) Rechenzentren werden.

Auf der Verordnung basierende Erträge

Auch wenn die DSGVO für die meisten Unternehmen einen finanziellen Aufwand darstellt, dürfte sie für andere vermutlich einen Anstieg der Geschäftstätigkeiten nach sich  ziehen. Schätzungen zufolge werden  70 % aller Unternehmen für die Implementierung der neuen EU-Verordnung in zusätzliche IT- oder Supportdienstleistungen investieren.⁹ IT-Berater, Anbieter von Cybersicherheit-Software, Datenverwaltungsunternehmen sowie die Bereiche IT Outsourcing und IT Audit stellen infolge der DSGVO eine Nachfragezunahme fest. Die DSGVO verweist beispielsweise ausdrücklich auf die folgenden Sicherheitsmaßnahmen:

• Pseudonymisierung und Verschlüsselung von personenbezogenen Daten

• Fähigkeit zur Gewährleistung der laufenden Vertraulichkeit und Integrität der Verarbeitungssysteme (d. h. Umsetzung von Netzwerk- und Endpunktsicherheit, Cloud-Gateways usw.)

• Prüfung der Effektivität der vorstehend genannten technischen Maßnahmen (d. h. Gefährdungserkennung und Risikomanagement)

• Fähigkeit zur Benachrichtigung betroffener Personen und der Aufsichtsbehörde innerhalb von 72 Stunden nach einem Verstoß.

Die DSGVO wird eine schnellere Übernahme dieser Sicherheitsmaßnahmen erzwingen, was den Anbietern im Bereich IT-Sicherheit zugutekommen wird, da der „Datenraum“ derzeit noch großteils ungeschützt ist. Laut Breach Level Index von Gemalto waren bei 96 % aller Datenschutzverletzungen die kompromittierten Daten nicht verschlüsselt.¹⁰

Auch für Content-Management-Anbieter, einschließlich der Bereiche Client Relationship Management, Web Content Management, Dokumentenverwaltung, digitale Rechteverwaltung sowie Such- und Portalfunktionen, kann die DSGVO ein Verkaufsargument sein, da die Einhaltung der DSGVO direkt folgende Aspekte vorgibt:

• Recht auf Vergessenwerden, auch „Datenlöschung“ genannt

• Auskunftsrecht  zu  unseren  personenbezogenen  Daten  sowie  Informationen  zur  Verwendung  und Verarbeitung unserer Daten

• Datenübertragbarkeit,  die  eine  freie  Übertragung  unserer   personenbezogenen  Daten  von   einem Verarbeitungssystem zu einem anderen ermöglicht.

Die Erfüllung dieser Anforderungen würde für viele Unternehmen mit selbst nur relativ geringer Onlinepräsenz Investitionen in Datenverwaltungskapazitäten erfordern.

IT-Outsourcing- und Beratungsunternehmen werden mit Änderungsmanagement, Umsetzung, Mitarbeiterschulungen und ähnlichen Aufgaben betraut werden. Das ist wie bei einem Großteil neuer Verordnungen ein Katalysator für die Beratungsbranche im Allgemeinen.

Fazit

Geldstrafen von bis zu 4 % des Jahresumsatzes sind deutliche Anreize für Unternehmen, die DSGVO ernst zu nehmen. Zur Verdeutlichung: Eine derartige Geldstrafe würde für Amazon ca. USD 7 Milliarden betragen. Auch wenn die Strafe für viele kleine und mittlere Unternehmen insgesamt wesentlich kleiner ausfallen würde, wäre ein Verstoß gegen die DSGVO auch für sie verheerend.

Da jedoch die Verbraucher den Unternehmen im Hinblick auf den Schutz ihrer Privatsphäre vertrauen müssen, dürfte eine Verordnung, welche die Übernahme dringend benötigter Sicherheits- und Transparenzmaßnahmen vorantreibt, begrüßt werden. Unternehmen müssen daher mit vertrauenswürdigen Drittunternehmen zusammenarbeiten, um die angemessenen Sicherung und Verwaltung sowohl ihrer eigenen als auch der Daten der Kunden zu gewährleisten, da Teile der DSGVO durch die Wertschöpfungskette an Online- Marketingunternehmen, Rechenzentren, IT-Sicherheits- und Datenverwaltungsdienstleister weitergegeben werden.

Verordnungen sind immer schon ein wichtiger Treiber von Veränderungen im Hinblick auf Sicherheit gewesen, nicht nur im digitalen Raum, sondern unter anderem auch in den Sektoren Umwelt, Automobil und Nahrungsmittelsicherheit. Als langfristige Anleger in dem Bereich Sicherheit und Automatisierung verfolgen wir die Entwicklungen in der Rechtsprechung genau und bewerten die daraus folgenden geschäftlichen Auswirkungen für Unternehmen. Credit Suisse Asset Management hat zwei Strategien entwickelt, um Kunden ein „Pure Play“- Engagement in diesen überzeugenden und miteinander verknüpften langfristigen Wachstumsthemen zu bieten: Robotik und Automatisierung sowie Schutz und Sicherheit.

1 No one’s ready for GDPR von Sarah Jeong, The Verge, 22. Mai 2018.

2 Facebook and Google targeted as first GDPR complaints filed von Alex Hern, The Guardian, 25. Mai 2018.

3 France records big jump in privacy complaints since GDPR von Natasha Lomas, TechCrunch, Oktober 2018.

4 EU Privacy Regulations Boon to Data Security Sector von Tamlin Bason, Bloomberg Intelligence, 10. Oktober 2018.

5 European regulators: We're not ready for new privacy law von Douglas Busvine, Julia Fioretti, Mathieu Rosemain, Reuters, 8. Mai 2018.

6 The impact of GDPR von Jessica Davies, Digiday, 24. August 2018.

7 15 Unexpected Consequences Of GDPR, Forbes Technology Council, 15. August 2018.

8 The impact of GDPR von Jessica Davies, Digiday, 24. August 2018.

9 What financial impact will GDPR have on your business? von Sian Macintyre, Horrexcole, 12. Februar 2018.

10 Breach Level Index, Gemalto, abgerufen am 15. Oktober 2018.