Deutsche Bank: DSGVO – Treiber oder Hemmschuh für Europas Datenwirtschaft?

Angesichts eines zunehmenden Bewusstseins der Nutzer für die Wahrung ihrer Privatsphäre, könnte Datenschutz "made in Europe" zwar zu einem potenziellen Wettbewerbsvorteil für europäische Unternehmen werden. Ebenso denkbar ist aber, dass die Marktposition der führenden Technologie-Giganten weiter gestärkt wird und Europa im globalen Rennen um die KI-Vorherrschaft gegenüber den USA und China weiter zurückfällt. Zeichnen sich potenziell negative Auswirkungen auf die EU-Datenwirtschaft ab, sollten die EU-Gesetzgeber daher nicht zögern, entsprechende Anpassungen vorzunehmen.

Zu viel Regulierung – oder zu wenig? Die DSGVO – die Mammut-Datenschutz-Grundverordnung der EU – ist am 25. Mai nach einer zweijährigen Übergangsfrist in Kraft getreten. Mancherorts wird sie aus durchaus guten Gründen als Meilenstein und globales Vorbild in Sachen Nutzerrechte gefeiert. Mit dem Recht auf Zugang, Berichtigung, Übertragung und Löschung personenbezogener Daten erhalten anstelle der „Verantwortlichen“ und „Auftragsverarbeiter“, also der Unternehmen, die Nutzerdaten speichern und verarbeiten, nun mehr als 500 Millionen „betroffene Personen“ in der EU wieder weitgehend die Hoheit über ihre Daten. 

Doch es gibt auch Kritik, von Unternehmerseite ebenso wie von Datenschützern. Seitens der Unternehmensvertreter ist immer wieder zu hören, die Verordnung sei zu komplex, zu restriktiv und mit einem hohen Maß an Rechtsunsicherheit für die Wirtschaft verbunden. Datenschützer argumentieren, dass angesichts von zum Teil vagen Formulierungen sowie Ausnahmeregelungen und einem nach wie vor vergleichsweise großen Ermessensspielraum der nationalen Regulierungsbehörden (z.B. in Hinblick auf die Bußgelder) die Durchsetzbarkeit der Verordnung geschwächt werde.[1]

Nachholbedarf bei Unternehmen und nationalen Regulierungsbehörden. Bei der Implementierung der Verordnung hinkt die Wirtschaft nach wie vor hinterher. Laut einer Umfrage von Bitkom, dem Digitalverband Deutschlands, gab kurz vor Ablauf der Frist lediglich ein Viertel der Unternehmen in Deutschland an, bis 25. Mai vollständig konform mit den neuen Regeln zu sein.[2] Auch bei den Regulierungsbehörden besteht noch Handlungsbedarf. So haben in acht der 28 EU-Mitgliedstaaten die für die Durchsetzung der DSGVO zuständigen Behörden die Frist im Mai nicht eingehalten.[3]

Mehr Wettbewerb – oder weniger? Die DSGVO zielt primär auf den Schutz personenbezogener Daten in der EU. Aber es geht auch um die Sicherstellung eines freien Datenflusses innerhalb der EU und die Vermeidung rechtlicher und regulatorischer Arbitrage. Die allgemeinen Auswirkungen sind allerdings alles andere als klar. Zwar gilt die DSGVO für alle Unternehmen, die personenbezogene Daten innerhalb der EU verarbeiten, und zwar unabhängig davon, wo sich der Unternehmens-/Server-Standort befindet oder wo die Datenverarbeitung stattfindet. Für die europäische Wirtschaft spielt der EU-Binnenmarkt in der Regel jedoch eine wesentlich größere Rolle als für ausländische Unternehmen. Vorgaben, die sich möglicherweise negativ auf ihr Geschäftsmodell auswirken – wie z.B. die erforderliche Einholung einer Einwilligung und der Grundsatz der Zweckbindung, wonach eine Weiterverarbeitung nur dann erfolgen darf, wenn sie mit den ursprünglichen Zwecken vereinbar ist, sowie der Datenminimierung –, könnten sie entsprechend deutlich stärker belasten.

Alt gegen neu, groß gegen klein. Etablierten Großunternehmen dürfte es leichter fallen, die Datenschutz-Grundverordnung einzuhalten als kleinen und mittleren Wettbewerbern. Für die Innovationstätigkeit in Europas Technologiesektor könnten sich die im Zusammenhang mit der Einhaltung der DSGVO entstehenden Kosten sowie die rechtlichen Risiken und die Beschränkungen bei der Datenverarbeitung zudem als Bremsklotz erweisen. Während die führenden US-Technologieunternehmen kräftig investiert haben, um sich für die DSGVO zu wappnen, hat sich manches kleine US-Unternehmen und Technologie-Startup aus Sorge vor möglichen Verstößen gegen die Verordnung und negativen Auswirkungen auf die eigene Profitabilität Ende Mai aus dem EU-Markt zurückgezogen.[4] Für europäische Unternehmen mit Ausrichtung auf den EU-Binnenmarkt ist dies keine Option. Statt den Wettbewerb zu fördern, könnte die DSGVO daher letztendlich sogar die Marktposition der führenden Technologie-Giganten weiter stärken.

Dies gilt umso mehr, da Nutzer etablierten Anbietern und Plattformen, die sie bereits kennen oder auf deren Dienste sie nicht verzichten wollen (wie z.B. die großen sozialen und geschäftlichen Netzwerke), möglicherweise eher ihre Einwilligung zur Datenverarbeitung geben als neuen unbekannten Wettbewerbern. So konnte Google Medienberichten zufolge nach Inkrafttreten der DSGVO seinen Marktanteil im Bereich Online-Werbung steigern, da dort deutlich mehr Nutzer in die Schaltung gezielter Werbung einwilligten als bei den Konkurrenzunternehmen.[5]

Andererseits müssen sich wohl vor allem die großen Technologieunternehmen auf schärfere Sanktionsmechanismen als bisher einstellen. Bei Verstößen sieht die DSGVO hohe Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor (abhängig davon, welcher Betrag höher ist). Schon jetzt, unmittelbar nach Inkrafttreten der DSGVO, sind mehrere Verfahren von Datenschutzaktivisten gegen große US-Technologieunternehmen anhängig.[6]

Recht auf Datenübertragbarkeit könnte „Datensilos“ aufbrechen – eigentlich. Zwar könnte das Recht auf Datenübertragbarkeit – bei entsprechender Umsetzung – dazu beitragen, „Datensilos“ aufzubrechen und jungen Plattformunternehmen und KI-Startups den Marktzugang erleichtern. In der Praxis sind bei der direkten Datenübermittlung von einem Anbieter zu einem anderen und auf Anfrage betroffener Personen aber wohl noch zahlreiche Hürden zu überwinden. So sind personenbezogene Daten in einem gängigen und maschinenlesbaren Format zu übermitteln. In welchem Standard dies erfolgen soll, dazu macht die DSGVO keine genauen Angaben.[7] Zudem gilt die Pflicht zur direkten Datenübermittlung an Dritte nur insoweit „dies technisch machbar“ ist. Diese vage Formulierung lässt einigen Interpretationsspielraum, womit das Recht auf Datenübertragbarkeit schwerer durchsetzbar wird.

Untergräbt die DSGVO die KI-Strategie der EU? Die Entwicklung von auf maschinellem Lernen basierender künstlicher Intelligenz sowie das Training und die Verbesserung derer Algorithmen hängen maßgeblich vom Zugang zu riesigen Datenmengen ab. Dies gibt Ländern wie China mit über 700 Millionen Internet-/Mobilfunknutzern und (bisher) eher laxen Datenschutzgesetzen einen klaren Wettbewerbsvorteil. Europäische KI-Unternehmen hingegen könnten aufgrund der Verschärfung des Datenschutzes im internationalen Wettbewerb zurückfallen. Insbesondere das Recht auf Transparenz bei automatisierten Entscheidungen (z.B. Online-Kreditanträge) bereitet den Entwicklern von künstlicher Intelligenz Kopfzerbrechen. Denn beim maschinellen Lernen mit Hilfe von tiefen neuronalen Netzen ist die Entscheidungsfindung hinter den Algorithmen eine Black Box – sogar für die Entwickler – und ändert sich zudem im zeitlichen Verlauf. Das Recht auf Erläuterung algorithmischer Entscheidungen könnte daher dazu führen, dass die Anzahl und Präzision der zulässigen Algorithmen abnimmt, wie etwa das Center for Data Innovation moniert.[8] Nicht nur das erklärte Ziel der EU, im globalen Rennen um die KI-Vorherrschaft gegenüber den USA und China aufzuholen, könnte dadurch untergraben werden.[9] Tatsächlich könnte Europa im internationalen Wettbewerb nun sogar noch weiter zurückfallen (siehe auch Digitale Wirtschaft: Wie künstliche Intelligenz und Robotik unsere Arbeit und unser Leben verändern).

Doch die Risiken für Europas KI-Unternehmen können durchaus abgemildert werden. Zum einen gilt die DSGVO ausschließlich für personenbezogene Daten, also Angaben über eine identifizierte oder identifizierbare natürliche Person. Mit Hilfe automatisierter (KI-basierter) Verfahren zur Anonymisierung und Pseudonymisierung von Daten könnte die Forschung zur künstlichen Intelligenz und die Entwicklung von Algorithmen vorangetrieben werden, ohne die Datenschutzvorschriften zu verletzen. Gleichzeitig bestehen durchaus Möglichkeiten, das Black Box-Problem anzugehen und so auch Bedenken wegen des Rechts auf Erläuterung auszuräumen. Hierzu beitragen würde die Entwicklung von künstlicher Intelligenz, deren Entscheidungen besser nachvollziehbar sind, wie zum Beispiel das von der US Defence Research Agency DARPA[10] ins Leben gerufene „Explainable AI‟-Programm und LIME (Local Interpretable Model-Agnostic Explanations).[11] Auch bei der Einhaltung der DSGVO könnte KI die Unternehmen unterstützen. Mögliche Einsatzbereiche sind z.B. die Verarbeitung von Nutzeranfragen und die Verwaltung von Datenbanken. Statt Hemmschuh wäre sie dann Treiber von Innovation.[12]

Neues Geschäftsmodell – Datenschutz „made in Europe“. Aus Sicht der Unternehmen sind die Grundsätze für die Verarbeitung personenbezogener Daten zudem nicht zwangsläufig nur schlecht. Sollten die Nutzer zunehmend mehr Bewusstsein für die Wahrung ihrer Privatsphäre entwickeln, könnte die DSGVO zu einem potenziellen Wettbewerbsvorteil für europäische Unternehmen mit einem auf Vertrauen und Datenschutz basierenden Geschäftsmodell und Produkten und Dienstleistungen „made in Europe“ werden. Als Anbieter von „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ (“data protection by design and by default”) gemäß DSGVO mit entsprechender Zertifizierung könnten diese einen Beitrag zum Setzen von Standards für die Datenwirtschaft leisten und gleichzeitig die Erwartungshaltung der Nutzer ändern.

Gleichgewicht zwischen Datenschutz und Innovationsfähigkeit. Die in rasantem Tempo voranschreitende technologische Entwicklung stellt die Regulierungsbehörden vor eine enorme Herausforderung, nicht nur in Europa. Die jüngsten Datenskandale, z.B. um Facebook und Cambridge Analytica, zeigen, wie weit die soziopolitischen (und wirtschaftlichen) Auswirkungen reichen können. Der Schutz von Daten und Privatsphäre hat vor diesem Hintergrund entscheidend an Bedeutung gewonnen. Trotz ihrer Komplexität und der Schwierigkeiten bei der Umsetzung ist die DSGVO aus unserer Sicht ein wichtiger Schritt zur Stärkung der Eigentumsrechte des Einzelnen an seinen persönlichen Daten. Sollte die EU ihrem Anspruch gerecht werden, weltweit rechtliche und ethische Standards in den Bereichen Datenschutz und KI-Entwicklung zu setzen, könnten europäische Technologie-Startups, die in diesem regulatorischen Umfeld groß geworden sind, einen Wettbewerbsvorteil haben. Um Innovationen auf dem Gebiet der automatisierten Entscheidungsfindung weiter voranzutreiben, sind Rechtssicherheit und algorithmische Rechenschaftspflicht essentielle Voraussetzungen. In diesem Kontext kann die DSGVO aus der Sicht europäischer KI-Forscher und Unternehmen sogar als Chance betrachtet werden, eine internationale Vorreiterrolle in der Entwicklung erklärbarer KI einzunehmen.

Angesichts der an vielen Stellen vagen Formulierungen dürfte letzten Endes die Haltung der nationalen Gerichte den Ausschlag geben. Und solange die DSGVO noch in den Kinderschuhen steckt, ist eigentlich nur eines gewiss: dass es zu vielen Gerichtsprozessen kommen wird. Falls sich Risiken für Europas Technologiesektor und KI-Strategie materialisieren und Vorgaben der DSGVO zur Schwächung von Wettbewerb und Konkurrenzfähigkeit führen, sollten die europäischen Gesetzgeber jedoch nicht zögern, entsprechende Anpassungen vorzunehmen – sofern möglich ohne den rechtmäßigen Anspruch der Nutzer auf Schutz ihrer Daten zu berühren.

[1] Siehe z.B. Digital Europe (2017) und EDRi (2016).
[2] Bitkom (2018): 3 von 4 Unternehmen verfehlen die Frist der Datenschutz-Grundverordnung.
[3] EUobserver (2018): Eight countries to miss EU data protection deadline.
[4] Financial Times (2018): US small businesses drop EU customers over new data rule.
[5] Wall Street Journal (2018): Google emerges as early winner from Europe’s new data privacy law.
[6] Euractiv (2018): Silicon Valley giants hit with first complaints on day one of GDPR.
[7] Ein Beratungsgremium der nationalen Datenschutzbehörden in der EU rät Wirtschaftsakteuren und und -verbänden, gemeinsam „kompatible Standards und Formate‟ zu entwickeln, damit das in der DSGVO vorgesehene Recht auf Datenübertragbarkeit in die Praxis umgesetzt werden kann (Article 29 Data Protection Working Party, 2017).
[8] Center for Data Innovation (2018): The Impact of the EU’s New Data Protection Regulation on AI.
[9] Die EU-Mitgliedstaaten haben dieses Jahr eine Kooperationsvereinbarung für künstliche Intelligenz unterzeichnet. Zudem sieht das von der Europäischen Kommission vorgelegte Europäische Konzept für künstliche Intelligenz für das kommende Jahrzehnt eine deutliche Steigerung der Investitionen vor.
[10] DARPA (2017): Explainable Artificial Intelligence (XAI).
[11] Ribiero, M. T. et al. (2016): Why should I trust you?” Explaining the predictions of any classifier.
[12] Siehe auch ZDNet (2018): GDPR's silver lining: Data-driven AI and innovation in the enterprise.

Originalversion in Englisch vom 13. Juni 2018: ˮGDPR – boosting or choking Europe’s data economy?ˮ