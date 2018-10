von Luisa Mayer

Klein und unscheinbar hängen die Videokameras an den Decken eines amerikanischen Modegeschäftes. Sie nehmen die Kunden beim Einkaufen auf. Vor allem aber sammeln sie unablässig Daten: Wie lange hat die Kundin sich gerade das gelbe T-Shirt angeschaut? Mit welchem Gesichtsausdruck? Wie alt ist sie? Was trägt sie für Kleider? Was probiert sie sonst noch an?

Die Daten werden von einem Computerprogramm ausgewertet, die Modekette lernt ihre Kunden auf diesem Weg immer besser kennen, kann Ladenhüter vermeiden, Preise anpassen, Laufwege verändern, Öffnungszeiten optimieren. Das ist praktisch für den Kunden. Er bezahlt dafür aber auch – mit seinen persönlichen Daten.

Kunden müssen zustimmen

In Europa ist eine Einkaufsanalyse wie sie die amerikanische Firma Retail-Next dem Einzelhandel anbietet, so künftig nicht mehr möglich. Denn laut der Datenschutzgrundverordnung (DSGVO) müssten die Kunden solchen Videoaufnahmen, die gespeichert und ausgewertet werden, vorab zustimmen – schließlich sind sie auf den Bildern mit ihren physischen Merkmalen wie Hautfarbe oder Körpergröße zu erkennen. In der Praxis wird die Geschäftsidee deshalb so nicht mehr funktionieren.

Hohes digitales Geschäftspotenzial

Und das ist kein Einzelfall. Die meisten Unternehmen versuchen inzwischen mit der Auswertung großer Datenmengen, auch bekannt als Big Data, ihre Nutzer besser kennenzulernen und neue Geschäftsfelder auszuloten. Eine Schätzung des Deutschen Industrie- und Handelskammertages beziffert das digitale Geschäftspotenzial in den kommenden Jahren auf 425 Milliarden Euro. Wichtige Bereiche sind das digitale Gesundheitswesen, die künstliche Intelligenz und insbesondere das autonome Fahren sowie soziale Netzwerke und Apps.

Wie sollen Algorithmen dazulernen?

Aber was passiert mit all den Entwicklungen, wenn ihnen plötzlich der wichtigste Treibstoff ausgeht – die Daten? Wie sollen Algorithmen stetig dazulernen, wenn sie nicht unablässig mit neuen Daten gefüttert werden können? Wird die DSGVO zur Innovationsbremse für Europa, während die Firmen in den USA für ihre Entwicklungen weiterhin ungebremst personenbezogene Daten erheben und auswerten können?

Sache der Auslegung

„Über die Auswirkungen kann bislang nur spekuliert werden“, sagt Frederick Richter, Vorstand der Stiftung Datenschutz. Zu kurz sei die DSGVO bislang in Kraft. Vor allem aber komme es extrem darauf an, wie streng oder pragmatisch das Gesetz letztlich in der Praxis ausgelegt werde.

„Das Gesetz ist ja sehr allgemein formuliert, das heißt, es stellt die gleichen Anforderungen an Großunternehmen wie Facebook wie an das Start-up nebenan“, sagt Richter. Hinter Großunternehmen stehen auch große Datenschutzabteilungen. Hinter Start-ups nicht selten eine Person, die entweder entwickeln oder sich mit Datenschutzfragen beschäftigen kann. „Die große Aufgabe für Deutschland und die anderen EU-Länder liegt darin, das Recht auch für kleine Firmen gangbar zu machen. Da sind jetzt die Datenschutzbehörden gefordert“, sagt Frederick Richter.

Für kleine Firmen oft nicht gangbar

Dass das Gesetz so bislang für kleine Firmen oft nicht gangbar ist, zeigt das Beispiel des Freiburger Start-ups Tomes. Das Team um Geschäftsführer Lucas Spohn hat eine Software entwickelt, die Ärzten dabei helfen soll, mehr Zeit für richtige Gespräche mit ihren Patienten zu haben. Fragen zur Krankheitsgeschichte werden deshalb schon im Vorfeld zu Hause oder im Wartezimmer per Fragebogen und App vom Patienten beantwortet. Die Daten werden so verschlüsselt, dass nur der Arzt sie den Patienten wieder zuordnen kann – für alle anderen sind sie anonymisiert.

„Nur was bedeutet anonymisiert nach der neuen Datenschutzverordnung?“, fragt Lucas Spohn: „Das weiß noch keiner so recht.“ Es gibt eine Rechtsauslegung, die, vereinfacht gesprochen, besagt: Krankendaten sind anonym, wenn sie beispielsweise zusammen mit den Initialen des Namens, dem Alter und der Stadt, in der die Person lebt, gespeichert sind. Denn es ist in der Praxis sehr unwahrscheinlich, dass jemand von Tür zu Tür geht und auf diesem Weg die Person findet. Theoretisch möglich wäre es aber. Weshalb die zweite Rechtsauslegung besagt: Es muss auch theoretisch unmöglich sein, Daten wieder zu personalisieren.

„Nach dieser Auffassung arbeiten wir jetzt, was einen deutlich größeren Aufwand bei der Anonymisierung für uns bedeutet. Aber wir sind eben auf der sicheren Seite, bis es klarere Entscheidungen gibt“, sagt Lucas Spohn. Er ist nicht grundsätzlich gegen die DSGVO, findet die Umsetzung in der derzeitigen Form aber wenig praxistauglich.

"Innovationsfördernde Note"

Gennadi Schermann, Leiter des digitalen Innovationszentrums Baden-Württemberg, kann der DSGVO allerdings sogar eine „innovationsfördernde Note“ abgewinnen. „Mit dem einheitlichen Datenschutz ist die EU weltweit Vorreiter und diesen Wettbewerbsvorteil sollte sie offensiv ausbauen, dann werden sich dadurch neue Geschäftsfelder ergeben.“ Natürlich bedeute die Verordnung kurzfristig mehr Aufwand, auch finanzieller Art. „Aber mittel- bis langfristig werden dadurch für die Bürger Produkte und Dienstleistungen entwickelt, bei denen man den Käufern guten Gewissens sagen kann: Da passiert nichts mit deinen Daten.“

Auch die weitverbreitete Angst, Europa könnte im Bereich digitale Innovationen nun noch weiter hinter den USA und den Geschäftsmodellen des Silicon Valley zurückfallen – weil es dort weiterhin problemlos möglich ist, personenbezogene Daten zu erheben, teilen die meisten Experten nicht. „Der europäische Datenschutz regelt ja, dass sich ausländische Firmen, die in Europa ihre Produkte und Dienste anbieten, an die europäischen Datenschutzbestimmungen halten müssen“, sagt Frederick Richter. Und daran würden sie nun mal nicht vorbeikommen.

Auswirkungen der DSGVO auf verschiedene Bereiche Digitale Gesundheitswirtschaft: In diesem Bereich geht es fast immer um sensible Daten. Wer hier forschen und Produkte entwickeln möchte, braucht deshalb stets die ausdrückliche Einwilligung zur Verwendung der Daten. Allerdings waren die Hürden für viele Anwendungen bislang auch schon hoch.

In diesem Bereich geht es fast immer um sensible Daten. Wer hier forschen und Produkte entwickeln möchte, braucht deshalb stets die ausdrückliche Einwilligung zur Verwendung der Daten. Allerdings waren die Hürden für viele Anwendungen bislang auch schon hoch. Künstliche Intelligenz: Egal ob es um den Roboter geht, der in der Fabrik am Fließband arbeitet, oder einen autonom fahrenden Staubsauger: Dahinter steckt künstliche Intelligenz (KI). Sie sorgt dafür, dass sich Maschinen so verhalten, als hätten sie ein Gehirn, das ständig Informationen sammelt, dazulernen kann und auch mal eigene Wege geht – und auf diese Weise auch über Menschen entscheidet. Nach der DSGVO ist dies nur noch dann möglich, wenn eine Einwilligung vorliegt oder die verwendeten Daten anonym sind. Anderenfalls muss immer nochmals ein Mensch über die Arbeit schauen – so wie es bislang nach deutschem Recht geregelt war.

Egal ob es um den Roboter geht, der in der Fabrik am Fließband arbeitet, oder einen autonom fahrenden Staubsauger: Dahinter steckt künstliche Intelligenz (KI). Sie sorgt dafür, dass sich Maschinen so verhalten, als hätten sie ein Gehirn, das ständig Informationen sammelt, dazulernen kann und auch mal eigene Wege geht – und auf diese Weise auch über Menschen entscheidet. Nach der DSGVO ist dies nur noch dann möglich, wenn eine Einwilligung vorliegt oder die verwendeten Daten anonym sind. Anderenfalls muss immer nochmals ein Mensch über die Arbeit schauen – so wie es bislang nach deutschem Recht geregelt war. Automatisiertes und vernetztes Fahren: Hier gibt es bereits konkrete datenschutzrechtliche Empfehlungen des Bundesbeauftragten für Datenschutz und Informationsfreiheit. Danach müssen beispielsweise die Daten, die für die Kommunikation zwischen Fahrzeugen ausgetauscht werden, so verschlüsselt werden, dass Unbefugte darauf nicht zugreifen können. Auch sollen Fahrer selbst entscheiden können, auf welche Daten sie wann einen Zugriff gewähren und diese auch wieder löschen können – sofern sie überhaupt gespeichert werden müssen.

Hier gibt es bereits konkrete datenschutzrechtliche Empfehlungen des Bundesbeauftragten für Datenschutz und Informationsfreiheit. Danach müssen beispielsweise die Daten, die für die Kommunikation zwischen Fahrzeugen ausgetauscht werden, so verschlüsselt werden, dass Unbefugte darauf nicht zugreifen können. Auch sollen Fahrer selbst entscheiden können, auf welche Daten sie wann einen Zugriff gewähren und diese auch wieder löschen können – sofern sie überhaupt gespeichert werden müssen. Soziale Netzwerke und Apps: „Hiermit stimme ich der Verwendung meiner Daten und der Weitergabe der Partner-unternehmen zu.“ Solche Pauschaleinwilligungen, von denen die Nutzung eines Dienstes abhängig gemacht wird, sind unter der DSGVO nicht mehr zulässig. Unternehmen wie Facebook werden deshalb umdenken müssen.

„Hiermit stimme ich der Verwendung meiner Daten und der Weitergabe der Partner-unternehmen zu.“ Solche Pauschaleinwilligungen, von denen die Nutzung eines Dienstes abhängig gemacht wird, sind unter der DSGVO nicht mehr zulässig. Unternehmen wie Facebook werden deshalb umdenken müssen. Übergreifende Bereiche: Kerngedanken der DSGVO sind die Prinzipien „privacy by design“ und „privacy by default“ – also Privatsphäre, die schon bei der Entwicklung eines Produkts oder einer Dienstleistung berücksichtigt wird, und privatsphärefreundliche Grundeinstellungen. Werden diese Ideen berücksichtigt, lassen sich Innovation und Datenschutz besser als bislang vereinen. (lm)

