Datenschutz-Grundverordnung eröffnet Anlagechancen

Schlagworte: ,

“For many years it’s been, ‘How much data can we trick
people into giving us?’ and ‘We’ll figure out how to use it later!’ That is not going to be an acceptable way to operate anymore under GDPR.”
Jason R. Straight, Chief Privacy Officer beim Rechtsdienstleister UnitedLex1

Die Datenschutz-Grundverordnung, besser bekannt
unter ihrem Kürzel DSGVO (englisch: GDPR – General Data Protection Regulation), ist seit Mai 2018
in
Kraft. Das Go-Live ging einher mit Klagen gegen die grossen Technologieunternehmen Google und Facebook betreffend der Art und Weise, wie sie Verbraucher zur
Zustimmung
derer Dienstleistungsbestimmungen2 «zwingen». Das
geschah zeitgleich
mit einem Anstieg der
Verbraucherbeschwerden und Meldungen von Datenschutzverletzungen3 im Allgemeinen. Es wird sich jedoch erst
allmählich abzeichnen, wie sich die wichtigste Verordnung personenbezogener Daten der letzten beiden Jahrzehnte
in
Europa langfristig auswirken
wird.

Wir haben den Umfang und Geltungsbereich der DSGVO bereits in einem früheren Thematic
Insight erläutert.
In diesem Artikel legen wir unseren Schwerpunkt auf die wirtschaftlichen Auswirkungen für Branchen, die eine Datenerfassung ermöglichen,
und stellen Lösungen für die
Verwaltung
und
Sicherheit von Daten bereit.

Der breite
Geltungsbereich der DSGVO

Zunächst
eine
kurze Zusammenfassung: Die DSGVO ist die neueste Verordnung der EU zum
Schutz personenbezogener   Daten   und   der 
 Privatsphäre.   Sie   ersetzt   die   mittlerweile   veraltete,   1995   erlassene Datenschutzrichtlinie. Obwohl
die
DSGVO nicht ausschließlich digitale Daten
betrifft, deckt sie alle Aspekte im Hinblick auf Online-Erfassung, -Speicherung und -Verarbeitung unserer persönlichen Daten ab. Die 88 Seiten der
DSGVO zielen auf Transparenz und Kontrolle ab und sollen Datenschutzgesetze in ganz Europa vereinheitlichen, Verbraucher zur Kontrolle
ihrer Datenverwendung befähigen und sicherstellen, dass Unternehmen für ihren Umgang mit den von ihnen
erfassten persönlichen Daten haftbar
sind.

Das
vielleicht wichtigste Merkmal der DSGVO ist ihr Geltungsbereich. Bei der Verordnung wurde sorgfältig darauf geachtet, dass alle Einzelpersonen, Organisationen und Unternehmen, die allfällige personenbezogene Daten
entweder kontrollieren,
speichern oder verwenden, berücksichtigt sind. Auch die Definition personenbezogener Daten ist äußerst
umfassend. Alle Informationen, die zur Identifikation einer Person verwendet werden können, fallen in den Geltungsbereich der Verordnung – sei es Name, E-Mail-Adresse, Telefonnummer, physische oder virtuelle Adressen, Standortdaten usw. In der Praxis
heißt das, dass die DSGVO für alle Unternehmen gilt, die auch
nur
eine einzige relevante Information zu einem beliebigen
EU-Bürger speichern. Damit sind nicht
nur
die großen Unternehmen im
Bereich der sozialen Medien, wie Facebook, Google und Twitter, gemeint, sondern auch kleine
App-Entwickler,
Online-Shops und Fast-Food-Restaurants,
die
Informationen womöglich für die gelegentliche
Essenslieferung speichern.

DSGVO-Bereitschaft

Obwohl die DSGVO vor ihrer offiziellen Verabschiedung im Jahr 2016 über einen Zeitraum von vier Jahren bearbeitet wurde und Unternehmen anschließend ein Zeitfenster von zwei Jahren zur Vorbereitung auf ihre
Umsetzung hatten, dauert
ein großer Teil der Arbeiten in den Unternehmen noch immer an. Branchenexperten
von
Bloomberg gehen davon aus, dass die Arbeiten zur Einhaltung der DSGVO bis zum Jahr 2020 andauern
werden.4

Das ist nicht darauf
zurückzuführen, dass
Unternehmen bequem sind
und die Arbeiten auf den letzten Moment
schieben, sondern
darauf, dass es üblich
ist, zu beobachten, wie
Mitbewerber und Konkurrenten
sich auf die neue
Verordnung vorbereiten,
Rat
zur rechtlichen Auslegung einholen, Geschäftsprozesse und
Risiken bewerten und erst dann mit der Umsetzung der erforderlichen Änderungen zu beginnen. Oftmals handelt es sich bei dem Go-
Live-Datum für neue Verordnungen (in diesem Fall der 25. Mai 2018) lediglich um einen „Softstart“, da die
Aufsichtsbehörden in vielen Fällen selbst noch nicht in der Lage sind, neue Gesetze sofort
zu überwachen oder durchzusetzen. In der Tat zeigte eine von Reuters einen Monat vor dem Start der DSGVO durchgeführte Umfrage,
dass 17 von 24 lokalen EU-Aufsichtsbehörden entweder nicht über ausreichende Finanzmittel oder rechtliche Befugnisse zur Erfüllung ihrer Pflichten verfügten.5  Das Abwarten macht zudem Sinn, bis sich Branchennormen etablieren, um herauszufinden, welche Verhaltensweisen untersucht und bestraft werden und welche als weniger kritisch
erachtet werden.

Die Einhaltung der DSGVO gestaltet sich für viele Unternehmen aufgrund der Komplexität der Datenwertschöpfungskette ziemlich schwierig. Selbst in einer einfach strukturierten Organisation werden Daten unter Umständen mithilfe einer Art CRM (Client Relationship
Management)-Software von Vertriebsmitarbeitenden eingegeben, aktualisiert und verwendet. Vielleicht werden die Daten und mit diesen Daten zusammenhängende „Transaktionen“ in einer Datenbank gespeichert und womöglich hat eine Reihe von
Management- und Marketingsystemen Zugriff
auf diese Datensätze, damit das Unternehmen ihren geschäftlichen Ausblick prognostizieren oder auf ihre Kunden ausgerichtete Marketingkampagnen erstellen kann.
Bereits
an diesem
einfachen Beispiel zeigt sich, dass es einige bewegliche Teile gibt.
Die DSGVO macht zudem
Unternehmen für die
Sicherheit der von ihnen gespeicherten Kundendaten verantwortlich. Das
erhöht natürlich
die
Komplexität in einem Unternehmen, da IT-Sicherheitsdienstleister und Partner möglicherweise Zugriff auf die
Daten haben und sie
selbst verwenden könnten.

Blockierung von Online-Werbung

Für viele Unternehmen zieht
die DSGVO zusätzlich Arbeit
und Aufwand nach sich, für
einige Unternehmen bedeutet
sie
sogar eine Änderung ihres Geschäftsmodells.
Ein besonders
stark betroffener Bereich ist Online-Marketing. Nur  20 %  der
 von  Demand
 Metric  und  Demand
 Base befragten 2556  Marken sind davon überzeugt, dass sie
keinem Rechtsrisiko ausgesetzt
sind, falls ihre Dienstleister für digitales Marketing gegen die DSGVO
verstoßen. Aufgrund der Natur des Werbegeschäfts werden zahlreiche
Benutzerinformationen über Internet-„Cookies“ –
kleine, einen Benutzer und seine
Aktivität auf einer bestimmten
Website beschreibende
Datenmengen, auf die der Webserver zugreifen kann – an Dritte weitergegeben. Diese „Cookies“ enthalten unter Umständen unter die DSGVO fallende Informationen, wie Standort oder IP-Adresse, und
wurden bisher in der Regel mehreren Anzeigenverkäufern zur
Anzeige sogenannter „gezielter Werbeanzeigen“ weitergereicht. Darum sehen wir oftmals Anzeigen online, die zum
Beispiel mit der Stadt im Zusammenhang stehen,
in  der
 wir uns zum entsprechenden Zeitpunkt aufhalten oder zu der wir vielleicht kürzlich Informationen gesucht  haben. Das beginnt sich jetzt jedoch zu ändern.

Abbildung 1 zeigt, dass die durchschnittliche Anzahl der Cookies von Drittunternehmen auf Nachrichtenseiten in ganz Europa im Allgemeinen zurückgeht. Eine Möglichkeit, im Hinblick auf die DSGVO auf der sicheren Seite zu
sein, ist natürlich die Entfernung aller Cookies von der Website. Allerdings könnte sich das negativ auf die
Kundenerfahrung, die Fähigkeit des Unternehmens zur Betreuung seiner Kunden und natürlich den Wert von
Werbeflächen auf der Homepage auswirken.

Geschätzte    Prozentzahl    der    Cookies    von Drittunternehmen
Geschätzte Prozentzahl der Cookies von Drittunternehmen

Quelle: Reuters Institute for the Study of Journalism (2018)

Online-Werbetreibende nutzen vermehrt eine Lösung namens „kontextbezogene Werbung“, wobei der
Websiteinhalt selbst anstatt des Browserverlaufs
der Nutzer zur Bestimmung der Werbeanzeige herangezogen wird.
So würde beispielsweise das Lesen eines Reiseblogs die Anzeige von
Werbung für
günstigere Flugtickets bewirken. Zudem stellen wir fest, dass
kleinere Werbeunternehmen Marktanteile an
Google und Facebook verlieren, wobei sich die Reichweite
von
Online-Werbeanzeigen insgesamt
scheinbar verringert hat (Abbildung 2). Eine mögliche Erklärung dafür ist,
dass Marken sich Sorgen machen,
dass kleinere Akteure nicht DSGVO-konform sind
und schlussfolgern,
dass die großen Technologie-
unternehmen besser
zur Bewältigung der
neuen
Verordnung
 aufgestellt  sind. Zahlreiche 
Experten hatten Bedenken geäußert,7 dass die Verordnung große Unternehmen begünstigen könnte, die sich eigene Abteilungen für den Umgang mit Datenschutz leisten können.

Geschätzte Prozentzahl von Nachrichtenseiten, die ein bestimmtes Inhaltsplugin von Drittunternehmen verwenden
Geschätzte Prozentzahl von Nachrichtenseiten, die ein bestimmtes Inhaltsplugin von Drittunternehmen verwenden

Quelle: Reuters Institute for the Study of Journalism (2018)

Um auf den Standpunkt der Unternehmen zurückzukommen, welche die Entwicklung der DSGVO abwarten: Eine
weitere interessante Beobachtung ist, dass viele US-amerikanische Websites begonnen haben, den Zugriff für europäische Besucher zu blockieren, oder einfach Inhalte von Dritten vorübergehend von ihren Seiten zu
entfernen. Die Folge ist eine
durchschnittliche
Ladezeit für die
europäische Version
einer
Website
von
unter einer Sekunde gegenüber
9,9 Sekunden für die
entsprechende
US-amerikanische
Website8.

Der Speicherort von
Daten
ist wichtig

Der Ort der Speicherung ist ein wichtiger Bestandteil der Diskussion rund um den Datenschutz, daher wird das Augenmerk verstärkt auf Rechenzentren gelegt. Da die Europäische Kommission zwischen sicheren und
unsicheren Drittländern unterscheidet, stehen Unternehmen der Inanspruchnahme der Dienstleistungen von
Rechenzentrumsbetreibern,
die
außerhalb der EU tätig sind, skeptisch gegenüber. Die Benennung als unsicheres
Land
impliziert, dass die nationalen Gesetze der Länder, in denen sich Rechenzentren physisch befinden, kein mit EU-Recht vergleichbares Schutzniveau
für
personenbezogene
Daten bieten.

Falls für
ein Land kein „Angemessenheitsbeschluss“
vorliegt, ist
deswegen die Datenübermittlung in dieses Land nicht zwingend untersagt. Stattdessen muss der Auftragsverarbeiter oder Verantwortliche (d. h. das
Unternehmen) anderweitig sicherstellen, dass
die
personenbezogenen Daten angemessen vom Empfänger geschützt werden, beispielsweise mithilfe von Vertragsklauseln.
Darüber hinaus
spielen Unterschiede zwischen
der Speicherung und Verarbeitung von Daten eine Rolle.

Das bedeutet, dass selbst kleine Einzelhändler über ein relativ umfassendes Wissen sowohl zu rechtlichen als auch
technischen Aspekten der Übertragung, Speicherung und Verarbeitung von Daten verfügen müssten. Die
Einhaltung der DSGVO könnte somit zu einem Verkaufsargument für die in Europa
oder im Europäischen Wirtschaftsraum (EWR) ansässigen
versierten (und hochgradig sicheren) Rechenzentren werden.

Auf der Verordnung basierende Erträge

Auch wenn die DSGVO für
die
meisten Unternehmen einen finanziellen Aufwand darstellt, dürfte sie für andere vermutlich einen Anstieg der Geschäftstätigkeiten nach sich  ziehen. Schätzungen zufolge werden
 70 % aller
Unternehmen für die Implementierung der neuen EU-Verordnung in zusätzliche IT- oder Supportdienstleistungen investieren.9 IT-Berater, Anbieter von Cybersicherheit-Software, Datenverwaltungsunternehmen sowie
die
Bereiche IT Outsourcing und IT Audit stellen infolge der DSGVO eine Nachfragezunahme fest. Die
DSGVO verweist beispielsweise ausdrücklich auf die folgenden
Sicherheitsmaßnahmen:

  • Pseudonymisierung
    und Verschlüsselung von
    personenbezogenen Daten
  • Fähigkeit zur Gewährleistung der laufenden Vertraulichkeit und Integrität der Verarbeitungssysteme (d. h. Umsetzung von
    Netzwerk- und Endpunktsicherheit, Cloud-Gateways usw.)
  • Prüfung der Effektivität der vorstehend genannten technischen Maßnahmen (d. h. Gefährdungserkennung und Risikomanagement)
  • Fähigkeit zur Benachrichtigung betroffener Personen und der Aufsichtsbehörde innerhalb von 72 Stunden
    nach einem Verstoß.

Die DSGVO wird eine schnellere Übernahme dieser
Sicherheitsmaßnahmen erzwingen, was den Anbietern im
Bereich IT-Sicherheit zugutekommen wird, da der „Datenraum“ derzeit noch großteils ungeschützt ist.
Laut Breach Level Index von Gemalto waren bei 96 % aller Datenschutzverletzungen die kompromittierten Daten nicht
verschlüsselt.10

Auch für Content-Management-Anbieter, einschließlich der Bereiche Client Relationship Management, Web Content Management,
Dokumentenverwaltung, digitale Rechteverwaltung sowie Such- und Portalfunktionen, kann
die DSGVO ein Verkaufsargument sein, da die
Einhaltung der DSGVO
direkt folgende Aspekte vorgibt:

  • Recht
    auf Vergessenwerden, auch „Datenlöschung“ genannt
  • Auskunftsrecht  zu  unseren
     personenbezogenen  Daten
     sowie  Informationen  zur
     Verwendung  und Verarbeitung unserer Daten
  • Datenübertragbarkeit,
     die  eine
     freie  Übertragung  unserer   personenbezogenen
     Daten  von   einem Verarbeitungssystem zu
    einem anderen ermöglicht.

Die Erfüllung dieser Anforderungen würde für viele Unternehmen mit selbst nur relativ geringer Onlinepräsenz Investitionen
in Datenverwaltungskapazitäten
erfordern.

IT-Outsourcing- und
Beratungsunternehmen werden mit Änderungsmanagement,
Umsetzung, Mitarbeiterschulungen und ähnlichen Aufgaben betraut werden. Das ist wie bei einem Großteil
neuer Verordnungen
ein Katalysator für die
Beratungsbranche im Allgemeinen.

Fazit

Geldstrafen
von bis zu 4 % des Jahresumsatzes sind deutliche Anreize für Unternehmen, die DSGVO ernst zu
nehmen. Zur Verdeutlichung: Eine derartige Geldstrafe würde für Amazon ca. USD 7 Milliarden
betragen. Auch wenn die Strafe
für viele kleine und mittlere Unternehmen insgesamt wesentlich kleiner ausfallen würde, wäre ein
Verstoß gegen die
DSGVO auch für sie verheerend.

Da jedoch die Verbraucher den Unternehmen im Hinblick auf den Schutz ihrer Privatsphäre vertrauen müssen,
dürfte eine Verordnung, welche die Übernahme dringend
benötigter Sicherheits- und Transparenzmaßnahmen
vorantreibt, begrüßt werden. Unternehmen müssen daher mit vertrauenswürdigen Drittunternehmen
zusammenarbeiten, um die angemessenen Sicherung und Verwaltung sowohl ihrer eigenen als auch der Daten der Kunden zu gewährleisten, da Teile der DSGVO durch die Wertschöpfungskette an
Online- Marketingunternehmen, Rechenzentren, IT-Sicherheits- und Datenverwaltungsdienstleister weitergegeben
werden.

Verordnungen sind immer schon ein wichtiger
Treiber von Veränderungen im Hinblick auf Sicherheit gewesen,
nicht nur im digitalen Raum, sondern unter anderem auch in den Sektoren Umwelt, Automobil
und Nahrungsmittelsicherheit.
Als
langfristige Anleger in dem Bereich Sicherheit und Automatisierung verfolgen wir die Entwicklungen in der Rechtsprechung genau und bewerten die daraus folgenden geschäftlichen Auswirkungen
für Unternehmen. Credit Suisse Asset Management
hat
zwei Strategien entwickelt, um Kunden ein „Pure Play“-
Engagement in diesen überzeugenden und miteinander verknüpften langfristigen Wachstumsthemen zu bieten: Robotik
und
Automatisierung sowie
Schutz und Sicherheit.

1 No one’s ready for GDPR von Sarah Jeong, The Verge, 22. Mai 2018.

2 Facebook and Google targeted as first GDPR complaints filed von Alex Hern, The Guardian, 25. Mai 2018.

3 France records big jump in privacy
complaints since GDPR von Natasha Lomas, TechCrunch, Oktober 2018.

4 EU Privacy Regulations Boon
to Data Security Sector von Tamlin Bason, Bloomberg Intelligence, 10. Oktober 2018.

5 European regulators: We’re not ready for new privacy law von Douglas Busvine, Julia Fioretti, Mathieu Rosemain, Reuters, 8. Mai 2018.

6 The impact of GDPR von Jessica Davies, Digiday, 24. August 2018.

7 15
Unexpected Consequences Of GDPR, Forbes Technology Council, 15. August 2018.

8 The impact of GDPR von Jessica Davies, Digiday, 24. August 2018.

9 What financial
impact will GDPR have on your business?
von Sian Macintyre, Horrexcole, 12. Februar 2018.

10 Breach Level Index, Gemalto, abgerufen am 15. Oktober 2018.