„Die DSGVO ist kein Stoppschild für datengetriebene Geschäftsmodelle.“

Seit dem 25. Mai 2018 müssen Unternehmen die Europäische Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt haben. Nach großer medialer Berichterstattung vor dem Stichtag ist es mittlerweile still um dieses Thema geworden. Dabei hat eine Großzahl der Unternehmen noch immer mit der Umsetzung zu kämpfen. Im Interview mit Alexander Bose vom Mittelstand 4.0-Kompetenzzentrum Lingen beschreibt Erden Yücel, externer Datenschutzbeauftragter und Geschäftsführer der FYNE Consulting GmbH, die derzeitige Lage in deutschen Unternehmen, erläutert, wie sich datengetriebene Geschäftsmodelle mit der Datenschutz-Grundverordnung vertragen und worin die rechtlichen Herausforderungen beim Einsatz Künstlicher Intelligenz (KI) liegen.

Der 25. Mai liegt ja schon einige Zeit zurück. Bis kurz vor diesem Stichtag war die Tagespresse voller Meldungen zum Thema Europäische Datenschutz-Grundverordnung. Man könnte glauben, in Deutschland ist alles sauber über die Bühne gegangen. Wie ist Ihre Erfahrung?

Erden Yücel: Was genau bedeutet „gut über die Bühne gehen“? Man muss es von zwei Seiten sehen. Das Gesetz selbst ist auf EU-Ebene beschlossen worden und es wurde allen europäischen Ländern und damit auch Deutschland eine zweijährige Übergangsfrist eingeräumt, um sich auf die Datenschutzgrundverordnung vorzubereiten und diese auch in dieser Zeit umsetzen zu können.  Wenn man es also vom Gesetzgebungsverfahren her betrachtet, kann man schon sagen, dass es gut über die Bühne gegangen ist. Die zweite Seite ist für mich aber die praktische Anwendung. Gut über die Bühne gehen bedeutet für mich, dass Klarheit bei allen herrscht und dass sich alle Unternehmen mit der Materie vertraut gemacht haben. Jeder weiß, was zu tun ist und alle haben ihre Maßnahmen und Vorgaben lückenlos auf dem Schirm. Da können wir als externe Datenschutzbeauftragte mit Sicherheit sagen: dem ist nicht so.

Wo gibt es in kleinen und mittleren Unternehmen noch viele Baustellen?

Yücel: Ich erweitere den Kreis der betroffenen Akteure und sehe die Baustellen nicht nur bei kleinen und mittleren Unternehmen, sondern auch bei großen Konzernen. Unsere Erfahrung ist, dass alle, bis auf einige wenige Ausnahmen vielleicht, auf demselben Stand sind, unabhängig von der Unternehmensgröße. Wir sehen immer wieder, dass wir nicht nur einige Baustellen anpacken müssen, sondern bei vielen Unternehmen gänzlich bei Null anfangen müssen.

Hat die EU-DSGVO Unternehmen handlungsunfähig gemacht?

Yücel: Grundsätzlich nein! Dadurch, dass bis heute keiner etwas getan hat, haben viele Unternehmen Nachholbedarf. Ein Gesetz zum Schutz personenbezogener Daten gibt es ja nicht erst seit dem 25. Mai 2018. Das hat jedoch nie jemand ernsthaft wahrgenommen, weil zum einen die Sanktionen sehr gering waren und zum anderen die Unternehmen nicht konsequent geprüft wurden. Und wenn mal geprüft wurde, waren die Bußgelder so gering, dass das Risiko vielleicht sogar bewusst in Kauf genommen wurde. Mit dem 25. Mai hat sich das ja enorm geändert, da sagt man ja bis zu 20 Millionen oder 4 Prozent des weltweiten Konzernumsatzes bzw. des Jahresumsatzes. Nachholbedarf bei Unternehmen bedeutet, dass Prozesse eventuell angepasst und Berechtigungskonzepte erstellt werden müssen. Also wer greift aus welchem Grund auf welche Daten zu. Alleine das Zusammentragen dieser Informationen, um erst einmal den IST-Zustand in einem Unternehmen zu bestimmen, ist für viele aufwändig.

Datengetriebene Geschäftsmodelle sind derzeit in aller Munde und auch das Mittelstand 4.0-Kompetenzzentrum Lingen hat sich als Projekt diesen Themenschwerpunkt auf die Fahne geschrieben. Man könnte meinen, durch die EU-DSGVO haben viele auf das falsche Pferd gesetzt…. Ist das so?

Yücel: Ein ganz klares Nein! Die DSGVO ist kein Stoppschild für datengetriebene Geschäftsmodelle. Es definiert lediglich den rechtlichen Rahmen, quasi die Spielregeln, innerhalb derer man sich bewegen darf. Wenn ich Daten für mein Geschäftsmodell, mein Produkt oder meine Dienstleistungen heranziehe, dann muss ich wissen, wann ich diese Daten in welcher Form nutzen darf und wann ich besser die Finger davon lassen sollte. Und da gibt es ja verschiedene Datentypen. Wenn es jetzt personenbezogene Daten sind, dann müssen mir Nutzer oder Kunden ihre Einwilligung für die Datennutzung im Sinne meines Geschäftsmodell geben und ich muss sie im Vorfeld darüber informieren. Wenn ich mir das OK eingeholt habe, dann ist die DSGVO überhaupt nicht als Stoppschild zu betrachten. Das betrifft ebenso die bei Unternehmen genutzten Technologien oder Plattformen, die für bestimmt Produkte oder datengetriebene Geschäftsmodelle genutzt werden. Nehmen wir als Beispiel Cloud Computing. Die Cloud ist für Datenspeicherung und Auswertungsprozesse durchaus interessant und damit könnten Cloud-Anbieter, die DGSVO-konform aufgestellt sind – beispielsweise durch EU-Standorte ihrer Rechenzentren – für hiesige Unternehmen attraktiv sein. Das gleiche gilt für Softwareanbieter, die sich „Datenschutzkonformität“ als Markenkern auf die Fahne geschrieben haben. Ich sehe die Datenschutz-Grundverordnung durchaus als Chance und sage, dass nicht falsche, sondern ganz neue Pferde das Rennen bestimmen.

„Einem KI-System beizubringen, sich in einem bestimmten Rahmen aufzuhalten, den es nicht überschreiten darf, das ist schwierig.“

Neue Technologien ist ein gutes Stichwort. Wo sehen Sie Herausforderungen für Unternehmen, die Künstliche Intelligenz (KI) einsetzen möchten? Daten bilden hierbei ja die Grundlage.

Yücel: Das stimmt. Aber in der Tat berücksichtigt die DSGVO unter dem Aspekt der „automatisierten Entscheidungsfindung“ bereits Künstliche Intelligenz. Das eine KI im Spiel ist, auch darüber müssen Menschen informiert werden. Von daher ist dieser Punkt erst einmal gar keine Herausforderung. Die Herausforderung bei Künstlicher Intelligenz liegt in erster Linie darin, dass Computer oder Maschinen dazulernen.

Inwiefern?

Yücel: Ganz einfach gesprochen: Ich programmiere einen Computer und sage: Triff selber Entscheidungen und lerne dazu!“ Der Computer lernt also Entscheidungen zu treffen. Er lernt dazu und weiß, dass weitere Informationen erforderlich sind, um genauere Ergebnisse zu erzielen oder bessere Entscheidungen treffen zu können. Und diese wird er sich in der Regel eigenständig besorgen. Und jetzt frage ich mich, wie ein Computer wissen soll, wann er gegen die Datenschutz-Grundverordnung verstößt? Und warum sollte er überhaupt darüber „nachdenken“, da es seine grundsätzliche Aufgabe ist, sein Bestreben, am Ende die richtige Entscheidung zu treffen. Eine Entscheidung, die auf der Grundlage möglichst vieler relevanter Informationen basiert.

Ein Dilemma also …

Yücel: So ist es. Ich denke, einem KI-System beizubringen, sich in einem bestimmten Rahmen aufzuhalten, den es nicht überschreiten darf, das ist schwierig. Ernsthaft: wir Menschen streiten darüber, ob die ein oder andere Datenverarbeitung einem berechtigten Interesse dient. Wie soll eine Maschine das machen?

Das heißt Künstliche Intelligenz muss durch Menschen kontrollierbar bleiben…

Yücel: Die Frage ist, wenn ich dann massenhaft Daten aufnehme und verarbeite, auch die Daten, die Rückschlüsse auf einzelne Personen ermöglichen, wie viele Menschen brauche ich dann, um Einzelfallentscheidungen treffen zu können? Einzelfallentscheidungen sind sehr schwierig. Wenn man nun an die Anonymisierung von personenbezogenen Daten denkt, dann sehe ich wieder Grenzen für die Weiterentwicklung Künstlicher Intelligenz. Denn wenn man anonymisiert, dann kann man keine datengetriebenen Geschäftsmodelle, Dienstleistungen oder Produkte anbieten, die individualisierten Kundenbedürfnisse und Kundenwünsche entgegenkommen. Aber hier sollen datengetriebene Geschäftsmodelle in großen Teilen ja hingehen, damit Unternehmen ihren Kunden sagen können: „Hier, ganz individuell für dich!“ Das wird dann schwierig.

Das bedeutet, der Schutz, den man im Rahmen der EU-DSGVO den Menschen bieten möchte, begrenzt die Weiterentwicklung Künstlicher Intelligenz. Das heißt aber auch, Produkte und Dienstleistungen können nicht weiter individualisiert werden. Oder?

Yücel: Jein! Wie Sie schon sagten: es ist für manche Branchen ein Dilemma. Man wird nicht von jedem Menschen eine Einwilligung zur Nutzung seiner Daten bekommen. So wird man versuchen müssen, anhand anonymisierter und kategorisierter Daten Kunden zu gewinnen; eine individualisierte Werbemaßnahme für einzelne bestimmbare Personen wird schwierig – ohne eine Einwilligung der betroffenen Person. Künstliche Intelligenz soll ja aber nicht nur für Vertriebsmaßnahmen genutzt werden, sondern wird sich noch in ganz vielen anderen Bereichen entfalten. Inwiefern dort die Individualisierung eine Rolle spielt, wird die Zukunft zeigen.

 

 

Das Interview führte Alexander Bose.
Foto: Mareike Lamboury