20. Juni 2018
Region:
Die Datenschutz-Grundverordnung der EU könnte in Teilen maßgebliche Folgen für den Wettbewerb in der EU-Datenwirtschaft sowie die Konkurrenzfähigkeit des Technologiesektors und der KI-Startups in der Union haben. Angesichts eines zunehmenden Bewusstseins der Nutzer für die Wahrung ihrer Privatsphäre, könnte Datenschutz "made in Europe" zwar zu einem potenziellen Wettbewerbsvorteil für europäische Unternehmen werden. Ebenso denkbar ist aber, dass die Marktposition der führenden Technologie-Giganten weiter gestärkt wird und Europa im globalen Rennen um die KI-Vorherrschaft gegenüber den USA und China weiter zurückfällt. Zeichnen sich potenziell negative Auswirkungen auf die EU-Datenwirtschaft ab, sollten die EU-Gesetzgeber daher nicht zögern, entsprechende Anpassungen vorzunehmen. [mehr]
PROD0000000000470764 1   |    20. Juni 2018Aktueller Kommentar 20. Juni 2018 DSGVO – Treiber oder Hemmschuh für Europas Datenwirtschaft? Autor www.dbresearch.de Deutsche Bank Research Management Stefan Schneider Kevin Körner +49(69)910-31718 kevin.koerner@db.com Die Datenschutz-Grundverordnung der EU könnte in Teilen maßgebliche Fol- gen für den Wettbewerb in der EU-Datenwirtschaft sowie die Konkurrenzfähig- keit des Technologiesektors und der KI-Startups im Währungsblock haben. An- gesichts eines zunehmenden Bewusstseins der Nutzer für die Wahrung ihrer Privatsphäre, könnte Datenschutz "made in Europe" zwar zu einem potenziellen Wettbewerbsvorteil für europäische Unternehmen werden. Ebenso denkbar ist aber, dass die Marktposition der führenden Technologie-Giganten weiter ge- stärkt wird und Europa im globalen Rennen um die KI-Vorherrschaft gegenüber den USA und China weiter zurückfällt. Zeichnen sich potenziell negative Auswir- kungen auf die EU-Datenwirtschaft ab, sollten die EU-Gesetzgeber daher nicht zögern, entsprechende Anpassungen vorzunehmen. Zu viel Regulierung – oder zu wenig? Die DSGVO – die Mammut-Daten- schutz-Grundverordnung der EU  – ist am 25. Mai nach einer zweijährigen Über- gangsfrist in Kraft getreten. Mancherorts wird sie aus durchaus guten Gründen als Meilenstein und globales Vorbild in Sachen Nutzerrechte gefeiert. Mit dem Recht auf Zugang, Berichtigung, Übertragung und Löschung personenbezoge- ner Daten erhalten anstelle der „Verantwortlichen“ und „Auftragsverarbeiter“, al- so der Unternehmen, die Nutzerdaten speichern und verarbeiten, nun mehr als 500 Millionen „betroffene Personen“ in der EU wieder weitgehend die Hoheit über ihre Daten. Doch es gibt auch Kritik, von Unternehmerseite ebenso wie von Datenschüt- zern. Seitens der Unternehmensvertreter ist immer wieder zu hören, die Verord- nung sei zu komplex, zu restriktiv und mit einem hohen Maß an Rechtsunsi- cherheit für die Wirtschaft verbunden. Datenschützer argumentieren, dass an- gesichts von zum Teil vagen Formulierungen sowie Ausnahmeregelungen und einem nach wie vor vergleichsweise großen Ermessensspielraum der nationa- len Regulierungsbehörden (z.B. in Hinblick auf die Bußgelder) die Durchsetz- barkeit der Verordnung geschwächt werde.[1] Nachholbedarf bei Unternehmen und nationalen Regulierungsbehörden. Bei der Implementierung der Verordnung hinkt die Wirtschaft nach wie vor hin- terher. Laut einer Umfrage von Bitkom, dem Digitalverband Deutschlands, gab kurz vor Ablauf der Frist lediglich ein Viertel der Unternehmen in Deutschland an, bis 25. Mai vollständig konform mit den neuen Regeln zu sein.[2] Auch bei den Regulierungsbehörden besteht noch Handlungsbedarf. So haben in acht der 28 EU-Mitgliedstaaten die für die Durchsetzung der DSGVO zuständigen Behörden die Frist im Mai nicht eingehalten.[3] DSGVO – Treiber oder Hemmschuh für Europas Datenwirtschaft? 2   |    20. Juni 2018Aktueller Kommentar Mehr Wettbewerb – oder weniger? Die DSGVO zielt primär auf den Schutz personenbezogener Daten in der EU. Aber es geht auch um die Sicherstellung eines freien Datenflusses innerhalb der EU und die Vermeidung rechtlicher und regulatorischer Arbitrage. Die allgemeinen Auswirkungen sind allerdings alles andere als klar. Zwar gilt die DSGVO für alle Unternehmen, die personenbezo- gene Daten innerhalb der EU verarbeiten, und zwar unabhängig davon, wo sich der Unternehmens-/Server-Standort befindet oder wo die Datenverarbeitung stattfindet. Für die europäische Wirtschaft spielt der EU-Binnenmarkt in der Re- gel jedoch eine wesentlich größere Rolle als für ausländische Unternehmen. Vorgaben, die sich möglicherweise negativ auf ihr Geschäftsmodell auswirken – wie z.B. die erforderliche Einholung einer Einwilligung und der Grundsatz der Zweckbindung, wonach eine Weiterverarbeitung nur dann erfolgen darf, wenn sie mit den ursprünglichen Zwecken vereinbar ist, sowie der Datenminimierung –, könnten sie entsprechend deutlich stärker belasten. Alt gegen neu, groß gegen klein. Etablierten Großunternehmen dürfte es leichter fallen, die Datenschutz-Grundverordnung einzuhalten als kleinen und mittleren Wettbewerbern. Für die Innovationstätigkeit in Europas Technologie- sektor könnten sich die im Zusammenhang mit der Einhaltung der DSGVO ent- stehenden Kosten sowie die rechtlichen Risiken und die Beschränkungen bei der Datenverarbeitung zudem als Bremsklotz erweisen. Während die führenden US-Technologieunternehmen kräftig investiert haben, um sich für die DSGVO zu wappnen, hat sich manches kleine US-Unternehmen und Technologie-Start- up aus Sorge vor möglichen Verstößen gegen die Verordnung und negativen Auswirkungen auf die eigene Profitabilität Ende Mai aus dem EU-Markt zurück- gezogen.[4] Für europäische Unternehmen mit Ausrichtung auf den EU-Binnen- markt ist dies keine Option. Statt den Wettbewerb zu fördern, könnte die DSG- VO daher letztendlich sogar die Marktposition der führenden Technologie-Gi- ganten weiter stärken. Dies gilt umso mehr, da Nutzer etablierten Anbietern und Plattformen, die sie bereits kennen oder auf deren Dienste sie nicht verzichten wollen (wie z.B. die großen sozialen und geschäftlichen Netzwerke), möglicherweise eher ihre Ein- willigung zur Datenverarbeitung geben als neuen unbekannten Wettbewerbern. So konnte Google Medienberichten zufolge nach Inkrafttreten der DSGVO sei- nen Marktanteil im Bereich Online-Werbung steigern, da dort deutlich mehr Nut- zer in die Schaltung gezielter Werbung einwilligten als bei den Konkurrenzun- ternehmen.[5] Andererseits müssen sich wohl vor allem die großen Technologieunterneh­ men auf schärfere Sanktionsmechanismen als bisher einstellen. Bei Verstößen sieht die DSGVO hohe Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor (abhängig davon, welcher Betrag höher ist). Schon jetzt, unmittelbar nach Inkrafttreten der DSGVO, sind mehrere Verfahren von Datenschutzaktivisten gegen große US-Technologieunternehmen anhän- gig.[6] DSGVO – Treiber oder Hemmschuh für Europas Datenwirtschaft? 3   |    20. Juni 2018Aktueller Kommentar Recht auf Datenübertragbarkeit könnte „Datensilos“ aufbrechen – eigent­ lich. Zwar könnte das Recht auf Datenübertragbarkeit – bei entsprechender Umsetzung – dazu beitragen, „Datensilos“ aufzubrechen und jungen Plattfor- munternehmen und KI-Startups den Marktzugang erleichtern. In der Praxis sind bei der direkten Datenübermittlung von einem Anbieter zu einem anderen und auf Anfrage betroffener Personen aber wohl noch zahlreiche Hürden zu über- winden. So sind personenbezogene Daten in einem gängigen und maschinen- lesbaren Format zu übermitteln. In welchem Standard dies erfolgen soll, dazu macht die DSGVO keine genauen Angaben.[7] Zudem gilt die Pflicht zur direk- ten Datenübermittlung an Dritte nur insoweit „dies technisch machbar“ ist. Diese vage Formulierung lässt einigen Interpretationsspielraum, womit das Recht auf Datenübertragbarkeit schwerer durchsetzbar wird. Untergräbt die DSGVO die KI-Strategie der EU? Die Entwicklung von auf ma- schinellem Lernen basierender künstlicher Intelligenz sowie das Training und die Verbesserung derer Algorithmen hängen maßgeblich vom Zugang zu riesi- gen Datenmengen ab. Dies gibt Ländern wie China mit über 700 Millionen Inter- net-/Mobilfunknutzern und (bisher) eher laxen Datenschutzgesetzen einen kla- ren Wettbewerbsvorteil. Europäische KI-Unternehmen hingegen könnten auf- grund der Verschärfung des Datenschutzes im internationalen Wettbewerb zu- rückfallen. Insbesondere das Recht auf Transparenz bei automatisierten Ent- scheidungen (z.B. Online-Kreditanträge) bereitet den Entwicklern von künstli- cher Intelligenz Kopfzerbrechen. Denn beim maschinellen Lernen mit Hilfe von tiefen neuronalen Netzen ist die Entscheidungsfindung hinter den Algorithmen eine Black Box – sogar für die Entwickler – und ändert sich zudem im zeitlichen Verlauf. Das Recht auf Erläuterung algorithmischer Entscheidungen könnte da- her dazu führen, dass die Anzahl und Präzision der zulässigen Algorithmen ab- nimmt, wie etwa das Center for Data Innovation moniert.[8] Nicht nur das erklär- te Ziel der EU, im globalen Rennen um die KI-Vorherrschaft gegenüber den USA und China aufzuholen, könnte dadurch untergraben werden.[9] Tatsächlich könnte Europa im internationalen Wettbewerb nun sogar noch weiter zurückfal- len (siehe auch Digitale Wirtschaft: Wie künstliche Intelligenz und Robotik unse- re Arbeit und unser Leben verändern ). Doch die Risiken für Europas KI­Unternehmen können durchaus abgemil­ dert werden. Zum einen gilt die DSGVO ausschließlich für personenbezogene Daten, also Angaben über eine identifizierte oder identifizierbare natürliche Per- son. Mit Hilfe automatisierter (KI-basierter) Verfahren zur Anonymisierung und Pseudonymisierung von Daten könnte die Forschung zur künstlichen Intelligenz und die Entwicklung von Algorithmen vorangetrieben werden, ohne die Daten- schutzvorschriften zu verletzen. Gleichzeitig bestehen durchaus Möglichkeiten, das Black Box-Problem anzugehen und so auch Bedenken wegen des Rechts auf Erläuterung auszuräumen. Hierzu beitragen würde die Entwicklung von künstlicher Intelligenz, deren Entscheidungen besser nachvollziehbar sind, wie zum Beispiel das von der US Defence Research Agency DARPA[10] ins Leben gerufene „Explainable AI ‟ -Programm und LIME (Local Interpretable Model- Agnostic Explanations).[11] Auch bei der Einhaltung der DSGVO könnte KI die Unternehmen unterstützen. Mögliche Einsatzbereiche sind z.B. die Verarbei- tung von Nutzeranfragen und die Verwaltung von Datenbanken. Statt Hemm- schuh wäre sie dann Treiber von Innovation.[12] DSGVO – Treiber oder Hemmschuh für Europas Datenwirtschaft? 4   |    20. Juni 2018Aktueller Kommentar Neues Geschäftsmodell – Datenschutz „made in Europe“. Aus Sicht der Unternehmen sind die Grundsätze für die Verarbeitung personenbezogener Da- ten zudem nicht zwangsläufig nur schlecht. Sollten die Nutzer zunehmend mehr Bewusstsein für die Wahrung ihrer Privatsphäre entwickeln, könnte die DSGVO zu einem potenziellen Wettbewerbsvorteil für europäische Unternehmen mit ei- nem auf Vertrauen und Datenschutz basierenden Geschäftsmodell und Produk- ten und Dienstleistungen „made in Europe“ werden. Als Anbieter von „Daten- schutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ (“data protection by design and by default”) gemäß DSGVO mit entsprechender Zertifizierung könnten diese einen Beitrag zum Setzen von Standards für die Datenwirtschaft leisten und gleichzeitig die Erwartungshaltung der Nutzer ändern. Gleichgewicht zwischen Datenschutz und Innovationsfähigkeit. Die in ra- santem Tempo voranschreitende technologische Entwicklung stellt die Regulie- rungsbehörden vor eine enorme Herausforderung, nicht nur in Europa. Die jüngsten Datenskandale, z.B. um Facebook und Cambridge Analytica, zeigen, wie weit die soziopolitischen (und wirtschaftlichen) Auswirkungen reichen kön- nen. Der Schutz von Daten und Privatsphäre hat vor diesem Hintergrund ent- scheidend an Bedeutung gewonnen. Trotz ihrer Komplexität und der Schwierig- keiten bei der Umsetzung ist die DSGVO aus unserer Sicht ein wichtiger Schritt zur Stärkung der Eigentumsrechte des Einzelnen an seinen persönlichen Da- ten. Sollte die EU ihrem Anspruch gerecht werden, weltweit rechtliche und ethi- sche Standards in den Bereichen Datenschutz und KI-Entwicklung zu setzen, könnten europäische Technologie-Startups, die in diesem regulatorischen Um- feld groß geworden sind, einen Wettbewerbsvorteil haben. Um Innovationen auf dem Gebiet der automatisierten Entscheidungsfindung weiter voranzutreiben, sind Rechtssicherheit und algorithmische Rechenschaftspflicht essentielle Vor- aussetzungen. In diesem Kontext kann die DSGVO aus der Sicht europäischer KI-Forscher und Unternehmen sogar als Chance betrachtet werden, eine inter- nationale Vorreiterrolle in der Entwicklung erklärbarer KI einzunehmen. Angesichts der an vielen Stellen vagen Formulierungen dürfte letzten Endes die Haltung der nationalen Gerichte den Ausschlag geben. Und solange die DSG- VO noch in den Kinderschuhen steckt, ist eigentlich nur eines gewiss: dass es zu vielen Gerichtsprozessen kommen wird. Falls sich Risiken für Europas Tech- nologiesektor und KI-Strategie materialisieren und Vorgaben der DSGVO zur Schwächung von Wettbewerb und Konkurrenzfähigkeit führen, sollten die euro- päischen Gesetzgeber jedoch nicht zögern, entsprechende Anpassungen vor- zunehmen – sofern möglich ohne den rechtmäßigen Anspruch der Nutzer auf Schutz ihrer Daten zu berühren. DSGVO – Treiber oder Hemmschuh für Europas Datenwirtschaft? 5   |    20. Juni 2018Aktueller Kommentar Originalversion in Englisch vom 13. Juni 2018: ˮ GDPR – boosting or choking Europe’s data economy? ˮ [1] Siehe z.B. Digital Europe (2017) und EDRi (2016) . [2] Bitkom (2018): 3 von 4 Unternehmen verfehlen die Frist der Datenschutz- Grundverordnung . [3] EUobserver (2018): Eight countries to miss EU data protection deadline. [4] Financial Times (2018): US small businesses drop EU customers over new data rule. [5] Wall Street Journal (2018): Google emerges as early winner from Europe’s new data privacy law. [6] Euractiv (2018): Silicon Valley giants hit with first complaints on day one of GDPR. [7] Ein Beratungsgremium der nationalen Datenschutzbehörden in der EU rät Wirtschaftsakteuren und und -verbänden, gemeinsam „kompatible Standards und Formate ‟ zu entwickeln, damit das in der DSGVO vorgesehene Recht auf Datenübertragbarkeit in die Praxis umgesetzt werden kann ( Article 29 Data Pro- tection Working Party, 2017 ). [8] Center for Data Innovation (2018): The Impact of the EU’s New Data Protec- tion Regulation on AI. [9] Die EU-Mitgliedstaaten haben dieses Jahr eine Kooperationsvereinbarung für künstliche Intelligenz unterzeichnet. Zudem sieht das von der Europäischen Kommission vorgelegte Europäische Konzept für künstliche Intelligenz für das kommende Jahrzehnt eine deutliche Steigerung der Investitionen vor. [10] DARPA (2017): Explainable Artificial Intelligence (XAI) . [11] Ribiero, M. T. et al. (2016): Why should I trust you?” Explaining the predic- tions of any classifier. [12] Siehe auch ZDNet (2018): GDPR's silver lining: Data-driven AI and innova- tion in the enterprise.   DSGVO – Treiber oder Hemmschuh für Europas Datenwirtschaft? 6   |    20. Juni 2018Aktueller Kommentar © Copyright 2018. Deutsche Bank AG, Deutsche Bank Research, 60262 Frankfurt am Main, Deutschland. Alle Rechte vor- behalten. Bei Zitaten wird um Quellenangabe „Deutsche Bank Research“ gebeten. Die vorstehenden Angaben stellen keine Anlage-, Rechts- oder Steuerberatung dar. Alle Meinungsaussagen geben die ak- tuelle Einschätzung des Verfassers wieder, die nicht notwendigerweise der Meinung der Deutsche Bank AG oder ihrer as- soziierten Unternehmen entspricht. Alle Meinungen können ohne vorherige Ankündigung geändert werden. Die Meinungen können von Einschätzungen abweichen, die in anderen von der Deutsche Bank veröffentlichten Dokumenten, einschließ- lich Research-Veröffentlichungen, vertreten werden. Die vorstehenden Angaben werden nur zu Informationszwecken und ohne vertragliche oder sonstige Verpflichtung zur Verfügung gestellt. Für die Richtigkeit, Vollständigkeit oder Angemessen- heit der vorstehenden Angaben oder Einschätzungen wird keine Gewähr übernommen. In Deutschland wird dieser Bericht von Deutsche Bank AG Frankfurt genehmigt und/oder verbreitet, die über eine Erlaub- nis zur Erbringung von Bankgeschäften und Finanzdienstleistungen verfügt und unter der Aufsicht der Europäischen Zen- tralbank (EZB) und der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) steht. Im Vereinigten Königreich wird die- ser Bericht durch Deutsche Bank AG, Filiale London, Mitglied der London Stock Exchange, genehmigt und/oder verbreitet, die von der UK Prudential Regulation Authority (PRA) zugelassen wurde und der eingeschränkten Aufsicht der Financial Conduct Authority (FCA) (unter der Nummer 150018) sowie der PRA unterliegt. In Hongkong wird dieser Bericht durch Deutsche Bank AG, Hong Kong Branch, in Korea durch Deutsche Securities Korea Co. und in Singapur durch Deutsche Bank AG, Singapore Branch, verbreitet. In Japan wird dieser Bericht durch Deutsche Securities Inc. genehmigt und/oder verbreitet. In Australien sollten Privatkunden eine Kopie der betreffenden Produktinformation (Product Disclosure State- ment oder PDS) zu jeglichem in diesem Bericht erwähnten Finanzinstrument beziehen und dieses PDS berücksichtigen, bevor sie eine Anlageentscheidung treffen.