Im Interview: Rebekka Weiß, Leiterin Vertrauen und Sicherheit Bitkom e.V.

“Schon vor einem Jahrzehnt haben wir gemerkt: Datennutzung wird immer wichtiger — in der Wirtschaft und in der Gesellschaft”, erklärt die Juristin und Datenschutzexpertin Rebekka Weiß. Sie studierte Jura in Potsdam und Lausanne (Schweiz) und hat zusätzlich den Master of Laws in „Intellectual Property and the Digital Economy” an der University of Glasgow erworben. Mittlerweile beschäftigt Weiß sich seit über zehn Jahren mit Datenschutz. Für sie ist es ein vielfältiges Rechtsgebiet, das viele Anknüpfungspunkte im technologischen Fortschritt hat: “Datenschutz ist dicht am Zahn der Zeit!” Wer sich für Datenschutz und Digitalpolitik begeistere, der komme am Bitkom nicht vorbei, scherzt Weiß. Sie ist seit September 2017 beim Digitalverband und seit 2019 dort als Leiterin Vertrauen und Sicherheit tätig. Wir haben mit ihr darüber gesprochen, inwiefern Unternehmen vom Datenschutz profitieren können, Ängste abgebaut werden und Innovationen trotz strenger Datenschutzregeln gelingen können.

Bei der Digitalisierung Ihrer Kundenprozesse schrecken viele Unternehmen vor strengen Datenschutzregeln zurück. Was raten Sie diesen Unternehmen?

Die Grundregel ist immer: Nicht zu viel Angst haben und nicht zu viele Risiken sehen. Seid mutig! Entscheidet euch für Innovation und für Fortschritt. Aus politischer Sicht sehen wir einen großen Fokus auf Risiken und Bedenken. Es wird dann viel auf den Datenschutz geschoben, wofür der Datenschutz eigentlich gar nichts kann. Die Regelungen sind unklar und wir müssen mit viel Rechtsunsicherheit umgehen. Das ist natürlich ein Problem und eine große Herausforderung. Vieles ist aber lösbar. Ich denke, man muss das Thema einfach systematisch angehen. Man muss nach vorne schauen, sich austauschen, sich gegebenenfalls beraten lassen. Vieles geht! Wir müssen den Blick nach vorn lernen.

Die DSGVO brachte für den Endnutzer einen besseren Schutz personenbezogener Daten. Wie können auch Unternehmen von strengeren Datenschutzregeln profitieren?

Dass man wirklich von strengeren Datenschutzregeln profitieren kann, dass würde ich so nicht unterschreiben. Was aber in jeden Fall positiv ist, dass dieses Rahmenwerk, wenn man es so nennen will, Transparenz über Datenverarbeitung hin zum Kunden schafft und so Vertrauen aufbaut. Vertrauen ist letztlich essentiell für Digitalisierung. Anders als im analogen Bereich kann man in digitale Prozesse nicht ganz so gut reinschauen. Es ist nicht so leicht ersichtlich, was genau passiert: Wer nutzt meine Daten genau? Wo gehen sie hin? Was macht mein Vertragspartner mit den Daten? Rahmenbedingungen können das Vertrauen beim Kunden schaffen, dass das Unternehmen mit den Daten vernünftig umgehen muss, denn es gibt ja Regeln dafür.

Die Medaille hat allerdings zwei Seiten: Strenge Datenschutzregeln sind ein Stück weit auch ein Innovationshemmnis. Ich muss viel Aufwand betreiben, um die Regeln umzusetzen. Es entwickelt sich sehr dynamisch und im Prozess. Die DSGVO umzusetzen ist ja nie abgeschlossen. Ich kann am Montag 100 Prozent Datenschutz-compliant sein — falls es den Zustand überhaupt gibt — und am Dienstag nicht mehr, wenn ich zum Beispiel einen neuen Prozess einsetze. Ich muss also immer wieder neu prüfen. Das ist eine Herausforderung.
Es ist auch ein typisches Beispiel dafür, wie wichtig dauerhafte Zusammenarbeit und Kooperation zwischen verschiedenen Unternehmen für die Digitalökonomie als Ganzes ist. Es gibt heutzutage kaum noch ein Unternehmen, das alles allein abwickeln kann. Man muss sich helfen lassen, sich beraten lassen, bestimmte Prozesse auch auslagern. Das schafft ja auch neue Horizonte und neue Möglichkeiten, dass eigene Modell zu skalieren. So entstehen vertrauensvolle Vertragspartner, die mich bei bestimmten Vorgängen unterstützen. Da liegt auch eine Chance.

Die Digitalstaatsministerin Dorothee Bär sprach bei ihrem Amtsantritt 2018 vom „Datenschutz aus dem 18. Jahrhundert“ in Deutschland. Bremst der Datenschutz in Deutschland Innovationen?

Ja, der Datenschutz bremst die Innovation in der Tat. Wir haben bereits Zahlen dazu erhoben. Dabei kam heraus, dass jedes sechste Unternehmen bestimmte datengetriebene Innovationen nicht angegangen ist und nicht umgesetzt hat, weil sie sich nicht sicher waren, wie Datenschutz funktioniert — vor dem Hintergrund der Datenschutzregeln. Diese Rechtsunsicherheiten, gepaart mit sehr harten Sanktionen und sehr negativen PR-Effekten, wenn ich eine Datenpanne bei mir habe, bremsen Innovationen aus.

Das ist auch etwas, wo wir insbesondere in Deutschland spezifischere Herausforderungen haben. Es gibt verschiedene Auslegungen, beispielsweise in den Bundesländern. Das hilft nicht. Was wirklich notwendig wäre, weil die Anforderungen aus der DSGVO so streng und zugleich so unklar sind, wäre viel mehr Beratung — auch von den Aufsichtsbehörden selbst. Wenn man eine Geschäftsidee hat und ein datengetriebenes Modell weiterentwickeln will, sollte man gemeinsam mit der Aufsichtsbehörde schauen: Wie kann ich es denn umsetzen? Man sollte nicht nur kommunizieren, was nicht geht, weil es verboten ist. Sondern man sollte auch Wege finden, wie man sich in diesem Rechtsrahmen bewegen kann. Um das Vertrauen zu schaffen und zu schauen, wie man sich in diesem Rechtsrahmen auch weiterentwickeln und Innovationen vorantreiben kann.

Worauf Dorothee Bär sicherlich angespielt hat: Datenschutz ist ja nicht nur mit der DSGVO gekommen. Den gibt es ja schon deutlich länger. Man hätte mit der DSGVO die Chance gehabt, grundsätzliche Bewertungen neu zu treffen. Diese Chance hat man verpasst. Um das einmal konkret zu machen. Wir haben einen Datenschutzrahmen, der sagt: Eigentlich ist jegliche Datenverarbeitung nicht erlaubt, es sei denn ich kann sie auf eine bestimmte Rechtsgrundlage stützen. Der grundsätzliche Angang ist, dass Datenverarbeitung erst einmal verboten ist. Man hätte jetzt im 21. Jahrhundert sicherlich auch die Entscheidung treffen können: Datenverarbeitung ist nicht grundsätzlich verboten, denn Datenverarbeitung hat erst einmal nicht direkt ein Risiko, ist schlecht oder gefahrbehaftet. Ich muss mich dann aber, wenn ich Daten verarbeite — von Kunden, von Nutzern, von Geschäftspartnern — an bestimmte Regeln halten, um Risiken zu minimieren und um technischen Schutz zu gewährleisten. Bei Datenschutz geht es ja auch immer um Datensicherheit.

Ich würde mich dann eher um diese Fragen kümmern, statt jedem Unternehmen und jeder Behörde erstmal zu sagen: Du darfst keine Daten verarbeiten. Das war rückwärtsgewandt. Das entspricht mit Blick auf die Datenökonomie nicht mehr dem Zahn der Zeit. Deshalb wird jetzt an ganz vielen Stellen politisch diskutiert, welche Optionen es gibt, mehr Datennutzung, mehr Datenteilung und mehr Datenverarbeitung zu ermöglichen.

Welche drei Punkte sind aus Ihrer Sicht für die Zukunft entscheidend, damit der Datenschutz bei Unternehmen auf (noch) mehr Akzeptanz trifft?

1. Eine vollwertige Harmonisierung in Europa und in Deutschland — das würde die Akzeptanz merklich erhöhen.
2. Gute und praxisnahe Anwendungshinweise von den Aufsichtsbehörden würden jedem Unternehmen helfen und so auch die Akzeptanz erhöhen. Man würde nicht mehr das Gefühl haben, man bekommt gesagt, was alles nicht geht. So würde allen klar werden: Das ist der europäische Rahmen. Hiermit arbeiten wir und hier können wir innovative Modelle entwickeln. Eben der Beratungsaspekt, von dem ich schon gesprochen habe. Dass man von den Aufsichtsbehörden Unterstützung bekommt, diesen sehr schweren Rechtsrahmen umzusetzen. Das würde die Akzeptanz deutlich nach vorne bringen.
3. Für die unternehmerische Akzeptanz ist auch das Verhalten des Nutzers entscheidend: Ein besseres Miteinander zwischen Datengeber und Datenverantwortlichem. Also, dass die Nutzer einen guten und gebildeten Umgang mit Daten haben und den Unternehmen signalisieren: Ich weiß, dass du dich an einen engen Rechtsrahmen zu halten hast, daher vertraue ich dir auch als Unternehmen.

Originally published at https://blog.fintechcube.com on May 5, 2021.