Datenschutz

– Ist die Transferproblematik in die USA damit geklärt?

01/2021

 

1 Einleitung

Mit dem als «Schrems II» bekannt gewordenen Entscheid (C-311/18) des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020  wurde der  Angemessenheitsbeschluss 2016/1250 zum EU-US Privacy Shield für ungültig erklärt. Hintergrund dieser Entscheidung war, dass das mit den USA ausgehandelte Privacy Shield-Abkommen die Daten von Personen, die sich in der EU befinden,  nicht vor dem Zugriff US-amerikanischer Geheimdienste angemessen zu schützen vermochte.  

Wenig später hat sich auch der Eidgenössische Öffentlichkeits- und Datenschutzbeauftragte (EDÖB) diesem Entscheid angeschlossen und das EU-Swiss Privacy Shield-Abkommen  als nicht  mehr wirksam erklärt.

Der EuGH befasste sich in seinem Entscheid auch mit den EU-Standardvertragsklauseln. Das Gericht stellte fest, dass eine blosse standardmässige Übernahme dieser Klauseln nicht genügt und diese ebenfalls keinen angemessenen Schutz darstellen würden. Vielmehr muss ein Verantwortlicher die Umstände des konkreten Datentransfers würdigen und sich fragen, wie weit die Standardvertragsklauseln die übermittelten Daten tatsächlich angemessen schützen und ggf. zusätzliche Massnahmen vorsehen.

Am 11. November 2020 hat der Europäische Datenschutzausschuss einen Entwurf mit «Empfehlungen über Massnahmen zur Gewährleistung des EU-Schutzniveaus bei der Übertragung von personenbezogenen Daten» veröffentlicht (Empfehlungen 01/2020).  Diese Empfehlungen beschreiben ausführlich, welche zusätzlichen Massnahmen ein Unternehmen treffen muss, damit eine Übermittlung personenbezogener Daten nach dem Schrems II-Entscheid durchgeführt werden kann. Nur einen Tag später veröffentlichte die EU-Kommission ihren Entwurf für Standardvertragsklauseln, der ebenfalls den Schrems II-Entscheid berücksichtigt. 

 

2 Handlungsempfehlungen des Europäischen Datenschutzausschusses 

Der Europäische Datenschutzausschuss hat in seinem Empfehlungsentwurf 01/2020 in sechs Schritten beschrieben, wie ein Unternehmen vorgehen muss, damit eine Übermittlung von personenbezogenen Daten auch nach dem Schrems II-Entscheid möglich ist: 

 

1. Daten-Mapping

In einem ersten Schritt soll ermittelt werden, welche Datentransfers an Empfänger in Drittländern gehen und ob die übermittelten Daten im Hinblick auf die Zwecke, für die sie übermittelt werden, angemessen, zweckdienlich und notwendig sind.

 

2. Identifizierung geeigneter Transferinstrumente

Sofern kein Angemessenheitsbeschluss vorliegt, ist in einem zweiten Schritt abzuklären, ob eine geeignete Garantie gemäss Art. 46 DSGVO vorliegt oder einer der Ausnahmetatbestände gemäss Art. 49 DSGVO greift. Erfolgt die Übermittlung mittels Standardvertragsklauseln oder über verbindliche Unternehmensvorschriften, muss sichergestellt werden, dass die übermittelten personenbezogenen Daten tatsächlich einem im Wesentlichen gleichwertigen Schutzniveau unterliegen.

 

3. Beurteilung der Wirksamkeit des Schutzes der Personendaten

Der dritte Schritt besteht darin, zu beurteilen, ob es im Recht oder Praxis des Drittlands etwas gibt, welches die Wirksamkeit der geeigneten Garantien beeinträchtigen könnte. Für die Beurteilung der Gesetzgebung verweist der EDSA auf seine Empfehlungen 02/2020 «European Essential Guarantees for surveillance measures», insbesondere dann, wenn die Gesetzgebung eine Offenlegung gegenüber den Behörden des Drittlandes vorschreibt oder Zugang gewährt. 

 

4. Implementierung zusätzlicher Massnahmen sofern erforderlich

Kommt die Beurteilung (Schritt 3) zum Schluss, dass zusätzliche Massnahmen erforderlich sind, um ein angemessenes Datenschutzniveau herzustellen, so müssen diese wirksam implementiert werden. Eine Wirksamkeit ist vor allem bei technischen Schutzmassnahmen gegeben, die den Zugang zu personenbezogenen Daten entweder durch die Empfänger und/oder Behörden in Drittländern verhindern. 

 

5. Einleitung formeller Verfahrensschritte

In einem fünften Schritt sind alle formellen Verfahrensschritte zu treffen, die eine vorgängige Genehmigung durch eine Datenschutzbehörde erfordern. Sofern die zusätzlichen Massnahmen nicht im Widerspruch zu den Regelungen der Standardvertragsklauseln oder der verbindlichen Unternehmensvorschriften stehen oder das durch diese Mechanismen geschaffene Schutzniveau nicht beeinträchtigt wird, bedarf es keiner vorgängigen Genehmigung. 

 

6. Regelmässige Neubewertung

Der sechste und letzte Schritt besteht darin, in regelmässigen Zeitabständen das Schutzniveau der Daten, die in Drittländer übermittelt wurden, neu zu bewerten und Entwicklungen im Drittland zu überwachen, welche sich auf den Schutz auswirken könnten. 

 

3 Ist der neue Anhang zu den Standardvertragsklauseln von Microsoft die langersehnte Lösung?

Microsoft hat als erstes Unternehmen auf den Empfehlungsentwurf des Europäischen Datenschutzausschusses reagiert und unter dem Namen «Defending Your Data» einen Anhang zu den Standardvertragsklauseln veröffentlicht, der nun standardmässig Bestandteil des Auftragsverarbeitungsvertrags ist. Darin werden die Informationspflichten der betroffenen Personen ausgeweitet und Microsoft verpflichtet, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, die behördliche Anordnung zur Herausgabe der Daten anzufechten sowie ein Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmässig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat, geltend gemacht.  

 

4 Fazit

Dass sich Microsoft für die Verbesserung der Rechte der betroffenen Personen einsetzt, ist löblich und ein Schritt in die richtige Richtung. Jedoch vermag er die Transferproblematik in die USA nicht zu lösen. Einen Zugriff der US-Geheimdienste auf die Daten wird dadurch nicht unterbunden. 

Es bleibt also dabei, dass Unternehmen weiterhin prüfen müssen, welchem Risiko die Daten bzw. die Betroffenen im Drittland ausgesetzt sind. Immerhin bieten die Empfehlungen 01/2020 des EDSA eine gewisse Hilfestellung, wenn es darum geht, zusätzliche Massnahmen bei der Übermittlung in ein Drittland ohne Angemessenheitsbeschluss zu treffen.  

 

 

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.  

Swiss Infosec AG; 23.12.2020

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

 

datenschutz

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind!

Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen

 

Mehr lesen

01/2021

 

Die Nutzung personenbezogener Daten in politischen Kampagnen

 

Beachtung der Datenschutzbestimmungen bei Wahlen Eine vergleichende Analyse zwischen der EU und Brasilien (DSGVO vs. LGPD)

 

Zur Analyse der Anwendung von Bestimmungen zum Schutz personenbezogener Daten auf Wahlprozesse in Brasilien und der EU untersucht dieser Abschnitt die relevantesten Ähnlichkeiten und Unterschiede zwischen der europäischen Datenschutz- Grundverordnung (DSGVO) und dem brasilianischen Allgemeinen Datenschutzgesetz („Lei Geral de Proteção de Dados Pessoais“, LGPD). Die folgenden Erwägungen untersuchen, wie diese komplizierten Systeme die Grenzen der Datenverarbeitungsfähigkeiten der Kandidaten und Parteien in jeder Gerichtsbarkeit bestimmen, während sie außerdem relevante normative Instrumente spezifisch in Bezug auf Wahlprozesse vorstellen. Das brasilianische Allgemeine Datenschutzgesetz war weithin auf der Datenschutz- Grundverordnung der EU gegründet. Deshalb bestehen viele Ähnlichkeiten zwischen den beiden Gesetzen. Zuerst gibt es Überschneidungen zwischen den allgemeinen Grundsätzen in beiden Gesetzen. Die DSGVO führt in Artikel 5 sechs Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten an. Das LGPD nennt in Artikel 6 zehn Grundsätze. Beide Verordnungen bzw. Gesetze enthalten die Kernwertvorstellungen von festgelegten und eindeutigen Zwecken, Transparenz, Qualität (Richtigkeit) von Daten, Sicherheit, Verantwortlichkeit, Rechtmäßigkeit und Verarbeitung nach Treu und Glauben (Fairness). Der Kopfteil des brasilianischen Artikels zu den Grundsätzen lautet:

Art. 6 Aktivitäten zur Verarbeitung personenbezogener Daten müssen nach Treu und Glauben erfolgen und folgende Grundsätze beachten …

Die Erwähnung von „Treu und Glauben“ (boa-fé) könnte als analog zum Fairness- Grundsatz der DSGVO interpretiert werden. „Boa-fé“ ist ein allgemeiner Grundsatz des bürgerlichen Rechts in Brasilien. Seine ausdrückliche Erwähnung im Kopfteil des Artikels in Bezug auf die Grundsätze der Verarbeitung personenbezogener Daten stärkt seine Rolle als interpretative Achse bei der Anwendung des Gesetzes. In der Praxis bedeutet das die Berücksichtigung des Kontexts der Datenerfassung zur Bestimmung der angemessen erwarteten und fairen Verwendung der Daten. Juristen beschreiben dies als „kontextabhängigen Datenschutz“:  Zusammenfassend betrachtet umfasst die Theorie des kontextabhängigen Datenschutzes deshalb die Erwägung, dass die betroffene Person legitime Erwartungen (Schutz ihrer Daten) in Bezug auf den angemessenen Fluss ihrer Daten haben kann. Der Datenverkehr findet daher nicht in einem Vakuum statt, sondern unter einer Gruppe von Umständen, die seine Integrität bestimmen. Abgesehen von vielen Ähnlichkeiten wie dem oben erwähnten Fairnessgrundsatz gibt es allerdings Punkte, in denen sich die beiden Gesetze unterscheiden. Ein solcher Fall ist die Definition von gemeinsam Verantwortlichen. Gemeinsam Verantwortliche sind in Artikel 26 der DSGVO beschrieben, der besagt:

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

Es ist wichtig, hervorzuheben, dass derselbe Datensatz viele bestimmte Verantwortliche haben kann, wenn diese ihn zu bestimmten Zwecken verwenden, oder gemeinsam Verantwortliche, wenn diese gemeinsam über die Zwecke der Verarbeitung entscheiden. Das brasilianische Gesetz umfasst dagegen keine ausdrückliche Kategorie gemeinsam Verantwortlicher.

Die Verantwortlichkeit wird weiterhin auf der Grundlage der Fähigkeit festgestellt, über die Zwecke der Verarbeitung zu entscheiden, wobei jedoch keine gemeinsame Verantwortlichkeit erwähnt wird. Das Gesetz weist allerdings in einem Fall darauf hin. In Artikel 42, II, erklärt das LGPD, dass die Verantwortlichen, die direkt an einer Verarbeitungsaktivität beteiligt sind, die gemeinsame Verantwortung für mögliche Verstöße gegen das Gesetz tragen. Dieser Artikel legt eine gemeinsame Verantwortung nahe, indem er besagt, dass bestimmte Akteure unter den Auswirkungen des Gesetzes zusammengefasst werden können. Das ist eine Auslegung, die bei der Festlegung der Steuerungsstruktur politischer Kampagnenanstrengungen berücksichtigt werden sollte. In solchen Fällen ist das besonders wahr, was von einer anderen Rechtsvorschrift zur Haftung von Kandidaten und politischen Parteien untermauert wird. Das brasilianische Gesetz Nr. 9.504/1997 erklärt in Artikel 6, § 5: § 5 Kandidaten und ihre Parteien haften gemeinsam und einzeln für Geldbußen aufgrund von Wahlpropaganda … Daher ist das LGPD vollständig anwendbar auf die Verarbeitung personenbezogener Daten, die von Parteien und Kandidaten durchgeführt wird, sowie auf ihre Kampagnenstrukturen. Im brasilianischen Gesetz wird dies weiter unterstrichen, indem politische Parteien als private Vereinigungen charakterisiert werden, d. h. als Rechtswesenheiten, die unter dieselben rechtlichen Grundsätze fallen wie Privatunternehmen und Nichtregierungsorganisationen. Die Verantwortlichkeit ist eine entscheidende Frage in beiden Gesetzen, da der Verantwortliche für die Implementierung einer breiten Gruppe aus Anforderungen verantwortlich und in letzter Instanz für mögliche Verstöße haftbar ist.

Die Feststellung des Verantwortlichen für personenbezogene Daten kann sich in der Praxis als Herausforderung erweisen, bei der es darum geht, die Person(en) ausfindig zu machen, welche die Fähigkeit hat (haben), Entscheidungen von bedeutender Tragweite über die Zwecke und Mittel der Datenverarbeitung zu treffen. Im Kontext politischer Kampagnen kann sich das als komplexe Bewertung herausstellen:

Die Rolle des Datenverantwortlichen oder Datenverarbeiters/-auftragsverarbeiters muss für jeden Einzelfall bewertet werden. Im Zusammenhang mit Wahlen können eine Reihe von Akteuren Datenverantwortliche sein: Politische Parteien, einzelne Kandidaten und Stiftungen sind in den meisten Fällen Datenverantwortliche. Plattformen und Datenanalyseunternehmen können (gemeinsam) Verantwortliche oder Auftragsverarbeiter für eine gegebene Verarbeitung sein, was vom Ausmaß ihrer Kontrolle über die betreffende Verarbeitung abhängt. Nationale Wahlbehörden sind Verantwortliche für die Wählerverzeichnisse.

Abgesehen von Verantwortlichen müssen politische Kampagnen ebenfalls zwei weitere Rechtswesenheiten beachten, die an den Beziehungen der Verarbeitung personenbezogener Daten beteiligt sind. Die Datenverarbeitung wird von einem „Auftragsverarbeiter“ (DSGVO; im LGPD als Operador bezeichnet) durchgeführt, der den Willen und die Strategie des Verantwortlichen umsetzt. Während der Verantwortliche umfassende Entscheidungsbefugnis hat, implementiert der Auftragsverarbeiter lediglich die geplanten Verarbeitungsaktivitäten. Die andere Rechtswesenheit ist der Datenschutzbeauftragte (DSGVO; im brasilianischen Gesetz als Encarregado bezeichnet), der als Kommunikationskanal zwischen der betroffenen Person, der Datenschutzbehörde und dem Unternehmen bzw. der Organisation agiert. Die Rollen des Auftragsverarbeiters und des Datenschutzbeauftragten sind sehr unterschiedlich. Der Auftragsverarbeiter ist an den Verarbeitungsaktivitäten beteiligt und hat den erforderlichen technischen Hintergrund zur Umsetzung der Entscheidungen des Verantwortlichen, dessen Anweisungen er ausführt. Der Datenschutzbeauftragte ist dagegen als „die Manifestation der Aufsichtsbehörde in einer Organisation“ beschrieben worden. Diese Rolle sollte idealerweise vom Verantwortlichen und Auftragsverarbeiter unabhängig sein, um eine umfassende Bewertung der Datenverarbeitungsaktivitäten durchführen und die Behörde und betroffenen Personen bei Bedarf über Probleme benachrichtigen zu können. Obwohl sich die Konzepte für den Datenschutzbeauftragten und den Encarregado ähneln, sind die beiden in der DSGVO und im LGPD leicht unterschiedlich aufgebaut. Eine wesentliche Unterscheidung besteht darin, dass die Bestellung eines Encarregado im Allgemeinen vorgeschrieben ist und der Verzicht auf seine Bestellung eine weitere Vorgabe von der brasilianischen Datenschutzbehörde erfordert (Art. 41, § 3, LGPD).

Die DSGVO führt dagegen die Fälle auf, in denen der Datenschutzbeauftragte notwendig ist, obwohl es als gute Praxis gilt, in allen Fällen einen solchen zu bestellen. Das brasilianische Gesetz hat sich vor der Einführung des LGPD in einem beschränkten Ausmaß mit personenbezogenen Daten in Wahlkampagnen beschäftigt. Ein Beispiel bezieht sich auf den Austausch von Daten mit Dritten. Artikel 7, I, und § 5 des LGPD besagen, dass, falls Daten mit Einwilligung gesammelt und verarbeitet werden und einem anderen Verantwortlichen mitgeteilt werden müssen, eine neue spezifische Einwilligung der betroffenen Person erforderlich ist. Falls dies auf einer beliebigen sonstigen Rechtsgrundlage basierte, wären die Pflichten der Transparenz und Verantwortlichkeit sowie alle Rechte der Person und Rechtsgrundsätze weiterhin anwendbar, doch wäre keine vorhergehende Mitteilung an die Person erforderlich. Das würde bedeuten, dass die Übertragung und ihre Zwecke abhängig vom Einzelfall, jedoch vorzugsweise in einem Datenschutz-Folgenabschätzungsbericht (DSFA-Bericht) erfasst werden. Falls berechtigtes Interesse die rechtmäßige Grundlage für die Verarbeitung darstellt, ist es empfehlenswert, eine Interessenabwägung, d. h. eine Abwägung des berechtigten Interesses (Legitimate Interest Assessment, LIA), vorzunehmen. Vor der Einführung des LGPD gab es jedoch bereits Artikel 57-E von Gesetz Nr. 9.504/97 (Bestimmungen zu politischen Parteien), der ein Verbot des Austauschs oder Kaufs von Kontaktadressenlisten zu politischen Propagandazwecken enthielt. Der Artikel besagt:

Art. 57-E. Es ist den in Art. 24 aufgeführten Personen verboten, elektronische Verzeichnisse ihrer Kunden zugunsten von Kandidaten, Parteien oder Parteigruppierungen zu verwenden, zu spenden oder zu überlassen. § 1 Es ist verboten, elektronische Adressenlisten zu verkaufen. Dieses allgemeine Verbot des Austauschs von Kontaktinformationen macht das Szenario noch komplizierter.

„Elektronische Listen“ (cadastro eletrônico) dürfen von einer Reihe von Rechtswesenheiten nicht weitergegeben werden, einschließlich ausländischen Rechtswesenheiten oder Regierungen; öffentlichen Verwaltungsbehörden; öffentlichen Dienstleistungsanbietern; Gewerkschaften; gemeinnützigen Organisationen, die ausländische Finanzierung erhalten; Nichtregierungsorganisationen, die öffentliche Finanzierung erhalten; usw. Privatunternehmen im Allgemeinen wurden im Anschluss an eine Entscheidung des Obersten Gerichtshofs zu Fall ADI 4650, der sich mit privaten Spenden an politische Kampagnen beschäftigte, hinzugefügt. Zusätzlich ist jede kommerzielle Nutzung elektronischer Adressenlisten verboten. Die DSGVO beschäftigt sich nicht ausdrücklich mit der Datenkommerzialisierung. Eine Auslegung nach den Regelungen und Grundsätzen der Verordnung ordnet jedoch an, dass ein Verantwortlicher personenbezogene Daten entsprechend den ursprünglich beabsichtigten Zwecken verarbeiten muss. Dies bedeutet, dass die Übertragung von Daten an Dritte mittels Spende oder Verkauf den ursprünglichen Zweck der Datensammlung erfüllen muss. In der Praxis bedeuten diese Erwägungen, dass politische Kampagnen die Quelle ihrer Daten und die Zugangsberechtigten sorgfältig prüfen sollten. Falls die ursprüngliche Datensammlung direkt durch die Kampagne mittels Online-Abonnement oder physischem Abonnement erfolgte, sollten alle zukünftigen Verwendungen der Informationen, einschließlich E-Mail-Marketing und Profiling, der betroffenen Person mitgeteilt werden. Falls die ursprüngliche Datensammlung keinen Bezug zu politischen Kampagnen hatte, zum Beispiel im Fall eines Kandidaten mit Kontaktinformationen über seine Wählerschaft mit dem Ziel, ihnen bei bestimmten Problemen im Rahmen der regulären Ausübung seiner politischen Aufgaben zu helfen, sollte man fragen, ob die betroffenen Personen mögliche weitere Verwendungen angemessen erwarten würden. Dies trifft sowohl auf den europäischen als auch auf den brasilianischen Kontext zu. In Brasilien sollten politische Kampagnen zudem weder Spenden von Kontaktlisten annehmen noch letztere kaufen, da das Wahlgesetz solche Praktiken ausdrücklich verbietet. Der zuvor beschriebene Fall, in dem politische Nachrichten während der Wahlen in Brasilien über WhatsApp verbreitet wurden, ist ein gutes Beispiel für eine Praxis, die gegen diese Pflichten verstoßen würde. Damals wurden spezialisierte Unternehmen angestellt, um solche Nachrichten im großen Stil unter bestimmten Umständen an Kontakte auf Nummernlisten zu senden. Man könnte argumentieren, dass die Personen auf diesen Listen keine angemessene Erwartung bezüglich des Empfangs von Wahlpropaganda oder politischen Nachrichten über WhatsApp hatten. Die Aktivisten hätten Schwierigkeiten, Nachweise bezüglich einer spezifischen Einwilligung oder sonstigen Rechtsgrundlage für solche Aktivitäten vorzulegen. Ein ähnliches Problem ist die Sammlung und Behandlung öffentlich verfügbarer Daten. Eine solche Datensammlung im großen Stil kann für Profiling-Aktivitäten verwendet werden, wobei das Kreuzen eindeutiger Datenquellen und -punkte es gestattet, Schlüsse zu ziehen und ein detailliertes Profil einer Person zu erstellen. Alle auf diese Weise gesammelten Daten und die gezogenen Schlussfolgerungen unterliegen Datenschutzbestimmungen, da sie sich „auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art. 4 DSGVO) oder es sich um „Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person“ handelt (Art. 5 LGPD).

Hierbei handelte es sich um die Grundlage des oben erwähnten Falls von Cambridge Analytica, bei dem das Unternehmen unter Verwendung von Datenanalysetechniken in der Lage war, Wähler in eindeutige Gruppen zu unterteilen – selbst solche Wähler, die keine ausdrückliche Einwilligung zur Sammlung ihrer Daten gegeben hatten. Auf der Grundlage einer Einstufung, welche Informationen als „öffentlich verfügbar“ wahrgenommen werden könnten, d. h. mithilfe von Profilen von Nutzern und ihren Freunden gesammelte Informationen, verzerrte CA quasi den demokratischen Prozess mittels Psychometrie und Big Data. Erwähnungen „öffentlich verfügbarer“ Daten im brasilianischen LGPD treten in drei Fällen auf: den Paragraphen 3, 4 und 7 von Artikel 7. Der erste Paragraph beschreibt die Verarbeitung „öffentlich verfügbarer personenbezogener Daten“, indem er angibt, dass der ursprüngliche Zweck und das öffentliche Interesse, das ihrer Veröffentlichung zugrunde lag, sowie guter Glaube zu beachten sind. Der zweite Fall behandelt „von der Person offenbar veröffentlichte Daten“, wodurch in diesem Fall eine Ausnahme zur Einwilligung geschaffen wurde. Der dritte Fall, bei dem es sich um eine späte Änderung des Gesetzes handelt, gestattet die Verarbeitung solcher Daten zu neuen Zwecken. Es besteht ein offensichtlicher Konflikt zwischen den Paragraphen 3 und 7, da ersterer die weitergehende Verarbeitung auf den ursprünglichen Kontext beschränkt, während letzterer eine Verarbeitung zu neuen Zwecken gestattet. Dies ist wahrscheinlich ein Problem, mit dem sich die neue Nationale Datenschutzbehörde (Autoridade Nacional de Proteção de Dados, ANPD) beschäftigen muss. In diesem Punkt ist die DSGVO erheblich präziser als das LGPD. Artikel 14 der DSGVO verweist auf die „Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“, sondern zum Beispiel aus öffentlich verfügbaren Daten stammen. Der Artikel enthält eine Reihe von Festlegungen der Pflichten des Verantwortlichen bezüglich der Verarbeitung von Daten.

Diese Informationspflichten umfassen unter anderem die beabsichtigten Verwendungszwecke der Daten, den Verarbeitungszeitraum, Namen und Kontaktdaten des Verantwortlichen, die Kategorien der gesammelten Daten, die Zwecke der Verarbeitung, die Empfänger und Quellen der Daten, die Rechte der betroffenen Person auf Berichtigung und das Beschwerderecht bei einer Aufsichtsbehörde. Auf der Grundlage des LGPD bzw. der DSGVO müssen die Möglichkeiten einer Verarbeitung basierend auf „öffentlich verfügbaren personenbezogenen Daten“ von den Behörden sorgfältig erwogen werden. Dabei sind die Geschehnisse in spezifischen Situationen, wie beispielsweise der Massenversand von WhatsApp-Nachrichten in Brasilien oder der CA-Fall, zu berücksichtigen. Obwohl Ausnahmen bei der Einwilligung in Bezug auf öffentlich verfügbare personenbezogene Daten bestehen können, kann die Verarbeitung in vielen Fällen als rechtswidrig betrachtet werden, indem keine grundlegenden Compliance-Schritte durchgeführt wurden, wie beispielsweise die Benachrichtigung der betroffenen Person über die Verarbeitung und die Gewährleistung grundlegender Datenschutzprinzipien und -rechte. Aufgrund der vollen Anwendbarkeit der Bestimmungen zum Schutz personenbezogener Daten ist es wichtig, dass sowohl die Parteien als auch die Kandidaten alle notwendigen Vorsichtsmaßnahmen treffen, um die Beachtung aller Grundsätze und Rechte zu gewährleisten. Dies beginnt gewöhnlich mit einer ausführlichen Darstellung der Datenflüsse in der Kampagnenstruktur: eine Aufgabe, die eng mit dem Verantwortungsbereich des Datenschutzbeauftragten zusammenhängt. Das trifft insbesondere auf Fälle zu, in denen sensible Daten verarbeitet werden – eine bei politischen Kampagnen gängige Situation. Da die von Parteien und Kandidaten verwendeten Daten in der Regel die politischen Einstellungen und Meinungen der betroffenen Personen beinhalten, erweist sich die Rolle des Datenschutzbeauftragten als noch wichtiger. Unterschiedliche Kampagnen haben unterschiedliche Anforderungen und Formate, besonders in breiten und diversen Zusammenhängen wie den politischen Szenarien in Brasilien und Europa. Ein erster Schritt besteht in der detaillierten Erfassung aller Punkte, an denen Daten auf beliebige Weise gesammelt, kommuniziert, gespeichert oder verarbeitet werden. Weitere Details klären darüber auf, wer Zugang zu welcher Art v on Daten hat, auf welcher Rechtsgrundlage die Verarbeitung regulärer oder sensibler Daten erfolgt, von welcher Dauer die Verarbeitungsaktivitäten sind und welchem Zweck sie dienen. Ein wesentlicher Unterschied zwischen den beiden Gesetzen besteht in ihrer Behandlung der Datenschutz-Folgenabschätzung (DSFA). DSFA werden in Artikel 35 der DSGVO und in den Artikeln 10, 32 und 38 (unter anderen) des LGPD behandelt.

Erstere gibt eine Verpflichtung vor, eine DSFA durchzuführen, wann immer ein „hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ besteht. Dabei wird davon ausgegangen, dass zumindest eine vorläufige Risikoabschätzung für alle Verarbeitungsaktivitäten durchgeführt werden sollte, um ein hohes Risiko und folglich die Verpflichtung zur Durchführung einer DSFA festzustellen. Der umfassende Artikel legt nicht nur die Pflichten des Verantwortlichen fest, sondern auch die Beteiligung des Datenschutzbeauftragten und die Pflichten der Datenschutzbehörde, die für die Festlegung spezifischer Fälle verantwortlich ist, in denen eine DSFA zwingend vorgeschrieben ist. Das brasilianische Gesetz behandelt dagegen das Thema der Folgenabschätzungen kürzer und erwähnt lediglich, dass die brasilianische Datenschutzbehörde (ANPD) eben diese von Verantwortlichen verlangen und ihren erforderlichen Inhalt festlegen kann. In Bezug auf diesen Punkt besagt Artikel 38 des LGPD:

Art. 38. Die nationale Behörde kann den Verantwortlichen anweisen, einen Folgenabschätzungsbericht zum Schutz personenbezogener Daten, einschließlich sensibler Daten, vorzulegen, bezüglich seiner Datenverarbeitungsaktivitäten in Übereinstimmung mit der spezifischen Bestimmung unter Beachtung industrieller Geheimhaltungsbestimmungen. Alleinstehender Paragraph. Der im Kopfteil dieses Artikels erwähnte Bericht muss mindestens eine Beschreibung der Arten gesammelter Daten, der angewandten Datensammlungs- und Informationssicherheitsmethoden und der Analyse des Verantwortlichen bezüglich der angewandten Maßnahmen, Sicherheitsvorkehrungen und Minderungsmechanismen enthalten.

Dagegen erklärt Artikel 35 (7) der DSGVO: Die Folgenabschätzung enthält zumindest Folgendes:

 

a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

 

Wie bei vielen anderen Themen entschied sich das brasilianische Gesetz, die Einzelheiten der DSFA-Verordnung der ANPD zu überlassen. Dabei wird es zum Beispiel um die Entscheidung gehen, welche Repräsentanten verpflichtet sein werden, DSFA durchzuführen und unter welchen Umständen. Das wird durch mindestens zwei Gesetzespunkte bestärkt: Artikel 55-J, XIII und XVIII. Ersterer erklärt, dass die nationale Behörde über die Kompetenz verfügt, Bestimmungen im Detail zu klären und Verfahren für die DSFAs in Fällen festzulegen, in denen ein hohes Risiko für die gesetzlich garantierten Grundsätze und Rechte besteht. Letzterer besagt, dass es in den Zuständigkeitsbereich der Behörde fällt, besondere und vereinfachte Verfahren für kleine und neu gegründete Unternehmen vorzugeben. Ein weiterer wichtiger Unterschied zwischen den europäischen und brasilianischen Bestimmungen bezieht sich auf die automatisierte Verarbeitung von Daten. In der DSGVO hat die betroffene Person das Recht, in automatisierte Entscheidungsfindungsprozesse, einschließlich Profiling, nicht einbezogen zu werden. Dieses Recht unterliegt den folgenden drei Ausnahmen: Art 22 Abs 2: Absatz 1 gilt nicht, wenn die Entscheidung:

 

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

 

Falls jedoch eine der Ausnahmen anwendbar ist, garantiert die europäische Verordnung der betroffenen Person das „Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung“ (Art. 22 (3)). Wenn das brasilianische LGPD in seiner ursprünglichen Form verabschiedet worden wäre, hätte es eine ähnliche Bestimmung enthalten. Das Gesetz wurde jedoch mittels eines Erlasses des Präsidenten modifiziert, sodass Artikel 20 in seiner gegenwärtigen Form nur das Recht auf eine „Prüfung“ automatisierter Entscheidungen garantiert. Demzufolge braucht diese Prüfung nicht durch einen menschlichen Bearbeiter zu erfolgen. Wichtig ist ein abschließender Hinweis auf eine spezifische Erwägung bezüglich der Verarbeitung personenbezogener Daten zu politischen Einstellungen durch Parteien bei Wahlkampfaktivitäten. Diese Verarbeitung, die wie oben erklärt unter den von den Gesetzen festgelegten Schutz und die festgelegten Einschränkungen fallen würde, wird von Erwägungsgrund 56 der DSGVO interpretiert, der eine lockerere Verarbeitung auf der Grundlage öffentlichen Interesses gestattet. Nichtsdestotrotz sollte diese Möglichkeit sorgfältig beachtet werden, um sicherzustellen, dass die Verarbeitung politischer Einstellungen durch politische Parteien im Sinn des Gesetzes erfolgt. Politische Einstellungen sind von Artikel 9 der DSGVO als besondere Kategorie personenbezogener Daten eingestuft, die einen stärkeren Schutz verdienen. Ihre Verarbeitung ist ausdrücklich untersagt (Art. 9 (1)) und nur in außerordentlichen Fällen zulässig (Art. 9 (2)). Das brasilianische Gesetz hat kein Äquivalent zu Erwägungsgründen und keinen ausdrücklichen Verweis auf die Verarbeitung politischer Einstellungen, mit Ausnahme ihrer Kategorisierung als sensible personenbezogene Daten, dem Äquivalent zu Daten einer besonderen Kategorie in der DSGVO. Dieser offensichtliche Widerspruch wird im nächsten Abschnitt untersucht, in dem wir die Implementierung diskutieren, um einen wirksamen demokratischen Prozess bei Wahlen in Bezug auf den Schutz personenbezogener Daten zu gewährleisten.

Zuvor ist es nichtsdestotrotz wichtig, hervorzuheben, dass es beim Vergleich der Qualität der europäischen Verordnung mit dem brasilianischen Gesetz keine eindeutige Antwort gibt. Das brasilianische Gesetz ist im Allgemeinen flexibler als die DSGVO und diese Flexibilität zeigt sich, wenn man die Anzahl von Rechtsgrundlagen für Verarbeitungsaktivitäten, das Meldesystem nach einer Verletzung des Schutzes, die Höhe der Verwaltungsstrafgelder usw. betrachtet. Das könnte auf der einen Seite als positiver Faktor angesehen werden, da es der Branche mehr Raum zur Anpassung an die Bestimmungen gibt. Auf der anderen Seite könnte dieser Grad von Flexibilität jedoch zu einer Unwirksamkeit des Gesetzes führen, da die für die Verantwortlichen festgelegten Parameter zu subjektiv und die Bestimmungen nicht starr genug sind, um eindeutige Grenzen festzulegen. Zusätzlich legt sie den Datenschutzbehörden eine noch größere Verantwortung auf. In dieser Angelegenheit ist die nationale Behörde in Brasilien im Gegensatz zu den Datenschutzbehörden in der EU weder unabhängig noch autonom, da sie der Präsidentschaft der Republik untersteht.

Außerdem steht die Auslegung ihrer Struktur und Körperschaft noch aus. Wenn man die Bedeutung der Datenschutzbehörde bei der Gewährleistung der Wirksamkeit des Gesetzes und der Bereitstellung spezifischer Bestimmungen zu seiner Ergänzung berücksichtigt, führen alle diese Elemente zu Ungewissheit bezüglich der Erfüllung und Wirksamkeit des Datenschutzszenarios in Brasilien. Trotz ihrer Ähnlichkeit mit dem LGDP ist die DSGVO bewusst geradliniger und objektiver bezüglich der Regulierung des Datenschutzes. Dies ist wiederum Grund zu Lob und Kritik. Einerseits schafft ihre Starrheit ein Klima der Rechtssicherheit, das durch hohe Parameter des Schutzes grundlegender Rechte geprägt ist. Da diese einen kontrollierteren Raum für Ermessensentscheidungen der Aufsichtsbehörden bieten, ist es einfacher, eine harmonisierte Anwendung des Gesetzes innerhalb der Europäischen Union zu erzielen. Andererseits könnte die Verordnung bei ihrem Unterfangen, solche Parameter festzulegen, undurchführbare Bestimmungen enthalten, wie beispielsweise die in Art. 33 vorgegebene Bestimmung, die einen Teil ihrer Glaubwürdigkeit rauben könnte, indem sie den Verantwortlichen eine übermäßige Belastung auflegt und unnötige Kosten verursacht. Deshalb sollte angesichts der Ähnlichkeiten und Unterschiede im Ansatz beider Gesetzeswerke, die positive und negative Kommentare hervorrufen könnten, die Frage nicht die sein, welches Gesetz bessere Bestimmungen umfasst, da dies subjektiv sein kann, sondern wie Compliance und Verantwortlichkeit in beiden Szenarios garantiert werden können. Daran anknüpfend ist das nächste Kapitel einer praktischen Analyse und Aufführung der zu diesem Zweck einzuleitenden Schritte gewidmet.

 

Zur einfacheren Lesbarkeit wurden die Referenzverweise entfernt.  

 

Eduardo Magrani, Konrad Adenauer-Stiftung; 12.11.2020

https://www.kas.de/de/einzeltitel/-/content/das-hacken-der-waehlerschaft

https://creativecommons.org/licenses/by-sa/4.0/legalcode.de

 

 

Enisa.europa.eu; PM, BOW; 20.10.2020

https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2020

 

cyber security

 

Cybersecurity


Schutz vor Cyber-Bedrohungen

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich der Cybersecurity.

Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen

 

Mehr lesen

01/2021

 

Die Nutzung personenbezogener Daten in politischen Kampagnen Steigerung der Wirksamkeit und Schließen der Lücken

 

Die Bedeutung der Pflege der Datenhygiene und Beachtung der Bestimmungen bei politischen Kampagnen hat viele Aspekte. Vom Blickpunkt der demokratischen Institutionen betrachtet, ist sie, wie zuvor erörtert, eine Voraussetzung für gesunde Wahlprozesse. In einem Zeitalter der allgegenwärtigen Verbindung und des sofortigen wahllosen Austauschs von Daten können Ideen und Überzeugungen von Online- Filtern geformt werden und wird der öffentliche Raum zwangsläufig mit neuen Informations- und Kommunikationstechnologien überschwemmt. Deren fehlerhafte Funktion, die auf echte Fehler oder ein strukturell mangelhaftes System zurückzuführen sein kann, könnte die Fähigkeit von Personen, einen Konsens und Mittelweg auf eine friedliche und ausgewogene Weise zu finden, kompromittieren, wie kürzlich durch die Einmischung in Wahlprozesse in unterschiedlichen Teilen der Welt offensichtlich wurde. Vom Standpunkt der Datenverantwortlichen und, in diesem spezifischen Fall, der politischen Parteien und Politiker gesehen, stellt die präzise Beachtung der Regeln nicht nur eine gesetzliche Verpflichtung dar, sondern sollte sich als grundlegende Anforderung an die Darstellung der eigenen Person bzw. Partei gegenüber der Gesellschaft als ethische Person bzw. Partei erweisen, die Aufmerksamkeit, Vertrauen und damit die Stimme der Wähler verdient. Das trifft noch stärker zu, wenn man die jüngsten Fälle berücksichtigt, bei denen Datenverarbeitungstechniken auf politische Kampagnen angewandt wurden, zum Beispiel im Fall von CA und des Einsatzes von WhatsApp bei den Wahlen in Brasilien, und die das Problem in den Vordergrund und die Aufmerksamkeit der Wählerschaft auf dasselbe gelenkt haben. Die Nichtachtung der Privatsphäre von Menschen sowie ihres Rechts auf Datenschutz und Selbstbestimmung im Hinblick auf Informationen sollte sich für das Marketingimage und das öffentliche Image zunehmend als unentschuldbar herausstellen, insbesondere da sich eine zunehmende Anzahl von Menschen dieser Probleme bewusst wird. Kandidaten und politische Parteien sollten in Bezug auf die Verarbeitung von Daten für ihre Kampagnen bei Wahlprozessen Sorgfalt walten lassen und nach den besten aktuellen Praktiken suchen – nicht nur in ihrem eigenen Interesse, sondern auch im Interesse von betroffenen Personen und der Gesellschaft in ihrer Gesamtheit. Aufgrund der Natur dieser Prozesse wird es sich bei vielen der von ihnen behandelten personenbezogenen Daten, die entweder von ihnen direkt gesammelt oder mittels Analyse- und Profiling-Techniken erschlossen werden, um sensible Daten handeln – eine besondere Kategorie von Daten, die besonderen Schutz verdienen. Es ist nicht nur wichtig, die Beachtung von Rechten und Grundsätzen im Interesse der betroffenen Personen unter Beachtung des Rechtsstaatsprinzips zu garantieren, sondern es ist auch wesentlich, insbesondere in Bezug auf politische Kampagnen, bei denen das öffentliche Image einen zentralen Bestandteil darstellt, demonstrieren zu können, dass Privatsphäre und Datenschutz auf eine ethisch und rechtlich absolut einwandfreie Weise beachtet werden. Die Zunahme der Datenverstöße erreichte 2019 ihren Höhepunkt mit 5.183 Datenverstößen und 7,9 Milliarden offengelegten Datensätzen in den ersten neun Monaten des Jahres. Das bedeutet eine 33,3-prozentige Steigerung im Vergleich zu 2018. Falls dies eine Andeutung auf zukünftige Trends darstellt, sollte die Datensicherheit eines der Hauptbedenken bei allen Aktivitäten zur Verarbeitung personenbezogener Daten sein. Strafgelder für Datenverstöße können Dutzende Millionen US-Dollar ausmachen sowie die Aussetzung oder den Ausschluss von Vermögenswerten einschließen. Zur Verhinderung solcher Verluste muss der Verantwortliche die neuesten Sicherheitsstandards anwenden. Wichtige Schritte umfassen zum Beispiel die ordnungsgemäße Schulung aller an der Verarbeitung beteiligten Personen sowie die Verringerung der Anzahl von Personen mit Zugang zu personenbezogenen Daten. Eine aus mehreren Faktoren bestehende Zugangsberechtigung ist ebenfalls eine grundlegende Anforderung, da sie in der Lage ist, die Verwundbarkeit des Systems drastisch zu reduzieren. Weitere Schritte in Richtung auf eine gesteigerte Sicherheit sind die Verringerung der Anzahl von Geräten, auf denen die Daten gespeichert sind, und die Reduzierung der Datenübertragung zwischen Geräten. Verantwortliche können und sollten diese Schritte einleiten, vorzugsweise durch einen Chief Information Security Officer (CISO), bei dem es sich nicht um dieselbe Person wie den Datenschutzbeauftragten handeln sollte. Letzterer spielt eine führende Rolle bei der Gewährleistung, dass dieses gesamte System funktioniert. Er ist dafür verantwortlich, die Beachtung der Datenschutzgesetzgebung zu verfolgen. Das bedeutet, Informationen über die Stellen zu sammeln, an denen Daten verarbeitet werden, und sicherzustellen, dass dabei alle gesetzlichen Anforderungen erfüllt werden. Es bedeutet weiterhin, den Verantwortlichen auf der Grundlage der eigenen Beobachtungen in Bezug auf die Verbesserung der Compliance zu beraten, die Mitarbeiter im Hinblick auf Sicherheitsmaßnahmen und gute Praktiken zu schulen sowie als Verbindungsglied zwischen der Organisation, der Behörde und den betroffenen Personen zu fungieren. Außerdem sollte der Datenschutzbeauftragte unabhängig sein, was schwierig sein kann, wenn er intern angestellt ist. Beste Praxis besagt, dass der Datenschutzbeauftragte nicht dem Verantwortlichen unterstellt, sondern stattdessen direkt der höchsten Ebene der Entscheidungsfindung in der Leitungsstruktur gegenüber verantwortlich sein sollte. Zur Garantie seiner Unabhängigkeit sollte er weiterhin über die notwendigen Ressourcen (Mitarbeiter, Geräte und Finanzmittel) verfügen, um seine Pflichten ausüben zu können. Abschließend sollte er nicht in eine Position gebracht werden, in der ein Interessenkonflikt besteht, zum Beispiel indem er in IT- oder Personalabteilungen an den Datenverarbeitungsaktivitäten arbeitet oder gearbeitet hat, was hieße, dass er zur Selbstaufsicht gezwungen wäre.

 

Diese Probleme können durch die Anstellung eines externen Datenschutzbeauftragten vermieden werden. Selbst dann ist es jedoch wichtig, dass der Datenschutzbeauftragte den notwendigen Zugang und die notwendigen Ressourcen sowie die erforderlichen technischen Kenntnisse hat. Alle diese Punkte sind Bausteine einer Datenverarbeitungs- und -sicherheitsstrategie, die mit einer einfachen Bewertung des Datenflusses durch die Betriebsabläufe und der aktuellen diesbezüglichen Risiken beginnt. Zur Gewährleistung der Beachtung der DSGVO und folglich des LGPD (da beide sehr ähnliche Datenschutzgrade aufweisen), sollten sich politische Parteien und Kandidaten mit den aktuellen besten Managementpraktiken und -werkzeugen in Bezug auf Datenflüsse auskennen. Ein Verantwortlicher sollte in der Lage sein, die Flüsse personenbezogener Daten in seiner Kampagne aus der Vogelperspektive zu betrachten, vorzugsweise mithilfe einer Compliance-Tafel, die von allen beteiligten Verantwortlichen und Auftragsverarbeitern zu verwenden ist. Dieses zentralisierte Datenverwaltungssystem sollte außerdem die Kontaktangaben aufweisen und den Datenschutzbeauftragten in der Kampagnenstruktur sowie eine vollständige Zuordnung und Steuerung der verarbeiteten und übertragenen Daten und ihren zugehörigen rechtmäßigen Zweck zeigen. Weiterhin sind die Mitteilungspflichten des Verantwortlichen nach DSGVO und LGPD zu bedenken, einschließlich der (i) Identität und Kontaktangaben des Verantwortlichen und Datenschutzbeauftragten; (ii) der Identifizierung oder Kategorisierung der Empfänger der Daten; (iii) der Zielsetzungen der Verarbeitung sowie ihrer Rechtsgrundlage; (iv) der Dauer der Verarbeitung (v) sowie der Rechte der betroffenen Personen – insbesondere gegebenenfalls der Berichtigung und des Widerrufs der Einwilligung usw. Zusätzlich sollten Verantwortliche in der Lage sein, die Anträge betroffener Personen auf Zugang zu ihren Daten zeitgerecht zu bearbeiten. Diese Anträge stellen Fälle dar, in denen betroffene Personen Zugang zu ihren Daten, die Berichtigung derselben und manchmal auch deren Löschung verlangen könnten. Der Verantwortliche sollte außerdem Maßnahmen zur Pflege von „Brotkrumen zur digitalen Einwilligung“ einleiten, d. h. ein Verzeichnis der Zeitachse der Einwilligung oder bestimmter Einwilligungen für die Verarbeitung, die eine betroffene Person gegeben bzw. widerrufen hat. Abschließend sollten Genehmigung und Zugangskontrolle granular sein, was bedeutet, dass nur die unverzichtbaren Bearbeiter innerhalb der Kampagnenstruktur Zugang zu den entsprechenden Datengruppen haben sollten. Alle diese Aspekte der Beziehung zwischen dem Auftragsverarbeiter und der betroffenen Person sollten durch einfach zu verwendende Schnittstellen wie beispielsweise Apps und Formulare umgesetzt werden, sodass die betroffene Person ihre Rechte umfassend verstehen kann und der Verantwortliche in der Lage ist, Compliance nachzuweisen. All dies könnte sich nach erheblicher Arbeit anhören, und diese Einschätzung ist richtig. Glücklicherweise gibt es abgesehen von fähigen Fachleuten, die Unternehmen beim Aufbau von Compliance unterstützen können, zurzeit Werkzeuge zur Selbstbewertung bezüglich der DSGVO-Compliance, die sich leicht auf die Anforderungen des LGPD anpassen lassen sollten. Das britische Information Commissioner’s Office (ICO, die britische Datenschutzbehörde) bietet zum Beispiel zahlreiche spezifische Ressourcen einschließlich Compliance-Checklisten für Verantwortliche, Auftragsverarbeiter, Informationssicherheits-, Direktmarketing-, kleine und mittelständische Unternehmen usw. an. Ein weiteres unbezahlbares Werkzeug ist der Privacy Notice Code des ICO, der im Einzelnen behandelt, wie die auf Webseiten und in Apps anzutreffende Datenschutzerklärung (Privacy Notice), eines der am häufigsten für die Kommunikation zwischen dem Verantwortlichen und der betroffenen Person verwendeten Werkzeuge, zur Gewährleistung von Compliance strukturiert sein sollte. Ein kurzer Überblick über diese Werkzeuge zeigt, dass der wesentliche Punkt eines wirksamen Compliance-Programms für die Verarbeitung personenbezogener Daten darin besteht, die an einem Betriebsablauf beteiligten Prozesse zu kennen: das Was, Wo, Wann und Wie der Sammlung und Verarbeitung personenbezogener Daten. Dies sollte bei politischen Kampagnen nicht anders sein: Ein praktischer Ansatz ist notwendig, an dem Marketingfachleute, Designer, Rechtsexperten, Programmierer und ehrenamtliche Helfer beteiligt sind und daran arbeiten, wie betroffene Personen am besten gegen mögliche Verletzungen ihrer Rechte auf Privatsphäre und Datenschutz geschützt werden können. Diese Studie hat durch das Hervorheben spezifischer rechtlicher Leitfäden und konkreter Situationen gezeigt, dass Datenschutzbestimmungen vollständig auf politische Kampagnen anwendbar sind und die Fähigkeit haben, die Verringerung der instrumentalen Verwendung personenbezogener Daten zu unterstützen, während sie gleichzeitig die Auswirkungen des Einsatzes von Falschinformation und computergestützter Propaganda zum Zweck der politischen Manipulation vermeiden. Pragmatischer betrachtet sollten politische Kampagnen zumindest die folgenden Empfehlungen auf der Basis der Grundsätze und wichtigsten Leitfäden allgemeiner Datenschutzbestimmungen beachten, wobei stets der Blickwinkel von Gesetzmäßigkeit, Fairness, Transparenz und Verantwortlichkeit zu wahren ist:  

Stellen Sie die relevanten Akteure fest: Welche Personen sind Verantwortliche und Auftragsverarbeiter und wer ist der Datenschutzbeauftragte (falls vorhanden)?

Art. 5 LGPD; Art. 4 DSGVO. Beispiel: Der Kandidat hat in einer bestimmten politischen Kampagne ein Marketingunternehmen zum Management seines öffentlichen Images angestellt. Alle Entscheidungen bezüglich der Sammlung und Verarbeitung von Daten werden vom Marketingdirektor getroffen. Der Direktor kann als Datenverantwortlicher charakterisiert werden, da er über die Zwecke der Verarbeitung entscheiden kann. Der Kandidat wäre ebenfalls ein Verantwortlicher, da er der Entscheidungsträger in letzter Instanz ist. Stellen Sie fest, wie die Daten gesammelt und verarbeitet werden, d. h. welchen Lebenszyklus die Daten im Organisationsfluss der Kampagne haben. Maßnahme: Stellen Sie alle Datensammlungs- und -verarbeitungspunkte fest.

 

Stellen Sie fest, wie viel Zeit vergeht, bis ein einzelner Datenpunkt eliminiert wird. Identifizieren Sie die zur Datenspeicherung verwendeten Geräte bzw. Dienste. Identifizieren Sie, welche Drittparteien Zugang zu den Daten haben.

Stellen Sie fest, welche Daten auf welcher Rechtsgrundlage gesammelt und verarbeitet werden. Legen Sie sensible Daten fest und achten Sie besonders auf deren Rechtsgrundlagen.

Art. 5, I, II; Art. 7, Art. 11 LGPD; Art. 4, Art. 9 DSGVO. Maßnahme: Falls es Datenpunkte gibt, für die keine Rechtsgrundlage bestimmt werden kann, sollten diese eliminiert werden, da sie eine Bürde darstellen. Hierbei handelt es sich um grundlegende „Datenhygiene“.

Denken Sie daran, dass Datenminimierung eine gute allgemeine Regel (und ein Grundsatz) ist. Falls keine Notwendigkeit besteht, einen bestimmten Aspekt personenbezogener Daten zu sammeln, sehen Sie von seiner Erfassung ab. Wenn der Zweck der Sammlung erfüllt worden ist, löschen Sie die Daten.

Art. 15, Art. 16 LGDP; Art. 5, Art. 25 DSGVO. Maßnahme: Falls keine Notwendigkeit besteht, einen bestimmten Aspekt personenbezogener Daten zu sammeln, sehen Sie von seiner Sammlung ab. Wenn der Zweck der Sammlung erfüllt worden ist, löschen Sie die Daten. Beispiel: Der Kandidat sammelt Daten von betroffenen Personen, um ihnen eine digitale Kopie des Regierungsplans zu schicken. Falls die Einwilligung strikt zur Verbreitung des besagten Materials gegeben wird:

 

1. braucht der Kandidat keine weiteren Daten als den Namen und die E-Mail-Adresse der betroffenen Person zu sammeln und sollte die Sammlung auf diese Angaben beschränken;

2. sollte der Kandidat die Daten nach dem Versand des Materials löschen, sofern keine angemessene anderweitige Erwartung auf sonstigen Rechtsgrundlagen bzw. mittels einer neuen spezifischen Einwilligung besteht.

 

Lassen Sie die gesamte Dokumentation zu Rechtsgrundlagen archivieren.

Beispiel: Der Kandidat hat Daten gesammelt und verarbeitet, um eine Aufzeichnung einzelner Kampagnenspenden nach dem brasilianischen Wahlgesetz zu führen. Der Kandidat sollte eine Aufzeichnung solcher Betriebsabläufe mit Verweis auf die relevanten Gesetze und Rechtsgrundlagen führen, um auf eine mögliche Prüfung vorbereitet zu sein.

Erneuern Sie die bestehende Einwilligung in Übereinstimmung mit den aktuellsten Datenschutzbestimmungen.

Maßnahme: Falls ein neuer Text für die Datenschutzerklärung vorliegt oder Daten betroffener Personen vor Einführung der DSGVO bzw. des LGPD gesammelt wurden, holen Sie eine neue Einwilligung ein oder benachrichtigen Sie die betroffenen Personen über die neue Datenschutzerklärung und Rechtsgrundlage. Beispiel: Der Kandidat hat bereits eine Kontaktliste im Rahmen von öffentlichen Veranstaltungen und mithilfe eines Webseitenabonnementformulars vor Einführung der DSGVO bzw. des LGPD gesammelt. Er sollte allen Empfängern eine Bitte um Bestätigung ihrer Einwilligung zum Erhalt von politischer Kommunikation schicken. Die Mitteilung könnte zum Beispiel wie folgt lauten: „Wir aktualisieren unsere Datenschutzpraktiken im Einklang mit den jüngsten Datenschutzbestimmungen. Falls Sie unseren Inhalt weiterhin erhalten möchten, klicken Sie bitte auf die folgende Schaltfläche/erneuern Sie Ihr Abonnement bitte auf/[Fügen Sie eine Form der Bestätigung hinzu].“

Geben Sie Informationen an: Denken Sie an die verschiedenen Informationspflichten, die ein Verantwortlicher gegenüber der betroffenen Person hat. Die betroffene Person sollte in der Lage sein festzustellen, welche personenbezogenen Daten gesammelt werden, zu welchem Zweck, über welchen Zeitraum, wer Zugang zu ihnen hat, welcher Prozess zur Beantragung von Zugang zu den Daten verwendet wird, sowie zu ihrer Berichtigung, zur Beantragung ihrer Löschung oder ihrer Übertragung an einen anderen Verantwortlichen usw.

Art. 9, Art. 18 LGPD; Art. 13, Art. 14 DSGVO. Maßnahme: Falls die Einwilligung die Rechtsgrundlage darstellt, sollten alle relevanten Informationen im Rahmen der Einwilligungsabgabe bereitgestellt werden. Bei sonstigen Rechtsgrundlagen sollte die betroffene Person einfachen Zugang zu solchen Informationen mittels Antrag oder öffentlichem Zugang (z. B. auf einer Webseite) haben. Falls Daten durch sonstige Mittel, d. h. nicht direkt von der betroffenen Person, gesammelt werden (z. B. öffentlich verfügbare Daten), hat der Verantwortliche eine Reihe von Informationspflichten (siehe relevante DSGVO-Artikel).

Führen Sie eine Aufzeichnung der Verarbeitungsaktivitäten, insbesondere falls berechtigtes Interesse die Rechtsgrundlage darstellt (Art. 30 DSGVO; Art. 37 LGDP). Halten Sie gegebenenfalls eine DSFA bzw. ein LIA bereit.

Art. 37 LGPD; Art. 30 DSGVO. Maßnahme: Führen Sie ein Verzeichnis mit folgendem Mindestinhalt: 1. Zweck der Verarbeitung; 2. Beschreibung der Datenkategorien und betroffenen Personen; 3. externe Datenflüsse; 4. angewendete Sicherheitsmaßnahmen; 5. Namen und Kontaktdaten des Verantwortlichen; 6. vorgesehene Fristen für die Löschung jeder Datenkategorie. Beispiel: Eine kleine Kampagne für eine lokale Wahl hat einen Organisationsfluss angewendet, um ein Verzeichnis von Datenverarbeitungsaktivitäten zu führen. Alle über betroffene Personen gesammelten Informationen werden in einer Tabelle mit Kategorien entsprechend der Datenquelle aufgezeichnet. Zum Beispiel werden Daten aus Abonnementformularen entsprechend der Vereinbarung zum Zeitpunkt der Einwilligung als einwilligungsbasierte Daten kategorisiert, enthalten den Namen und die E-Mail-Adresse, werden an den Newsletter- Dienst eines Dritten geschickt, auf einem mit Zwei-Faktor-Berechtigung geschützten, restriktierten Cloud Server gespeichert und auf unbestimmte Zeit aufbewahrt.

Teilen Sie den betroffenen Personen mit, wer ihr Datenschutzbeauftragter ist (falls zutreffend), und bieten Sie ihnen einen einfachen Kommunikationskanal für Anträge auf Zugang durch betroffene Personen.

Art. 18 LGDP; Art. 12 DSGVO. Beispiel: Eine Kampagne hat auf ihrer Webseite ein Kontaktformular mit direkter Verbindung zum Datenschutzbeauftragten eingerichtet. Es enthält außerdem spezifische Felder für Zugangsanträge von betroffenen Personen, die mit Vorrang bearbeitet werden. Vergewissern Sie sich, dass Sprache und Auslegung Ihrer Plattformen geeignet sind, das bestmögliche Verständnis für betroffene Personen zu gewährleisten. Maßnahme: Verwenden Sie angemessene Typografie (Größe, Farbe, Kontrast, Schrift usw.), Sprache, Bildsymbole, Illustrationen und sonstige Mittel zur Gewährleistung des optimalen Verständnisses unter Berücksichtigung der spezifischen Fähigkeiten der Leser. Beispiel: Eine Kampagne hat ein Team aus Rechtsfachleuten, Marketingfachleuten und Webdesignern angestellt, die gemeinsam an der Erstellung eines Datenschutzdokuments arbeiten werden, das nicht nur die geforderte Rechtssprache, sondern auch vereinfachten erklärenden Inhalt enthält, den Nichtjuristen verstehen können. Benachrichtigen Sie Nutzer über ihre Datenschutzrichtlinien und mögliche Aktualisierungen. Maßnahme: Benachrichtigen Sie Personen über die Verarbeitung ihrer Daten, einschließlich Übertragungen an Dritte, unter Angabe dieser Dritten oder zumindest ihrer Kategorien und des Zeitraums der Verwahrung der Daten. Maßnahme: Seien Sie möglichst spezifisch, da allgemeine Genehmigungen von keinem der beiden Gesetze anerkannt werden. Beispiel: Eine Kampagne hat sich entschlossen, Google Analytics auf ihrer Webseite zu verwenden. Außerdem hat sie die Webseite unter Verwendung eines Webseitenbaukastens wie Wix oder Squarespace gebaut. Alle diese Plattformen sammeln Nutzerdaten, was den betroffenen Personen gegenüber erwähnt werden sollte.

Verwalten Sie den Inhalt: Falls die Einwilligung die Rechtsgrundlage darstellt, vergewissern Sie sich, dass sie unter angemessenen Bedingungen erteilt wird. Das erfordert einen multidisziplinären Ansatz von der Rechtsabteilung bis zu IT und Design, um sicherzustellen, dass die Einwilligung freiwillig erteilt wird sowie spezifisch, informiert und unmissverständlich ist.

Maßnahme: Erbitten Sie ausdrücklich die Genehmigung zur Sammlung von Cookies und sonstigen identifizierenden Informationen (ausgenommen in Fällen, in denen eine andere angemessene Rechtsgrundlage für die Sammlung besteht). Beispiel: Der Kandidat hat ein Abonnementformular für einen politischen Newsletter auf seiner Kampagnenwebseite und seine Webseite sammelt Cookies. Die Webseite hat ein vormarkiertes Kästchen, das die Einwilligung zum Erhalt des Newsletter anzeigt. Das wird nicht als gültige Einwilligung betrachtet, und das Kästchen sollte nicht vormarkiert sein. Außerdem weist die Webseite eine Cookie-Erklärung auf, die besagt, dass die „Einwilligung bei Verwendung dieser Webseite als gegeben betrachtet wird“. Das wird gleichfalls nicht als gültige Einwilligung betrachtet. Beste Praxis wäre eine informative Haftungsfreistellung, die dem Nutzer gestattet zu wählen, welche Arten von Cookies er zulassen möchte, und die erklärt, welche Cookies für das ordnungsgemäße Funktionieren der Webseite notwendig sind und welche die aktive Einwilligung des Nutzers erfordern, d. h. eine Handlung, die seine Einwilligung widerspiegelt.

Achten Sie besonders auf die Daten von Kindern und Daten einer besonderen Kategorie (sensible Daten), die strengeren Bestimmungen unterliegen.

Art. 11, Art. 14 LGPD; Art. 8, Art. 9 DSGVO. Maßnahme: Die Einwilligung sollte spezifisch und hervorgehoben sein und, im Fall von Kindern, von den Eltern oder gesetzlichen Vertretern gegeben werden. (Die DSGVO enthält altersspezifische Regelungen. Siehe den relevanten Artikel.)

 

Die Rechtsgrundlagen für die Verarbeitung sensibler Daten sind einschränkender (siehe relevante Artikel).

Beachten Sie die Datenübertragbarkeit: Vergewissern Sie sich, dass die Daten in einem Format vorliegen, welches ihre Übertragbarkeit gestattet. Hierbei handelt es sich um ein Recht der betroffenen Person sowohl im LGPD als auch in der DSGVO. Die betroffene Person sollte in der Lage sein, ihre Daten „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln“ (Art. 20 DSGVO).

Art. 18 LGDP; Art. 20 DSGVO.

Definieren Sie die Pflichten des Auftragsverarbeiters: Alle von einem Verantwortlichen beauftragten oder ernannten Auftragsverarbeiter sollten einen Datenverarbeitungsvertrag haben, der ihre Verantwortlichkeiten, die Sicherheitsstandards und sonstige rechtliche Anforderungen festlegt.

Art. 28 DSGVO. Maßnahme: Setzen Sie einen Datenverarbeitungsvertrag auf, der die Verantwortlichkeiten und Sicherheitsstandards festlegt.

Stellen Sie sicher, dass Ihre Dienstanbieter Compliance gewährleisten sowie die Daten auf eine sichere Art und Weise verwalten und dass die Daten auf einem Server in einem Land gespeichert werden, das die aktuellsten Datenschutzbestimmungen beachtet.

Maßnahme: Prüfen Sie, ob die von diesen Dritten gehandhabten Daten in Ländern mit einem äquivalenten Status hinsichtlich des Datenschutzes gespeichert werden. Die EU hat ein System zur Einstufung der Gesetzgebung von Ländern als äquivalent oder nicht äquivalent eingerichtet. Maßnahme: Vergewissern Sie sich, dass Ihre Rechtsabteilung die Nutzungsbedingungen eines von Ihnen verwendeten Drittdienstes zur Verwaltung personenbezogener Daten sorgfältig studiert und ihre Compliance mit der DSGVO bzw. dem LGPD analysiert. Beispiel: Die Kampagne entscheidet sich für eine Datensammlung mithilfe von Google Analytics sowie die Lieferung von Werbung mit der Werbeplattform von Facebook, das Senden von E-Mails über Mailchimp und das Management interner Datenflüsse mithilfe einer technischen Lösung aus Indien. Die Kampagne muss sich vergewissern, dass jeder einzelne der obigen Dienstanbieter die Datenschutzgesetze beachtet, da sie Zugang (wenn auch nur vorübergehend) zu den gesammelten und verarbeiteten personenbezogenen Daten haben werden. Im Fall der technischen Lösung aus Indien sollte die Kampagne bei einer Speicherung der Daten auf einem Server in Indien bestätigen, dass die EU Indiens Compliance mit der DSGVO anerkannt hat. (Im Dezember 2019 war das Land dabei, diesen Status anzustreben, hatte ihn jedoch noch nicht erreicht.)

Managen Sie Verletzungen des Schutzes: Ein Prozess zur Feststellung von Verletzungen des Schutzes und zur Benachrichtigung der Aufsichtsbehörde und betroffenen Personen über Verletzungen des Schutzes sollte vorhanden sein.

Art. 48 LGPD; Art. 33 DSGVO. Maßnahme: Sicherheitsverstöße müssen der nationalen Aufsichtsbehörde unverzüglich gemeldet werden (nach DSGVO innerhalb von 72 Stunden). Nur das LGPD schreibt die Benachrichtigung der betroffenen Personen vor, während eine solche Benachrichtigung in der DSGVO nur notwendig ist, wenn ein erhebliches Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Beispiel: Die Kampagne hat eine Sicherheitsabteilung, die dafür zuständig ist, Fehler und Mängel im Design und in den Funktionen aller Datenverarbeitungsaktivitäten zu finden. Sie hat außerdem das gesamte relevante Personal dahingehend geschult, wie es auf eine Verletzung des Schutzes zu reagieren hat, einschließlich den an die Aufsichtsbehörde über entsprechende Kanäle zu meldenden Informationen und der Kommunikation mit der Öffentlichkeit. Managen Sie Sicherheitsrisiken: Art. 46 LGPD; Art. 32 DSGVO. Maßnahmen: Minimieren Sie die Übertragung von Daten zwischen Geräten. Verschlüsseln, pseudonymisieren oder anonymisieren Sie die Daten nach Möglichkeit. Richten Sie interne Sicherheitsleitlinien ein, schulen Sie die Teammitglieder zu Sicherheitsfragen, legen Sie vorgeschriebene Passwortsicherheitsrichtlinien fest und betreiben Sie eine aus mehreren Faktoren bestehende Berechtigungsprüfung. Führen Sie eine Risikobewertung der zur Sammlung, Verarbeitung und Speicherung der Daten verwendeten Infrastruktur durch. Compliance als Prozess: Datenschutz hört nicht auf, wenn ein Verantwortlicher eine DSFA schreibt oder den betroffenen Personen Informationen über die Datenschutzrichtlinien der Organisation bereitstellt. Der Datenschutz sollte fortlaufend überwacht, geprüft, aktualisiert und an die Datenverarbeitungskontexte sowie die jüngsten technologischen Fortschritte angepasst werden. Diese obigen Punkte sind alle ausführbar und an Datenverantwortliche und Verarbeitungsabläufe gerichtet. Ein vollständiges Datenschutzparadigma kann jedoch nur durch die Beteiligung vieler Akteure erreicht werden. Dies bedeutet eine sorgfältige Regulierung und Führung durch nationale Aufsichtsbehörden, insbesondere im Fall von Brasilien, wo das Gesetz viele Punkte dem Ermessen der Datenschutzbehörde überließ, die über Sicherheitsstandards sowie Fälle, in denen eine DSFA notwendig ist, und besondere Bestimmungen für kleine und mittelständische Unternehmen usw. entscheiden wird. Es bedeutet außerdem eine aktive Anstrengung seitens der Judikative zur Abstimmung ihres Verständnisses an die Grundsätze und den Sinn des Gesetzes sowie zur Interpretation schwieriger Fälle und der Erfüllung dieser Grundsätze mit Leben unter Berücksichtigung des Schutzes der betroffenen Personen. Diese Anstrengungen, den Bestimmungen die nötige Substanz zu geben, haben in Europa bereits begonnen, und in Bezug auf politische Kampagnen ist es interessant, die rechtlichen Debatten zu beobachten, die unmittelbar nach dem Inkrafttreten der DSGVO bezüglich des Erwägungsgrunds Nr. 56 zur Verordnung entstanden sind. Der Erwägungsgrund lieferte eine Interpretation bezüglich der Verarbeitung personenbezogener Daten im Zusammenhang mit Wahlen. Dort lautet es wie folgt:

Wenn es in einem Mitgliedstaat das Funktionieren des demokratischen Systems erfordert, dass die politischen Parteien im Zusammenhang mit Wahlen personenbezogene Daten über die politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten aus Gründen des öffentlichen Interesses zugelassen werden, sofern geeignete Garantien vorgesehen werden.

Die darauffolgenden legislativen Anstrengungen in einigen Mitgliedstaaten unter Berücksichtigung des Erwägungsgrunds führten zu einer Diskussion über die Grenzen einer Verarbeitung in solchen Fällen. Spanien und Rumänien führten Grundlagen für die Verarbeitung personenbezogener Daten bei Wahlkampagnen in ihre nationale Gesetzgebung ein, die auf der Interpretation des öffentlichen Interesses gegründet sind. In Rumänien bedeutete das eine Ausnahme bezüglich der Einwilligung zur Verarbeitung personenbezogener Daten zu Wahlzwecken. Sie gestattete zum Beispiel der rumänischen Post den Abschluss eines Vertrags mit der Sozialdemokratischen Partei des Landes zur Lieferung von politischem Kampagnenmaterial an ausgewählte Populationen unter Verwendung der Daten der Post über ältere Rentner. Auf ähnliche Weise gestattete ein nationales Gesetz in Spanien politischen Parteien die Sammlung personenbezogener Daten aus öffentlich verfügbaren Quellen, wie beispielsweise sozialen Netzwerken, und ihre Verwendung zum Profiling von Wählern.

 

Die Bestimmung modifiziert das spanische Wahlgesetz durch die Hinzufügung von Artikel 58 bis, der besagt: Artikel 58 bis. Verwendung von technologischen Werkzeugen und personenbezogenen Daten bei Wahlaktivitäten.

 

1. Die Sammlung personenbezogener Daten in Bezug auf politische Einstellungen von Personen durch politische Parteien bei ihren Wahlaktivitäten muss durch öffentliches Interesse begründet sein und darf nur durchgeführt werden, wenn angemessene Garantien bestehen.

2. Politische Parteien, Koalitionen und Wahlgruppierungen dürfen personenbezogene Daten, die sie von Webseiten und sonstigen, öffentlich zugänglichen Quellen erhalten haben, zu Wahlkampfaktivitäten während des Wahlzeitraums verwenden.

3. Das Verschicken von Wahlpropaganda mithilfe von elektronischen Mitteln oder Nachrichtensystemen und die Verbreitung von Wahlpropaganda in sozialen Netzwerken oder auf äquivalenten Plattformen mittels Beauftragung Dritter wird nicht als kommerzielle Kommunikationsaktivität betrachtet.

4. Die oben erwähnten Werbeaktivitäten müssen ihre Wahlkampfnatur eindeutig klarstellen.

5. Der Empfänger muss über eine einfache und kostenlose Methode zur Ausübung seines Rechts auf Widerspruch verfügen.

 

In der Praxis könnten die Bestimmungen des spanischen Gesetzes als nachlässiger in Bezug auf den Schutz personenbezogener Daten interpretiert werden, in diesem Fall die besondere Datenkategorie politischer Einstellungen, die den spezifischen Gegenstand des Erwägungsgrunds darstellen. Erwägungsgrund 56 sollte als Spezifizierung von Artikel 9 der DSGVO interpretiert werden, die unter Punkt (2) g) die Verarbeitung behandelt, die „aus Gründen eines erheblichen öffentlichen Interesses erforderlich“ ist. Daher sollten sowohl die Darlegungen des Erwägungsgrunds als auch, insbesondere, der Artikel bei der Implementierung solcher Bestimmungen im nationalen Gesetz beachtet werden. Erwägungsgrund 56 verlangt, dass die Zusammenstellung solcher Daten zu politischen Einstellungen für „das Funktionieren des demokratischen Systems in einem Mitgliedstaat“ erforderlich und durch „geeignete Garantien“ abgedeckt ist. Artikel 9 (2) g) ist strenger und erwähnt die Notwendigkeit eines „erheblichen“ öffentlichen Interesses sowie eine Verarbeitung, die in angemessenem Verhältnis zu dem verfolgten Ziel steht, „den Wesensgehalt des Rechts auf Datenschutz“ wahrt und „angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ vorsieht. Der Fehler des spanischen Gesetzes, der vom Obersten Gericht des Landes in einem Fall im März 2019 erkannt wurde, liegt darin, dass weder „angemessene und spezifische Maßnahmen“ vorgesehen waren noch ein „erhebliches öffentliches Interesse“ festgestellt worden war. In der Praxis ging das Gesetz das Risiko ein, eine willkürliche Verarbeitung sensibler Daten unter direkter Verletzung der DSGVO zu gestatten und die Bürger Praktiken auszusetzen, die den beim Skandal von Cambridge Analytica eingesetzten Praktiken ähnelten. Zu diesem Punkt und angesichts solcher Kontroversen bezüglich der Verwendung sensibler personenbezogener Daten bei Wahlkampagnen veröffentlichte der Europäische Datenschutzausschuss (EDSA) im März 2019 seine „Erklärung Nr. 2/2019 zur Verwendung personenbezogener Daten im Rahmen politischer Kampagnen“.

 

Die Erklärung liefert fünf konkrete Empfehlungen und Klarstellungen für die Mitgliedstaaten:

 

I. Personenbezogene Daten, aus denen politische Meinungen hervorgehen, stellen eine besondere Kategorie von Daten nach der Datenschutz-Grundverordnung (DSGVO) dar. Grundsätzlich ist die Verarbeitung solcher Daten verboten und unterliegt einer Reihe eng auszulegender Voraussetzungen, wie der ausdrücklichen, spezifischen, umfassend informierten und freiwillig erteilten Einwilligung der betroffenen Personen;

II. Personenbezogene Daten, die öffentlich gemacht oder von einzelnen Wählern geteilt wurden, auch wenn sie keine Daten darstellen, die politische Meinungen erkennen lassen, unterliegen nach wie vor dem EU-Datenschutzrecht. Beispielsweise kann die Verwendung personenbezogener Daten, die über soziale Medien erhoben werden, nicht durchgeführt werden, ohne dass die Verpflichtungen in Bezug auf Transparenz, Zweckbindung und Rechtmäßigkeit erfüllt werden;

III. Selbst wenn die Verarbeitung rechtmäßig ist, müssen Organisationen ihre anderen Pflichten nach der Datenschutz-Grundverordnung einhalten, einschließlich der Transparenz- und Informationspflichten. Die politischen Parteien und die Kandidaten müssen in der Lage sein, nachzuweisen, wie sie den Grundsätzen des Datenschutzes, insbesondere den Grundsätzen der Rechtmäßigkeit, Fairness und Transparenz, Rechnung tragen;

IV. Ausschließlich automatisierte Entscheidungen einschließlich des Profilings, bei denen die Entscheidung die betroffene Person rechtlich oder in ähnlicher Weise erheblich beeinträchtigt, sind beschränkt. Der EDSA interpretiert die Beeinflussung der Wahlstimme einer Person als „rechtliche Beeinflussung“ der betroffenen Person;

V. Bei gezielter Ansprache sollten die Wähler angemessene Informationen erhalten, in denen erläutert wird, warum sie eine bestimmte Botschaft erhalten, wer dafür verantwortlich ist und wie sie ihre Rechte als betroffene Personen wahrnehmen können.

 

Mit diesen Empfehlungen bietet der EDSA den Gesetzgebern der Mitgliedstaaten eindeutige Leitlinien zur Interpretation von Artikel 9 (2) g) und Erwägungsgrund 56 in Bezug auf Wahlprozesse. Das ist wesentlich, da eine unvollständige Anwendung der von der Verordnung verlangten Garantien und Anforderungen zu Situationen führen könnte, die direkt gegen den Sinn des Gesetzes verstoßen, wie es in zuvor erwähnten Fällen geschah. In diesem Zusammenhang ist es interessant, die spanischen und rumänischen Fälle mit den von Italien und Frankreich verfolgten Ansätzen zu vergleichen. In Italien können nach Feststellung der Datenschutzbehörde des Landes im Jahr 2014 im Internet öffentlich verfügbare, personenbezogene Daten nicht zur politischen Kommunikation verwendet werden, mit Ausnahme von ursprünglich zu diesem Zweck veröffentlichten Daten. In Frankreich verlangt eine 2016 vorgenommene Aktualisierung der Empfehlungen zur politischen Kommunikation der französischen nationalen Datenschutzkommission (CNIL) aus dem Jahr 2012 die spezifische Einwilligung zur rechtmäßigen Sammlung und zum Profiling der personenbezogenen Daten von Wählern. Der Verantwortliche sollte immer daran denken, dass die Datenschutzgesetze um die betroffene Person und ihre Rechte herum ausgelegt sind und ein ermächtigendes System für Geschäftspraktiken und Innovationen um Daten schaffen, allerdings innerhalb der Grenzen von Privatsphäre und Datenschutz, bei denen es sich um tief in Persönlichkeitsrechten und menschlicher Würde verwurzelten Garantien handelt. Deshalb sollten Praktiken, wie beispielsweise das Kaufen von Listen von Datenmaklern und das willkürliche Profiling betroffener Personen, die in einem Szenario vor der Einführung von Datenschutzbestimmungen gängig waren und unter anderem zu Wahlzwecken eingesetzt wurden, unter diesem neuen Paradigma vermieden werden. Zusätzlich hat der Schutz personenbezogener Daten wie zuvor erwähnt eine direkte Auswirkung auf die Qualität von Wahlprozessen, da diese Daten eine notwendige Eingabegröße für Psychometrie und andere Techniken darstellen, die bei ihrer Anwendung auf politische Kampagnen eine echte Auswirkung auf Wahlergebnisse haben. In Europa und Brasilien werden sich die Behörden dieses Risikos zunehmend bewusst, was aus den Maßnahmen des EDSA zur Harmonisierung der nationalen Gesetzgebungen und einer ordnungsgemäßen Auslegung von Erwägungsgrund 56 hervorgeht. In Brasilien nahm das Oberste Wahlgericht vor Kurzem Bestimmungen in seinen letzten Gesetzesentwurf für die anstehenden Kommunalwahlen auf, die auf eine Einschränkung der Verbreitung von Falschinformationen abzielen, insbesondere über soziale Medien und digitale Anwendungen. Die Harmonisierung allgemeiner Datenschutzbestimmungen mit Wahlbeschlüssen sowie die Beachtung der Bestimmungen zur Informationsverarbeitung sollten als Priorität betrachtet werden mit der Gewalt, wirksame Mechanismen gegen die missbräuchliche Verwendung personenbezogener Daten während Wahlperioden sicherzustellen, die einen Beitrag zu einem fairen Wahlumfeld leisten. 

 

Abschließende Betrachtungen

Die Kultur der „Hyperconnectivity“, in der wir leben, bringt trotz zahlloser und unbestrittener Vorteile für die Bürger auch signifikante Herausforderungen für demokratische Räume mit sich. In diesem Zusammenhang ist es wichtig, der neuen Art und Weise der Kampagnenführung in unserer modernen Datenwelt besondere Aufmerksamkeit zu schenken und geeignete und effiziente Bestimmungen zur Gewährleistung fairer Wahlen vorzuschlagen. Obwohl datengetriebene politische Kampagnen an und für sich kein neues Phänomen sind, stellen die verwendeten Werkzeuge, die Menge der zugänglichen Daten sowie die potenzielle Fähigkeit zur Beeinflussung von Wählern ein neues und herausforderndes Szenario für das Rechtsstaatsprinzip dar. In den vergangenen Jahren haben politische Parteien in allen Teilen der Welt stark in Online-Werbung investiert, die das Potenzial aufweist, mehr Menschen auf eine effiziente und zielgerichtete Weise zu erreichen. Jüngste Erfahrungen, wie im Fall von Cambridge Analytica und bei den letzten Wahlen in Brasilien, haben jedoch gezeigt, wie Strategien zur politischen Manipulation von Wählern durch Falschinformation, algorithmische Manipulation, verhaltensorientiertes Microtargeting und Social Bots in diesem Szenario weit verbreitet eingesetzt wurden. Zusätzlich basieren diese Strategien meistens auf der unbefugten bzw. unrechtmäßigen Verarbeitung personenbezogener Daten, wie es im Fall von Cambridge Analytica, bei der Wahlkampagne in Brasilien 2018 und in anderen Fällen beobachtet wurde. Mit den Worten von Colin Bennett und David Lyon:

Fragen zur legitimen Verarbeitung personenbezogener Daten über die Wählerschaft sind der Kern der Antwort auf jede dieser größeren Fragen. Die Durchführung von Wähleranalytik und das Microtargeting politischer Nachrichten, einschließlich der Lieferung sogenannter Fake News, hat eine direkte Beziehung zur programmierten Werbung und zu den unpersönlichen Algorithmen, die einzelne Bürger oft ohne deren Kenntnis und Einwilligung anvisieren. Jetzt treten bekannte Fragen zur Privatsphäre in dieser hitzigen internationalen Debatte über demokratische Praktiken zu Tage, und Aufsichtsbehörden, wie beispielsweise Datenschutzbehörden, finden sich im Mittelpunkt einer globalen Diskussion über die Zukunft der Demokratie. Demzufolge „sind Privatsphäre und Datenschutz in der Vergangenheit selten große politische Fragen gewesen. Das hat sich jetzt geändert.“

Daher kann ein Teil der möglichen missbräuchlichen Verwendungen und Risiken infolge von Missbrauch unter Berücksichtigung der Bedeutung der Verarbeitung personenbezogener Daten in diesem Kontext durch die Anwendung robuster gesetzlicher Rahmenwerke für die Regulierung personenbezogener Informationen gemindert werden. Als Beispiele gelten die DSGVO in Europa und das kürzlich verabschiedete brasilianische Datenschutzgesetz (LGPD), das bald in Kraft treten wird. Diese Studie hat durch das Hervorheben spezifischer rechtlicher Leitfäden und konkreter Situationen gezeigt, dass Datenschutzbestimmungen vollständig auf politische Kampagnen anwendbar sind und die Fähigkeit haben, die Verringerung der instrumentellen Verwendung personenbezogener Daten zu unterstützen, während sie gleichzeitig die Auswirkungen des Einsatzes von Falschinformation und computergestützter Propaganda zum Zweck der politischen Manipulation vermeiden. Deshalb kann ein Datenschutzansatz andere Anstrengungen, zum Beispiel durch die Privatwirtschaft, strategisch verstärken, und Falschinformationen bei Wahlkampagnen durch die Sanktionierung der rechtswidrigen Verarbeitung personalisierter Daten verringern helfen, wodurch er zu einem wirksamen und nützlichen Rechtsinstrument im vorliegenden Kontext wird. Einerseits besteht die Rolle öffentlicher Organe und Institutionen darin, mittels ihrer Beschlüsse und Sanktionen die Compliance mit den Richtlinien des LGPD und der DSGVO sowie deren Wirksamkeit zu verstärken. Andererseits haben die politischen Parteien die Pflicht zur Erfüllung gesetzlicher Anforderungen und tragen die volle Verantwortung für die Transparenz der Verarbeitung und den guten Glauben an die Verarbeitung der personenbezogenen Daten von Wählern. Die unbefugte bzw. rechtswidrige Verarbeitung personenbezogener Daten untergräbt zusammen mit Falschinformationstechniken und der unfairen Verwendung von Bots, Profilen, Deep Fakes und anderen Mitteln das Vertrauen der Wähler sowie die Integrität politischer Prozesse. Daher sollte es von Institutionen als Bedrohung der Demokratie betrachtet werden.   

 

Zur einfacheren Lesbarkeit wurden die Referenzverweise entfernt.  

 

Eduardo Magrani, Konrad Adenauer-Stiftung; 12.11.2020

https://www.kas.de/de/einzeltitel/-/content/das-hacken-der-waehlerschaft

https://creativecommons.org/licenses/by-sa/4.0/legalcode.de

 

 

Enisa.europa.eu; PM, BOW; 20.10.2020

https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2020

 

cyber security

 

Cybersecurity


Schutz vor Cyber-Bedrohungen

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich der Cybersecurity.

Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen

 

Mehr lesen

01/2021

 

Bürgerschreck und Hoffnungsträger in privaten Lebenswelten

 

 

Lebenswelt Gesundheit

Smart Services im Überblick

Die Gesundheit zählt zu den höchsten Gütern der Menschen. Die Entwicklungen im Gesundheitssektor und der medizinische Fortschritt sind vor diesem Hintergrund in der Breite der Bevölkerung von großem Interesse. Ohne Übertreibung stellt die eigene Gesundheit per se eine ‚Lebenswelt‘ für die Menschen dar. Die Entwicklung des Gesundheitswesens ist im Grunde so alt wie die Menschheit selbst, und die Technologieverwendung geht weit in die Vergangenheit zurück. Vor allem im letzten Jahrhundert sind die technischen Anwendungen im Gesundheitssektor immer schneller vorangeschritten. Im Zusammenspiel mit der zunehmend besser werdenden medizinischen Versorgung sowie der stärkeren Aufklärung über die verschiedenen Krankheitsrisiken und Präventionsmöglichkeiten werden die Menschen immer älter und bleiben länger gesund. Seit einiger Zeit hat sich zudem die ‚Quantified Self‘-Bewegung als bedeutender Trend entwickelt, der sich durch einen großen Teil verschiedener Altersstufen und durch breite Bevölkerungsgruppen zieht. Dieser Trend, zu dem neben der Selbstvermessung auch die Selbstoptimierung gehört, hat bedeutende Auswirkungen auf die Lebenswelt Gesundheit. Viele der Verhaltensweisen und Einfluss nehmenden Faktoren, wie bspw. der Grad der sportlichen Betätigung oder die Ernährung, sind allerdings stark subjektiv geprägt und nicht ohne Weiteres kontrollierbar. Dafür rücken Alltagshelfer und Tracking-Systeme, die beim Aufzeichnen des eigenen Lebensstils helfen, immer stärker in den Fokus. Einen starken Einfluss auf die Medizin, namentlich auf die Diagnostik und Therapie, haben Daten. Die Flut an Daten, die inzwischen gesammelt werden kann, führt zu besseren und genaueren Analysen und – insbesondere auch im Zusammenhang mit Künstlicher Intelligenz – zu besseren Vorhersagemöglichkeiten. Damit können nicht nur die Effizienz (schnellere Diagnose) und der Komfort (automatische Erhebung) medizinischer Leistungen gesteigert werden, sondern vor allem auch deren Qualität. Eine Besonderheit der in der Lebenswelt Gesundheit erhobenen Daten liegt in dem hohen Grad der Sensibilität: Bei Gesundheitsdaten handelt es sich um personenbezogene Daten, die nach Art. 4 Nr. 15 der Europäischen Datenschutzgrundverordnung (EU-DSGVO) besonders schutzbedürftig sind und daher einem ausgeprägten Datenschutz unterliegen. Gerade die sensiblen Personendaten sind aber in einem hohen Detaillierungsgrad notwendig, um die Bürger in der Lebenswelt Gesundheit unterstützen zu können und ihnen Mehrwerte zu bieten. Daher ergibt sich in besonderem Maße ein Spannungsfeld, das immer wieder stark in der gesellschaftspolitischen Diskussion steht. Neben den Daten sind verschiedene Technologien, wie die Sensorik, die zunehmende Vernetzung im Rahmen des Internet of Things (IoT) oder die Künstliche Intelligenz (KI), essenzielle Bestandteile der Smart Services in der Lebenswelt Gesundheit. Dabei können die Smart Services wie folgt gegliedert werden: Datensammlung Ausgangspunkt und zugleich erstes mehrwertiges Ergebnis ist die Sammlung von Körpermessdaten. Zunehmend ermöglichen es technische Geräte, beispielsweise Smart Watches, smarte Waagen, intelligente Laufbänder oder andere Wearables, Körperdaten wie den Pulsschlag, die Körpertemperatur, die Sauerstoffsättigung, das Gewicht, die Muskelmasse, den Fett- und Wasseranteil zu messen. Angereichert werden können diese Informationen durch Daten wie die Blutgruppe, Allergien oder Vorerkrankungen. Zusätzlich können Arztberichte und Befunde die Auswertungen ergänzen, sodass die Zielsetzung und das Ergebnis ein Datenpool ist, der ein umfassendes Bild über den Gesundheitszustand eines Menschen liefert. Aus diesem Datenpool können unterschiedliche Akteure verschiedene Nutzen ziehen. So kann die messende Person selbst den eigenen Lebensstil analysieren und optimieren und mit anderen teilen – etwa um sich so in ihrer Peergroup zu vergleichen. Im Zusammenspiel zwischen Patient und Arzt können mit einer qualifizierten Datenbasis und den Auswertungsmöglichkeiten Krankheiten und körperliche Beeinträchtigungen besser behandelt werden. Und die Forschung kann die Medizin durch Einbeziehung umfassenderer Datengrundlagen und verbessertem Zusammenhangswissen substanziell weiterentwickeln.

 

Diagnoseunterstützung

Auf Basis der gesammelten Daten ergeben sich Smart Services, die Mehrwerte für die Diagnoseunterstützung bieten. Dabei gibt es verschiedene Anwendungsmöglichkeiten: So können Daten, die gewisse Anomalien signalisieren, eine automatische Meldung an den Nutzer mit dem Hinweis auslösen, einen bestimmten Arzt aufzusuchen. Digitale Fotos einer auffälligen Hautstelle können durch eine Analysesoftware über eine Datenbank gespielt und im Sinne einer Ersteinschätzung automatisch ausgewertet werden. Zusammen mit dem übermittelten Analyseergebnis kann gegebenenfalls zugleich ein geeigneter Facharzt zur näheren Begutachtung und anschließenden Therapie empfohlen werden. Auch mit Röntgenbildern, CTs und MRTs, ferner mit Blutwerten, EKGs und allen sonstigen möglichen Analysewerten lassen sich solche Datenbanken füllen und nutzen. Unter Einbeziehung einer Künstlichen Intelligenz kann das System von den Ergebnissen nachfolgender Untersuchungen lernen und dadurch im Gleichschritt mit der Nutzungshäufigkeit verbessert werden. Systeme mit Künstlicher Intelligenz können über die Zeit immer ausgefeiltere Verknüpfungen von Gesundheitsdaten interpretieren und sich selbstlernend verbessern, d. h. Krankheitssymptome immer zuverlässiger automatisch erkennen und zielführende Therapien vorschlagen. Schon heute gibt es Künstliche Intelligenzen, die mittels bildgebender Verfahren, etwa der sog. Positronen-Emissions-Tomografie (PET), Demenzerkrankungen deutlich früher erkennen können als Ärzte. Das Ziel ist es, durch eine ausreichend große Zahl an Daten, die mithilfe vorangegangener und gespeicherter Untersuchungsergebnisse generiert wird, Befunde automatisch und damit sowohl schneller als auch präziser als von Menschen möglich zu erstellen.

 

Therapieunterstützung

Die technischen Hilfsmittel zur Diagnoseunterstützung gehen Hand in Hand mit Mehrwerten, die Smart Services im Bereich des Monitorings von Heilungsverläufen oder im Rahmen der Unterstützung bei körperlichen Beeinträchtigungen im Alltag bieten. Nach Feststellung einer Erkrankung bieten digitale Anwendungen die Möglichkeit, den Therapieverlauf 24/7 für den Arzt abzubilden. Dieser erhält beispielsweise über die beim Patienten aufgezeichneten Daten Einblick in dessen Gesundheitszustand und empfängt zusätzlich eine Meldung, sobald ein bestimmter Wert abseits der Toleranz liegt. Mit einer dann erfolgten frühzeitigen Intervention kann der Heilungsverlauf schneller und effizienter weitergeführt werden. Wenn der Patient zusätzlich die Einnahme der Medikamente in die Anwendung einpflegt, kann der behandelnde Arzt schneller Ursachen für eine falsche Entwicklung der Genesung finden. Über Cloud-basierte Kommunikationsplattformen kann das Zusammenspiel der verschiedenen Akteure, also Patient, Arzt, Krankenhaus, Pflegekraft, Krankenversicherer etc., erheblich verbessert werden und Doppel- und Mehrfachuntersuchungen können vermieden werden. Auch können das Internet of Things (IoT), also die Vernetzung z. B. von medizinischem Gerät, und der Austausch über Informations- und Kommunikationsplattformen wichtige Hilfestellungen für die Zusammenarbeit der verschiedenen Parteien geben.

 

Ambient Assisted Living

Ambient-Assisted-Living-(AAL)-Technologien können auch im Krankheitsfall oder bei körperlichen Beeinträchtigungen ein selbstbestimmtes Leben ermöglichen. AAL-Technologien beinhalten Produkte, Dienstleistungen und Konzepte, die die Lebensqualität vor allem älterer Menschen in allen Lebenslagen erhöhen sollen. Beispielsweise können Sensoren die Bewegungsabläufe in der Wohnumgebung messen und einen Notdienst alarmieren, wenn eine auffällige Bewegungsunterbrechung vorliegt. Viele solcher Systeme haben sich aufgrund der Scheu vor Technik, von Überwachungsängsten oder zu hohen Kosten noch nicht durchgesetzt. Einzig der Hausnotruf, bei dem ein Alarmknopf am Körper getragen wird, ist bereits weit verbreitet.

 

Transhumanismus

Die Entwicklungen zeigen, dass es eine immer stärkere Verschmelzung von Mensch und Maschine gibt. Im Rahmen von Testversuchen werden bereits Technologien entwickelt, bei denen Chips oder Sensoren direkt unter die Haut des Menschen gelegt werden. Das enge Zusammenspiel zwischen der Digitaltechnik und dem Menschen kann zu einem ganzheitlichen Ansatz der Gesundheitsbegleitung führen, der einerseits die verfügbaren Datengrundlagen nochmals exponentiell ausweitet, andererseits die Potenziale für eine schnellere und zuverlässigere Diagnose und Therapie ebenso nochmals steigert. Die verschiedenen Entwicklungen können eine Fülle von Problemen lösen, denen Patienten Ärzte, Pfleger und weitere Beteiligte gegenüberstehen. Die Zeitrestriktionen der Ärzte werden durch die Diagnosemöglichkeiten und Therapieempfehlungen mittels Technologie entschärft, die Behandlung der Patienten durch die Überwachung während der Genesung verbessert, umständliche Vorgehensweisen beispielsweise beim Arztwechsel durch die erleichterte Kommunikation zwischen den Parteien vereinfacht und effizientere und zielgerichtetere Pflegeleistungen auf Basis der AAL-Technologien werden ermöglicht. Immobilen Personen und Personen, die in einem Gebiet mit schlechter Arztabdeckung wohnen, können durch die Technologie viele Wege sparen. In die Diagnose und Therapieempfehlung können Computersysteme eine große Zahl an Parametern einbeziehen und damit deutlich zuverlässigere und zudem noch schnellere Ergebnisse liefern. Es zeigt sich, dass Smart Services in der Lebenswelt Gesundheit die Anwendungsfelder Prävention, Diagnostik, Therapie, Überwachung von Krankheitsverläufen, Pflegeunterstützung und nicht zuletzt Fitness/Freizeit/Lebensstil beinhalten. Diese Anwendungsfelder basieren auf der Erhebung von Daten, deren Auswertung zunehmend mit Künstlicher Intelligenz vorgenommen wird. Im Folgenden werden drei ausgewählte Geschäftsmodelle betrachtet, die bereits auf Märkten existieren und aus den zuvor beschriebenen Entwicklungen hervorgegangen sind. Dabei liegt der Fokus auf der Beschreibung und Würdigung der Nutzenversprechen, die mit diesen Geschäftsmodellen verbunden sind.

 

Ausgewählte Geschäftsmodelle innerhalb der Smart Services  

 

Apple Health

1. Beschreibung des Geschäftsmodells

Nach den Anwendungsfeldern der Smart Services lässt sich das Geschäftsmodell von Apple Health in die Bereiche Datengenerierung, Prävention, Diagnostik, Therapie, Überwachung von Krankheitsverläufen und Fitness/Freizeit/Lebensstil einordnen. Apple Health ist eine Anwendung, mittels derer Gesundheitsdaten gesammelt, aufbereitet und ausgewertet werden können. Sie ist als App auf dem iPhone vorinstalliert und in die vier Gruppen ‚Aktivität‘, ‚Achtsamkeit‘, ‚Schlaf‘ und ‚Ernährung‘ eingeteilt. Da das Smartphone selbst nur begrenzt Gesundheitsdaten erheben kann, sind zusätzliche Gadgets wie die Apple Watch oder kleine Adapter zur Messung der Blutwerte für eine umfassende Nutzung und Datenerhebung unabdingbar. Auch mit Geräten aus dem Haushalt, wie der digitalen Körperwaage oder einer intelligenten Zahnbürste, kann die Anwendung gekoppelt und mit Daten angereichert werden. Als kompatibles Hauptgerät von Apple misst die Apple Watch u. a. die Herzfrequenz. Bei besonders hohen oder niedrigen Frequenzen löst sie eine Warnung aus und gibt unter Umständen einen Hinweis, zum Arzt zu gehen. Zum anderen ist in die Apple Watch ein sogenannter Beschleunigungs- und Gyrosensor eingebaut, der einen möglichen Sturz des Trägers erkennt. Nach einem Sturz kann mit einem Klick ein Notruf gesendet werden. Wenn der Gestürzte allerdings 60 s nicht reagiert, wird der Notruf automatisch ausgelöst. Über GPS wird den Rettungskräften bei Ausruf des Notfalls unmittelbar der Standort der gestürzten Person angezeigt, ohne dass sich der Nutzer zunächst orientieren muss. Durch die einfache und direkte Kommunikation über die Anwendung werden Fehler vermieden und die Effizienz gesteigert. Daneben erfasst die Apple Watch Freizeitaktivitäten und kann als eine Art Trainer im Sport agieren. Für Anwender der Freizeitfunktionen bietet Apple einige Gadgets zur Kopplung mit dem iPhone an. Dazu zählen u. a. ein smarter Fahrradhelm, ein smartes Fahrradsystem für Licht, Navigation, Diebstahlsicherung und Fitness Tracking, ein Springseil, ein Tennisschläger und weitere Geräte zur Messung von Körperdaten, wie Blutdruck- und Blutzuckermessgeräte und andere Überwachungssensoren. Wegen der Notwendigkeit und des Angebots, weitere Geräte und Anwendungen zu nutzen, ist eine standardisierte Schnittstelle erforderlich, um den Datenaustausch zwischen den verschiedenen Geräten zu organisieren. Apple stellt mit ‚CareKit‘ ein Open Source Software Framework zur Verfügung, mit dessen Hilfe Entwickler Apps generieren können, die beim Umgang mit Krankheiten helfen, indem sie die individuelle Behandlung unterstützen (bspw. Festhalten von Symptomen oder der Medikation). Ein ähnliches Software Framework stellt das ‚ResearchKit‘ dar, das die medizinische Forschung adressiert und bei der Durchführung medizinischer Studien hilft, indem bspw. Teilnehmer registriert werden können. Damit werden zwei Funktionen angeboten, mit denen andere Entwickler Gesundheitsapps erstellen können, die auf die gesammelten Daten von Apple Health zugreifen und mit der Anwendung interagieren. Apple setzt also ausdrücklich den Anreiz, dass weitere Gesundheitsapps programmiert werden, und stellt gleichzeitig sicher, dass sie mit Apple Health, das weiterhin als Zentrum für alle Daten fungiert, kompatibel sind. Ebenfalls unterstützt Apple medizinische Studien, die mittels App Gesundheitsdaten auswerten. Apple Health fungiert also als eine Art Zentrale, die über verschiedene Geräte mit Daten ‚gefüttert‘ wird. Folgende Gesundheitsdaten können dabei u. a. ausgewertet werden:

  • Atemfrequenz
  • Blutdruck und -gruppe
  • Body-Mass-Index
  • Herzfrequenz
  • Kalorienverbrauch
  • Körpergewicht und -größe
  • Körpertemperatur
  • Sauerstoffsättigung
  • Schlafverhalten
  • Schritte inkl. Treppenstufen bzw. Höhenmeter
  • Stürze

 

Seit Einführung des Betriebssystems iOS12 ist für iPhone-Besitzer auch die elektronische Patientenakte ‚Medisafe‘ verfügbar. Diese beinhaltet schon bislang die Möglichkeit der Eingabe von Medikamentierungen, verbunden mit der Funktion, vor Wechselwirkungen verschiedener Medikamente zu warnen. Ebenfalls wird ein Notfallpass angeboten, der einen besonderen Nutzen entfaltet: Im Sperrbildschirm werden relevante Gesundheitsdaten angezeigt, auf die im Notfall der Rettungssanitäter oder Notarzt direkt zugreifen kann, um dem Patienten zielgerichteter zu helfen. Die Möglichkeit, an einem Ort alle Daten zu sammeln, schafft die Voraussetzung, weitere Leistungen anzuknüpfen, die das Gesundheitssystem im Ganzen optimieren.

2. Geschäftsmodellanalyse nach Canvas

Apple Health adressiert als Kundensegment vorrangig die Endverbraucher und kann damit als B2C-Lösung klassifiziert werden. Die Funktionen von ‚Care- Kit‘ und ‚ResearchKit‘ richten sich allerdings eher an Unternehmen, wodurch auch eine B2B-Komponente vorliegt. Unter den Endkunden werden speziell iPhone-Besitzer adressiert, die technisch affin sind, Gesundheitsbewusstsein aufweisen und deshalb entweder ihre Werte beobachten, präventiv sportliche Aktivitäten ‚tracken‘ oder den Umgang mit vorliegenden Krankheiten optimieren wollen. Für diese Zwecke und als weiteres Wertangebot bietet Apple Health eine Basis für eine umfassende Datensammlung, um damit einen Überblick über die eigene Lebensweise und Gesundheit bereitzustellen. Insbesondere liegen die Daten für ihre Nutzer nicht mehr nur an verschiedenen Stellen, wie z. B. Apps, getrennt vor, sondern sind in Apple Health zusammengefasst und damit komfortabel zugreifbar. Zudem bieten die Auswertungen der Daten eine Hilfestellung, Krankheiten frühzeitig zu erkennen und in die Behandlung einzutreten. Mithilfe des Notfallpasses gibt es eine weitere Absicherung bei Unfällen. Sozioökonomisch führen die Anwendungen zu einer möglichen Einsparung von Kosten, da durch die allgemeine Gesundheitsförderung und frühzeitigere Aufdeckung von Krankheiten weniger Arztbesuche notwendig sind und der Heilungsverlauf besser abgebildet und unterstützt werden kann, was ihn beschleunigt. Kundennutzen erzeugt auch die Transparenz, mit der der Nutzer über die eigene Lebensweise und seine Aktivitäten informiert wird. Dazu werden die Daten dem Nutzer auch grafisch aufbereitet. Ein weiteres Wertangebot liefert die Integration von Self-Service-Optionen. Neben der automatischen Datenerhebung sind weitere manuelle Eingaben, wie z. B. die Blutgruppe, vorliegende Allergien und Erkrankungen möglich. Durch die Zentralisierung der Daten in einer Anwendung steigt der Komfort für den Nutzer, und die Datenpflege wird erleichtert. Apple hat besonderen Wert auf eine intuitive App gelegt, sodass die Übersichtlichkeit auch beim angestrebten Ausbau der Datenbank und der Anwendungen nicht verloren geht. Der reduzierte Bedarf an Arztbesuchen, die Beschleunigung des Behandlungserfolgs und womöglich auch die Effizienzsteigerung im sportlichen Training führen zu Zeitersparnissen. Als Kommunikations- und Vertriebskanäle bedient sich Apple Health der App sowie einer Homepage. Es besteht aber keine direkte Beziehung zwischen Unternehmen und Nutzer, vielmehr stellt die App Hilfsmittel zur Selbstbedienung zur Verfügung. Einnahmequellen von Apple Health werden indirekt durch den Verkauf der kompatiblen Geräte generiert, da die App selbst kostenlos ist. Die Kooperationspartner von Apple Health können vielfältig sein. Jeder App-Entwickler, der ‚CareKit‘ oder ‚ResearchKit‘ nutzt, aber auch Ärzte, Krankenhäuser, Apotheken und Pfleger können eingebunden werden. Zudem sind sowohl Kranken- als auch Unfall- und Berufsunfähigkeitsversicherer als mögliche Kooperationspartner prädestiniert – und damit Versicherungsanbieter aus allen Sparten des Versicherungsgeschäfts. Als Schlüsselressourcen stehen die Daten über den Nutzer und seine Gesundheit im Vordergrund. Des Weiteren wird medizinisches Know-how als intellektuelle Ressource eingesetzt, das zudem mit sich ständig weiterentwickelndem Zusammenhangswissen sowohl auf der Unternehmensseite als auch auf der Seite der Nutzer kontinuierlich gesteigert wird. Infolge der Datengenerierung, des Datenpooling und der Datenanalyse unter Verknüpfung vieler gesundheits- bzw. krankheitsrelevanter Parameter kann auch das medizinische Wissen insgesamt in der Gesellschaft erweitert werden – was wiederum ein besonderes Wertangebot darstellt.

 

Digitale Krankenversicherer am Beispiel Oscar und Clover

Ein digitaler Krankenversicherer nutzt für sein Geschäftsmodell im Kern neue Technologien, insbesondere für seine Produkte und Services (‚Smart Services‘) sowie für die innerbetrieblichen und nach außen gerichteten Abläufe. Sie verwenden Daten aus Anwendungen wie beispielsweise Apple Health. Die Kommunikation erfolgt so weit wie möglich digital. Oscar und Clover, zwei Versicherer aus den USA, bieten auf diese Weise neue Möglichkeiten. 1. Beschreibung der Geschäftsmodelle Oscar ermöglicht den vollkommen digitalen und transparenten Abschluss einer Versicherungspolice. Dabei werden folgende Leistungen angeboten: Über ein Suchfeld in der Smartphone-Applikation kann der Versicherte seine Symptome eintragen, und er erhält daraufhin erste Hinweise über eine mögliche Erkrankung. Nach Anwählen einer Rückruf-Funktion meldet sich innerhalb kürzester Zeit ein Arzt oder eine Krankenschwester und berät den Kunden. Zusätzlich steht dem Anwender ein persönliches Concierge-Team zur Verfügung, das z. B. Arzttermine bzw. Rückrufe vereinbart, Krankenhausaufenthalte organisiert und Schreibarbeiten nach einem Krankenhausaufenthalt übernimmt. Außerdem unterstützt Oscar den Kunden dabei, einen gesünderen Lebensstil zu führen: Beispielsweise lässt das Unternehmen dem Versicherungsnehmer bei Erreichen einer vorgegebenen Schrittzahl, die über die App gemessen wird, einen Amazon-Gutschein zukommen. Clover sammelt Patienteninformationen zur datenbasierten Erstellung klinischer Profile der versicherten Personen. Dabei greift das Unternehmen auf ein Netzwerk aus Ärzten, Arzthelfern, Krankenhäusern und (Online-)Apotheken zurück, deren Daten von Clover zusammengeführt und ausgewertet werden. So nutzt Clover z. B. Informationen zur Krankheitshistorie eines Versicherten, um ihn bei der Genesung zielgerichtet unterstützen zu können. Wird einem Patienten ein Medikament verschrieben, das regelmäßig einzunehmen ist, wird dies von Clover getrackt: Wird keine diesbezügliche Abrechnung eingereicht, schaltet sich Clover ein, erinnert den Patienten und informiert über die ‚Einnahmehinweise‘. Falls Arzttermine versäumt wurden, erhält der Patient ggf. Hausbesuche von Mitgliedern des Clover-Health-Teams, dazu gehören z. B. Krankenschwestern, Krankenpfleger oder Sozialarbeiter. Mit den Präventionsmaßnahmen verfolgt Clover insgesamt das Ziel, den Gesundheitszustand der Versicherten zu verbessern, kostenintensive Gesundheitsleistungen zu vermeiden und damit die allgemeinen Aufwendungen für die Versorgung von Patienten zu senken. Weiterhin gehören zum Leistungs- und Serviceangebot ein digitaler Katalog, der eine Übersicht über die Medikamente gibt, die durch den Versicherungsschutz abgedeckt sind, ein digitaler Apotheken- und Ärztefinder sowie kostenfreie Zusatzleistungen, wie z. B. routinemäßige Augen- oder Zahnuntersuchungen.

 

2. Geschäftsmodellanalyse nach Canvas

Beide Unternehmen bieten neue Smart Services im Bereich Gesundheit. Während das Wertangebot von Oscar den digitalen und transparenten Abschluss einer Versicherungspolice umfasst und den Versicherungsnehmer beim Erkennen und einer möglichen Behandlung unterstützt, konzentriert sich Clover auf die präventive Gesundheitsvorsorge, die auf einer softwarebasierten Datenanalyse beruht. Es können individuell zugeschnittene Informationen bereitgestellt, passende Ärzte gefunden, die Medikamenteneinnahme überprüft werden und vieles mehr. Auch die individuellere Tarifierung auf Basis der erhobenen Daten stellt eine Neuheit dar. Die datenbasierte Risikoermittlung führt dazu, dass der Versicherte in der Krankenversicherung immer näher an seinem wirklichen Schadenerwartungswert policiert werden kann. Auch dadurch kann sich eine mittelbare Kostenreduktion ergeben. Beispielsweise wird das individuelle Krankheitsrisiko aufgrund der Anreizwirkungen für eine gesündere Lebensweise gesenkt, was sich für die Versicherten auch in niedrigeren Prämien widerspiegeln kann. U. a. durch die Hilfe bei der Suche nach einem passenden Arzt geben die digitalen Krankenversicherer ein Transparenzversprechen ab. Ebenfalls werben sie mit einer äußerst transparenten Kosten- und Leistungsdarstellung. Durch die digitalen Angebote sind eine ortsunabhängige Beratung und Betreuung möglich. Zusätzlich können viele Daten über den persönlichen Gesundheitszustand oder eine vorliegende Krankheit in einem geschützten persönlichen Datenfeld eingetragen werden, wodurch die Integration solcher Self-Service-Optionen stark zur Prozessbeschleunigung beiträgt. Die Kundensegmente von Oscar und Clover liegen sowohl im B2B- als auch im B2C- und B2B2C-Bereich. Neben der eigenen Verbindung zu den Versicherten werden Ärzte, Krankenhäuser, Pfleger und weitere Gesundheitsdienstleister einbezogen. Als Versicherungskunden werden vor allem digital affine Menschen mit Gesundheitsbewusstsein angesprochen, die für finanzielle und medizinische Vorteile bereit sind, ihre Daten an den Versicherer zu geben. Da Clover zum Medicare-Advantage-Programm der USA gehört, stehen die Leistungen nur darin einbezogenen Personen offen. Im Jahr 2017 lag die Versichertenzahl von Oscar bei etwa 135.000, Clover zählte rund 25.000 Versicherte. Als Kommunikations- und Vertriebskanäle werden diverse Social Media, Apps, Chatfunktionen und die Homepages genutzt. Weiterhin wird den Kunden der Kontakt über (Video-) Telefonie oder E-Mail angeboten, und in Blogs werden sie zudem regelmäßig mit Informationen versorgt. Auch in der Kundenbeziehung bietet dieses Geschäftsmodell einen weiten Spielraum. So ist von automatisierten Angeboten und Dienstleistungen über Selbstbedienungen bis hin zur persönlichen und auch individuell persönlichen Unterstützung, also mit immer gleichbleibendem Ansprechpartner, alles möglich. Primäre Einnahmequelle sind die Versicherungsprämien vonseiten der Kunden. Werden zusätzlich Kooperationen mit Ärzten oder anderen Gesundheitsdienstleistern vereinbart, ergeben sich weitere Einnahmen. So bezahlen etwa Dienstleister einen Preis dafür, in das Netzwerk einzutreten oder den Kunden in bestimmten Fällen vorgeschlagen zu werden. Die Schlüsselaktivität ist bei beiden Unternehmen die Bereitstellung von Versicherungsschutz, die Datenanalyse und die Pflege des Netzwerks. Die Mitglieder dieses Netzwerks, Ärzte, Krankenhäusern, Apotheken, Krankenschwestern, Pfleger und weitere Gesundheitsdienstleister, stellen die Schlüsselpartner der Unternehmen dar. Schlüsselressourcen sind die Kundenstammdaten und die Gesundheitsdaten der Versicherten. Auf Basis der gesammelten Daten aus den geschaffenen Netzwerkstrukturen und der effizienten digitalen Prozesse kann ein ganzheitliches Angebot an Smart Services und damit ein umfassendes Wertangebot zur Verfügung gestellt werden.  

 

Spannungsfeld Datennutzung und Datenschutz

Wie gezeigt wurde, kann das Sammeln und die Nutzung von Daten in der Lebenswelt Gesundheit erhebliche Auswirkungen entfalten. So kann nicht nur die Gesundheit des Individuums verbessert, sondern auch eine Optimierung des gesamten Gesundheitswesens vorangetrieben werden. Systeme, die auf Basis von Daten Krankheiten in all ihren Parametern erfassen, künstliche Intelligenzen, die diese auswerten, und Assistenzsysteme, die Ärzte in ihrer täglichen Arbeit unterstützen, gehören zu den großen Chancen, die die Datennutzung mit sich bringt. Dem gegenüber steht der berechtigte und notwendige Datenschutz, der im Gesundheitswesen auch spezifisch geregelt ist. In Art. 4 Nr. 15 der EU-DSGVO sind Gesundheitsdaten konkret berücksichtigt und abgegrenzt: „Gesundheitsdaten [sind] personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“ (Verordnung des Europäischen Parlaments und des Rates 2016/679, Art. 4 Nr. 15). Nach § 22 des Bundesdatenschutzgesetzes (BDSG) und der EU-DSGVO gehören Gesundheitsdaten zur besonderen Kategorie personenbezogener Daten. Danach gilt für alle Gesundheitsdaten eine besondere Schutzbedürftigkeit. In diesem Zusammenhang besteht ein grundsätzliches Verbot der Verarbeitung von Gesundheitsdaten, das nur unter der Voraussetzung des Art. 9, 2a-j EU-DSGVO etwas aufgeweicht wird. Das Verarbeitungsverbot gilt demnach nicht, wenn die betroffene Person für einen festgelegten Zweck zustimmt, dass ihre Daten genutzt und verwertet werden. Neben weiteren Erlaubnistatbeständen beziehen sich die Absätze h und i direkt auf Gesundheitsdaten. In Art. 9, 2h EU-DSGVO (Verordnung des Europäischen Parlaments und des Rates 2016/679) heißt es: Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich. Und in Art. 9, 2i EU-DSGVO (Verordnung des Europäischen Parlaments und des Rates 2016/679 2018) steht: Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Frei-heiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich. Das hohe Niveau des Datenschutzes von Gesundheitsdaten macht die Durchführung einer Datenschutz-Folgeabschätzung notwendig, was zu einem erhöhten Aufwand in Einrichtungen des Gesundheitswesens führt und die Datennutzung erheblich erschwert. Für das Individuum hat der ausgeprägte Datenschutz den Schutz vor Missbrauch zum Ziel. Dazu gehört nicht nur der Schutz vor Hackerangriffen auf Gesundheitsdaten, die inzwischen häufig vorkommen. Auch die Weitergabe an Unternehmen, die die Gesundheitsdaten für verschiedene Zwecke verwenden können, wird kritisch gesehen. Die Sorge vor einer Datenweitergabe und vor Missbrauch ist bei den Bürgern jedoch deutlich geringer, wenn es um den Arzt geht, der die Daten verarbeitet, speichert und weitergibt. Laut der Studie „Zukunft der Gesundheitsversorgung“ der pronovaBKK empfinden es 77 % der Befragten als Vorteil, wenn Daten über Diagnosen, Behandlungen, Medikamente, Allergien oder ähnliches zentral gespeichert sind und sich Haus- und Fachärzte jederzeit einen umfassenden Überblick über den Gesundheitszustand eines Patienten verschaffen können. Auch das Durchführen von Video- oder Onlinebehandlungen sowie per Telefon würden 56 % der Befragten begrüßen. Dies lässt sich damit begründen, dass die eigene Gesundheit für den Bürger ein sehr wertvolles Gut ist und bei besserer Hilfe, beispielsweise weil der Arzt einen guten Überblick über den Gesundheitszustand bekommt, die Risiken schwächer bewertet werden. Ebenso kann davon ausgegangen werden, dass eine Verbesserung der medizinischen Leistung im Interesse aller ist. So beschneidet der starke Datenschutz die Chance und damit den großen Mehrwert, der beispielsweise durch das Fortschreiten der Forschung auf Basis großer Datenmengen erreicht werden kann. Die Forschung und damit das Wissen in der Medizin, die Qualität der Behandlung und letztlich die Gesundheit des Einzelnen werden damit nachhaltig gestört. Dies gilt zumindest in Deutschland und Europa. Die datenbasierte Forschung auch und gerade im Gesundheitswesen wird beispielsweise in den USA und in China stärker vorangetrieben, was letztlich auch zum komparativen Nachteil von Bürgern und Unternehmen hierzulande führen kann. Es entsteht daher ein Spannungsfeld, das es nicht nur rechtlich, sondern auch politisch und vor allem im Dialog mit den Bürgern zu lösen gilt. Hierbei muss ein Abwägen zwischen dem Missbrauchsrisiko und der Datennutzung und -auswertung zur Verbesserung der Medizin erfolgen, wobei der Wille und die Wünsche der Bürger im Vordergrund stehen müssen. Der Datenschutz hat in diesem Zusammenhang eine wichtige Funktion, sollte aber möglichst nicht die Potenziale beschneiden, die neue technologische Möglichkeiten heute bieten. Für viele Anwendungen lassen sich die Hürden des Datenschutzes vermutlich durch ausdrückliche Einwilligungserklärungen der Betroffenen zur Datenerhebung, -speicherung, -analyse und -weitergabe überwinden. In Betracht kommen dabei auch ‚Datenspenden‘ an Forschungseinrichtungen o. ä. Das gilt aber nicht für jede Situation. Beispielsweise ist die Voraussetzung zur Einwilligung bei einem Unfall, um gesundheitsrelevante Daten an einen Arzt oder ein Krankenhaus zu übermitteln, damit schneller eine adäquate Hilfe bestimmt und organisiert werden kann, vielfach nicht zweckmäßig oder unerfüllbar. Allzu restriktive Datenschutzbestimmungen sind etwa in einer solchen Situation nicht hilfreich und sind vor allem nicht im Interesse derjenigen, die mit den Regelungen eigentlich geschützt werden sollen.  

 

Rolle der Versicherer

Die Potenziale, die aufgrund der Menge an Daten und neuen Technologien in der Lebenswelt Gesundheit erwachsen, sind vielseitig und bringen viele Chancen, auch für die Versicherer. Wie im Abschnitt «Digitale Krankenversicherer am Beispiel Oscar und Clover» gezeigt wurde, liefern Daten die Grundlage zur Entwicklung neuer kundenorientierter Geschäftsmodelle. Dadurch werden allerdings auch ein Zutritt immer neuer Marktteilnehmer und die Bildung von Netzwerken (Ökosystemen) im Gesundheitssektor begünstigt, was die eigene Positionierung eines traditionellen Versicherers in diesem dynamischen Marktumfeld unabdingbar macht. Im Folgenden wird mit Blick auf das Gesundheitsthema auf traditionelle Krankenversicherer fokussiert. Sie werden heute unzweifelhaft gezwungen, sich die neuen technologischen Möglichkeiten und eine moderne Datenbasis zunutze zu machen, um ihre Aufgabe zu erfüllen, eine bestmögliche Gesundheitsversorgung für ihre Kunden hervorzubringen sowie auch ihre eigene Marktposition zu verteidigen und zu stärken. Dafür sind auch im digitalen Umfeld der Kontakt und der Zugang zum Kunden deutlich zu verbessern und dem Kunden gleichzeitig die relevanten Nutzenversprechen anzubieten. Umgekehrt ergibt sich ein Risikopotenzial, das darin liegt und sich konkretisiert, wenn Entwicklungen verkannt und sich daraus ergebende Chancen nicht genutzt werden. Die Ausgangslage der Versicherer unter den neuen Entwicklungen ist als grundsätzlich gut einzuschätzen. Ihr Geschäftsmodell basiert seit jeher auf den Daten der Kunden und deren gesundheitlicher Situation. Zudem genießen sie beim Thema (Gesundheits-)Daten ein hohes Vertrauen, was gerade in der sich digitalisierenden Datenwelt von hoher Relevanz ist. Herausforderungen der Versicherer bestehen jedoch in der Reaktions- und Innovationsgeschwindigkeit bei der Nutzung neuer Technologien und damit auch der Befriedigung der konkreten Kundenwünsche. Gerade in der inzwischen sehr dynamischen Lebenswelt Gesundheit ist eine hohe Reaktionsgeschwindigkeit essenziell, um stets die bestmögliche Versorgung zu bieten. Insbesondere von Versicherungsunternehmen sind jedoch auch ethische und moralische Aspekte in besonderem Maße zu berücksichtigen: So muss geprüft werden, ob Personen, die weniger auf ihre Gesundheit achten, zukünftig etwa bei der Versicherungsprämie benachteiligt werden und inwieweit dies gesellschaftspolitisch vertretbar ist. Ebenfalls sollte der Druck auf die potenziellen Kunden und den Bestand an Versicherten geprüft werden, der mit einem indirekten Zwang einhergeht, die eigenen Daten zur Gesundheit und Lebensweise preiszugeben. Dass umgekehrt mit einer möglichst umfangreichen Datenbasis allerdings im Endeffekt die allgemeine Gesundheit durch Förderung einer gesunden Lebensweise steigt, Diagnose und Therapie verbessert werden können, die Kosten für die Versicherer und Versicherten auf breiter Front sinken sowie Ärzte und das gesamte Gesundheitssystem entlastet werden, ist im gesellschaftlichen Diskurs ebenfalls zu berücksichtigen. In diesem Spannungsfeld müssen die Versicherer und die gesamte Versicherungswirtschaft ihren Weg finden. Schwierig wird dabei die Grenzziehung bei der Datenerhebung, -auswertung und -nutzung zwischen einerseits verhaltensgeprägten Gesundheitsdaten, die der Bürger selbst beeinflussen kann (z. B. durch seine Ernährung, Sport, Schlaf oder den Konsum von bzw. Verzicht auf Alkohol, Zigaretten und Drogen) und für die ihm daher auch eine Verantwortung zugeschrieben werden kann, und andererseits schicksalhaften Gesundheitsdaten (z. B. genetische Disposition). Die weitere Entwicklung kann bei den Krankenversicherern eine grundlegende Änderung des Geschäftsmodells mit sich bringen. Hierbei ist nicht nur an die Möglichkeiten gedacht, Prämienrabatte für bestimmte Lebensweisen zu geben oder Anreize für Präventionsmaßnahmen zu setzen, um mit den damit sinkenden Behandlungskosten die Policen insgesamt günstiger anbieten zu können. Die aktuelle Marktsituation bietet vielmehr auch Ansätze für die Versicherer, sich in den entstehenden Ökosystemen Gesundheit als Orchestrator oder Zulieferer zu positionieren. Auf diese Weise können Kooperationspotenziale genutzt und die Zusammenarbeit mit Ärzten, Krankenhäusern, Pflegern und anderen Gesundheitsdienstleistern gestärkt werden. Möglicherweise haben dabei andere, schon digitaler aufgestellte Unternehmen und Branchen aufgrund einer ausgeprägteren Technologieaffinität, schlankeren Prozessen und einer höheren Agilität und Flexibilität derzeit einige Wettbewerbsvorteile. Umso wichtiger ist es für die Versicherer, sich auf ihre Kompetenzen zu konzentrieren und sich eine passende Rolle zu suchen. Gerade in der Lebenswelt Gesundheit ist die Rolle des ‚Enablers‘ für den Versicherer gut vorstellbar: Der Kundenzugang und das hohe Kundenvertrauen könnten genutzt werden, um sich stärker als eine Art vermittelnder Akteur zwischen den Parteien Patient, Arzt, Krankenhaus und Pflegedienstleister zu positionieren und somit für das Gesamtsystem die Schlüsselrolle als Orchestrator eines Netzwerks einzunehmen. Die Daten, die dadurch zusätzlich generiert werden können, sind eine wertvolle Ressource. Mit dieser Möglichkeit geht allerdings auch eine sehr große Verantwortung einher. Wenn alle Daten zentral bei einem Versicherer zusammenlaufen, ist er damit in einem hohen Maß im gesamten Ökosystem für die Datensicherheit der Kunden verantwortlich. Das vorher aufgeworfene Paradoxon, die Übersensibilisierung der Datensicherheit einerseits und der Wunsch nach besseren Gesundheitsleistungen andererseits, muss in dieser Rolle auch maßgeblich von den Versicherern gelöst werden. In Betracht kommt für ein Versicherungsunternehmen natürlich auch die Rolle des Zulieferers in einem Ökosystem Gesundheit. Hier stellt sich die Frage, welche Kernkompetenzen darin eingebracht werden können. Typischerweise wird es sich dabei um die Risikotragung und die Finanzierung von Gesundheitsleistungen handeln. Eine gute Ausgangsposition haben die Versicherer auch mit ihren historischen Daten über die Gesundheit, Krankheitsverläufe und Behandlungsdaten ihrer Versicherten, die sie einbringen könnten – wobei natürlich der Datenschutz abermals eine zentrale Rolle spielt. Fallweise kommen weitere Kompetenzen infrage, wie z. B. die Kundenberatung und -betreuung, sowie die Übernahme von Backoffice-Funktionen und -Prozessen (Kalkulationsaufgaben, Abrechnungsleistungen, Datenverwaltung).  

 

Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt.

Fred Wagner, Theresa Jost in: Die Big Data-Debatte; Springer, 2019

https://link.springer.com/chapter/10.1007/978-3-658-27258-6_2

http://creativecommons.org/licenses/by/4.0/deed.de

 

datenschutz

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind!

Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen

 

Mehr lesen

01/2021

 

Lebenswelt Wohnen 

 

Smart Services im Überblick

Die Lebenswelt Wohnen umfasst alle Verhältnisse und Aktivitäten innerhalb des häuslichen Umfelds von Bürgern. Darin inbegriffen sind damit die Beschaffenheit (Dach, Fenster etc.), die Ausstattung (Möbel, Haushaltsgeräte etc.) von Haus bzw. Wohnung sowie dessen/deren unmittelbares Umfeld (Garage, Garten etc.). Der Lebenswelt Wohnen können darüber hinaus alle Tätigkeiten zugeordnet werden, die typischer- oder notwendigerweise im Haus oder in der Wohnung durchgeführt werden (bspw. kochen, waschen, bügeln, schlafen, …). Damit ergibt sich eine Reihe von Anknüpfungspunkten für die Bereitstellung von Smart Services, die im Wohnumfeld zur Steigerung der Lebensqualität eingesetzt werden können. Ein übergeordneter Begriff für unterschiedliche digitalisierte Angebote in der Lebenswelt Wohnen ist ‚Smart Home‘, also die intelligente Vernetzung des eigenen Zuhauses. Dabei gibt es unterschiedliche Entwicklungsstufen, wobei nicht eindeutig definiert ist, ab wann es sich um ein Smart Home handelt. In der letzten Entwicklungsstufe sind alle Geräte, Gegenstände, Materialien etc. miteinander vernetzt, sammeln Daten, werten sie aus und nutzen diese selbstständig mittels Künstlicher Intelligenz zur Optimierung der Wohnumgebung. Durch die intelligente Vernetzung und Auswertung der Daten können zudem Mehrwerte für die Bewohner entwickelt werden. Im Mittelpunkt der Bedürfnisse der Bewohner stehen dabei.

 

1. die Erhöhung von Lebensqualität durch mehr Komfort,

2. eine erhöhte Sicherheit innerhalb des Hauses sowie der Schutz nach außen und

3. eine möglichst hohe Effizienz bei der Nutzung eingesetzter Ressourcen.

 

In diese drei Bedürfniskategorien lassen sich auch die Smart Services kategorisieren, wobei eine trennscharfe Abgrenzung nicht immer möglich ist und der größte Mehrwert in der Verknüpfung der verschiedenen Mehrwerte und damit in der Befriedigung aller drei Bedürfniskategorien liegt. Smart Services im Bereich Komfort sollen den Bewohner von Alltagsaufgaben entlasten, das Leben in der Wohnung oder im Haus einfacher machen und eine komfortable und gemütliche Wohnatmosphäre schaffen. Anknüpfungspunkte sind z. B. die Regulierung von Luft, Licht und Temperatur, des Zutritts zur Wohnung, der Fensteröffnungen sowie die bequeme, ggf. auch automatisierte Steuerung verschiedener Komponenten und Gegenstände. So ist bei vielen Beleuchtungssystemen mittlerweile eine per App steuerbare Veränderung der Helligkeit und der Lichtfarbe möglich, inkl. des An- und Abschaltens des Lichts aus der Ferne. Ein weiteres Beispiel ist die intelligente Steuerung der Heizung, wie sie mittlerweile von einer ganzen Reihe von Herstellern angeboten wird. Dabei kann die Raumtemperatur wiederum entweder manuell per App oder Sprachsteuerung geregelt werden, oder aber die Einstellung erfolgt automatisiert, indem Daten per Funk, über Wandsensoren, durch Geofencing oder mittels Einsatzes einer Künstlichen Intelligenz weitergeleitet und für die Steuerung eingesetzt werden. Das Geofencing sammelt Standort- und Bewegungsdaten über GPS und erkennt, wenn die Bewohner zu Hause sind und wo sie sich aufhalten; demnach wird die Temperatur in den entsprechenden Heizzonen angepasst. Verlassen die Bewohner das Haus, wird die Temperatur automatisch abgesenkt. Befinden sie sich auf dem Heimweg, springen die Thermostate an und adjustieren die Heizung. Dabei kann zusätzlich über eine App oder andere Steuerungsmechanismen nachgeregelt werden. Wird zudem eine Künstliche Intelligenz verwendet, können Daten über die Gewohnheiten der Bewohner gesammelt und die Temperaturregelung selbstlernend angepasst werden. Ergänzend können auch weitere Sensoren zum Einsatz kommen, die zu hohe Luftfeuchtigkeit registrieren und z. B. mit einem Schimmelwarnungssystem ausgestattet sind. Wie sich zeigt, erhöht diese den Komfort adressierende Lösung zudem die Ressourceneffizienz, indem die Energienutzung optimiert und z. B. vermieden wird, dass die Heizung im Fall einer längeren Abwesenheit der Bewohner unnötig viel Öl, Gas oder Strom verbraucht. Durch die Vernetzung und den Datenaustausch mit Fenster- und Türsensoren kann zudem ein Energieverlust beim Lüften verhindert werden. Darüber hinaus können zahlreiche weitere Daten gesammelt werden, die wertvolle Informationen über den Energieverbrauch bieten und Verbesserungspotenziale aufzeigen. Insbesondere sog. ‚Smart Meter‘ (intelligente Zähler) können den Bewohnern in einem Smart Home entsprechende Mehrwerte schaffen. So wird etwa ein intelligenter Stromzähler mit den verschiedenen Geräten, die an das Stromnetz angeschlossen sind, vernetzt und über ein Gateway zur Datenübertragung dazu befähigt, alle Verbrauchsdaten nicht nur gesamthaft, sondern auch differenziert nach den Einzelgeräten auszulesen und zu analysieren. Der Nutzer erhält sodann über seine Smart-Home-App ausgewertete und visuell aufbereitete Informationen über seinen Stromverbrauch. Ähnlich differenziert kann über Smart Meter auch der Öl-, Gas- und Wasserverbrauch analysiert werden. Im Ergebnis lassen sich verbrauchsintensive Einrichtungen wie bspw. wiederum die Heizung oder eine Bewässerungsanlage im Garten optimiert steuern. Auch die automatische Deaktivierung von Elektronikgeräten in den Stand-by- Modus hilft, Betriebskosten zu senken und kommt damit überdies dem ökologischen Umgang mit Energieressourcen entgegen. Ein weiterer Smart Service entsteht durch die Nutzung von Fotovoltaik-Anlagen: Der Nutzer wird über den aktuellen Stand der Stromerzeugung seiner Anlage informiert. Wird bei entsprechendem Wetter gerade ausreichend Strom produziert, kann er z. B. ad hoc kostengünstig seine Wäsche waschen. Dieses Konzept verfolgt beispielsweise der Smart Meter-Hersteller Discovergy über die Kooperation mit der Smart Home-App iHaus: Ein Ampelsystem zeigt dem Kunden auf dem Smartphone an, wann Strom besonders günstig bereitsteht. Außerdem kann der Nutzer ‚Wenn-dann-Regeln‘ aufstellen. Damit steuert er seine Geräte über ihre Beziehungen untereinander. Beispielsweise wird zunächst das Elektroauto bis zur gewünschten Kapazität aufgeladen und der Geschirrspüler nur dann gestartet, sollte noch genügend günstige Energie verfügbar sein. Gleichermaßen kann das vernetzte Smart Home an den Energieversorger zum Datenaustausch angebunden werden. Dadurch können Energieflüsse besser prognostiziert und die Versorgungssicherheit gesteigert werden. Im Bereich der Sicherheit decken Smart Services vorrangig den Einbruchschutz und die haus- bzw. wohnungsinterne Schadensprävention ab. Neben kamerabasierten Zugangskontrollen und Überwachungssystemen innerhalb und außerhalb des Wohnraums sind es WLAN-Schlösser, die sich per App öffnen und schließen lassen, sowie Alarmsysteme, die mit direkten Dienstleistungen gekoppelt sind. Auch die oben beschriebenen Lichtsysteme lassen sich zum Schutz vor Einbrechern einsetzen. Dies kann insbesondere durch sog. Anwesenheitssimulatoren geschehen, die das Verhalten der Bewohner erlernen und bei deren Abwesenheit das Licht analog der üblichen Gewohnheiten steuern. Ein Anwendungssystem für Smart Services im Bereich der Schadenprävention sind sensorbasierte Angebote zur frühzeitigen Aufdeckung von Wasserschäden. So können Sensoren in den Wohnräumen installiert werden, die ungewöhnliche Nässe melden und durch ein Abschalten der Wasserversorgung vor Durchfeuchtung oder Überschwemmung schützen. Zudem bietet bspw. Grohe ein System an, das bereits in den Wasserrohren Mikroleckagen erkennt und so frühzeitige Präventionsmaßnahmen ermöglicht. Neben klassischen Smart Home-Anwendungen, die im privaten Wohnraum allen möglichen Nutzern zugutekommen, können auch intelligente Assistenzsysteme (Ambient Assisted Living) zu den Smart Services in der Lebenswelt Wohnen gezählt werden, die insbesondere für Senioren und pflegebedürftige Menschen entwickelt wurden. Dabei geht es um Anwendungen, die diese Zielgruppen im Haushalt unterstützen und ein selbstbestimmtes Leben im gewohnten und vertrauten Umfeld gewährleisten sollen. Die Angebote reichen dabei von Notrufmeldesystemen über elektronische Gesundheitsdienste bis hin zu Pflegerobotern. Der Übergang zur Lebenswelt Gesundheit ist an dieser Stelle fließend. Eine wichtige technologische Entwicklung, die in vielen Lebenswelten Anwendung findet, ist die Sprachsteuerung: Im Bereich Wohnen sind es Sprachassistenten wie Google Home und Amazon Alexa, die die Bedienbarkeit des vernetzten Zuhauses erleichtern und für den Nutzer komfortabler gestalten. Allerdings ist es in den meisten Fällen weiterhin erforderlich, dass Anweisungen und Vorgaben durch den Menschen vorgenommen werden. Die zukünftigen Entwicklungen im Smart Home-Bereich forcieren jedoch zunehmend die eigenständige Kommunikation der Komponenten untereinander, sodass sich das Smart Home eigenständig und automatisiert steuert und menschliches Zutun nicht mehr erforderlich ist. Dazu ist es notwendig, Daten aller Geräte und Komponenten kontinuierlich zu sammeln und über eine gemeinsame Plattform geeigneten Anwendungsdiensten zur Verfügung zu stellen. Nur so kann eine intelligente Regulierung z. B. der Heizungswärme oder des Einsatzes der Waschmaschine mit Strom aus der Fotovoltaikanlage automatisiert auf Basis vorhandener Wetterdaten erfolgen. Ziel ist es, dass die smarten Systeme aus vergangenen Ereignissen lernen und entsprechende Handlungsweisen daraus selbstständig ableiten – und nach und nach optimieren. Bereits heute können regelmäßig wiederkehrende Aktionen einzelner Einrichtungen im Haushalt automatisiert gesteuert werden (z. B. zentrale Heizungsanlagen mit Zeitschaltuhren oder Temperaturfühlern). Jedoch ist es aktuell noch nicht möglich, verkettete Systeme ereignisbasiert handeln zu lassen, da nach aktuellem Stand die Datenquellen und Geräte bzw. Einrichtungen noch nicht ausreichend miteinander verknüpft sind. Zudem existieren bislang noch kaum hinreichend intelligente Dienste, um die Daten entsprechend auszuwerten und daraus Handlungsweisen ableiten zu können. Im Folgenden werden zwei bereits real existierende Geschäftsmodelle beschrieben, die sich in Smart Services rund um die Lebenswelt Wohnen eingliedern. Dabei steht der Nutzen der Daten im Vordergrund, auf deren Basis Wertangebote für die Bewohner in einem ‚Smart Home‘ erzeugt werden. 

 

Ausgewählte Geschäftsmodelle innerhalb der Smart Services Amazon Key

1. Beschreibung des Geschäftsmodells

Mit dem Service „Amazon Key“ bietet Amazon ein schlüsselloses Zugangssystem zu Wohnungen/Häusern an, durch das der Nutzer dritten Personen aus der Ferne die eigenen Räumlichkeiten öffnen kann. Damit kann zum einen der Zutritt für Familienangehörige und Freunde, zum anderen das Erbringen von Dienstleistungen in den Räumlichkeiten der Nutzer ohne deren Anwesenheit ermöglicht werden. Für diesen Zweck wird die Haustür mit einem smarten Türriegel versehen, der sich mittels der zugehörigen Amazon Key- App programmieren lässt. Zusätzlich enthält das Angebot eine ebenfalls per App steuerbare Überwachungskamera, mithilfe derer der Eingangsbereich bei jeder Türöffnung aufgezeichnet wird. So kann der Nutzer z. B. der Haushaltshilfe, dem Dogsitter oder einem Handwerker temporären Zugang zu seinem Wohnraum verschaffen. Über die Amazon-Key-App stellt der Nutzer der entsprechenden Person einen Code zur Verfügung, mit dem die Tür innerhalb eines bestimmten Zeitraums geöffnet werden kann. Wenn der Zugang erfolgt, bekommt der Hausbewohner eine Benachrichtigung auf sein Handy. Eine Kontrolle ist dann durch Einsicht in die Aufzeichnung des Eingangsbereichs ohne Weiteres möglich. Amazon selbst schafft sich mit Amazon Key die Voraussetzungen und die Möglichkeit einer ‚in-home‘-Paketlieferung, die Amazon-Prime-Kunden exklusiv angeboten wird. Der Paketbote erhält dafür bei Auslieferung eine Authentifizierung, kann hiermit das smarte Türschloss öffnen und das Paket in der Wohnung des Nutzers abstellen. Der Nutzer kann mit diesem Service nicht mehr nur den Lieferstand ‚tracken‘, sondern sich zudem die Lieferung selbst über das aufgezeichnete Video ansehen. Die erhobenen Daten rund um Amazon Key umfassen Verhaltens- inkl. Konsuminformationen über die Bewohner, indem übermittelt wird, wann der Nutzer zu Hause ist, wann er Besuch empfängt und welche Produkte und Dienstleistungen er bei welchen Anbietern in Anspruch nimmt. Basierend darauf lassen sich weitere Mehrwertdienste anbieten, die sich in das Angebot von Amazon Key integrieren lassen. Daneben werden Videodaten der Überwachungskamera gesammelt, die bei Amazon gespeichert werden, um dem Nutzer bei Bedarf zur Verfügung zu stehen. Überdies kann Amazon Key ein massives Kostenproblem für Paketzustelldienste lösen, denen Mehrfachanfahrten oder Zusatzwege zu alternativen Lieferungsorten erspart werden.  Alternativ kommt es in der Realität immer wieder vor, dass Pakete bei Abwesenheit der Bewohner von den Zustellern einfach vor die Tür gestellt werden und dann abhandenkommen. Auch das wird durch Amazon Key verhindert – und erhöht die Sicherheit des Paketerhalts bzw. vermeidet Verlustschäden. Indem die Türöffnungsfunktion auch für andere Zusteller jenseits von Amazon-Lieferanten nutzbar werden soll, erhält Amazon auch Daten über die Bestellung bei Drittanbietern und über deren Zustellmodalitäten, damit also ggf. auch von Konkurrenten. Bis auf Weiteres ist Amazon Key eine singuläre Smart Home-Anwendung, ohne Vernetzung mit anderen Funktionen, die zu gesamtheitlichen Lösungen führen könnten. Amazon Key bietet aber wichtige Ansatzpunkte und Informationen auf dem Weg dorthin und kann mit der Möglichkeit zur Verknüpfung der gewonnenen Daten mit weiteren Daten aus der Wohneinheit einen Meilenstein zu einem ganzheitlich vernetzten Smart Home darstellen.

 

2. Geschäftsmodellanalyse nach dem Business Model Canvas

 Das Wertangebot von Amazon Key ist die App-basierte Zugangskontrolle für dritte Personen zum eigenen Wohnraum. Dadurch können Dienstleistungen flexibler in Anspruch genommen und Zeiten effizienter genutzt werden. Ziel des Angebots ist es, Familienmitgliedern, Freunden und Nachbarn sowie Dienstleistern jederzeit und aus der Ferne kontrollierten Zugang zu ermöglichen und den Wohnraum während des temporären Zugangs Dritter zu überwachen. Durch die jederzeitige Lieferung der bestellten Ware in den eigenen Wohnbereich kommt es nicht mehr zur Paketzustellung an andere Orte, wie dem Nachbarn oder einem nahegelegenen Shop, sodass dies zu Convenience und Zeitersparnis bei den Kunden führt. Im Kundensegment ist Amazon Key auf den B2C-Bereich fokussiert, da das Angebot primär auf den Privathaushalt zugeschnitten ist. Was den Lieferdienst anbetrifft, sind die Zielgruppe in erster Linie Personen mit Affinität zum Onlinehandel. Als Distributionskanal bedient sich Amazon Key verschiedener Medien wie einer App, der Homepage, dem Telefon und der E-Mail. Die Kundenbeziehung ist durch eine hohe Standardisierung und zudem technisch geprägt, da die Anwendung mithilfe der App gesteuert wird. Es gibt zudem kaum einen direkten Kundenkontakt. Bei einer Bestellung im Amazon Store sind die üblichen Self-Service-Optionen integriert, die um die Option der Inhouse-Lieferung erweitert sind. Einnahmequellen ergeben sich zunächst aus den einmaligen Gebühren für die Anschaffung von Amazon Key in Höhe von derzeit 212 EUR. Darin enthalten sind neben der für die Nutzung erforderlichen App die Kamera und das smarte Türschloss. Da Amazon Key zunächst nur für Prime-Mitglieder verfügbar ist, sind zusätzlich Mitgliedsgebühren mit dem Angebot verknüpft. Ebenfalls können sich die Kundenzahl im herkömmlichen Online-Handelsgeschäft und die Bestellintensität bei Amazon durch die angebotenen Mehrwerte erhöhen, sodass weitere Einnahmen erschlossen werden. Die Schlüsselaktivitäten zur Umsetzung des Geschäftsmodells liegen in der Bereitstellung der technischen Geräte sowie der App und in den damit geschaffenen Zugangs- und Kontrollfunktionen. Es ist zwingend notwendig, dass das smarte Türschloss und die Kamera einwandfrei arbeiten. Ebenfalls ist die Absicherung gegen mögliche Einbrüche aufgrund digitaler Sicherheitslücken essenziell. Dafür sind ggf. laufende Updates erforderlich, wenn Schwachstellen erkannt werden. Des Weiteren können die erfassten Verhaltens- und Konsumdaten der Bewohner genutzt werden, um über die eigentliche Funktionalität von Amazon Key hinaus weitere Mehrwertleistungen anbieten zu können. Zu den Schlüsselpartnern zählen die Hersteller der smarten Türschlösser, bei denen der Nutzer zwischen Schlage, Yale oder Kwikset wählen kann. Ebenfalls sind Paketdienstleister, über die eigene Produkte ausgeliefert werden, Partner. Ergänzend arbeitet Amazon mit ca. 1300 Servicepartnern zusammen, das sind u. a. Hundesitter, Handwerker oder Reinigungsunternehmen. Schlüsselressourcen sind neben dem smarten Türschloss und der Überwachungskamera vor allem die gesammelten Daten über die Nutzer und deren Anwesenheitsverhalten, Besucher- und Dienstleisterbeziehungen sowie Konsummerkmale. Diese Daten und die damit generierten Informationen ermöglichen es Amazon, das Angebot für die Kunden stetig zu verbessern und immer individueller auszugestalten. Soweit Amazon auch in die interne Lebenswelt Wohnen, bspw. über Alexa, Einblick erhält, ist die Kombination dieser Informationen mit denen aus Amazon Key zentral, um künftig noch umfassendere Offerten kreieren zu können. Damit schließt sich wiederum der Kreis zu möglichen neuen Wertangeboten.  

 

3. Ubtech Robotics Lynx

Beschreibung des Geschäftsmodells

‚Lynx‘ ist der Roboter des chinesischen Robotic-Herstellers Ubtech, der seit 2017 auf dem Markt angeboten wird. Der datengesteuerte Roboter ist ca. 40 cm groß, kann über eingebaute Mikrofone und Lautsprecher hören und sprechen und sich selbstständig fortbewegen. Ubtech arbeitet mit Amazon zusammen und verwendet die von Amazon entwickelte Sprachsteuerungsfunktion Alexa. Dadurch kann Lynx automatisch Sprache erkennen und anhand seiner Verständnisfunktion antworten. Zudem ist der Kopf des Roboters mit einer Kamera ausgestattet, die sich mithilfe von Gelenkmotoren drehen, senken und erhöhen lässt und dadurch Bildmaterial aus der Umgebung vollständig erfassen und aufnehmen kann. In Kombination mit der integrierten Gesichtserkennungsfunktion kann Lynx ausmachen, wer sich in der Wohnung befindet, bekannte Personen mit Namen ansprechen und mit diesen in Interaktion treten. Im Aktivitätsmodus kann der Roboter selbstständig die Kommunikation aufnehmen, er kann aber auch per App dazu aufgefordert werden, mit den Personen seines Umfelds Kontakt aufzunehmen. Dies erfolgt mittels einer Avatar-Funktion, die den Roboter als Übertragungsschnittstelle nutzt und eine Zweiwegekommunikation7 ermöglicht. So kann der Anwender des Roboters auch Kontakt mit Personen aufnehmen, die sich im gleichen Raum mit Lynx befinden, ohne dass er selbst anwesend sein muss. Neben der Sprachkommunikation kann auch Bildmaterial ausgetauscht werden. Des Weiteren sind im Brustbereich Infrarotsensoren eingebaut, mittels derer Bewegungsdaten gesammelt und ausgewertet werden können. Durch die Schnittstelle zur Alexa-Sprachsteuerung lassen sich unterschiedliche Aktivitäten innerhalb des Smart Home steuern. So kann Lynx – ebenso wie Alexa auch – nach Aufforderung die Rollos nach unten fahren, Musik abspielen und Tätigkeiten wie Terminvereinbarungen, Schreiben von E-Mails und Berechnungen von optimalen Verkehrsrouten übernehmen. Ebenfalls ist der Roboter mit einer Künstlichen Intelligenz ausgestattet, durch die er ständig dazulernen und seine Funktionen verbessern kann. Außer rein sprachlich kann Lynx auch körperlich mit seinem Umfeld in Interaktion treten. Bspw. kann er im Bereich Ambient Assisted Living (AAL) ältere oder in ihrer Bewegungsfreiheit eingeschränkte Menschen im Alltag unterstützen oder zur Unterhaltung oder für verschiedene Aktivitäten eingesetzt werden. Damit wird Lynx zu einem umfassenden (Smart Home-)Assistenten. Jenseits der physischen Funktionen kann er auch für geistiges Training, bspw. für an Demenz erkrankte Personen, genutzt werden. Ein wichtiges Anwendungsfeld ist zudem die Unterstützung beim Einbruchschutz und die Erhöhung der Sicherheit zu Hause. So kann sich Lynx eigenständig in festgelegten Bereichen des Hauses bewegen und über die integrierten Infrarotsensoren Bewegungen innerhalb des Hauses erkennen, diese seinem Nutzer melden und sofort Bildmaterial der auffälligen Umgebung übermitteln. Auf diese Weise kann der Roboter als mobile Überwachung der Wohnung eingesetzt werden. Neben der Sicherheit dient Lynx vor allem dem Komfort: Er unterstützt seinen Anwender bei einfachen und alltäglichen Aufgaben zu Hause, unterhält ihn und dient als Steuerungszentrale des Smart Home.

 

4. Geschäftsmodellanalyse nach dem Business Model Canvas

Das Wertangebot von Lynx besteht in der Unterstützung bei verschiedenen Tätigkeiten in der erweiterten Lebenswelt Wohnen: Abläufe im Alltag werden vereinfacht und beschleunigt, es sind Unterhaltungsfunktionen enthalten und im Überwachungsmodus ist eine bewegungs- und videodatenbasierte Überwachung möglich, im Rahmen derer sich der Roboter auch aus der Ferne steuern lässt. Es handelt sich bei Lynx damit um einen smarten Assistenten, der nicht nur das Smart Home steuert, sondern das Leben zu Hause erleichtert. Durch die Kombination von Robotertechnik und digitaler Sprachassistenten-Funktionen wird eine persönliche Schnittstelle zwischen Mensch und Maschine geschaffen. Die Serviceleistungen von Lynx richten sich an das B2C-, aber durchaus auch an das B2B-Kundensegment, da Lynx sowohl im privaten Zuhause als auch in sonstigen Umgebungen einsetzbar ist. Im B2B-Bereich kann Lynx bspw. in Altenheimen oder Kindergärten genutzt oder zur Überwachung von Bürogebäuden oder Industrieanlagen eingesetzt werden. Der Distributionskanal ist vor allem der Online-Verkauf. Bei Amazon ist Lynx für 800 US$ bestellbar. Aktuell wird der Roboter nur in den USA verkauft; weitere Länder sollen aber zeitnah folgen. Die zugehörige App ist im Google Playstore und im App Store von Apple kostenfrei erhältlich. Die Kundenbeziehung ist vor allem durch die persönliche Interaktion mit Lynx gekennzeichnet. Außerdem kann der Kunde über die App mit dem Hersteller in Verbindung treten. Daneben ist der Kundenservice per E-Mail und Telefon erreichbar. Nicht nur Ubtech, sondern auch Amazon steht mit dem Kunden in enger Beziehung. Alle Daten, die im Zusammenhang mit der Alexa-Nutzung entstehen, laufen über das Rechenzentrum von Amazon und dienen dem Unternehmen als Kundenschnittstelle. Primäre Einnahmequelle ist zunächst der (jeweils einmalige) Verkaufspreis des Roboters. Jedoch steht derzeit die Monetarisierung von Lynx nicht im alleinigen Fokus. Insbesondere geht es darum, den Markt zu erobern, Wettbewerbsvorteile zu erzielen und die Robotertechnik sowie die enthaltene Künstliche Intelligenz zu verbessern. Mit steigenden Nutzerzahlen werden nicht nur höhere Einnahmen generiert, sondern es können vor allem auch mehr Daten gesammelt und ausgewertet werden, die zu einer Verbesserung der Leistungen nutzbar sind. Durch die Datensammlung sind sowohl Amazon als auch Ubtech in der Lage, die Kommunikation, das Wohn- und Kaufverhalten, die Mediennutzung etc. jedes Nutzers besser zu verstehen. Mittels entsprechender Datenanalyse können somit über passende Kaufempfehlungen mehr Umsatz generiert und die Möglichkeit verbessert werden, neue Mehrwerte zu erzeugen. Schlüsselaktivitäten sind die (Weiter-)Entwicklung von Robotics und der Künstlichen Intelligenz. Dies geschieht durch die Sammlung und Auswertung aller Nutzerdaten, die über die Interaktion mit Lynx anfallen und im Rahmen der Kundenprofilanalyse analysiert werden. Lynx liefert damit umfassende Daten über das Verhalten und die Bedürfnisse seiner Nutzer und generiert damit ein umfangreiches Kundenverständnis, auf Basis dessen immer weitere Services angeboten werden können. Neben dem Schlüsselpartner Amazon arbeitet Ubtech mit verschiedenen Universitäten und Forschungseinrichtungen zusammen. Die gewonnenen Kunden-, Umgebungs- und Kommunikationsdaten stellen die Schlüsselressourcen dar. Gerade in Bezug auf den Überwachungsmodus sind zudem die Bewegungsdaten und Videoaufzeichnungen essenziell. Die möglichst umfassende Kenntnis der Lebensumstände und der Präferenzen seiner Anwender ist die Grundlage für das Wertangebot von Lynx und dessen weitere Entfaltung. 

 

 

5. Spannungsfeld Datennutzung und Datenschutz

Services in den Bereichen Smart Home und Ambient Assisted Living unterstützen das Leben im häuslichen Umfeld mit dem Ziel, ein höheres Maß an Sicherheit, Komfort und Effizienz für die Bewohner herzustellen. Dies geschieht beispielsweise durch Automatisierung von Warnungen, Arbeitsabläufen und physischer Hilfe. Dabei entfaltet das vernetzte Zuhause sein volles Potenzial erst dann, wenn möglichst viele Daten über die Einrichtungen, Geräte und deren Nutzer ausgelesen und analysiert werden. Erst dadurch entsteht ein umfassendes Bild über den Menschen in seinem Zuhause und können individuell passende (Unterstützungs-) Leistungen angeboten bzw. in Anspruch genommen werden. Die Lebens- und Wohnqualität kann insbesondere für ältere Menschen gesteigert werden. Mit dem Eintritt in den Massenmarkt können Smart Home-Komponenten das sichere und altersgerechte Wohnen fördern. Das häufig wichtigste Ziel älterer Menschen, so lange wie irgend möglich selbstständig und selbstbestimmt zu leben, wird dadurch gefördert. Insgesamt hilft das Smart Home, die gesellschaftliche Entwicklung eines möglichst individualisierten Wohnangebots je nach persönlichen Vorlieben in Bezug auf Wohnumgebung und Verfügbarkeiten von Assistenzsystemen umzusetzen. Neben allgemeinen Daten zur Person, wie Alter, Geschlecht, Authentifizierungs- und Kontaktdaten, die in aller Regel bereits bei der Anmeldung zu Smart Services preisgegeben werden,  sind es im Wohnbereich vor allem Verhaltens- und Nutzungsdaten sowie Überwachungsdaten (Bild und Ton), die erhoben und ausgewertet werden. Aber auch Standort- und Bewegungsdaten werden in der Lebenswelt genutzt, um Sicherheit (bewegt sich etwas im Haus, obwohl der Bewohner nicht daheim ist?), Komfort (die Heizung schaltet sich ein, wenn sich der Bewohner auf dem Nachhauseweg befindet) und Effizienz (alle Lampen schalten sich aus, wenn der Bewohner das Haus verlässt) zu generieren. Essenziell für Smart Services, die im Bereich Wohnen das Bedürfnis nach Sicherheit adressieren, sind die Überwachungs- und insbesondere Videodaten. Durch Aufzeichnung der Überwachungsdaten (Bild und Ton) mittels verschiedener Systeme, wie Kameras und Bewegungssensoren, können Auffälligkeiten erkannt, analysiert bzw. verifiziert und weiterverarbeitet werden. In Kombination mit der Möglichkeit, Daten automatisiert auszuwerten und im Notfall weitere Schritte einzuleiten, liegt eine effektive Hilfestellung für die Betroffenen vor, insbesondere indem Maßnahmen in Akutfällen auch ohne deren aktives Eingreifen eingeleitet werden können. Zudem kann die Sicherheit präventiv durch die Analyse von Verhaltens- und Nutzungsdaten gesteigert werden, indem die Erkenntnisse bspw. zur automatisierten Anwesenheitssimulation dienen. Auch unter Komfort- und Effizienzerwägungen sind gerade die Verhaltens- und Nutzungsdaten interessant. Je umfangreicher Informationen über Gewohnheiten der Bewohner eines Smart Home vorliegen, desto genauer können Leistungsangebote auf deren Bedürfnisse zugeschnitten werden. Erst das Wissen über die Uhrzeit des Aufstehens (auch in Echtzeit, z. B. durch Konnektivität mit einem smarten Wecker) ermöglicht das rechtzeitige Erwärmen des Badezimmers und die automatisierte Ingangsetzung der Kaffeemaschine und des Toasters. Benötigt werden dafür fast ausschließlich sensible personenbezogene Daten, die besonderen Datenschutzbestimmungen unterliegen. Jedoch sind gerade diese Daten aufgrund des engen Bezugs zu den Gewohnheiten und Bedürfnissen der Menschen von besonderem Interesse für die Entwicklung smarter Geschäftsmodelle. Damit handelt es sich auch um Daten und Informationen, die eben nicht frei zugänglich sind, sondern einen direkten Zugang zum Nutzer und dessen Einverständnis zur Erhebung voraussetzen, um ein hinreichend treffendes Bild über das Privatleben zu gewinnen. Durch die Analyse dieser Daten können Geschäftsmodelle nutzerzentriert weiterentwickelt und neue Angebote und Services konzipiert werden. Aufgrund des Umfangs und der Sensibilität der im Wohnbereich erhobenen Daten gibt es verschiedene Gesetze, die aus Daten- und Verbraucherschutzgründen für den Bereich Smart Home Anwendung finden und damit auch Anwendungsrestriktionen setzen. Dazu zählen u. a. das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Energiewirtschaftsgesetz (EnWG) und das Gesetz zur Digitalisierung der Energiewende. Des Weiteren stellt die seit 2018 gültige Europäische Datenschutzgrundverordnung (EU-DSGVO) persönliche Daten unter einen strengen und komplexen Schutz. Die neue EU-DSGVO regelt Vorschriften für die Erhebung und Verwertung personenbezogener Daten, die auch für das Smart Home umfassend Gültigkeit besitzen. Mit der EU-DSGVO drohen empfindliche Bußgelder, wenn Unternehmen gegen gültige Datenschutzbestimmungen verstoßen. Dabei gelten die folgenden Grundsätze:

  • Die Erhebung personenbezogener Daten bedarf einer Legitimation durch einen gesetzlichen Erlaubnistatbestand oder durch Einwilligung des Nutzers.
  • Die Einwilligung muss freiwillig erfolgen, d. h. die Nutzung eines Geräts darf nicht an die Einwilligung gekoppelt sein. Das fällt bei vernetzten Smart Home-Geräten in der Praxis schwer, da sie ja faktisch nur genutzt werden können, wenn sie Daten erheben.
  • Der Einwilligende muss umfassend über die Datenerhebung informiert werden.
  • Die Datennutzung darf nur in den Grenzen der Einwilligung erfolgen. Das Sammeln von Daten ‚auf Vorrat‘ ohne Zweckbindung ist damit untersagt.
  • Der Grundsatz der Datenminimierung steht im Vordergrund der EU-DSGVO. Damit dürfen nur Daten erhoben werden, die für einen definierten Zweck erforderlich sind.
  • Alle Geräte und Anwendungen müssen so konzipiert (‚Privacy by Design‘)

 und voreingestellt (‚Privacy by Default‘) sein, dass möglichst wenig personenbezogene Daten erhoben werden. Ein Ausweg besteht nur über die Anonymisierung der Daten (Verordnung des Europäischen Parlaments und des Rates 2016/679 2018). Eine Herausforderung im Zusammenhang mit dem Smart Home besteht darin, dass Nutzer oftmals nicht sicher sind und sein können, welche Daten über die verwendeten Geräte aufgezeichnet werden und wofür diese tatsächlich genutzt werden. Ein Beispiel ist das Sprachsteuerungssystem Alexa, das laut Hersteller-Angaben Audiodateien erst dann aufzeichnet, wenn der Nutzer Alexa anspricht. Um Alexa zu verstehen, muss jedoch eine gewisse Aktivität des Geräts zu jedem Zeitpunkt sichergestellt sein. Ähnlich verhält es sich mit Überwachungssystemen, die Audio- oder auch Videodaten aufzeichnen. Über die Netzwerkanbindung können solche Daten direkt von den angebundenen Unternehmen verwertet werden. Vor diesem Hintergrund haben viele Bürger nach wie vor eine hohe Skepsis gegenüber einer umfassenden Datenpreisgabe und Datenauswertung in der sehr privaten Lebenswelt Wohnen. Verstärkt wird die Sorge dadurch, dass insbesondere die datengetriebenen ‚BigTechs‘, die mit ihren individuellen Smart Services weltweit führend sind, außerhalb der EU in den USA (Amazon, Apple, Facebook, Google) und China (Baidu, Alibaba, Tencent) sitzen, wo andere, viel liberalere Datenschutzregeln gelten. Das Datenschutzklima und der rechtlich fixierte Datenschutz dürften von daher eine größere Verbreitung der Smart Home-Technologien in Deutschland und Europa bislang bremsen. Ansätze zur Lösung und zur Fortentwicklung von Smart Services in der Lebenswelt Wohnen liegen in der Sicherung der Systeme und der Hoheitsrechte über sensible personenbezogene Daten. Gerade vernetzte Haussysteme, die Sicherheits- und deshalb Überwachungssysteme beinhalten, müssen zudem ausreichend Schutz gegen Hackerangriffe bieten und manipulationssicher sein. Es ist unerlässlich, dass die Geräte über verschlüsselte Netzwerke miteinander kommunizieren und immer automatisch die neuesten Updates aufgespielt werden, um entstehende Sicherheitslücken möglichst unverzüglich zu schließen. Auch die Datenübertragung nach außen, zum Server bzw. in die Cloud (und wieder zurück), muss verschlüsselt und entsprechend gesichert erfolgen. Was die Hoheitsrechte anbetrifft, ist rechtlich sicherzustellen, dass der Bürger selbst als Nutzer von Smart Services entscheidet, welche Daten von ihm und seinem Wohnumfeld erhoben werden und welche Teile davon er wem für welche Zwecke zur Verfügung stellt – aber dafür muss er auch die Möglichkeit entsprechender Wahlhandlungen bekommen, unabhängig vom Hersteller der vernetzten Geräte oder vom Plattformbetreiber. Herausforderungen entstehen ferner durch das Tempo, mit dem Internetkonzerne und Start-ups datengetriebene Services auf den Markt bringen. Oftmals können Politik und Regulierung mit dieser Geschwindigkeit nicht schritthalten. Um umfassende Smart Services in den Lebenswelten bieten zu können, müssen das Verständnis aufseiten der Bürger erhöht und Risiken möglichst minimiert werden, um auch die Chancen zu wahren und zu realisieren. Die Chancenwahrung wiederum steht durchaus im Widerspruch zu einem aktuell sehr restriktiv regulierten Markt mit insbesondere sehr hohen (und anscheinenden immer noch weiter steigenden) Datenschutzstandards, die den technologischen Möglichkeiten der Vernetzung und der Datengenerierung, -analyse und -übertragung vielfach nicht gerecht werden. Schon heute sind zahlreiche Smart Services und innovative Geschäftsmodelle in der Lebenswelt Wohnen vorzufinden, die sich in den kommenden Jahren weltweit voraussichtlich rasant weiterentwickeln und verbreiten werden. Die Potenziale liegen gerade in Deutschland jedoch bislang noch weitgehend brach. Dabei ist der Nutzen, den die Datensteuerung im intelligenten Zuhause liefert, zu großen Teilen bekannt, zugehörige Geschäftsmodelle entwickeln sich heute und Märkte werden international jetzt erschlossen und verteilt. Folglich sollte die Abwägung zwischen notwendigem Datenschutz und den möglichen Mehrwerten der datengetriebenen Geschäftsmodelle nicht einseitig geführt werden. Hier gilt es, die Balance unter Berücksichtigung aller Aspekte zu wahren, denn auch für Unternehmen stehen der Kundennutzen und das Kundeninteresse im Fokus ihrer Geschäftsmodelle.   

 

6. Rolle der Versicherer

Datengetriebene Smart Services werden die Lebenswelt Wohnen in naher Zukunft nachhaltig verändern. Insbesondere gilt das für den Privatkundensektor, an den sich ein Großteil der Angebote richtet. Damit einher gehen das Eintreten neuer Marktteilnehmer, eine Neuverteilung bestehender Rollen sowie die Notwendigkeit, (branchenübergreifende) Kooperationen im Umfeld Wohnen einzugehen. In der jüngeren Vergangenheit ließen sich bereits einige Allianzen beobachten, und es zeigt sich eine langsam zunehmende Bereitschaft, Schnittstellen zur Verfügung zu stellen. Jedoch ist gerade der Smart Home-Markt nach wie vor sehr stark zersplittert. Zahlreiche Anbieter wie Hersteller von Haustechnik, Energielieferanten und Telekommunikationsunternehmen versuchen, den direkten Zugang zum Kunden zu gewinnen und sich mit ihren Lösungen am Markt zu positionieren. Für die Kunden entsteht dadurch die Herausforderung zahlreicher unterschiedlicher Angebote, die teils überschneidende Services bieten und oft untereinander nicht kompatibel sind – insbesondere auch, was die Kommunikation der Geräte und den Datenaustausch untereinander angeht. Gerade durch die fehlende Kompatibilität der Geräte und Anwendungen untereinander ergeben sich Hemmnisse bei der Nutzung von Smart-Home-Technologien. Mehr und mehr wird deutlich, dass der Kunde kein Verständnis für separate und voneinander losgelöste Services hat, die einzeln installiert werden müssen und keine vollständige Lösung aufweisen. Vor diesem Hintergrund kristallisieren sich zunehmend Netzwerke heraus, die gemeinschaftlich an umfassenden, kundenzentrierten Smart Services arbeiten. Beispielhaft kann an dieser Stelle das Netzwerk ‚Connected Living‘ genannt werden, an dem zahlreiche namhafte Industrie- und Softwareunternehmen, Dienstleister sowie Versicherer mitwirken. Häufig dienen diese Zusammenschlüsse jedoch vorrangig dem Austausch und weniger der Entwicklung konkreter Lösungen, die umfassende Mehrwerte für die Bürger mit sich bringen. Bei der gemeinschaftlichen Entwicklung konkreter Leistungen überwiegen nach wie vor meist der Wunsch, das eigene Unternehmen und die damit verbundene Marke zu positionieren, sowie die Angst vor Konkurrenz und dem Verlust von Marktanteilen. Mit den o. a. Entwicklungen in der Lebenswelt Wohnen wird sich auch das Geschäftsmodell der Versicherer verändern und werden neue Herausforderungen und Chancen entstehen. Mit den neuen Smart Services ändern sich zunächst die Kommunikationswege mit den Kunden und die Kontaktpunkte zu ihnen erheblich. Digitale Assistenten in den Wohnräumen schaffen eine völlig neue Form des Austauschs und bringen neue Touchpoints mit sich. Sie begleiten den Kunden in seinem privatesten Umfeld und schaffen dadurch eine genaue Kenntnis über seine Lebenssituation und Gewohnheiten. Mittels Datenanalyse können darüber hinaus Wünsche und Bedarfe der Kunden abgeleitet, passgenaue Leistungen individuell und bedarfsgerecht erstellt und über die intelligenten Interaktionsschnittstellen empfohlen und abgeschlossen werden. Das gilt auch für die Versicherungsprodukte rund ums Wohnen, die bei intelligenter Auswertung der Wohnausstattung und der damit verbundenen Sach- und Haftpflichtrisiken zielgenau, mit der treffenden Deckungshöhe und gesamthaft zugeschnitten angeboten werden können. Im Umkehrschluss kann ein smarter Helfer auch überflüssige oder nicht mehr notwendige Versicherungen aufdecken und kündigen. Außerdem kann er dem Kunden bei intelligenter Analyse den günstigsten Tarif vorschlagen und ihm bei neuen Angeboten einen Wechsel empfehlen. Ob es in Zukunft zudem noch derart zersplitterte Produktlandschaften geben wird, wie heute üblich, mit Wohngebäudeversicherungen zum ‚Versicherungswert 1914‘, Hausratversicherungen nach dem ‚Vollwertprinzip‘ und Gewässerschadenhaftpflichtversicherungen für den Öltank im Vorgarten, die kein normaler Bürger versteht, kann hinterfragt werden. Die Entwicklungen lassen auch eine weitere Konsolidierung des Versicherungsmarkts erwarten. Wenn in größeren Netzwerken künftig ganzheitliche Lösungen für das Smart Home des Kunden angeboten werden, könnte es ausreichen, daran jeweils nur einen Versicherer exklusiv zu beteiligen. Auch die personalen Versicherungsvermittler werden nicht wie bisher zum Einsatz kommen, wenn die digitalen Analysemöglichkeiten und die automatisierten Prozesse vermehrt zum Tragen kommen. Einerseits müssen sich die Versicherungsvertreter und -makler die digitalen Anwendungen selbst zunutze machen, andererseits werden die Entwicklungen aber auch zu einer Substitution ihrer bisherigen Arbeit führen. Außer für eine stärker kundenzentrierte Produktgestaltung können die in der Lebenswelt Wohnen gewonnen Daten unter Nutzung von Methoden des Data Mining und Künstlicher Intelligenz zur Prognose, Früherkennung und Prävention von Schäden verwendet werden, was ebenfalls erhebliche Auswirkungen auf das Geschäftsmodell der Versicherer mit sich bringt. Durch Sensoren in den Rohrleitungen werden Wasserschäden verhindert, smarte Schließ- und Überwachungssysteme beugen Einbrüchen vor, und auch Schäden durch Unwetter und Feuer können durch Wettersensoren, intelligente Rauchmelder u. ä. reduziert werden. Die bislang hohen Schadensummen, die besonders bei Gebäudeschäden im Zusammenhang mit Wasser und Feuer auftreten, können dadurch signifikant sinken. Kommt es dennoch zum Schadenfall, werden Schadenabwicklung und -regulierung durch eine intelligente Datenanalyse grundlegend vereinfacht, da der Versicherer für seine Aufgaben der Schadenprüfung viele relevante Daten in Echtzeit einsehen und verarbeiten kann. Mit der einhergehenden Ursachenanalyse könnten die lernenden Systeme zudem wiederkehrende Schäden immer besser vermeiden. Dadurch werden die Risiken in der Hausrat- und Wohngebäudeversicherung gemindert, und in der Folge sinkt auch schlicht die Bedeutung klassischer Versicherungsprodukte. Dadurch ist eine Neuausrichtung des Geschäftsmodells unausweichlich. Allerdings kommen im Smart Home auch neue Risiken auf, die einer Absicherung bedürfen. So scheint es im Hinblick auf die wachsende Bedeutung von Daten- und Prozesssicherheit angezeigt, eventuelle Ausfälle des Smart Home-Systems oder Hackerangriffe abzusichern sowie bspw. bei möglichem Fehlalarm für die entstandenen Kosten aufzukommen. Um sich langfristig in der Lebenswelt Wohnen zu etablieren, ist die strategische Positionierung im Ökosystem Wohnen erforderlich. Von großer Bedeutung sind dabei branchenübergreifende Kooperationen und die Eingliederung in einem umfassenden Netzwerk – sei es als Orchestrator oder Zulieferer von Komponenten rund um Lösungen im Smart Home. Einen Schritt hin zu strategischen Partnerschaften haben viele Versicherer in den letzten Monaten und Jahren bereits getan. Ein Beispiel dafür ist ein Produkt der ERGO, die in Kooperation mit der Deutschen Telekom einen Smart- Home-Schutzbrief anbietet. Löst ein Magenta-Smart-Home-Gerät (Rauchmelder, Wassersensor, Alarmanlage) einen Alarm aus, wird der abwesende Bewohner über sein Smartphone informiert und über die ERGO werden entsprechende Notfallmaßnahmen eingeleitet. Der Versicherer ergänzt damit die technologischen Komponenten der Telekom um tatsächliche Hilfeleistungen im Schadenfall. Darüber hinaus übernimmt die ERGO im Rahmen der Kooperation auch die Schadendeckung und die Kosten für eine nachfolgende Bewachung bei eingeschlagenen Fenstern und Reparaturen bis zu einer Höhe von 3000 EUR. Analog funktioniert die Zusammenarbeit zwischen dem Elektronikhersteller Gigaset und der AXA. Registriert die Alarmanlage von Gigaset einen Einbruch, wird der Kunde per Smartphone informiert und kann über das Überwachungssystem prüfen, ob es zu einem Einbruch gekommen ist. Im gegebenen Fall hat er die Möglichkeit, den angeschlossenen AXA-Sicherheitsdienst zu informieren, der sich um die weiteren erforderlichen Maßnahmen kümmert. Durch die konkrete Hilfeleistung durch den Versicherer wird der Service für den Kunden besser greifbar und Installationshemmnisse gegenüber einem Smart Home können abgebaut werden. Einen ähnlichen Ansatz verfolgen Allianz und Panasonic mit ihrer Kooperation (Allianz Assist Versicherung), die u. a. einen kostenlosen Schlüsseldienst, eine Sicherheitskontrolle vor Ort und die Anbindung verschiedener Handwerkspartner organisieren. Auf der einen Seite zeigt sich, dass durch derartige Partnerschaften neue Absatzkanäle sowie über die Smart Home-Geräte zusätzliche Kontaktpunkte zum Kunden erschlossen werden können. Auf der anderen Seite verdeutlichen die Beispiele, dass sich die Kooperationen aktuell nur auf bilaterale Partnerbeziehungen beschränken und mit verschiedenen Anbietern und Versicherern sehr ähnliche bis deckungsgleiche Services angeboten werden. Dadurch und mit den vorrangig singulären Smart Home-Produkten konnten bislang kaum Alleinstellungsmerkmale realisiert werden. Damit eine umfassende Lösung für die Lebenswelt Wohnen angeboten werden kann, sind statt bilateraler Partnerschaften auf Produktebene übergreifende Kooperationen mit Akteuren aus mehreren relevanten Branchen erforderlich. In der Lebenswelt Wohnen überwiegt das Bedürfnis nach Sicherheit gegenüber dem Wunsch nach Innovationen und neuesten Technologien. Zudem wird ein großer Teil Privatsphäre berührt, wodurch Vertrauen und Zuverlässigkeit für viele Menschen eine wichtige Rolle bei der Wahl des Anbieters spielt. Dadurch entstehen für Versicherer Chancen der Positionierung, denn sie sind schon seit Langem dafür bekannt und akzeptiert, sensible Daten über ihre Kunden zu verarbeiten und sorgsam zu nutzen. Verschiedene Studien schreiben daher den Versicherern auch ein deutlich größeres Vertrauen beim Datenschutz zu als internationalen Großkonzernen wie Amazon oder Google. Dieses Potenzial könnte genutzt werden, um sich als ‚Enabler‘ und Orchestrator eines umfassenden Netzwerks in Stellung zu bringen. Zudem haben Versicherer mit dem Ziel geringer Schäden ein den Kunden ähnliches Anliegen. Das hohe Vertrauen der Kunden und die ähnlichen Interessen bei der Absicherung der eigenen vier Wände, verbunden mit den Potenzialen, die nach wie vor mit den Beratungs- und Betreuungskapazitäten einer breiten Vermittlerschaft verbunden sind, schaffen auch gute Voraussetzungen für den Kundenzugang. Damit könnte es einem Versicherer gelingen, Unternehmen aus anderen Branchen und deren Smart Services an das eigene Angebot anzukoppeln und das Netzwerk damit im Interesse des Kunden zu steuern. Der Versicherungsschutz muss dabei nicht im Mittelpunkt stehen. Vielmehr kann und sollte ggf. der Versicherer als umfassender Dienstleister auftreten, der sich im Interesse des Kunden um die Absicherung seiner Wohnumgebung kümmert, zugleich im Netzwerk Wohnkomfort und Ressourceneffizienz fördert und zudem bei Bedarf unkompliziert Versicherungsschutz und im Schadenfall auch Assistanceleistungen beisteuert. 

 

Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt. 

Fred Wagner, Theresa Jost in: Die Big Data-Debatte; Springer, 2019

https://link.springer.com/chapter/10.1007/978-3-658-27258-6_2

http://creativecommons.org/licenses/by/4.0/deed.de

 

datenschutz

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind!

Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen

 

Mehr lesen

 01/2021

Dritte Ausgabe des Französisch-deutschen IT-Sicherheitslagebilds erschienen

 

Die COVID-19-Pandemie hat teils erhebliche Auswirkungen auf die IT-Sicherheitslage in Deutschland und Frankreich. In beiden Ländern hat der Corona-bedingte Digitalisierungsschub die mögliche Angriffsfläche und damit das Risiko erfolgreicher Cyber-Angriffe vergrößert. Dies ist eine Erkenntnis der inzwischen dritten gemeinsamen Lagebetrachtung, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die französische Agence nationale de la sécurité des systèmes d'information (ANSSI) durchgeführt haben.

In der dritten Ausgabe des heute veröffentlichten gemeinsamen Lagebilds stellen ANSSI und BSI fest, dass Cyber-Kriminelle flexibel auf die Pandemie reagiert haben und die allgemeine Verunsicherung der Unternehmen und der Bevölkerung gezielt ausnutzen. Schon vor Beginn der Pandemie beobachteten die beiden Behörden eine gesteigerte Aggressivität der Erpressungsmethoden bei Ransomware-Angriffen sowie immer mehr Fälle des so genannten „Big Game Hunting“, also hochprofessionellen und gezielten Angriffen auf zahlungskräftige Ziele. Vor diesem Hintergrund betrachten beide Behörden die Informationssicherheit als wesentliche Voraussetzung einer erfolgreichen Digitalisierung und werden sich auch zukünftig gemeinsam dafür einsetzen, die Digitalisierung in Frankreich, Deutschland und Europa sicher zu gestalten.

BSI-Präsident Schönbohm erklärt: „Genauso wie das Corona-Virus machen auch Digitalisierungsprozesse und Cyber-Kriminelle nicht an Landesgrenzen halt. Deswegen ist der Schulterschluss mit unserer französischen Partnerbehörde ANSSI so essenziell. Insbesondere das Gesundheitswesen in beiden Ländern steht vor der großen Herausforderung, die Pandemie zu bekämpfen und sich gleichzeitig wirksam gegen mögliche Cyber-Angriffe zu wappnen. Denn Kliniken, Impfstoffhersteller und deren Lieferketten stehen zunehmend im Fokus von Cyber-Kriminellen. Ausfälle in diesen Bereichen können verheerende Folgen haben, die wir uns gerade inmitten einer Pandemie nicht leisten können. Als Cyber-Sicherheitsbehörde des Bundes haben wir – auch mit unseren französischen Partnern - daher einige Maßnahmen ergriffen, um die Cyber-Sicherheitslage im Gesundheitswesen aktiv zu verbessern. Schon im Frühjahr haben wir Impfstoff-Hersteller für Gefahren durch Cyber-Kriminelle sensibilisiert. Mit der Bundesregierung sprechen wir intensiv über den Schutz der Logistikketten für Impfstoffe. Auch die Unternehmen müssen ihren Teil dazu beitragen, etwa durch angemessene Investitionen in die Informationssicherheit.“

„Die Zunahme von Cyber-Spionage, die gesteigerte Bedrohung durch Cyber-Kriminelle sowie das erhöhte Risiko für kritische digitale Systeme erfordern mehr denn je ein Bewusstsein für die Bedrohungslage. Wir müssen auf allen Ebenen handeln und nach dem Vorbild der Deutsch-Französischen Partnerschaft auch die internationale Zusammenarbeit weiter ausbauen“, erklärt Guillaume Poupard, Generaldirektor der ANSSI.

 

Die dritte Ausgabe des französisch-deutschen IT-Sicherheitslagebilds finden Sie hier.

 

Bsi.bund.de; 17.12.2020

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/DF-Lagebild_171220.html

 

cyber security

 

Cybersecurity


Schutz vor Cyber-Bedrohungen

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich der Cybersecurity.

Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen

 

Mehr lesen

12/2020

 

Was hat uns der Datenschutz dieses Jahr alles gebracht?

2020 werden wir fest in unserer Erinnerung behalten als Jahr, in dem uns das Corona-Virus heimgesucht hat: mit derzeit noch nicht absehbaren wirtschaftlichen Konsequenzen, mit Verlierern, aber auch mit Gewinnern, die vom zusätzlichen Digitalisierungsschub profitieren werden.

Natürlich ist all das auch am Datenschutz nicht spurlos vorbeigegangen. Es war aber auch sonst schon ein Jahr mit zentralen Weichenstellungen, die uns noch bis weit ins nächste Jahr hinein beschäftigen werden. Wir schauen mit Ihnen auf die wichtigsten zurück:

 

Frühling: Wegen Corona bleiben wir zuhause

Der Lockdown im Frühling hat viele Unternehmen gezwungen, einen grossen Anteil des Büropersonals von zuhause aus arbeiten zu lassen. Das hat die massiv ausgeweitete Nutzung von Videokommunikationstools wie Zoom und MS Teams bedingt, die vielleicht schon vorher im Einsatz waren, aber nicht in vergleichbarem Ausmass. Datenschutzrechtliche Herausforderungen stellen sich aber auch anderswo. Wohl unter anderem weil es immer noch so ist, dass viele Unternehmen Mitarbeitende mit eigenen privaten Geräten arbeiten lassen, hat sich zwischen Mitte März und Mitte Mai auf dem Höhepunkt der ersten Welle die Zahl der Meldungen über Cyberangriffe und Internet-Betrügereien gewissen Quellen nach zeitweise verdoppelt. Daneben konnten wir wieder einmal das Einmaleins der Informationssicherheit üben, indem wir vor dem Spaziergang im Quartier unsere Geräte auch zuhause im Mehrpersonenhaushalt mindestens gesperrt und Unterlagen in Papierform im verschliessbaren Schrank versorgt haben, oder doch nicht?

 

Sommer: Weder wir noch unsere Daten dürfen in die USA reisen

Im Juli ist ein wegweisendes Urteil des Europäischen Gerichtshofes ergangen im Hinblick auf Datenübermittlungen in die USA und andere Länder ausserhalb des EU-/EWR-Raums. Der bislang als Schutzmechanismus allgemein anerkannte «Privacy Shield», dem sich US-Unternehmen freiwillig anschliessen konnten, wurde so (für juristische Kreise wenig überraschend) zur Makulatur, gleichzeitig wurden die Kriterien für die Verwendung der häufigsten Alternative, der sog. EU «Standard Contractual Clauses», erheblich verschärft. Für die Schweiz konnte die Tragweite des Urteils anfangs noch nicht abschliessend beurteilt werden, bis der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte dann mit einer eigenen Stellungnahme nachgezogen hat. Verbreitet ist (wie im europäischen) Raum aber die erhebliche Rechtsunsicherheit und das unbefriedigende Gefühl, dass im Datenschutz (Rechts-)Anspruch und Wirklichkeit manchmal (und vermehrter?) weit auseinander liegen können.

 

Herbst: Wenigstens erhalten wir ein neues Datenschutzgesetz

Es war ein zähes Ringen: schlussendlich hat es nämlich ganze drei Jahre gedauert, bis unser Parlament auf die Publikation des Entwurfes für ein totalrevidiertes Datenschutz folgend das Paket fertig geschnürt hatte. Das Geschenk darin ist für viele, dass die neuen Vorschriften vielfach nicht die Schwelle der strengen und verschiedentlich auch als unpraktikabel empfundenen europäischen Datenschutz-Grundverordnung (DSGVO/GDPR) erreichen. Dennoch kommt Arbeit auf uns zu, indem verschiedene Governance-Pflichten eingeführt werden und die Verletzung von zusätzlichen Pflichten mit strengeren Bussen geahndet werden kann. Für Unternehmen, die noch keine umfassende Übersicht über ihre Datenflüsse haben, dürfte nächstes Jahr die Zeit endgültig reif sein, das nachzuholen. Einzubeziehen in die Planung ist, dass das neue Gesetz an einem noch nicht festgelegten Datum vermutlich 2022 ohne Übergangsfrist in Kraft treten wird. Viele Umsetzungsmassnahmen, die nicht von heute auf morgen möglich sind, sollten daher nächstes Jahr besser früher als später an die Hand genommen werden.

 

Wir wünschen Ihnen aber als nächstes nun gute Erholung und frohe Festtage. Bleiben Sie gesund!

 

Haben Sie Fragen zum Datenschutz der Zukunft? Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.

 

Swiss Infosec AG: 03.12.2020

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

 

datenschutz fingerabdruck

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind!

Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen

 

Mehr lesen

12/2020

 

Deutsche Datenschützer kritisieren Aufsichtsvakuum

Mehr als 100 Millionen Menschen in Europa nutzen regelmäßig TikTok, das sagt zumindest die Video-Plattform selbst. Doch trotz der immensen Beliebtheit des sozialen Netzwerks insbesondere bei Kindern und Jugendlichen ist weiterhin unklar, welche Behörde in Europa den Datenschutz bei der chinesischen App federführend kontrollieren soll. Die Frage nach dem Datenschutz bei TikTok ist brisant, denn in drei EU-Staaten untersuchen die Behörden, ob TikTok die Privatsphäre seiner vorwiegend jungen Nutzenden ausreichend schützt. Untersucht wird auch, ob der Konzern womöglich persönliche Daten aus Europa illegal in Drittstaaten speichert, etwa an seinem Stammsitz in China. Eine Schlüsselrolle spielt Irland. Dort hat TikTok im Sommer seinen europäischen Sitz angemeldet, zumindest den in Datenschutzfragen. Der chinesische Konzern habe die Zahl seiner Beschäftigten in Dublin seit Januar von 20 auf 1.100 Köpfe erhöht und heuere weiteres Datenschutz-Personal an, prahlt dieser Tage der irische Finanzminister Leo Varadkar.

 

Datenschutzbehörde wehrt sich gegen Niederlassung

Doch die oberste irische Datenschützerin Helen Dixon ist weniger begeistert. Ihre Behörde weigert sich bislang, ihre Zuständigkeit für TikTok anzuerkennen. In einem Brief an TikTok, aus dem netzpolitik.org zuletzt zitierte, zählt die Behörde ihre Bedenken gegen die Niederlassung des Konzerns auf. Sie zweifelt, ob der chinesische Konzern, der mit der Errichtung eines neuen Europasitzes in Frankfurt oder London liebäugelt, sich wirklich dauerhaft in Dublin einrichtet. Seit Gültigkeit der Datenschutzgrundverordnung (DSGVO) ist die irische Datenschutzbehörde für Verfahren gegen die dort mit ihren EU-Zentralen ansässigen großen Technologiekonzerne wie Google, Facebook und Twitter federführend. Beschwerden gegen die Konzerne aus allen Staaten der Europäischen Union müssen nach Irland gemeldet werden, die irische Aufsicht entscheidet über die wesentlichen Verfahrensschritte. Das ist als One-Stop-Shop-Prinzip bekannt. Doch die irische Behörde ist für ihre immense Aufgabe nicht mit dem nötigen Personal und ausreichenden Ressourcen ausgestattet. Ihr zögerliches Vorgehen verärgert Aktivist:innen wie Max Schrems, aus Deutschland gingen sogar Unterstützungsangebote nach Irland. Der wachsende Druck dürfte erklären, warum die irische Behörde nun die Zuständigkeit für TikTok wieder loswerden möchte. Die fehlende Klarheit zu TikTok verärgert deutsche Datenschützer. „Die Verortung einer zuständigen Aufsichtsbehörde ist nicht nur im Fall von TikTok ein Problem, sondern belastet den Vollzug der EU-Datenschutzverordnung insgesamt und führt zu erheblichen Rechtsunsicherheiten und Rechtsschutzlücken“, sagte ein Sprecher des Hamburgischen Datenschutzbeauftragten Johannes Caspar zu netzpolitik.org.

 

"Riesige DSGVO-Lücke schließen"

Es sei nicht sinnvoll, dass eine einzelne Aufsichtsbehörde allein über ihre Zuständigkeit für eine Firma entscheide, betont das Amt des Bundesbeauftragten für Datenschutz, Ulrich Kelber. Es verweist auf eine eigene TikTok-Taskforce im Europäischen Datenschutzausschuss, einem Gremium aller EU-Datenschutzbehörden. Diese beschäftigt sich seit fünf Monaten mit TikToks Datenschutzpraktiken, hat aber bislang keine Ergebnisse vorgelegt. Es sei zu früh, um Updates aus der Arbeit zu melden, sagt eine Sprecherin. Wegen des ungeklärten Niederlassung von TikTok bleibe es den einzelnen Behörden überall in Europa überlassen, selbst direkt gegenüber TikTok vorzugehen. „Die Situation ist für TikTok ideal: Die Behörde am Ort der Hauptniederlassung hält sich bislang nicht für zuständig, und andere Behörden können auf Distanz gehalten werden“, heißt es vom der Behörde in Hamburg. Es sei an der Zeit, diese „riesige Lücke zu schließen“ und endlich die DSGVO durchzusetzen. Der Bundesdatenschutzbeauftragte Kelber betont, er vertraue auf die Zusammenarbeit der europäischen Datenschutzbehörden bei dem Thema. Zugleich wünscht er sich, dass TikTok Schritte setzt, wenn sich der Konzern für eine Niederlassung in Irland entscheide. „Sollte TikTok seinen Plan verwirklichen ein Datenzentrum in Irland einzurichten, so befürwortet der BfDI die Verlagerung des Speicherorts der Daten von TikTok-Nutzern in die EU.“

 

Unzufriedenheit auch in Twitter-Verfahren

Verärgerung in Deutschland gibt es nicht nur wegen TikTok, sondern auch in einem irischen Verfahren gegen Twitter. Vor wenigen Tagen nutzte der Ausschuss aller Datenschutzbehörden erstmals ein neues Verfahren zu Streitbeilegung, um über eine Strafe wegen einem Datenleck bei Twitter zu entscheiden. Der Ausschuss stimmte mit Zweidrittelmehrheit für einen Vorschlag aus Irland, gegen die Stimmen deutscher Behörden. Welche Strafe Twitter nun erhalten soll, bleibt unklar. Nach der Entscheidung hat die irische Behörde einen Monat Zeit, um dem US-Konzern einen Strafbescheid zu schicken. Im Verfahren habe die Behörde in Dublin zahlreiche Einwände aus Deutschland als „nicht maßgeblich und begründet zurückgewiesen“, klagt die national zuständige Hamburgische Datenschutzbehörde. In Hamburg wird nun laut über rechtliche Schritte gegen die Entscheidung des Europäischen Datenschutzausschusses im irischen Verfahren nachgedacht. Die rechtliche Möglichkeit, gegen die Entscheidung eine Nichtigkeitserklärung vor dem Europäischen Gerichtshof (EuGH) einzubringen, liege auf dem Tisch, heißt es aus der Behörde von Caspar. Das weitere Vorgehen werde „mit den beteiligten nationalen Aufsichtsbehörden erörtert“. Bald könnte also nach den jüngsten Urteilen zu Privacy Shield und der Vorratsdatenspeicherung ein weiterer richtungweisender Datenschutzfall vor dem EU-Gericht landen. 

 

Netzpolitik.org; Alexander Fanta; 16.11.2020

https://netzpolitik.org/2020/tiktok-in-europa-deutsche-datenschuetzer-kritisieren-aufsichtsvakuum/

http://creativecommons.org/licenses/by-nc-sa/4.0/

 

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.

  

Swiss Infosec AG: 03.12.2020

Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

datenschutz fingerabdruck

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind! Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr
 
Mehr lesen

12/2020

 

1 Einleitung

Digitalisierung und Industrie 4.0 sind für den Maschinen- und Anlagenbau sowohl in der Perspektive des Anbieters von digitalisierten Produkten und Services als auch des Anwenders bei den internen Prozessen hochrelevant. So spielen im Rahmen der digitalen Vernetzung zum Beispiel Cyber Physical Systems, Big Data, künstliche Intelligenz, vorausschauende Wartung, digitale Assistenzsysteme und weitere digitale Technologien eine immer größere Rolle für den Maschinenbau. Digitale Geschäftsmodelle und neue Wettbewerber aus der Plattformökonomie stellen zunehmend Herausforderungen für die Maschinenbauunternehmen dar. Technologische Treiber für die digitale Transformation sind die stark steigenden Rechner- und Speicherleistungen, die neue Formen der künstlichen Intelligenz und ihrer dezentralen Nutzung ermöglichen, die intelligente Sensorik zur gezielten Erfassung großer Datenmengen sowie die zunehmende Vernetzung und weltweite Kommunikation in Echtzeit. Jedoch ist Digitalisierung weit mehr als ein technologischer Wandel. Die Veränderungen sind als Wechselwirkungen zwischen Menschen und Technik, als sozio-technische Systeme zu betrachten. Die erweiterten technischen Möglichkeiten werden erst wirksam, wenn sie von den Menschen in Unternehmen und in der Gesellschaft genutzt werden. Erst im Zusammenspiel von Menschen, Technik und Organisation verändert Digitalisierung tatsächlich die Arbeitswelt. Dieses Verständnis von Digitalisierung impliziert, dass die technologische, organisatorische und arbeitsbezogene Dimension eines Wertschöpfungsprozesses gleichermaßen in den Blick genommen wird. Speziell im Maschinenbau kommt zur anwendungsbezogenen Sicht auf Digitalisierung und Industrie 4.0 auch die Sicht als Anbieter von Investitionsgütern für Kunden in vielen Wirtschaftszweigen, die ihrerseits die eigenen Prozesse immer stärker digitalisieren. Als Kern der deutschen Investitionsgüterindustrie ist der Maschinenbau volkswirtschaftlich und beschäftigungspolitisch überaus bedeutend. Mit ihren weit mehr als einer Million Beschäftigten in 6400 Unternehmen ist die Branche die industrielle Säule Deutschlands. Maschinen und Anlagen stellen eine wichtige Grundlage für die Innovations- und Wettbewerbsfähigkeit der Industrie dar und sie spielen weltweit eine entscheidende Rolle für die Produktivitäts-, Qualitäts- und Kostenentwicklung in produzierenden Unternehmen. Für die zahlreichen Mitarbeiter in den Unternehmen der Branche ist die digitale Transformation mit Auswirkungen auf Beschäftigungschancen, Arbeitsbedingungen, Kompetenzanforderungen und Qualifikationsbedarfe verbunden. In diesem Kontext befasste sich die Studie „Digitalisierung im Maschinenbau“ mit den branchenspezifischen Herausforderungen durch Digitalisierungsprozesse aus einer arbeitsorientierten Sicht. Dafür sind erstens Einblicke in die Digitalisierungsstrategien der Maschinenbauunternehmen ebenso wie der Stand der Digitalisierung bei den Produkten und Geschäftsmodellen wie auch bei den internen Prozessen relevant. Auf dieser Grundlage lassen sich im zweiten Schritt Wirkungen und wechselseitige Abhängigkeiten auf die Innovations- und Wettbewerbsfähigkeit der Unternehmen und der Branche sowie auf Beschäftigung und Arbeitspolitik im Maschinenbau analysieren und im dritten Schritt Handlungsbedarfe für die Gestaltung guter Arbeit und für Beteiligung erarbeiten. Zielsetzung des Forschungsprojekts „Digitalisierung im Maschinenbau“ war es, auf Basis einer fundierten Analyse von Digitalisierungsprozessen in ausgewählten Teilbranchen des Maschinenbaus in Deutschland zum einen Chancen und Risiken für Beschäftigung und Arbeit abzuleiten und zum anderen Gestaltungsfelder für gute Arbeitsbedingungen, sichere Beschäftigungsperspektiven und nachhaltige Personalpolitik in der Branche zu erarbeiten. Digitalisierung, Industrie 4.0, Arbeit 4.0 und viele weitere 4.0-Themen erleben im wissenschaftlichen Diskurs und in der politischen Debatte eine Hochkonjunktur, die mit einer Vielzahl von Studien, Konferenzen und Publikationen einhergeht. 

 

2 Digitalisierungsstrategien – der Maschinenbau als Anbieter und Anwender

Inwieweit ist das Thema „Digitalisierung“ in den Strategien von Maschinenbauunternehmen verankert und wie weit sind die Unternehmen auf dem Weg der digitalen Transformation? Entlang von Betriebsfallstudien, Expertengesprächen und Workshops wurde diesen Fragen nachgegangen. Im Ergebnis gibt es in der Breite des heterogenen Maschinenbaus beim Stand der Digitalisierung und bei Digitalisierungsstrategien ein sehr vielfältiges Bild. Viele kleine und mittlere Unternehmen befanden sich zum Stand 2018 erst am Anfang der digitalen Transformation. Bei den untersuchten größeren Unternehmen, die meist zu den Vorreitern bei der digitalen Transformation zählen, wurde die Digitalisierung hingegen strategisch vorangetrieben.

 

2.1 Vier Säulen der Digitalisierungsstrategien

Digitalisierungsstrategien von Maschinenbauunternehmen lassen sich in vier Säulen gliedern, die jeweils unterschiedliche Aspekte von Digitalisierung umfassen und den zwei Feldern externe Angebote (Anbieterperspektive) und interne Prozesse (Anwenderperspektive) zugeordnet werden können: 

1. Erweiterung des eigenen Portfolios um digitalisierte Produkte und Services

2. Entwicklung neuer Geschäftsfelder oder neuer Geschäftsmodelle auf Basis von Künstlicher Intelligenz (KI) und von digitalen Plattformen für das Industrial Internet of Things (IIoT)

3. Vernetzung der Unternehmensprozesse und interne digitale Transformation der Organisation, aber auch überbetriebliche Vernetzung innerhalb des Wertschöpfungsnetzwerks

4. Beteiligung der Beschäftigten und der Betriebsräte sowie Gestaltung der digitalen Transformation durch aktives Change Management und Qualifizierung 

Mit diesen vier Säulen werden unterschiedliche Perspektiven eingenommen: die des Anbieters und die des Anwenders von digitalen Lösungen. Gerade im Maschinenbau ist Digitalisierung in erster Linie ein stark kundenbezogenes Thema. Es geht darum, mit digitalen Lösungsangeboten zusätzlichen Kundennutzen zu bieten und die Kundenbindung zu erhöhen, wie viele der befragten Experten hervorhoben. Für den Maschinenbau insgesamt ist zu konstatieren, dass die Anbieterseite der Digitalisierung bisher einen deutlich höheren Stellenwert einnimmt als die Anwenderseite mit Industrie 4.0 bei den eigenen Unternehmensprozessen, wo in der Vergangenheit eine schleichende Umsetzung zu beobachten war.  

 

2.2 Maschinenbau als Anbieter digitaler Lösungen

Auf die beiden ersten Säulen bezogen hat die Dynamik der digitalen Transformation in den letzten Jahren vor allem bei den größeren Maschinenbauern deutlich an Fahrt gewonnen. Die in betrieblichen Fallstudien Befragten waren sich einig, dass im Maschinenbau „eine immer stärker werdende Digitalisierungsdynamik“ zu erwarten ist. Die Aufgabe, sich der digitalen Transformation zu stellen, ordnen sie in einem Spektrum von „wichtig“ über „unumgänglich“ bis „alternativlos“ ein. In puncto Wettbewerbsfähigkeit werde es zu einer „Verschiebung von Kompetenzen bei Stahl und Eisen zu Kompetenzen bei Software und Datenanalyse“ kommen. Entsprechend sind digitale Lösungen verstärkt am Markt und es entstehen vermehrt digitale Plattformen aus dem Maschinenbau heraus. So bieten die Unternehmen der Aufzugsbranche mittlerweile digitale Tools für das Monitoring, die vorausschauende Wartung, Störungsmeldungen und die Auswertung von Nutzungsdaten für die Anlagenbetreiber an. In der Fördertechnik werden beispielsweise fahrerlose Transportsysteme, digitales Flottenmanagement und vernetzte Logistiklösungen angeboten. In der Landmaschinentechnik spielen GPS-basierte Assistenzsysteme, autonome Erntemaschinen und das Angebot von Smart-Farming-Plattformen eine zunehmende Rolle. Im Werkzeugmaschinenbau geht es beispielsweise um appbasierte Steuerungs- und Bediensysteme für Bearbeitungszentren sowie um digitale Zwillinge und Plattformen für Condition Monitoring und vorausschauende Wartung von Zerspan- und Umformtechnik. Alles in allem wurde aus einem anfänglich marketinggetriebenen Thema ein strategisches Umsetzungsthema mit Substanz. Speziell der Megatrend Plattformökonomie wird aus der Anbieterperspektive immer bedeutender. Große Plattformanbieter wie die bekannten IT-Giganten und Technologiekonzerne dringen seit geraumer Zeit ins industrielle Umfeld und in angestammte Maschinenbaumärkte vor. Es besteht die Gefahr, dass die direkte Kundenschnittstelle an branchenfremde Anbieter verloren geht und der Maschinenbau in die Rolle des Hardwarelieferanten abgedrängt wird. Mittelfristig werden sich nur die Konzepte durchsetzen, die den gesamten Wertstrom des Kunden und nicht nur einzelne Maschinen im Blick haben. Dies bietet neue Chancen, aber auch große Risiken für die Maschinenbaubranche. Denn noch ist nicht entschieden, wer sich die Innovationsführerschaft in dieser neuen Automatisierungssphäre erkämpfen und die Kundenschnittstelle besetzen kann. Die digitalen Plattformen, die sich am Markt durchsetzen, werden nicht nur von ihrer dominanten Marktposition profitieren. Vielmehr werden sie zum zentralen Know-how-Träger zukünftiger digitaler Automatisierungskonzepte. Nicht wenige in der Branche befürchten, dass die jetzige Innovationsführerschaft und die Kundennähe verloren gehen, wenn es dem Maschinen- und Anlagenbau nicht gelingt, diese neue Sphäre zu beherrschen oder zumindest wesentlich daran beteiligt zu werden. Ziel für Maschinenbauunternehmen muss es daher sein, die direkte Kundenschnittstelle weiterhin zu kontrollieren und nicht an branchenfremde Anbieter – Internet-Giganten oder Technologiekonzerne – zu verlieren. Dieser Wettstreit um die Innovationsführerschaft bei digitalen Lösungen und IIoT-Plattformen ist entscheidend, aber noch nicht entschieden. Um seine starke Rolle bei Innovationen und beim Kundenzugang zu behalten, muss der Maschinenbau sich in der Plattformökonomie strategisch aufstellen und Unternehmen des Maschinenbaus sollten stärker zusammenarbeiten. Gerade unter den digitalen Plattformen werden nur wenige die Standards bzw. den Rahmen im industriellen Bereich setzen. Für den deutschen Maschinenbau wäre es wünschenswert, wenn nicht sogar überlebenswichtig, wenn einige erfolgreiche unter ihnen aus den eigenen Reihen kämen.  

 

2.3 Digitalisierung in der Anwenderperspektive

In vielen Maschinenbauunternehmen wird Digitalisierung in erster Linie in der bisher beschriebenen Anbieterperspektive betrachtet. Bei den Kunden sollen durch Digitalisierung und KI weitere Effizienz und Rationalisierungspotenziale erschlossen werden. Dagegen wird der digitale Wandel in der Anwendersicht des Maschinenbaus bei den internen Unternehmensprozessen – von der Entwicklung, dem Produktmanagement, dem Einkauf über die Produktion bis zum Rechnungswesen, Vertrieb und Service – eher als schleichende Umsetzung wahrgenommen. Nichtsdestotrotz ist diese dritte Säule von Digitalisierungsstrategien – häufig als Industrie 4.0 bezeichnet – ein wichtiger Faktor für die zukünftige Wettbewerbsfähigkeit von Maschinenbauunternehmen. Durch die Digitalisierung der internen Unternehmensprozesse ergeben sich vielfältige Möglichkeiten zur Prozessoptimierung. Zu unterscheiden ist zwischen der Implementierung einzelner digitaler Technologien im Unternehmen und der umfassenden Vernetzung des Unternehmens durch erweiterte Software-Systeme bzw. digitale Steuerungssysteme. Zwischen den digitalen Technologien und den Software-Systemen besteht ein großer, direkt wahrnehmbarer Unterschied. Digitale Technologien wie fahrerlose Transportsysteme, Cobots, Datenbrillen und 3D-Druck sind für die Menschen im Betrieb sichtbar; sie werden zunächst meist als Pilotprojekt oder Insellösung implementiert. Damit sind diese digitalen Technologien erfahrbar und rücken ins Bewusstsein der betrieblichen Akteure. Die Unmenge an Daten, die dadurch erzeugt wird (Big Data), ist jedoch nicht sichtbar. Die Erfassung und Auswertung großer Datenmengen erzeugt Handlungsbedarfe beim betrieblichen Datenschutz und bei Themen wie personenbezogener Datenauswertung sowie Leistungs- und Verhaltenskontrolle. Bei den digitalen Technologien, die im betrieblichen Alltag auf dem Shopfloor sichtbar sind, lassen sich diese Handlungsbedarfe materiell festmachen. Zu den Kernpunkten der Digitalisierung in Anwenderperspektive von Industrieunternehmen gehört die umfassende Vernetzung der Unternehmensprozesse im Sinne von Cyber-Physical-Systems (CPS). Mit CPS als Kernelement von Industrie 4.0 soll eine Durchgängigkeit in der Prozesskette von der Bestellung/Entwicklung bis zu Auslieferung/ Service (End-to-End) erreicht und die echtzeitdatenbasierte Analyse und Optimierung von Produktionsprozessen ermöglicht werden. Damit werden in den Betrieben Ziele verfolgt wie: größere Effizienz, höhere Flexibilität, bessere Qualität und kürzere Produkteinführungszeit (Time-to-Market). Mit digitaler Vernetzung durch Visualisierung und Transparenz über alle Prozesse sowie Echtzeitfähigkeit sollen diese Ziele erreicht werden. Ein immer wichtiger werdendes Element der digitalen Transformation ist der digitale Zwilling als softwarebasiertes, virtuelles Abbild des Produkts, der Produktion und der Prozessperformance. Ein solcher digitaler Zwilling kann die Basis bilden für eine kürzere Produkteinführungszeit, für eine virtuelle Inbetriebnahme und damit eine signifikant verkürzte reale Inbetriebnahme von Anlagen, für vorausschauende Wartung und höhere Verfügbarkeit, für minimierte Rüstprozesse und höhere Maschinenlaufzeiten, für größere Transparenz im Produktionsprozess und Vermeidung von Verschwendung (im Sinne von Lean Management) sowie für digitale Services und neue Geschäftsmodelle. Bisher hat die deutsche Industrie wie auch der Maschinenbau in der realen Produktionswelt ihre Exzellenz unter Beweis gestellt und eine Spitzenstellung erreicht. In der Zukunft wird es laut befragten Experten darum gehen, die Verbindung von realer und digitaler Welt wie auch von menschlicher und künstlicher Intelligenz zu schaffen und damit den technologischen Vorsprung zu halten. Alles in allem ist die übergreifende Vernetzung mittels Software-Systemen im Betrieb und in der Wertschöpfungskette ein nicht sichtbares, verborgenes Element der digitalen Transformation, das für Beschäftigte und Betriebsräte schwerer zu greifen ist. Umso mehr sollte auch hier ein Hauptaugenmerk der Mitbestimmungsträger auf Themen wie Arbeitsgestaltung und Datenschutz gelegt werden. Zumal der Blick auf diesen Kernbereich der digitalen Transformation häufig durch die sichtbaren digitalen Technologien verdeckt wird, mit denen im Betrieb experimentiert wird und die als Pilotprojekte implementiert werden.  

 

2.4 Beteiligung von Beschäftigten und Betriebsräten

Die Beteiligung von Betriebsräten und Beschäftigten – die vierte Säule von Digitalisierungsstrategien – ist für den Erfolg der digitalen Transformation entscheidend. Wie von den befragten Experten immer wieder betont wurde, ist die digitale Transformation keine rein technische Angelegenheit. Neben digitalen Technologien und Software-Systemen als technischen Befähigern („Technical Enablers“) sind für die Umsetzung der internen Digitalisierung die „Non-technical Enablers“ wie Change Management, Unternehmenskultur und das Aufsetzen auf Lean-Erfahrungen entscheidend. Ein ganzheitlicher Gestaltungsansatz und ein Digitalisierungsverständnis sind erforderlich, die gleichermaßen die technologischen, organisatorischen und arbeitsbezogenen Dimensionen eines Unternehmensprozesses mit ihren engen Wechselwirkungen in den Blick nehmen und diesen als sozio-technisches System begreifen. Von der Prämisse ausgehend, dass Digitalisierung gestaltbar ist, ergibt sich ein „Handlungsauftrag für Interessenvertretungen, diese Entwicklung nach Kräften zu beeinflussen und zu prägen, um die Chancen für die Beschäftigten so gut wie möglich zu verbessern, sei es mit Blick auf die Handlungsautonomie oder mit Blick auf Qualifizierungs- und Entwicklungspotenziale“. Auch IMU-Studien mit zahlreichen Expertengesprächen im Maschinenbau und anderen Branchen bestätigen, dass die digitale Transformation ohne eine beteiligungsorientierte und partizipative Unternehmenskultur kaum erfolgreich gestaltet werden kann. Zum erforderlichen Change Management gehört auch, dass Betriebsräte von Beginn an eingebunden sind und dass Mitarbeiter vorbereitet und befähigt werden, um mit den Anforderungen der Digitalisierung in Zukunft umgehen zu können.  

 

3 Beschäftigungswandel in der digitalen Transformation

Mit der digitalen Transformation wird es im Maschinenbau wie auch in der Industrie insgesamt einen Wandel der Beschäftigung in allen betrieblichen Bereichen und Funktionen geben. Es kommt zu strukturellen Veränderungen zwischen unterschiedlichen Beschäftigtengruppen wie auch zu qualitativen Veränderungen der Arbeitsbedingungen. Quantitative Arbeitsplatzeffekte durch Digitalisierung werden im Maschinenbau durch gegenläufige Prozesse geprägt sein: Neue digitale Angebote und damit erreichbares Wachstum werden Arbeitsplätze sichern und schaffen. Dagegen werden die Effizienzgewinne durch Digitalisierung bei den internen Prozessen Arbeitsplätze verändern oder gar überflüssig machen. Unter der Prämisse „Wachstum durch digitale Angebote“ wird der Saldo aus beidem in den nächsten Jahren neutral bis eher positiv sein. Mittel- bis langfristig gesehen wird es im Maschinenbau aufgrund der Rationalisierungseffekte eher zu einem Arbeitsplatzabbau kommen. Noch stärker als direkte Bereiche in der Produktion werden dann die klassischen Büro- und Informationstätigkeiten unter Druck kommen. Digitale Tools, Software-Bots3 und die durchgängige Vernetzung greifen insbesondere bei Tätigkeiten entlang der „indirekten Kette“ vom Vertrieb über Entwicklung, Konstruktion, Einkauf, Produktionsplanung/- steuerung, Buchhaltung, Controlling bis hin zu Aftersales. Mit dem Einsatz von digitalen Technologien und der zunehmenden Vernetzung der Unternehmensprozesse im Maschinenbau verändern sich die Arbeitsbedingungen für die Beschäftigten in Produktion, Büros, Außentätigkeiten etc. In manchen Bereichen sind die Veränderungen heute bereits spürbar, in anderen Bereichen werden mit zunehmender Digitalisierung künftig starke Veränderungen erwartet. Was sich heute bereits in Maschinenbauunternehmen abzeichnet und zukünftig wohl herausbildet, ist sehr differenziert für die einzelnen Teilbranchen und auch Tätigkeitsbereiche zu betrachten. „Eindeutige“ Entwicklungsstränge konnten aus den Betriebsfallstudien nicht abgeleitet werden. Somit wird im Folgenden schlaglichtartig auf einige betriebliche Trends eingegangen.

 

3.1 Veränderungen bei Produktionstätigkeiten

Ganz unterschiedliche Effekte sind innerhalb eines Unternehmens aus dem Werkzeugmaschinenbau in zwei Produktionsbereichen zu beobachten, in denen Industrie 4.0 im Hinblick auf die gesamte Prozesskette bereits frühzeitig umgesetzt wurde. Im Produktionsbereich A wird von einem klaren „Upgrading“ für die Werker berichtet. Die Mitarbeiter sind mit Handheld-Geräten ausgestattet und verfügen damit über alle arbeitsrelevanten Informationen in Echtzeit. Die papierlose Produktion wird durch digitales Shopfloor Management unterstützt. Die komplette Prozesskette von der Konstruktion bis zur Auslieferung wurde durchgängig vernetzt. Durch die Digitalisierung ist eine hohe Transparenz in die Prozesse in allen Bereichen gekommen. Für die direkten Mitarbeiter gab es eine Anreicherung bei den Arbeitsinhalten sowie eine ausgeprägtere Verantwortlichkeit für den Produktionsprozess und die Qualität. Für das reibungslose Funktionieren dieser „digitalen Produktion“ muss das Prozessverständnis jedes Mitarbeiters deutlich größer als zuvor sein. Die Mitarbeiter benötigen höheres Prozess-Knowhow. Wo zuvor Produktionssteuerer bzw. Disponenten die Aufträge durchgesteuert haben, steuert heute ein MES als Feinplanungstool. „Die Mitarbeiter müssen jetzt eigenständig wissen, was muss ich tun, was passiert vor mir, was nach mir“. In diesem Produktionsbereich A haben die nicht mehr benötigten Disponenten neue Aufgaben bekommen und die Mitarbeiterzahl ist insgesamt gleich geblieben. Ein anderes Bild bei Industrie 4.0-Effekten zeigt sich im Produktionsbereich B desselben Werkzeugmaschinenbauers. Dort wurde die Belegschaft durch digitale Workflows im End-to-End-Prozess und durch digitale Möglichkeiten der Mehrmaschinenbedienung deutlich von rund 100 auf 70 Beschäftigte reduziert. Gleichwohl konnten im prosperierenden Unternehmen den in diesem Bereich nicht mehr benötigten Mitarbeitern durch Qualifizierung neue Perspektiven eröffnet werden. Der Beschäftigungsabbau in diesem Produktionsbereich betraf ganz unterschiedliche Funktionen: Entfallen sind beispielsweise Mitarbeiter in Prozesssteuerung, Arbeitsvorbereitung und Vertrieb durch hochautomatisierte Prozesse in indirekten Bereichen – von der konfigurierten Bestellung bis hin zum ersten Produktionsschritt. Auch in der Fertigung wurde eine vernetzte Produktions-U-Linie mit integrierten Robotern eingeführt. Infolge der Mehrmaschinenbedienung und der mannlosen Nacht- und Wochenendschichten werden dort heute nur noch drei Facharbeiter in zwei Schichten benötigt, statt zuvor zehn Werker in zwei Schichten bei Einzelmaschinenbedienung. Von den überwiegend jungen Facharbeitern werde eine große Leistungsbereitschaft und Flexibilität bei der Arbeit eingefordert. Leistungsverdichtung sei aber bisher nicht unmittelbar als Digitalisierungsfolge spürbar, so ein befragter Betriebsrat. Die Flexibilisierung der Arbeit im Maschinenbau wird sich durch die Möglichkeiten der Digitalisierung weiter forcieren. Bislang wird die Flexibilisierung der Arbeitszeit und des Arbeitsorts vor allem bei Beschäftigtengruppen aus Angestelltenbereichen umgesetzt. Digitale Technologien ermöglichen eine Ausweitung dieser Formen der Flexibilisierung auf Beschäftigte im direkten Bereich in unterschiedlicher Intensität und Reichweite, zum Beispiel auf Instandhalter, aber auch auf Maschinenbediener und auf Montagefachkräfte. Insgesamt wird für Produktionstätigkeiten ein Wandel von stärker mechanischer Arbeit hin zu mehr Steuerungs-, Kontroll- und Überwachungsfunktionen erwartet.  

 

3.2 Veränderungen im Service

Die Arbeitsbedingungen in Service-Bereichen des Maschinenbaus könnten sich infolge der digitalen Transformation in den nächsten Jahren stark verändern, wie am Beispiel der beiden Teilbranchen Aufzüge/Fahrtreppen und Fördertechnik/ Intralogistik gezeigt wird. Durch digitale Wartungssteuerung, mobile Endgeräte und weitere digitale Tools und Technologien könnten sich für viele Servicemonteure im Außeneinsatz die Wartungsrouten und Arbeitsinhalte, aber auch die Eigenverantwortung, Selbststeuerung und Selbstorganisation deutlich verändern. Ein weiterer Effekt der digitalen Wartungssteuerung in Kombination mit den Möglichkeiten der digitalen Plattformen (wie vorausschauende Wartung) und digitalen Assistenzsysteme (Ferndiagnose, Teleservice, Remote Support) könnte sein, dass es zu einer Aufgliederung bzw. Ausdifferenzierung bei den Servicemonteuren kommt. Betriebsräte aus der Branche befürchten, dass einer „Aufspreizung Tür und Tor geöffnet wird“ bzw. dass der „Weg zur Klassengesellschaft bei den Servicemonteuren“ beschritten wird. Während bei den Meistern durch automatisierte Auftragssteuerung ihr Part des Disponierens zwar entfallen würde, sie aber nach wie vor eine Entscheider- und Schnittstellenfunktion in den Serviceniederlassungen einnehmen werden, könnte es bei den Servicemonteuren zu einer starken Differenzierung in drei „Klassen von Servicemonteuren“ mit unterschiedlichen Qualifikationen und Entgeltbedingungen kommen:

• Technische Experten mit umfangreicher technischer Ausbildung (mechanisch, elektronisch, digital) für komplizierte Reparatur- und Wartungsaufgaben

• Standardmonteure mit Facharbeiterausbildung für Reparaturen und Wartung, die auch die Rufbereitschaft mit abdecken

• Einfache Monteure, die auf Basis einer Schulung für Ölwechsel und einfache Routinetätigkeiten eingesetzt werden

 

3.3 Leistungsverdichtung

Ein weiterer Aspekt, der mit der digitalen Transformation einhergeht, sind Änderungen der Arbeitsbelastungen im Maschinenbau. Die Automatisierung von Routinetätigkeiten durch Software-Bots oder andere digitale Tools wird von den Beschäftigten zwiespältig erlebt. Zwischen Entlastung und Belastung liegt ein Spannungsfeld: Einerseits wird es als Vorteil empfunden, dass oftmals „lästige“ Arbeiten wegfallen und die Konzentration auf wesentliche oder strategische Aufgaben gelenkt werden kann. Andererseits entfallen dadurch leichte, entlastende Tätigkeiten, die der Erholung zwischen Phasen anstrengenden oder hochkonzentrierten Arbeitens dienen. Damit kann die Digitalisierung zu einer Leistungsverdichtung führen. Zudem gibt der Wegfall von Tätigkeiten aus Sicht von Betriebsräten häufig Anlass zu Diskussionen um die Zahl der Beschäftigten und selten Anlass für eine Verbesserung der Tätigkeitszuschnitte. Eine Belastung für Mitarbeiter vor allem in den größeren Maschinenbauunternehmen stellt die Vielzahl der zu nutzenden Software-Programme und die Vielfalt von Informationen aus unterschiedlichen Kanälen dar, mit denen die Beschäftigten umgehen müssen. Durch „überbordende Kommunikation“ und die „Informationsflut“, der viele Beschäftigte ausgesetzt sind, werden nicht zuletzt auch Produktivitätseffekte, die aus der Digitalisierung und Vernetzung erzielt werden, wieder aufgezehrt oder schlagen ins Gegenteil um. Datenschutz, der Schutz personenbezogener Daten wurde in den Betriebsfallstudien besonders von Seiten der Betriebsräte als wichtiges Thema ins Feld geführt. Besonders kritisch wird der durch digitale Technologien und Software-Systeme ermöglichte „gläserne Mitarbeiter“ gesehen. Aus mehreren Betriebsfallstudien berichten befragte Experten, dass durch die digitale Vernetzung der Prozesse eine volle Transparenz in vielen Bereichen von Maschinenbauunternehmen erreicht wurde. Die Produktionsmitarbeiter loggen sich am Touchscreen-Monitor, am Handheld- Gerät oder anderswo ein und hinterlassen ihre Datenspur. In einem der Fallbetriebe werden die erfassten Daten zu Stillständen, Störungsmeldungen, Fehlerkennung auch personenbezogen für einen begrenzten Zeitraum gespeichert und sind von Führungskräften einsehbar. Zwar wird in diesem Betrieb Leistungs- und Verhaltenskontrolle durch eine Betriebsvereinbarung ausgeschlossen; de facto werde der Mitarbeiter aber bei einem Störfall gleich zum Sündenbock gemacht und „es wird Druck auf ihn ausgeübt, ohne dass eine ehrliche Fehleranalyse durchgeführt wird“ (Exp). Alles in allem gilt es für die Betriebsräte nach wie vor, so weit wie möglich personenbezogene Auswertungen zu verhindern und Leistungs- und Verhaltenskontrolle auszuschließen.  

 

3.4 Kompetenzanforderungen und Qualifikationen

Die digitale Transformation stellt die Beschäftigten vor vielfältige neue Anforderungen. Bei den Betriebsfallstudien im Maschinenbau und den Experteninterviews wurden zwei Bereiche hervorgehoben: „Kompetenzanforderungen und Qualifikationen“, auf die im Folgenden eingegangen wird, sowie „agile Arbeitsformen“ als neue Anforderung der Arbeitsorganisation. IT- und Software-Kompetenzen als Anforderung für den digitalen Wandel von Unternehmen liegen auf der Hand, allein schon weil die Produkte des Maschinenbaus wie auch die internen Prozesse immer stärker digitalisiert werden. Das gilt in der Breite, weil fast alle Beschäftigten Software anwenden und sich fortlaufend in neue Programme, neue Apps und Tools einarbeiten sollen. Gleichzeitig gilt das in der Tiefe, weil der Bedarf an IT-Spezialisten und Software-Ingenieuren im Maschinenbau immer größer wird. Dies wird von einer VDMA-Studie bestätigt: Die größten Problemfelder für Maschinenbauer bei der Digitalisierung von Produkten (Entwicklung von Software, IT-Hardware oder Automatisierungstechnik) liegen im Bereich der „Human Resources“ – so ein Ergebnis der VDMA-Studie. Mit Abstand größtes Problemfeld für die Digitalisierung ist im Jahr 2018 demnach die Personalverfügbarkeit; es folgen der Knowhow-/Technologietransfer sowie die Aus- und Weiterbildung der Mitarbeiter. Aus den Betriebsfallstudien lassen sich zwei mögliche Entwicklungsstränge für die Kompetenzanforderungen und Qualifikationen in den direkten Bereichen des Maschinenbaus ableiten. Es bleibt offen, ob für Produktionsarbeit im digitalisierten Maschinenbau höhere Qualifikationen oder geringere Qualifikationen der Mitarbeiter erforderlich sind. Das Spektrum der Einschätzungen aus den Experteninterviews passt zu zwei der drei „Entwicklungsszenarien zur Zukunft digitaler Arbeit“, wie sie in der Studie „Digitalisierter Maschinenbau“ von der IG Metall veröffentlicht wurden. Demnach könnte es bei der Produktionsarbeit im Maschinenbau zu einem „Upgrading-Szenario“ oder zu einem „Polarisierungs- Szenario“ kommen. Das dritte Szenario „Automatisierte Fabrik“ scheint eher für die Anwenderbranchen des Maschinenbaus und nic

ht für den Maschinenbau selbst relevant zu sein. Die zwei aus den Experteninterviews abgeleiteten widersprüchlichen Entwicklungsstränge für künftige Qualifikationserfordernisse in den direkten Bereichen des Maschinenbaus sind demnach:  

„Upgrading von Arbeit“ (mit steigenden Qualifikationen): Wird es durch höhere Anforderungen durch Digitalisierung der internen Prozesse und erforderlichem umfassenden Prozess-Knowhow eine Aufwertung bei den Facharbeiter- Qualifikationen im Maschinenbau geben? Dafür sprechen die große Varianz bei den Produkten und Losgröße-1-Erfordernisse in vielen Bereichen des Maschinenbaus, die eine hohe Flexibilität und Genauigkeit in der Produktion von Maschinen in einer von Software-Systemen und digitalen Technologien geprägten Prozesslandschaft erfordern.  

„Polarisierung von Arbeit“ (mit „Gewinnern“ und „Verlierern“ bei den Qualifikationen): – Wird es durch digitale Assistenzsysteme und autonome Software-Systeme eine Abwertung bei den Qualifikationen geben? Geht der Weg von der Facharbeiter- Dominanz im Maschinenbau hin zum verstärkten Einsatz Angelernter in der Produktion? Dafür sprechen enge Arbeitsanweisungen durch digitale Assistenzsysteme sowie standardisierte und „verriegelte“ Montageprozesse, die zu einfacheren operativen Tätigkeiten im Maschinenbau und damit zu einer Dequalifizierung führen können. – Wird es auf der anderen Seite mehr anspruchsvolle hochqualifizierte Tätigkeiten für Experten zur Wartung und Installation der Systeme geben? Dafür sprechen komplexere Tätigkeiten mit hohen Qualifikationsanforderungen für eine „kleine Facharbeiterelite“ im Maschinenbau, wogegen die bisherigen mittleren Qualifikationsgruppen mit sinkenden Anforderungsniveaus konfrontiert werden.  Kommt es also zu einer Gleichzeitigkeit von Upgrading auf der einen und Dequalifizierung auf der anderen Seite? Laut den Betriebsfallstudien zeichnet sich in den Produktionsbereichen des Maschinenbaus eher eine Polarisierung bei den Qualifikationen ab. Für die Mehrzahl der befragten Experten wird sich die Schere zwischen „Gewinnern“ und „Verlierern“ bei den Qualifikationen in den direkten Bereichen des digitalisierten Maschinenbaus künftig öffnen. Dagegen könnte es in den indirekten Bereichen zu einer Entwicklung kommen, die eher dem „Automatisierungsszenario“ entspricht. Durch Software-Systeme und Bots werden sich nicht nur die Arbeitszuschnitte in den Bürobereichen verändern, sondern es wird zu einer umfassenden Automatisierung von Bürotätigkeiten kommen. In der Konsequenz könnte dies zu einem rationalisierungsbedingten Arbeitsplatzabbau führen, der fast alle Qualifikationsstufen trifft – mit Ausnahme höherer Führungsebenen und hochqualifizierter Experten. Gleichwohl ist für Beschäftigte in allen Bereichen des Maschinenbaus festzuhalten, dass an Qualifizierung für die neuen Anforderungen und die neuen digitalen Technologien kein Weg vorbeiführt. Der digitalen Transformation müssen sich alle Beschäftigten durch Weiterbildung stellen. Beim Thema Qualifikationen kommt selbstverständlich auch der betrieblichen Ausbildung erhebliches Gewicht zu. Bei einigen der Betriebsfallstudien werden die Herausforderungen durch Industrie 4.0 und Digitalisierung in eigene Ausbildungskonzepte umgesetzt. So wurde beispielsweise bei einem Werkzeugmaschinenhersteller ein Smart Education Center innerhalb der Werkhalle aufgebaut, in dem Auszubildende an wichtige Digitalisierungsthemen praktisch herangeführt werden und wo ihnen das Gesamtsystem Maschinenbau nahegebracht wird. Insgesamt vollzieht sich in den Maschinenbauunternehmen ein Wandel von der klassischen mechanischen Ausbildung hin zu mehr IT- und Steuerungskenntnissen. Seit Mitte 2018 sind bei den industriellen Metall- und Elektroberufen Themen wie Digitalisierung der Arbeit, Datenschutz und Informationssicherheit fester Bestandteil der Ausbildung geworden. Generell sind die Berufsbilder in der Metall- und Elektroindustrie prozessorientiert und auf die von Industrie 4.0 geforderte Systemorientierung sowie der damit verbundenen Wertschöpfung und Vernetzung gerichtet.

 

 4 Fazit: Gestaltung guter Arbeit und Beteiligung

Die digitale Transformation gehört zu den wichtigsten Entwicklungstrends für die Industrie im Allgemeinen und für den Maschinenbau als Industrieausrüster im Speziellen. Kein Maschinenbauunternehmen darf sich der digitalen Transformation verschließen, wenn es nicht seine Zukunftsfähigkeit verspielen will. Einige vor allem größere Unternehmen verfolgen bereits eine Digitalisierungsstrategie, für die restlichen spielen zumindest Elemente der digitalen Transformation in ihren Produkten, Prozessen oder auch Geschäftsmodellen eine Rolle. Da die Digitalisierung über kurz oder lang die Beschäftigung und die Arbeitsbedingungen in fast allen betrieblichen Tätigkeitsfeldern verändert, gibt es umfassende Handlungsbedarfe für die Interessenvertretung. Auf arbeitspolitische Handlungsfelder und Gestaltungsmöglichkeiten der betrieblichen Mitbestimmung unter der zentralen Prämisse „mitbestimmte Einführungsprozesse“ geht ein Forschungsreport der Hans-Böckler-Stiftung ein. Laut der IMU-Studie „Digitalisierung im Maschinenbau“ sind folgende Gestaltungsfelder für die Interessenvertretung hervorzuheben: 

• Betriebsrats-Strategie für die digitale Transformation erarbeiten

• Gute Arbeit im digitalisierten Maschinenbau gestalten

• Prozessorientierte Betriebsvereinbarung als Rahmen für die Digitalisierung abschließen

• Beteiligungsprozesse für die Beschäftigten organisieren

Der tiefgreifende Wandel der Arbeitswelt durch die digitale Transformation erfordert die umfassende Beteiligung der Mitbestimmungsträger in den Unternehmen. Insbesondere geht es um die frühzeitige Einbindung von Betriebsräten, um die (Mit-) Gestaltung von Digitalisierungsprozessen und um Regelungsbedarfe bei Fragen der Arbeitsgestaltung, der Arbeitsbedingungen, der Personalentwicklung und des Datenschutzes. Betriebsräte sollten sich aber nicht auf Regelungen zum Datenschutz der Beschäftigten beschränken, sondern das gesamte Spektrum der arbeits- und betriebspolitischen Themen in den Blick nehmen, weil Digitalisierung ein Querschnittsthema mit vielfältigen Auswirkungen auf die Arbeitswelt ist. Diese breite Palette an Gestaltungsfeldern zeigt, wie hoch die Anforderungen an Betriebsräte sind: Die digitale Transformation ist mit einer hohen Komplexität und mit kaum vorhersehbaren Prozessen verbunden. Manches im Bereich der Software- Systeme und digitalen Zwillinge läuft eben „eher im Verborgenen“ ab, mit „unsichtbaren“ Veränderungen, deren Wirkungen auf Arbeit schwer zu erkennen sind. Vielfach stoßen Betriebsräte hierbei wegen begrenzter Ressourcen und mangelnder Qualifizierung an ihre Grenzen. Damit die digitale Transformation zum Erfolgsprojekt für die Branche und die Beschäftigten wird, gilt es daher, die Betriebsräte hinsichtlich Qualifizierung und Ressourcenausstattung zu stärken. Eine zentrale Aufgabe der Mitbestimmungsträger im Maschinenbau ist es, Beteiligungsprozesse für die Beschäftigten zu organisieren und in den betrieblichen Abläufen zu verankern. Durch Beteiligung der Beschäftigten gelingt es dem Betriebsrat, Themen zu setzen und gute Arbeitsbedingungen zu erreichen. Nach wie vor bleibt die Gestaltung guter Arbeit eines der wichtigsten Handlungsfelder für Mitbestimmungsträger. Insgesamt sollten sichere Arbeitsplätze und gute Arbeitsbedingungen in der gesamten Branche das Ziel sein.  Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt. 

 

Jürgen Dispan in: Digitalisierung souverän gestalten; 2020

https://link.springer.com/chapter/10.1007%2F978-3-662-62377-0_9

https://creativecommons.org/licenses/by/4.0/deed.de

 

Enisa.europa.eu; PM, BOW; 20.10.2020

https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2020

 

cyber security

 

Cybersecurity


Schutz vor Cyber-Bedrohungen

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich der Cybersecurity.

Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen

 

Mehr lesen

Datenschutzkonformität nach DSG

Ihr Datenschutz muss gesetzeskonform sein, sowohl nach bisherigem als auch neuem Schweizer Datenschutzgesetz. Wir unterstützen Sie dabei, die für Sie relevanten Vorgaben konform umzusetzen: rechtlich, technisch und organisatorisch.

  • Information über wesentliche Änderungen im neuen DSG
  • Klärung Handlungsbedarf
  • Rechtliche, technische und organisatorische Unterstützung
  • Sicherstellung der Konformität
  • Durchführung von Audits
  • Best Practice-Antworten zum Thema neues DSG

Angebot anfordern

Datenschutzkonformität nach DSGVO/GDPR

Dank unserem Best Practice-Ansatz ist die Datenschutzkonformität nach DSGVO/GDPR einfacher zu erreichen.

  • Abklärung, ob Organisation von DSGVO/GDPR betroffen ist
  • Klärung Handlungsbedarf und allenfalls Eingrenzung
  • Rechtliche, technische und organisatorische Unterstützung
  • Sicherstellung der Konformität
  • EU-Vertretung gemäss Art. 27 DSGVO
  • Durchführung von Audits
  • Best Practice-Antworten zum Thema DSGVO/GDPR

 

Angebot anfordern

Datenschutz-Folgenabschätzung (DSFA)

Die DSGVO und das neue Schweizer Datenschutzgesetz (DSG) verlangen bei Vorliegen entsprechender Voraussetzungen die Durchführung einer DSFA.

  • Abklärung, ob DSFA gemäss DSGVO oder DSG zur Anwendung kommt
  • Rechtliche, technische und organisatorische Unterstützung
  • Sicherstellung der Konformität
  • Durchführung von Audits
  • Best Practice-Antworten zum Thema DSFA

 

Angebot anfordern

Personaldatenschutz

Der rechtmässige Umgang mit Personaldaten im HR ist heikel, da immer mehr Prozesse (z.B. das Recruiting) digital ablaufen.

  • Anwendung allgemeiner Datenschutzregeln
  • Einfluss von Sondernormen aus dem Arbeitsrecht
  • Rechtliche, technische und organisatorische Unterstützung
  • Fokus: Datenbearbeitungen im Bewerbungsverfahren (inkl. E-Recruiting)
  • Fokus: Datenbearbeitungen während des Arbeitsverhältnisses
  • Fokus: Datenbearbeitungen nach Beendigung des Arbeitsverhältnisses

Angebot anfordern

Datenschutzaudits

Wir prüfen, ob gesetzliche Anforderungen erfüllt und beispielsweise CRM- oder HR-Applikationen den Datenschutzvorgaben entsprechen. Im Fokus eines Audits stehen aber auch der Mensch und seine Sensibilisierung für Datenschutz.

 

 

Angebot anfordern

Rechtsberatung IT Law

Beratung vom Spezialistenteam

  • Datenschutzrecht
  • Informatikrecht
  • Arbeitsrecht und IT
  • Nationale und internationale Standards
  • Regulatorien

Angebot anfordern

 

Unverbindliche Anfrage

 

Natürlich 100% vertraulich, kostenfrei und unverbindlich!

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung