3 Wirkungen der DSGVO: Innovation, Wettbewerbsfähigkeit und Sanktionen

3.1 Datenschutz, Wettbewerbsfähigkeit und Innovation

Empirische Forschung zu den Innovationsauswirkungen von Regulierung im Allgemeinen (und von Datenschutzregulierung im Besonderen) liegt soweit nur begrenzt vor. Bisherige Arbeiten haben sich vor allem auf die Auswirkungen von Umweltverordnungen konzentriert, mit mehreren Ergebnissen, die für die Debatte um die DSGVO relevant sind und im Folgenden knapp zusammengefasst werden. Zum einen kann die in der öffentlichen Debatte häufig vertretene These, dass Regulierung grundsätzlich Innovationen hemme, so nicht bestätigt werden. Im Gegenteil haben statistische Studien wiederholt positive Korrelationen zwischen Innovationsintensität und der Strenge von Umwelt- und Verbraucherschutzregulierungen identifiziert. Von naiven Interpretationen dieser Ergebnisse, wonach mehr Regulierung zu mehr Innovation führt, ist natürlich abzusehen; zumal sich zahlreiche Fallstudien finden, die zeigen, dass Regulierung durchaus Technologieentwicklung blockieren kann. Jedoch zeigen sie, dass die tatsächlichen Wechselwirkungen zwischen Regulierung und Innovation (sowie Wettbewerbsfähigkeit im weiteren Sinne) komplexer sind als häufig angenommen wird.

Auf der negativen Seite kann man mindestens zwei Wirkmechanismen identifizieren, wie Regulierung Innovation blockieren kann: Zum einen aufgrund des Compliance-Aufwandes gestiegene Kosten, welche (rein rechnerisch) die für Innovationsausgaben zur Verfügung stehenden Ressourcen schmälern, bzw. den Profitabilitätsgrad, welchen die Innovation erzielen muss um sich betriebswirtschaftlich zu lohnen, steigert. Zum anderen führen direkte Verbote bestimmter Anwendungen oder Prozesse dazu, dass sich die ihnen zugrunde liegenden technischen oder organisatorischen Neuerungen nicht entfalten können. Weniger häufig in der Literatur diskutiert, für die Frage der DSGVO aber hoch relevant, ist ein dritter Faktor: die Rechts(un)sicherheit. Wenn Firmen nicht sicher sein können, ob ein Innovationsvorhaben erlaubt ist, werden sie es im Zweifel aufgeben, um Fehlinvestitionen zu vermeiden.

Umgekehrt beschreibt die Literatur aber auch Mechanismen, über welche Regulierung Innovation und sogar Wettbewerbsfähigkeit stimulieren kann. Insofern Regulierung Firmen Auflagen macht, besteht ein Anreiz, technische oder organisatorische Lösungen (d. h. Innovationen) zu entwickeln, um diese Auflagen zu erfüllen. Regulierung kann damit Märkte für neue Lösungen oder Produkte schaffen. Insofern die fragliche Regulierung später von anderen Ländern übernommen wird können sich dadurch Export- und Wettbewerbsvorteile für heimische Firmen ergeben. Ein weiterer möglicher innovationsfördernder Mechanismus von Regulierung liegt in dem Vertrauen, das Regulierung schaffen kann. Je größer das potentielle Risiko, dem sich Verbraucher mit der Nutzung eines Produktes ausgesetzt fühlen, desto höher ihre vermutlichen Hemmungen, das Produkt tatsächlich zu nutzen. Dies dürfte insbesondere für neue, komplexe Technologien gelten, bei denen Verbraucher glauben, sie unzureichend zu verstehen oder meinen, nicht genug Erfahrungswerte zu besitzen, um Risiken einschätzen zu können. Insofern (Risiko-)Regulierung Verbrauchern glaubhaft beteuern kann, etwaige Risiken einzudämmen, kann sie deren Bereitschaft, neue Technologien zu nutzen, erhöhen und damit letztlich den Markt und die Anreize zur Innovation neuer Technologien stärken.

In Summe ist also zu konstatieren, dass die möglichen Auswirkungen von Regulierung auf Innovation vielschichtig und gegenläufig sein können. Bislang konnten keine allgemeingültigen Gesetzmäßigkeiten darüber identifiziert werden, wann und unter welchen Umständen Regulierung Innovation eher positiv bzw. negativ beeinflusst. Tatsächlich ist davon auszugehen, dass auch keine solchen Gesetzmäßigkeiten existieren, sondern dass die jeweiligen Auswirkungen auf spezifische, nur schwer verallgemeinerbare Wechselwirkungen zwischen den spezifischen Rechtsvorschriften und den Besonderheiten der jeweiligen Technik zurückgehen.

Wie sieht es nun bei der DSGVO aus? Zeigt sie eher innovationsfördernde oder -hemmende Wirkungen? Diese Frage ist leider immer noch nur sehr bedingt zu beantworten, da soweit nur eine geringe Zahl meist kleinerer Studien und Erhebungen zu diesem Thema vorliegt. Es fehlen weiterhin größere quantitative Untersuchungen, die es erlauben würden, Auswirkungen verlässlich und nach Strukturmerkmalen (Unternehmensgröße, Branche, Geschäftsmodell, Verarbeitungskontext etc.) aufgeschlüsselt nachzuzeichnen und die zu Grunde liegenden Wirkmechanismen klar zu identifizieren.

Zunächst ist zu konstatieren, dass Untersuchungen aus dem ersten Jahr nach Verabschiedung der DSGVO (2017) eher auf (wenn auch verhalten) positive Auswirkungen hindeuteten. Ein Bild das sich in folgenden Jahren allerdings eintrübt. So stellen Martin u. a. in Interviews mit Unternehmensgründern und auf Datenschutz spezialisierten Rechtsanwälten (N = 19) fest, dass die DSGVO (zumindest bei den interviewten Firmen) anscheinend nur in wenigen Fällen zur Aufgabe geplanter neuer Produkte oder Features führte. Umgekehrt hatten die meisten dieser Firmen aufgrund der DSGVO neue Technologien zur Unterstützung von Datensicherheits- und Datenschutz-Compliance eingeführt. Insofern alle der interviewten Firmen datenintensive Dienste anboten, mit besonders sensiblen Daten arbeiteten oder risikoreiche Verarbeitungen durchführten, kann dieses Ergebnis als Hinweis gewertet werden, dass die DSGVO zumindest keine unmäßig innovationshemmenden Wirkungen entfaltete. Ganz im Gegenteil hat sie die Entwicklung von Märkten für neue Produkte und Lösungen angestoßen, wirkte also durchaus innovationsfördernd.

Der letzte Punkt, die Entstehung neuer Märkte für Produkte und Technologien um Datenschutz umzusetzen, wird auch durch entsprechende Branchenregister bestätigt, die seit 2017 kontinuierliches und rasches Wachstum in der Zahl der einschlägigen Firmen nachweisen. Innovationsaktivitäten fokussieren sich auf ein breites Spektrum von Lösungen, von Produkten zur Governance von Datenbeständen und Datenschutz-Management über IT-Sicherheit bis zu Verfahren zur Anonymisierung bzw. Pseudonymisierung von Daten und deren Auswertung.

Unglücklicherweise legen die wenigen verfügbaren quantitativen Erhebungen nahe, dass die Erfahrungen der Firmen seitdem negativer geworden sind, wobei das Gesamtbild nichtsdestotrotz widersprüchlich bleibt. Abb. 1 und 2 zeigen Ergebnisse aus mehreren repräsentativen Erhebungen des IT-Branchenverbands Bitkom. Demnach ist die Zahl der Unternehmen, welche die DSGVO als „einen Wettbewerbsvorteil für europäische Unternehmen“ sehen, seit 2017 kontinuierlich gestiegen, um mehr als die Hälfte: von nur 38 % auf 62 %. Paradoxerweise ist der Anteil der Firmen, die sagen, die DSGVO „bring[e] [ihrem eigenen] Unternehmen Vorteile“ ebenso stetig gefallen, ebenfalls um fast die Hälfte: von 39 % in 2017 auf 20 % in 2020. Gleichzeitig ist die Zahl der Firmen, die angaben, die DSGVO stelle „eine Gefahr für [ihr] Geschäft dar“ fast konstant geblieben, bei jeweils etwa 13 % (Abb. 1).

Abb. 1

(Quelle: Bitkom (2017, 2018, 2019, 2020))

Datenschutz und Wettbewerbsfähigkeit.

Auch die Aussagen zu den spezifischen Auswirkungen auf Innovation sind widersprüchlich. Einerseits ist die Zahl derer, die glauben, die DSGVO „verhinder[e] Innovationen in der EU“ leicht gefallen, von 37 % auf 29 %. Andererseits ist die Zahl derer, die angaben, dass „neue, innovative Projekte [in ihrem eigenen] Unternehmen aufgrund der DSGVO gescheitert sind“ von lediglich 14 % im Jahr 2019 auf volle 56 % im Jahr 2020 hochgeschnellt (Abb. 2). Eine Umfrage des Wirtschaftsforschungsinstituts ZEW unter Firmen der Informationswirtschaft kommt zu ähnlichen Ergebnissen: bei 24 % hat die DSGVO „Innovationen gebremst“, bei 13 % den „Einsatz neuer Technologien erschwert oder verhindert“. Im Android App-Markt (Google Playstore) hat die DSGVO zu massiven Rückgängen in der Entwicklung neuer Apps und zum Rückzug vieler Entwickler geführt.

Abb. 2

(Quelle: Bitkom (2017, 2018, 2019, 2020))

Datenschutz und Innovation.

Eine sinnvolle positive wie normative Einordnung dieser Zahlen ist jedoch schwierig, da wesentliche Kontextinformationen fehlen. Zum einen muss grundsätzlich betont werden, dass nicht jede Innovation gesellschaftlich oder wirtschaftlich wünschenswert ist. Wenn eine im Vergleich zur Zeit vor der DSGVO peniblere Einhaltung von Datenschutzgesetzen heute dazu führt, dass z. B. ein Startup daran gehindert wird, sensible Finanzinformationen ungesichert zu verarbeiten oder eine Firma ein angedachtes Produkt stornieren muss, das Jobbewerbungen mit „Hintergrundinformationen“ aus den Social-Media-Profilen der Bewerber „anreichern“ sollte, dann ist das vielleicht weniger ein Hinweis darauf, dass die DSGVO Innovation unmäßig einschränkt, als dass sie vielmehr ihren Zweck erfüllt. Das Problem ist jedoch, dass weiterhin sehr wenig darüber bekannt ist, welche „neuen, innovativen Projekte“ aufgrund der DSGVO tatsächlich scheitern.

Die bereits zitierte Umfrage des Bitkom legt nahe, dass insbesondere der „Aufbau von Datenpools, z. B. um Daten mit Partnern zu teilen“ sowie der „Einsatz neuer Technologien, wie z. B. Big Data und KI“ aufgrund der DSGVO scheitern. Aber zu welchen Zwecken sollten diese Technologien bzw. Pools eingesetzt werden? In welchen Branchen sind die betroffenen Firmen aktiv und welche Geschäftsmodelle verfolgen sie? Geht es hier um die Entwicklung von Zukunftstechnologien mit erheblichem wirtschaftlichen und ökologisch-gesellschaftlichem Mehrwert, die etwa die Energie- und Verkehrswende vorantreiben könnten? Oder geht es um Online-Werbetechnologien, die Konsument:innen immer umfassender ausspähen – mit fragwürdigem gesellschaftlichen oder volkswirtschaftlichen Mehrwert?

Ebenso unklar ist, was für Folgen das Scheitern dieser „neuen, innovativen Projekte“ für die befragten Firmen hatte, und was „Scheitern“ konkret bedeutet. Ging es hier oft um strategisch wichtige Projekte, deren Scheitern die Wettbewerbsfähigkeit der Firma maßgeblich schädigt? Oder um eine Innovationsidee unter vielen, die vielleicht sogar in abgeänderter Form in einem anderen Projekt fortentwickelt wird? Wir wissen es nicht.

Dass jedoch unter den befragten Firmen der Anteil jener, der angibt, Innovationsprojekte seien wegen der DSGVO gescheitert, massiv steigt (von 14 % auf 56 % zwischen 2019 und 2020), gleichzeitig aber der Anteil derjenigen, der angibt, sie seien durch die DSGVO bedroht, zurückgeht und auf niedrigem Niveau verharrt (12 %) und der Anteil, der in der DSGVO einen allgemeinen Wettbewerbsvorteil für europäische Firmen erblickt, ebenfalls weiterhin stark wächst (von 50 % auf 62 %) legt nahe, dass die DSGVO Innovationsaktivitäten allgemein nicht in einem kritischen Ausmaß behindert.

Fast noch weniger als über die negativen Innovationsauswirkungen der DSGVO wissen wir über ihre positiven Auswirkungen. Etwa zwei Drittel der von Bitkom befragten Firmen hält sie für einen Wettbewerbsvorteil für europäische Unternehmen, wenngleich nur 20 % einen Vorteil für sich selbst erblicken. Welche konkreten Vorteile sehen diese Firmen also in der DSGVO für sich und andere? Warum ist dennoch die Hoffnung vieler Firmen, Vorteile aus der DSGVO zu ziehen, anscheinend enttäuscht worden? Schließlich hatten im Jahr 2017 noch 38 % der Befragten in ihr einen Vorteil für das eigene Geschäft gesehen. Auch auf diese Fragen gibt es soweit noch keine klaren Antworten.

Drei mögliche Wirkmechanismen, über die die DSGVO Firmen Vorteile verschaffen könnte, sind Marktvorteile, Angleichung von Wettbewerbsbedingungen und gestiegenes Verbrauchervertrauen.

Marktvorteile: Martin u. a. identifizieren in ihren Interviews einen „Buy European“-Effekt: Firmen gaben an, bei Datenschutz-relevanten Produkten neuerdings europäische Anbieter zu bevorzugen, oder sogar ganz auf außereuropäische Anbieter zu verzichten, da sie glaubten, sich bei Europäern eher darauf verlassen zu können, dass die DSGVO tatsächlich eingehalten wird. Die nach dem Schrems II-Urteil weiter gestiegenen Hürden, Daten ins außereuropäische Ausland zu transferieren, dürften diesen Effekt weiter stärken.

Zwar sind solche de facto protektionistischen Effekte grundsätzlich eher wettbewerbs-, wohlstands- und innovationsschmälernd; aufgrund der Größe des europäischen Binnenmarktes dürfte dieser Schaden aber gering bleiben. Im Gegenteil, wenn solche DSGVO-bedingten Marktvorteile das Wachstum europäischer Alternativen zu den dominierenden US-Konzernen befördern, könnten sie langfristig für mehr Wettbewerb und damit mehr Wohlstand und Innovation sorgen.

Angleichung von Wettbewerbsbedingungen: Die DSGVO bietet die Chance, einheitlichere Datenschutzstandards in Europa und potentiell sogar weltweit durchzusetzen, wenn sie von anderen Wirtschaftsregionen oder außereuropäischen Firmen teilweise übernommen wird. Dieses Phänomen, der sog. „Brussels Effect“ kann in diversen Regulierungsfeldern beobachtet werden, einschließlich dem des Datenschutzes. Das dürfte insbesondere deutschen Firmen zugutekommen, da deutsche Standards auch bisher zu den höchsten in Europa zählten. Wie Abb. 3 zeigt, erwartet eine klare Mehrheit deutscher Firmen solche Angleichungen des Datenschutzstandards und somit der Wettbewerbsbedingungen durch die DSGVO.

Abb. 3

(Quelle: Bitkom (2017, 2018, 2019, 2020))

Angleichung von Wettbewerbsbedingungen.

Verbrauchervertrauen: Verbraucherumfragen legen nahe, dass Sorgen um Datenmissbrauch weiterhin ein wichtiger Grund für die Nicht-Nutzung neuer Digitalprodukte wie z. B. Sprachassistenten sind. Interviews mit Firmenvertretern bekräftigen, dass allgemeines Konsumentenmisstrauen um „Ausspähung“ bisweilen auch rechtlich wie gesellschaftlich unproblematische Innovationen scheitern lässt, da Unternehmen davon absehen, Technologien zu nutzen oder zu entwickeln, die Verbrauchermisstrauen wecken könnten.

Regulierung ist grundsätzlich geeignet, derartige Sorgen zu nehmen und Vertrauen herzustellen. Ob die DSGVO dies bisher geschafft hat, ist indes fraglich. Die DSGVO und die in ihr verbrieften Rechte sind den meisten EU-Bürgern wenigstens in Ansätzen bekannt. 57 % (und damit 20 % mehr als 2015) wissen auch um die Existenz der Datenschutz-Aufsicht. Dieses Wissen könnte das Vertrauen der Bürger in den Schutz und die Kontrollierbarkeit ihrer Daten (und damit Technologieakzeptanz) stärken. Tatsächlich aber ist seit 2015 die Zahl der Bürger, die glauben wenigstens begrenzte Kontrolle über ihre Daten zu haben, in den meisten EU-Staaten nur unwesentlich gestiegen oder sogar gefallen. Allerdings ist auch die Zahl derer, denen diese fehlende Kontrolle Sorgen bereitet, in den meisten EU-Ländern (leicht) gefallen, wobei sie weiterhin fast überall die Mehrheit bilden. Ein Paradigmenwechsel im Hinblick auf Vertrauen zeichnet sich somit noch nicht ab. Andererseits wäre ein signifikanter Vertrauensanstieg innerhalb von ein bis zwei Jahren nach Einführung der DSGVO auch kaum zu erwarten. Vertrauen dürfte sich, wenn überhaupt, langsam und über längere Zeiträume aufbauen. Insofern erscheint es eher unwahrscheinlich, dass der Faktor „Vertrauen“ schon jetzt positive Innovationswirkungen hat.

3.2 DSGVO-Sanktionen

Eine der wesentlichsten Veränderungen im deutschen und europäischen Datenschutzregime, das die DSGVO gebracht hat, ist die Verschärfung des Sanktionsregimes. Konnte vor der DSGVO in Deutschland ein Bußgeld von maximal 300.000 EUR für einen Datenschutzverstoß verhängt werden, so sind jetzt Bußgelder von bis zu 20 Mio. EUR oder vier Prozent des weltweiten jährlichen Unternehmensumsatzes möglich. Zweck dieser massiven Erhöhung war es, das in den Vorjahren vielfach konstatierte „Vollzugsdefizit“ im Datenschutz – bzw. die auf Unternehmensseite verbreitete Wahrnehmung, dass Datenschutzverstöße nur „Kavaliers- und Bagatelldelikte“ seien – zu beheben. Entsprechend großes Interesse kam im Vorfeld daher der Frage zu, wie die Datenschutzbehörden mit den neuen Zwangsmitteln umgehen würden.

Wie die aktuelle Forschung darlegt, spielten Bußgelder in der Aufsichtspraxis und dem Amtsverständnis der deutschen Landesbehörden in der „vor-DSGVO-Zeit“ eher eine untergeordnete Rolle. Der Fokus der Behörden lag eher auf Aufklärung, Sensibilisierung und Beratung der Öffentlichkeit und der Verantwortlichen sowie auf der Bearbeitung von Eingaben und Beschwerden betroffener Personen. Gerade bei kleinen und mittleren Unternehmen wurde (und wird) der Schwerpunkt eher darauf gelegt, datenschutzkonforme Zustände (wieder-)herzustellen – und nicht, eventuelle Verstöße möglichst hart zu sanktionieren. Vorausgesetzt, dass sich Verantwortliche kooperativ und reformwillig zeigten (und Verstöße nicht vorsätzlich begangen oder die betroffenen Personen unzumutbar hohen Risiken ausgesetzt wurden), blieben Bußgelder meist niedrig oder es wurde ganz auf sie verzichtet. Dieser eher auf Sensibilisierung und Beratung als auf aktivem „Eintreiben“ von Bußgeldern fokussierte Ansatz grenzte sich auch vom aufsichtsbehördlichen Stil mancher anderer EU-Mitgliedstaaten ab, in denen Bußgeldern schon vor der Datenschutz-Grundverordnung eine wichtigere Rolle zukam, auch zur Finanzierung der Behörden.

In Interviews im Frühjahr und Sommer 2018 betonten Behördenvertreter, dass sie sich zwar einerseits verpflichtet sahen, die Spielräume des neuen Bußgeldrahmens zu nutzen und dies auch wollten, um eine bislang häufig fehlende Disziplin in den Markt zu tragen. Andererseits sahen sie aber weiterhin ihre Amtsaufgabe nicht primär im Verteilen von Bußgeldern. Ihre Botschaft lautete aber, dass bei eklatanten Missbräuchen Bußgelder künftig merkbar steigen würden, während man kooperative Akteuren, die Fehler eingestehen und abstellen wollen, konstruktiv unterstützen werde.

Wie Abb. 4 zeigt, ist die Höhe sowie die Zahl der verhängten Bußgelder dennoch erheblich angestiegen. Bewegte sich der durchschnittliche Gesamtwert der jährlich von allen deutschen Datenschutz-Aufsichtsbehörden verhängten Bußgelder in den Jahren 2010 bis 2018 noch im unteren sechsstelligen Bereich, wurden 2019 bereits Bußgelder von insgesamt mehr als 25 Mio. EUR verhängt, und im Jahr 2020 waren es bis Herbst bereits mindestens 36,5 Mio. EUR. Gleiches gilt für die Anzahl der Bußgelder. Es scheint, dass in keinem Jahr zwischen 2010 und 2018 mehr als 191 Bußgelder verhängt wurden, meist erheblich weniger als 150. Dagegen waren es 2019 bereits 494.

Abb. 4

(Quelle: Tätigkeitsberichte der Landes- und Bundesaufsichtsbehörden, Presseberichte)

Gesamtwert (oben) und Gesamtzahl (unten) verhängter Datenschutz-Bußgelder (Schätzwerte, jährlicher Durchschnitt).

Welche Auswirkungen dürfte die verschärfte Bußgeldpraxis auf Unternehmen haben? Wie die sozialwissenschaftliche Forschung zu Compliance-Verhalten von Firmen herausgearbeitet hat, sind die Faktoren, die in Unternehmensentscheidungen, sich an Recht und Gesetz zu halten, oder eben nicht, komplex. Neben „ökonomischen“ Erwägungen wie der erwarteten Höhe des durch Rechtsbruch zu erzielenden Gewinns diskontiert um die Wahrscheinlichkeit, entdeckt zu werden und die Schwere der zu erwartenden Strafe spielen auch Fragen gesellschaftlicher Erwartungen wie etwa Reputationsverluste sowie innere normative Vorstellungen eine wichtige Rolle.

Zwar ist mit dem höheren Bußgeldrahmen die zu erwartende Strafe im Entdeckungsfall wesentlich gestiegen, die weiterhin begrenzten Personalkapazitäten der Aufsichtsbehörden lassen die Wahrscheinlichkeit einer Entdeckung durch „Initiativfahndung“ seitens der Aufsichtsbehörden jedoch weiterhin sehr gering erscheinen. Wichtiger für die Aufdeckung dürften Eingaben und Beschwerden aus der Bevölkerung sowie ggf. von Wettbewerbern sein. Diese sind in den vergangenen zwei Jahren ebenfalls massiv gestiegen. Hohe, medienwirksame Bußgelder dürften diesen Zustrom am Laufen halten, insofern sie das Thema Datenschutz und Datenschutzverstöße in der öffentlichen Wahrnehmung halten.

Die Androhung von Sanktionen ist jedoch oft nicht der Hauptgrund, warum sich Firmen wie Einzelpersonen an Regeln halten. Im Gegenteil wollen sich die meisten Menschen und Organisationen aus innerer Überzeugung an Recht und Gesetz halten. Wie Martin et. al. ausführen, können hohe Strafen diesen Willen durchaus bestärken, nicht im Sinne der Abschreckung, sondern indem sie eine „kalibrierende“ Wirkung entfalten: Das Sanktionsmaß ist auch eine Messlatte für Bewertung des Rechtsbruchs in der Gesellschaft: Niedrige Sanktionen deuten auf Bagatelldelikte hin, die man sich auch mit gutem Gewissen „einmal leisten kann“; schwere Sanktionen auf Verfehlungen, die erhebliche moralische Schuld nach sich ziehen. Dies ist insofern relevant, als dass Datenschutzverfehlungen bislang eben doch sehr häufig als Bagatellen aufgefasst worden sind und nicht als Grundrechtsverstöße.

Der neue Bußgeldrahmen könnte helfen, diese Wahrnehmung zu verändern – vorausgesetzt, dass er tatsächlich zur dauerhaften Etablierung wesentlich höherer Bußgelder für Datenschutzverstöße führt.

Bis zu welchem Grad das tatsächlich geschehen wird, scheint bislang noch offen. Gemäß Art. 83(1) DSGVO müssen Bußgelder „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein. Darüber hinaus legt die DSGVO zwei Obergrenzen für Bußgelder fest (10 bzw. 20 Mio. EUR oder 10 bzw. 20 % des konzernweiten Jahresumsatzes) (Art. 83(4)(5) DSGVO). Zudem benennt sie Kriterien, anhand derer die Schwere von Verstößen bestimmt werden kann (Art. 83(2) DSGVO) und legt zumindest grob fest, dass Verstöße gegen bestimmte Auflagen schwerer wiegen (und daher mit bis zu 20 Mio. EUR Bußgeld geahndet werden können) als andere (für die maximal 10 Mio. EUR Bußgeld fällig werden können) (Art. 83(4)(5) DSGVO). Eine Untergrenze für Bußgelder legt sie jedoch nicht fest. Festzulegen, wie hoch ein „wirksames, verhältnismäßiges und abschreckendes“ Bußgeld ist, bleibt damit letztlich der Auslegung der Aufsichtsbehörden vorbehalten – und der Rechtsprechung durch die Gerichte. Wie oben ausgeführt, sind die Datenschutzbehörden offensichtlich Willens, wesentlich höhere Bußgelder zu verhängen. Die kritische – soweit noch nicht beantwortbare – Frage ist, inwiefern die Gerichte dies mittragen werden. Zumindest in einem Fall – dem 9,55 Mio. EUR Bußgeld des Bundesdatenschutzbeauftragten gegen den Telefonanbieter 1&1 – hat das Gericht ein sehr hohes Bußgelder um 90 % (!) reduziert, was vom Bundesbeauftragten akzeptiert wurde. Inwiefern diesem Fall breitere Bedeutung zukommt, bleibt abzuwarten; was er aber verdeutlicht, ist dass die DSGVO einen Prozess der „Rekalibrierung“ der rechtlichen wie moralischen Schwere von Datenschutzverstößen eingeleitet hat, in dem wir uns noch befinden. Das tatsächlich zu erwartende Strafmaß bei Verstößen liegt damit noch im Fluß.

4 Schluss

Als die Kommission im Jahre 2012 ihren DSGVO-Entwurf vorlegte, wurden mehrere ambitionierte Ziele ins Auge gefasst: Die neue Verordnung sollte nicht nur neue innovative datenschutzrechtliche Instrumente wie die DSFA einführen, sie sollte auch den datenschutzrechtlichen Rahmen über alle EU-Mitgliedstaaten hinweg harmonisieren und zukunftstaugliche, technikneutrale Formulierungen enthalten. Damit sollte die DSGVO letzten Endes ein wirkungsvolles, neues Datenschutz-Regime etablieren, das Innovationen fördert, sofern sie keine Einschränkung des EU-Grundrechts auf Datenschutz darstellen, während zugleich mittels des neuen Sanktionsregimes böswillige Akteure von Zuwiderhandlungen abgehalten werden sollten.

Da im Hinblick auf die Aspekte der Harmonisierung und Technikneutralität bereits zum Zeitpunkt der Verabschiedung der DSGVO ein Nichterreichen der selbstgesteckten Ziele attestiert wurde, hat sich der vorliegende Beitrag im Rahmen der ersten Frage der Frage gewidmet, weshalb die Einführung datenschutzrechtlicher Innovationen durch eine unzureichende Harmonisierung und eine falsch verstandene Technikneutralität begleitet wurde. Im Rahmen der zweiten Frage wurde hingegen untersucht, welche Effekte die DSGVO auf die Innovationsfähigkeit hat und wie das neue Sanktionsregime wirkt.

Obwohl die Europäische Kommission für die vorgesehene Kompetenzverlagerung hin zur Kommission selbst während der Datenschutzreform viel gescholten wurde, hätten die initialen Kommissionsvorschläge als auch die späteren Alternativvorschläge von Kommission und Parlament die flexible Anpassung und Spezifizierung der Datenschutz-Bestimmungen an die Datenschutz-Risiken künftiger Technologien erlaubt. Dadurch wäre zudem die Wahrscheinlichkeit reduziert worden, dass bei künftigen Spezifizierungsdebatten gleich die Neuverhandlung der gesamten Verordnung aufs Tablett gebracht wird oder gar, dass sich bei einer vollumfänglichen Reform die Perspektive der Gegner eines hohen Datenschutzniveaus durchsetzen könnte, wie es in der Datenschutzpolitik regelmäßig der Fall gewesen ist und wie es auch im Falle der DSGVO wahrscheinlich der Fall gewesen wäre, wenn sich die Community der Datenschutzbefürworter einer Absenkung des Schutzniveaus nicht entschieden entgegengestellt und wenn die Snowden-Enthüllungen ihren Argumenten keinen Auftrieb verschafft hätten.

In Summe wurde die DSGVO durch die Streichung der delegierten und Durchführungsrechtsakte sowohl der wirksamen Gewährleistung der Harmonisierung als auch der Möglichkeit zur Adressierung technologie-spezifischer Risiken beraubt, ohne dass im Rahmen des Trilogs geeignete Alternativen beschlossen wurden. Weder die von der Kommission vorgeschlagene Selbstermächtigung noch die vom Parlament vorgeschlagene Spezifizierung im Verordnungstext selbst konnten sich angesichts des Widerstands des Ministerrats durchsetzen.

Die mangelnde Harmonisierung des europäischen Datenschutzrechts und die Verabschiedung einer falsch verstandenen Technikneutralität, die als Risikoneutralität wirkt, sind somit Ergebnis des Widerstands des Ministerrats bzw. der darin versammelten Mehrheit der Mitgliedstaaten, die historisch stets gegen die EU-weite Harmonisierung der datenschutzrechtlichen Regelungen eingetreten waren. Dies lässt die Hoffnung darüber, dass sich auf Ebene und unter der Verantwortung der Mitgliedstaaten mittels der Öffnungsklauseln etc. eine Anhebung des Schutzniveaus durchsetzen ließe, aussichtslos erscheinen.

Die Analyse der Wirkung der DSGVO hat gezeigt, dass es klare Hinweise darauf gibt, dass die DSGVO Innovationshindernisse schafft. Da der allgemein als legitim anerkannte Zweck der DSGVO allerdings auch gerade darin liegt, bestimmte Datenverarbeitungen (somit auch Innovationen) auszubremsen, um Rechte und Freiheiten der Betroffenen zu schützen, ist dies an sich nicht problematisch, sondern kann im Gegenteil als Beleg für die Wirksamkeit der DSGVO gewertet werden. Problematisch wäre jedoch, wenn die DSGVO die Entwicklung wichtiger Zukunftstechnologien, die etwa für die Sicherung des Wohlstandes oder den ökologischen Umbau von Wirtschaft und Gesellschaft benötigt werden, ausbremsen würde. Die wenigen Studien suggerieren aber, dass große Mehrheiten deutscher Firmen die DSGVO eher als Wettbewerbsvorteil denn als -nachteil sieht. Dies kann als Hinweis interpretiert werden, dass sie strategisch wichtige Innovation eher nicht in einem kritischen Ausmaß behindert. Aufgrund der begrenzten Datenlage sind dies jedoch letztlich Spekulationen. Wir brauchen daher detailliertere, branchen- und technologiespezifische Studien zu den Auswirkungen des Datenschutzes auf Innovation.

Der neue Sanktionsrahmen wird zunehmend von den deutschen Datenschutzbehörden angewandt. Bußgelder in Millionenhöhe werden verhängt. Die bislang verbreiteten Wahrnehmungen (i) eines „Vollzugsdefizits“ im Datenschutz und dass (ii) Datenschutzverstöße Bagatelldelikte seien, dürften somit mehr und mehr der Vergangenheit angehören. Gleichzeitig ist davon auszugehen, dass die Aufsichtsbehörden ihre Amtsaufgabe weiterhin primär nicht in der Verhängung von Bußgeldern sehen werden.

Die mit großen Ambitionen gestartete Datenschutz-Grundverordnung befindet sich nun seit mehreren Jahren in der Anwendung und wie sich zeigt, ist sie weder der ambitionierte Heilsbringer für die Europäische Digitalwirtschaft, wie sie während des Aushandlungsprozesses immer wieder beworben wurde, noch ist sie die vonseiten vieler Mitgliedstaaten und der datenverarbeitenden Wirtschaft befürchtete massive Innovationsbremse, die Europa aus dem Rennen um technologische Hoheit wirft. Stattdessen zeigt sich, dass die DSGVO komplexe Effekte entfaltet, die noch weiterer Untersuchung und Konkretisierung bedürfen.

CC BY

Karaboga, M., Martin, N., Friedewald, M. (2022). Governance der EU-Datenschutzpolitik. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden.

https://doi.org/10.1007/978-3-658-35263-9_2

Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.

3 Personenbezogene Daten als unternehmerische Ressource

Nachfolgend stellen wir zwei Studien vor, die wir in ökonomischen Teilprojekten in den letzten Jahren durchgeführt haben. Die Studien beschäftigen sich mit der unternehmensinternen und -externen Verwendung von Daten.

3.1 Unternehmen als Teil von Datenmärkten und Wertschöpfungsstrukturen für Daten

Im Rahmen einer explorativen Studie haben wir uns in Bründl et al. genauer mit der Struktur von und der Wertschöpfung in Datenmärkten und den damit verbundenen Rollen von Unternehmen auseinandergesetzt. Um tiefere Einblicke in den Markt für personenbezogene Daten zu erhalten, haben wir Experten aus datengetriebenen Unternehmen für echtzeitbasierte Online-Werbung (Real-Time-Advertising) befragt. Mit einem geschätzten Marktvolumen von zum Zeitpunkt der Studie 1,6 Mrd. Euro p. a. ist dies der größte Teilmarkt. Ziel der Experteninterviews war es, zu erfahren, welche Geschäftsmodelle und Anwendungsbeispiele für den Datenhandel vorliegen, welchen monetären Wert Daten auf diesem Markt haben und welche Faktoren den Datenwert beeinflussen. Mit Hilfe der Interviews konnten wir konzeptualisieren, wie Wertschöpfungsstrukturen aussehen, wie der Wert von Daten festgelegt wird und welche Akteure in diesem Prozess beteiligt sind. Im Folgenden fassen wir die Hauptergebnisse der empirischen Studie zusammen

Akteure

Wir differenzieren sieben Rollen, die sich im Datenmarkt bewegen: Advertiser, Publisher, Demand-, Supply-Side-Plattformen, Datensammler, Data-Exchange- und Data-Management-Plattformen (Abb. 1). Wertschöpfungsaktivitäten werden von Datensammlern initiiert. Diese generieren unterschiedliche Arten von Daten und nutzen diese sowohl für eigene Zwecke, als auch für den Verkauf an andere Akteure. Datensammler sind vor allem Anbieter von Online-Plattformen, auf denen kostenfreie Dienste angeboten werden. Diese kostenlosen Dienste werden finanziert durch die Weitergabe der gesammelten Daten an Dritte. Am anderen Ende der Wertschöpfungskette stehen Advertiser (Werbetreibende). Diese wollen ihre Produkte oder Dienste an potentielle Kunden vermarkten. Um auf die digitalen Werbeplätze der Publisher zugreifen zu können, nutzen sie die Dienste von Intermediären (Demand-Side-Plattformen). Damit die Werbung an spezielle Kundensegmente ausgeliefert werden kann, ziehen Demand-Side-Plattformen personenbezogene Daten der Kunden heran. Publisher offerieren auf Webseiten oder in mobilen Applikationen digitale Werbeplätze. An dieser Stelle greifen Publisher auf Intermediäre in Form von Supply-Side-Plattformen zurück, damit sie ihre eigenen Werbeplätze gewinnmaximierend anbieten können. Durch Supply-Side-Plattformen können Publisher ihre Werbeplätze automatisiert in Echtzeit vermarkten (Real-Time-Bidding). Supply-Side-Plattformen übermitteln den verfügbaren Werbeplatz und Kontakteigenschaften an Demand-Side-Plattformen. Wenn die übertragenen Eigenschaften vom Werbeplatz mit den vom Advertiser gestellten Anforderungen übereinstimmen, bieten Demand-Side-Plattformen automatisiert einen vordefinierten Preis. Letztendlich erhält den Werbeplatz für den spezifischen Kontakt der höchstbietende Advertiser. So wirken Demand-Side-Plattformen als Intermediäre, durch die Advertiser datengetriebene, zielgruppengerechte Werbekontakte in automatisierter Form erwerben können. Demand-Side-Plattformen aggregieren Daten von Supply-Side-Plattformen, Data-Management-Plattformen und Data Exchanges, um verfügbare Angebote mit den Anforderungen von Advertisern in Einklang zu bringen. Data-Management-Plattformen nutzen Algorithmen des maschinellen Lernens, um Akteure bei Zielgruppenidentifikation zu unterstützen, indem sie die Charakteristika von Kundensegmenten einschätzen. Oftmals eng verknüpft mit Data-Management-Plattformen sind Data Exchanges. Diese wirken als Handelsplätze von Third-Party-Daten von potentiellen Zielgruppen und geben so Auskunft über spezielle Kundensegmente.

Abb. 1.

Wertschöpfungskette für personenbezogene Daten (Quelle: Bründl et al. 2016)

Wertschöpfungsstrukturen

Wir beschreiben die Wertschöpfung im Umgang mit Daten auf der Unternehmensebene anhand von vier aufeinanderfolgenden Schritten. Im ersten Schritt werden personenbezogene Daten durch Unternehmen gesammelt. Nachfolgend werden die gesammelten Daten aufbereitet und aggregiert. Im dritten Schritt werden die Daten auf gewisse Muster analysiert. Schließlich können die Daten im letzten Schritt distribuiert und genutzt werden. Der Datenmarkt stellt durch seine Wertschöpfungsprozesse für Unternehmen einen interessanten Anknüpfungspunkt dar. Anhand der Darstellung können Unternehmen geeignete Partner identifizieren, um ihre vorhandene Datenbasis zu monetarisieren. Die Erhebung von bislang unbeachteten Daten kann sich anbieten, um neue Erlösquellen zu erschließen. Gleichzeitig müssen die Interessen der Kunden und rechtliche Erfordernisse beachtet werden.

In Anbetracht aktueller Entwicklungen des Datenmarkts, wird dieser in Zukunft voraussichtlich an Relevanz gewinnen. Die Menge an verfügbaren Daten wächst durch Trends wie das Internet der Dinge und Big Data weiter an. Auf der einen Seite führt das steigende Angebot an Daten bei gleichbleibender Nachfrage zu sinkenden Preisen. Auf der anderen Seite steigt die Datenqualität wegen zunehmender Möglichkeiten der Vernetzung weiter an. Der zunehmende Preis für personenbezogene Daten stellt ein monetäres Potential für Unternehmen dar. Die zunehmende Generierung von Daten, verbunden mit dem Potential diese Daten gewinnbringend auszuwerten, führt zu einer zunehmenden Bedeutung des Datenhandels und der Rolle von Daten für Unternehmen.

3.2 Daten als Ressource für Unternehmen

Heutzutage sammeln Unternehmen eine zunehmend große Menge an Daten aus unterschiedlichen Quellen. Wenn heterogene Datensets aus unterschiedlichen Quellen miteinander kombiniert werden, kann dies zu vielversprechenden unternehmensinternen Vorteilen führen. Miteinander kombinierte Daten haben einen höheren Wert als Daten, die einzeln betrachtet werden. In Weibl und Hess beschäftigen wir uns mit der Frage, wie Synergieeffekte aus kombinierten Daten konzeptualisiert werden können und wie Synergieeffekte zu unternehmerischen Vorteilen führen.

Ansatz

Die Ergebnisse der Arbeit sind in einem konzeptionellen Framework dargestellt (Abb. 2). Theoretische Basis für das Framework bilden die Systemtheorie und das Konzept von Synergie nach Nevo und Wade. Die Systemtheorie stellt die theoretische Grundlage des Konzepts synergistischer Ressourcen dar und zeigt auf, dass Systeme im Ganzen betrachtet werden sollten. Synergistische Interaktionen zwischen Komponenten eines Systems führen dazu, dass ein System nicht nur aus der Summe seiner Komponenten, sondern auch aus deren Interaktionen besteht. Synergien werden in der Literatur in unterschiedlichen Fachbereichen und aus verschiedenen Perspektiven betrachtet. Nevo und Wade stellen das Konzept von Synergien in der Wirtschaftsinformatik in einem konzeptuellen Framework dar. Dieses beinhaltet in einer ersten Stufe potentielle Synergien aus IT-Ressourcen und organisatorischen Ressourcen. In der zweiten Stufe werden potentielle Synergien mit organisatorischen Voraussetzungen verbunden, damit Synergien praktisch realisiert werden können.

Abb. 2.

Konzeptionelles Modell von Datensynergien (basierend auf Weibl und Hess, 2020)

Methodisch verfolgen wir in Weibl und Hess einen zweistufigen Ansatz. In einem ersten Schritt konstruieren wir ein initiales Modell der Datensynergien aus relevanter Literatur. Das Framework der Synergieeffekte nach Nevo und Wade dient an dieser Stelle als Ausgangspunkt. In Kombination mit einer strukturierten Analyse weiterer relevanter Literatur bilden wir ein initiales Framework der Datensynergien. Dieses erste Framework wird in einem zweiten Schritt durch 24 semi-strukturierte Experteninterviews verfeinert. Die ausgewählten Interviewpartner arbeiten als Datenexperten innerhalb von unterschiedlichen Unternehmen und erfüllen verschiedene Positionen. Die Kombination aus Theorie und Empirie führt zu dem konzeptuellen Modell von Datensynergien (Abb. 2). Das Framework stellt dar, welche Voraussetzungen für die Realisierung von Synergien getroffen werden sollten. Außerdem zeigt es auf, welche Arten von Synergieeffekten durch die Kombination von Daten entstehen können.

Voraussetzungen auf Management-Ebene

Die Ergebnisse zeigen fünf Voraussetzungen auf, die das Erschließen von Datensynergien ermöglichen. Diese beziehen sich auf die Managementebene und auf die Eigenschaften der verwendeten Daten. Zwei Bedingungen für die erfolgreiche Synergie von Daten müssen von Seiten des Managements erfüllt werden: Integration und Kontextualisierung.

Obwohl Daten fast augenblicklich über weite Entfernungen transportiert werden können, hat unsere Studie gezeigt, dass Unternehmen spezielle Vorkehrungen zur Integration und Zentralisierung von Daten in ganzheitlichen Data Warehouses (sog. Data Lakes) treffen sollten. Die Sammlung von Daten in Data Lakes bringt mehrere Vorteile mit sich: Auf der einen Seite bietet die zentrale Speicherung von Daten den Vorteil, dass Datenwissenschaftler und Entscheidungsträger einen holistischen Überblick über die vorhandenen Datensätze erhalten und diese so einfacher zu Synergien kombinieren können. Auf der anderen Seite muss gewährleistet sein, dass auf diese Daten von unterschiedlichen Funktionen und Divisionen im Unternehmen zugegriffen werden kann. Dementsprechend ist es die Aufgabe des Managements, die Datenspeicherung in Silos aufzubrechen, um Daten in einem ganzheitlichen System speichern zu können. Dieser Schritt der Datenintegration ermöglicht die (Re-)Kombination von Daten und stellt die Basis für die Erschließung von Datensynergien dar.

Die Kontextualisierung und Verknüpfung von Daten durch das Management eines Unternehmens ist unerlässlich. Um die Verbindung von Daten zu ermöglichen, sollten Unternehmen mit einem geschäftsorientierten Anwendungsfall starten und Daten insofern kombinieren, dass Hypothesen über ihre synergistische Beziehung bestätigt werden können. In dieser Art kann der geschäftsgetriebene Anwendungsfall den Impuls geben, passende Datenquellen zu kombinieren. Ein beispielhafter Anwendungsfall ist die Zusammenführung von Daten, um Erkenntnisse für die Planung einer Marketingkampagne zu erhalten. Die Kombination von bestimmten Datenquellen ist nur dann erfolgreich, wenn Teilinformationen aus unterschiedlichen Kontexten in einer wertstiftenden Form subsumiert werden.

Datenbezogene Voraussetzungen

Zusätzlich zu den managementbezogenen Voraussetzungen müssen drei datenbezogene Voraussetzungen erfüllt werden, um Synergieeffekte zwischen Daten zu fördern: Kompatibilität, Datenqualität und Speicherinfrastruktur.

Wie bereits beschrieben, müssen heterogene Ressourcen miteinander kompatibel sein, um Synergieeffekte zu ermöglichen. So wird sichergestellt, dass Ressourcen nahtlos miteinander verbunden werden können. Die Interviews haben aufgezeigt, dass ein gemeinsamer Schlüssel benötigt wird, damit Daten miteinander verbunden werden können. Dies kann beispielsweise eine zeitliche Dimension sein oder auf Produktebene die Artikelnummer. Darüber hinaus müssen heterogene Datenformate gemeinsame Eigenschaften haben, damit diese in Kombination miteinander genutzt werden können.

Weiterhin wurde in den Interviews eine hohe Qualität der Daten als unerlässlich beschrieben. Dies ist besonders im E-Commerce von hoher Relevanz: Wenn es Datenprobleme im Tracking von Produkten gibt und somit die Verfügbarkeit von Produkten nicht aktualisiert wird, kann dies zu Problemen bei Bestellungen führen. Daher ist eine hohe Datenqualität eine integrale Voraussetzung, um Synergien aus Datenquellen zu schaffen.

Eine weitere entscheidende Voraussetzung ist die Bereitstellung der benötigten Infrastruktur um unterschiedliche Daten aus verschiedenen Quellen in einer einheitlichen Weise zu speichern. Im Gegensatz zu anderen organisatorischen Ressourcen, können Daten schnell und über lange Zeiträume hinweg gespeichert werden und augenblicklich über weite Distanzen transferiert werden. Viele Organisationen verlassen sich im hohem Maße auf externe Cloud-Lösungen (z. B. Microsoft Azure) und zusätzlich verwaltete Services als bevorzugte Speicherform. Auf diese Weise können Datensätze in effizienter Form in Data Lakes gespeichert werden.

Erhöhter Informationswert durch Synergieeffekte

Der erhöhte Informationswert von kombinierten Daten wird durch einen multidimensionalen Blick auf die gesammelten Daten erreicht. Ein einzelner Datensatz hat nur einen begrenzt informativen Charakter. Wenn jedoch mehrere Datensets miteinander kombiniert werden, kann dies den Informationscharakter erhöhen.

Beispielsweise kann die Kombination von historischen Verkaufszahlen mit Standort- und Zeit-Daten zu der Erkenntnis führen, wie viele Produkte an bestimmten Tagen zur Verfügung stehen sollten. Eine der befragten Organisationen hat die Verkaufsdaten aus bestimmten Produktkategorien mit Kundendaten kombiniert, um zu sehen, für welche Produktgruppen sich bestimmte Kunden besonders interessieren. Die getrennte Betrachtung von Verkaufszahlen oder Kundenzahlen würde es nicht ermöglichen, etwaige Korrelationen zu erkennen und daraus Segmente zu identifizieren, um neue Erkenntnisse zu gewinnen.

Die synergistische Interaktion zwischen Daten ermöglicht die Betrachtung eines Subjektes aus unterschiedlichen Betrachtungswinkeln. Durch die Aggregation von Daten können bestimmte Muster festgestellt werden, beispielsweise im Online-Kundenverhalten. Unternehmen können neue Erkenntnisse über das Kundenverhalten erlangen, indem sie Transaktionsdaten von Kunden mit personenbezogenen Daten oder dem Online-Surfverhalten verbinden. Die Kombination dieser Daten ermöglicht Einblicke in die Online-Aktivitäten von Kunden und vor allem in die Bedürfnisse von Konsumenten und deren Interessen. Als Folge der gewonnenen Erkenntnisse über den Kunden, können Unternehmen ihre Online-Präsenz optimieren oder Kunden personalisierte Inhalte ausspielen.

Tangible Vorteile in Form von erhöhten Transaktionswerten

Unsere Studie zeigt auf, dass Daten-Synergieeffekte zu tangiblen Vorteilen in Form von individualisierten Marktangeboten und automatisierten Geschäftsprozessen führen können. Die Möglichkeit Daten zu strukturieren und zu segmentieren, erlaubt es Unternehmen, spezielle Kundengruppen mit Angeboten gezielt zu adressieren. Beispielsweise hat einer der Experten angegeben, dass seine Organisation Daten kombiniert mit dem Ziel, Kundenabwanderung zu verhindern. Das Unternehmen erreichte dies, indem es Transaktionsdaten der Kunden mit Informationen über Kunden-Berührungspunkte, den Suchhistorien im Online-Shop und demografischen Daten verbunden hat. Die Kundeninformationen, die so aus mehreren Quellen kombiniert wurden, geben dem Unternehmen ein vervollständigtes Bild über den Kunden.

Laut der befragten Experten kann die Kombination von Daten zu verbesserten und automatisierten Reporting-Prozessen führen. Daher wird die Datenkombination als typische „quick win“ Aktion in Datenprojekten angesehen. Einer der Datenexperten hat angegeben, dass seine Organisation die managementbezogenen Indikatoren aus unterschiedlichen Quellen effizienzsteigernd zu einem automatisierten Reporting Prozess transformiert hat, indem Rohdaten aus den Data Warehouses verbunden und im Anschluss visuell dargestellt wurden.

Ziel der Studie war es, das synergistische Potential der Wertgenerierung aus Daten zu untersuchen. Daten als Ressource führen durch ihre spezifischen Eigenschaften auf andere Weise zu synergistischen Interaktionen als andere organisatorische Ressourcen. Die Kernergebnisse aus der Studie von Weibl und Hess führen zu einem konzeptionellen Framework, das im ersten Schritt bestimmte Voraussetzungen beschreibt, die notwendig sind, um synergistische Interaktionen zu ermöglichen. Im zweiten Schritt werden die Ergebnisse der Synergieeffekte beschrieben: Daten in kombinierter Form führen zu einem erhöhten Informations- und Transaktionswert durch automatisierte Entscheidungsfindung und Effizienzsteigerung im Unternehmen.

4 Die Verbraucherperspektive

Verbraucher produzieren Daten als „Nebenprodukt“. Für sie stellt sich die Frage, ob sie dieses Nebenprodukt behalten oder weitergeben wollen. Nachfolgend stellen wir drei Studien vor, in denen wir uns diesem Thema aus unterschiedlichen Perspektiven nähern.

4.1 Zahlungsbereitschaft für Privatheit

Dank des interaktiven Charakters digitaler Medien, können Unternehmen große Mengen an personenbezogenen Informationen über Konsumenten und deren Verhaltensweisen erfassen und analysieren. Viele Anbieter haben die resultierenden kommerziellen Möglichkeiten genutzt und neue Geschäftsmodelle entwickelt, die von den gesammelten personenbezogenen Daten profitieren. Doch die Kommerzialisierung personenbezogener Daten löst bei vielen Konsumenten Privatheitsbedenken aus, die zur Beendigung der Nutzung entsprechender Dienste führen können und somit langfristig ein unternehmerisches Risiko für die Anbieter darstellen. Daher ist es ein neuer Ansatz, den Wert personenbezogener Daten zu monetarisieren. Dieser Ansatz basiert auf der Annahme, dass, obwohl es einige Verbraucher bevorzugen Online-Dienste im Austausch gegen die Bereitstellung personenbezogener Informationen kostenlos zu nutzen, andere es vorziehen, für den Schutz ihrer Privatsphäre zu bezahlen. So können Anbieter sozialer Netzwerke den Konsumenten neben einer kostenlosen Version im Austausch gegen ihre personenbezogenen Informationen auch eine Premium-Version mit zusätzlichen Funktionen zur Kontrolle der Privatsphäre anbieten. Dies erlaubt den Verbrauchern zu entscheiden, ob sie für ihre Privatsphäre bezahlen wollen oder nicht. Bisherige Forschung hat aufgezeigt, dass dieses sogenannte Privatheits-Freemium Modell gleich zwei Probleme lösen kann: Einerseits bietet es Anbietern sozialer Netzwerke die Möglichkeit mit nutzergenerierten Inhalten Geld zu verdienen und andererseits können auf diese Weise die Datenschutzbedenken der Konsumenten bei der Verwendung sozialer Netzwerke adressiert werden.

Empirische Untersuchung der Zahlungsbereitschaft für Privatheit

Allerdings hatte die Forschung bis zu diesem Zeitpunkt noch keine theoretische Erklärung für die Zahlungsbereitschaft der Konsumenten für Privatheit gefunden. Vor diesem Hintergrund haben wir uns in Schreiner und Hess mit Höhe und Determinanten der Zahlungsbereitschaft für Privatheit beschäftigt. In dieser Studie haben wir anhand einer Online-Umfrage die Zahlungsbereitschaft der Konsumenten für eine zahlungspflichtige Premium-Version von Facebook untersucht. Mittels der Theory of Planned Behavior, wollten wir die tatsächliche Zahlungsbereitschaft für Privatheit der Konsumenten bestimmen. Die Theory of Planned Behavior wurde bereits in vielen Studien der Wirtschaftswissenschaften als theoretischer Rahmen zur Erklärung des Verhaltens von Individuen angewandt. Die Theorie besagt, dass die Verhaltensweise von Individuen basierend auf ihrer Einstellung gegenüber dem Verhalten, subjektiven Normen und der wahrgenommenen Verhaltenskontrolle vorhergesagt werden kann. In Schreiner und Hess haben wir diesen theoretischen Rahmen auf den Kontext unserer Studie angewandt und um drei Antezedenten der Einstellung erweitert: Wahrgenommenes Risiko der Privatheit, wahrgenommene Nützlichkeit und Vertrauen. Unter dem wahrgenommenen Risiko der Privatheit verstehen wir die Unsicherheit der Konsumenten bezüglich möglicher negativer Konsequenzen, die die Nutzung sozialer Netzwerke mit sich bringen kann. Folglich stellen wir die Hypothese auf, dass das wahrgenommene Risiko der Privatheit im digitalen Kontext die Einstellung der Verbraucher gegenüber einer Premium-Version mit zusätzlichen Funktionen zur Kontrolle der Privatsphäre positiv beeinflusst. Des Weiteren vermuten wir, dass die Einstellung gegenüber der Premium-Version positiv beeinflusst wird, wenn Konsumenten einen Mehrwert der angebotenen Funktionen in Bezug auf die Verbesserung des Datenschutzes sehen. Außerdem stellen wir die Hypothese auf, dass Vertrauen in die Premium-Version die Einstellung der Konsumenten gegenüber der Nutzung der Premium-Version positiv beeinflusst.

Das resultierende Forschungsmodell haben wir anhand einer Online-Umfrage getestet. Hierfür haben wir den Teilnehmern der Umfrage eine Premium-Version des sozialen Netzwerks Facebook vorgestellt. Im Vergleich zu der kostenlosen Basisversion, hatte diese Version zusätzliche Funktionen, um die Erfassung, Nutzung, Weitergabe und Speicherung personenbezogener Daten zu kontrollieren. So können Konsumenten der Premiumversion beispielsweise bestimmen, welche ihrer personenbezogenen Daten erfasst und für welche Zwecke diese genutzt wurden. Im Anschluss hatten die Teilnehmer die Möglichkeit, ihren Basis-Facebook-Account zu erweitern, um zusätzliche Kontrollfunktionen für ihre Privatsphäre zu erhalten. Um die tatsächliche Zahlungsbereitschaft der Teilnehmer für die Premiumversion zu erfassen, haben wir eine anreizkompatible Methodik genutzt. Hierfür wurde den Teilnehmern erzählt, dass der Preis für die Premiumversion noch nicht festgelegt worden ist und dass sie entscheiden können, ob und wieviel sie pro Monat für die Premiumversion zahlen wollen. Ist ihr Gebot mindestens so hoch wie ein automatisch generierter Zufallspreis, können sie die Premiumversion zu diesem Preis nutzen. Ist das Gebot dahingegen niedriger als der zufällig generierte Preis, können sie die Premiumversion nicht nutzen und müssen den Preis auch nicht zahlen. Dieses Vorgehen hat es uns ermöglicht, die tatsächliche Zahlungsbereitschaft der Teilnehmer zu erfassen.

Die angegebene Zahlungsbereitschaft der Teilnehmer bewegte sich zwischen 0 und 15 € mit einer durchschnittlichen Zahlungsbereitschaft von 0,63 € für die Premiumversion.

Das resultierende Strukturgleichungsmodel ist in Abb. 3 dargestellt. Die Ergebnisse unserer Studie zeigen, dass die wahrgenommene Nützlichkeit und das Vertrauen die Einstellung der Konsumenten gegenüber einer Premiumversion mit zusätzlichen Funktionen zum Schutz der Privatsphäre signifikant positiv beeinflussen. Das wahrgenommene Risiko der Privatheit hat dahingegen keinen signifikanten Einfluss auf die Einstellung. In Einklang mit der Theory of Planned Behavior zeigt unsere Studie außerdem, dass subjektive Normen, die Einstellung der Verbraucher und die wahrgenommene Verhaltenskontrolle die Nutzungsintention positiv beeinflussen, welche wiederum einen signifikant positiven Einfluss auf die Zahlungsbereitschaft für Privatheit hat. Für Betreiber sozialer Netzwerke bedeutet das, dass das Anbieten einer Premiumversion mit zusätzlichen Funktionen zur Kontrolle der Privatsphäre einen guten Ansatz zur Monetarisierung des Schutzes der Privatheit als Erlösmodel darstellt. Wichtig hierbei ist, dass die angebotene Premiumversion die Möglichkeiten der Konsumenten zum Schutz ihrer personenbezogenen Daten tatsächlich erhöht. Außerdem sollten die Anbieter sozialer Netzwerke sicherstellen, dass die Konsumenten der Premiumversion vertrauen können. Um das Vertrauen der Verbraucher zu stärken, könnten beispielsweise Informationskampagnen gestartet werden, um die Transparenz bezüglich der Unterschiede zwischen der kostenlosen und der Premiumversion zu erhöhen, oder unabhängige Dritte könnten den Schutz der Privatsphäre verifizieren.

Abb. 3.

Determinanten der Zahlungsbereitschaft (basierend auf Schreiner und Hess, 2015)

Nachfolgende empirische Erkenntnisse

Auch neuere Studien haben sich der Zahlungsbereitschaft für Privatheit gewidmet und zeigen, dass das Entscheidungsverhalten der Individuen sehr komplex ist und die Zahlungsbereitschaft für Privatheit stark vom jeweiligen Kontext abhängt. Zwei kontextspezifische Faktoren scheinen in diesem Hinblick eine besonders zentrale Rolle zu spielen: Die generellen Privatheitsbedenken des Konsumenten und der Grad der Sensibilität der Daten. Umso sensitiver die Daten und umso höher die generellen Privatheitsbedenken des Einzelnen sind, umso höher ist der Preis, der für die Datenpreisgabe gefordert wird. Nguyen et al. kommen in ihrer Studie zu ähnlichen Ergebnissen wie wir in Schreiner und Hess und zeigen, dass Smartphonenutzer bereit sind, einen Preisaufschlag zu zahlen, um ihre Privatsphäre zu schützen. Außerdem zeigen sie, dass höhere generelle Privatheitsbedenken der Verbraucher zu einer gesteigerten Zahlungsbereitschaft für Privatheit führen. Des Weiteren spielt auch die Sensibilität der offenzulegenden Daten eine wichtige Rolle. Egelman et al. haben eine Studie mit zwei Experimenten durchgeführt, um die Zahlungsbereitschaft der Verbraucher für Privatheit bei der Wahl neuer Apps zu untersuchen.

Die Ergebnisse zeigen, dass Konsumenten bei der Wahl zwischen verschiedenen Apps mit ähnlichen Funktionalitäten bereit sind 1,50 US$ für die App zu bezahlen, die am wenigsten Zugriffserlaubnisse fordert. Die Autoren kommen zu dem Schluss, dass viele Smartphonenutzer um ihre Privatheit besorgt sind und daher bereit sind, einen Aufschlag für Apps zu bezahlen, die weniger sensible Daten anfordern. Auch Winegar und Sunstein kommen zu ähnlichen Ergebnissen. In einer Studie mit 2.416 US-amerikanischen Teilnehmern untersuchen sie den Wert, den Individuen ihren personenbezogenen Daten bei der Nutzung digitaler Plattformen beimessen. Die Ergebnisse ihrer Studie zeigen, dass Verbraucher signifikant mehr Geld verlangen, um Daten preiszugeben, die gesundheitsbezogene Informationen beinhalten, im Vergleich zu demographischen Daten. Außerdem belegt die Studie den sogenannten Superendowment Effect, der besagt, dass Individuen ihren Daten einen viel größeren Wert beimessen, wenn es darum geht, einen monetären Wert für die Bereitstellung personenbezogener Daten festzulegen verglichen mit der Zahlungsbereitschaft, die Individuen haben, um ihre personenbezogenen Daten zu schützen. Pu und Grossklags haben eine Conjoint Analyse durchgeführt, um den monetären Wert zu quantifizieren, den Individuen sowohl ihren eigenen Informationen als auch denen ihrer Freunde bei der Nutzung einer sozialen App beimessen. Die Ergebnisse zeigen, dass der wahrgenommene Wert personenbezogener Daten der Freunde davon abhängt, ob die gesammelten Informationen für die Funktionalität der App von Bedeutung sind. Ist das der Fall werden die personenbezogenen Informationen der Freunde mit 1,01 US$ bewertet, während ihnen nur ein Wert von 0,68 US$ zugeschrieben wird, wenn sie keinen Mehrwert für die Nutzung der App bieten. Den eigenen Daten wird entsprechend ein Wert von 1,48 bzw. 1,52 US$ beigemessen.

4.2 Bereitschaft zur Offenlegung personenbezogener Daten

Neben dem Wert personenbezogener Daten spielt auch die generelle Bereitschaft der Individuen, personenbezogene Daten offenzulegen, eine zentrale Rolle im Besonderen gilt dies bei Gesundheitsdaten. Wir haben diese Frage in Verbindung mit sogenannten Health Wearables untersucht und die Ergebnisse in Becker et al. dargelegt. Nachfolgend stellen wir die Ergebnisse und das dahinterliegende Projekt vor.

Personenbezogene Gesundheitsdaten

Besonders im Gesundheitswesen ist die Offenlegung personenbezogener Daten ein zentrales Thema, da es sich bei Gesundheitsdaten um eine sehr sensible Ressource handelt, die es zu schützen gilt. Daher haben viele Individuen Privatheitsbedenken hinsichtlich der Erfassung und Nutzung ihrer Gesundheitsdaten. Vor allem haben sie Bedenken bezüglich möglicher unerwünschter wirtschaftlicher und sozialer Folgen, die der Missbrauch solcher Informationen mit sich bringen kann. Basierend auf dem Privatheitskalkül führen Individuen daher eine Kosten-Nutzen-Analyse durch, um zu entscheiden, welche personenbezogenen Gesundheitsinformationen sie offenlegen. Folglich stellt sich die Frage, auf welche Art und Weise Unternehmen die Bereitschaft ihrer Kunden, personenbezogene Gesundheitsdaten offenzulegen, erhöhen können.

Das Privatheitskalkül als Bezugsrahmen

Ein zentraler Aspekt der Privatheitsforschung in den Wirtschaftswissenschaften und darüber hinaus ist daher das sogenannte Privatheitskalkül, welches einen bewussten kognitiven Prozess zur Entscheidung der Offenlegung personenbezogener Daten beschreibt. Es geht davon aus, dass Individuen sich bewusst entscheiden, welche Informationen sie preisgeben. Der Ansatz des Privatheitskalküls beschreibt, dass Individuen eine Kosten-Nutzen-Analyse durchführen und dabei die Nachteile der Datenpreisgabe gegenüber möglichen Vorteilen abwägen. Das heißt, Individuen wägen einen möglichen Verlust der Privatheit gegen einen potentiellen Nutzen, den die Informationspreisgabe mit sich bringt, ab. Überwiegt der wahrgenommene Nutzen, so entscheidet sich das Individuum, seine personenbezogenen Daten offenzulegen – ggf. unter dem Einfluss von Verzerrungen wie sie aus der Psychologie bekannt sind.

Empirische Untersuchung der Offenlegung personenbezogener Gesundheitsdaten

Um dies genauer zu untersuchen, haben wir in Becker et al. die bereits erwähnte Studie zur Erforschung der Bereitschaft, personenbezogene Gesundheitsdaten zur Nutzung sogenannter Health Wearables preiszugeben, durchgeführt. Health Wearables sind eine spezielle Form der Gesundheitsinformationstechnologie, bei der automatisch individuelle Gesundheitsdaten erfasst werden, um dem Verbraucher darauf basierend medizinischen Rat für seine Gesundheit und sein Wohlbefinden geben zu können. Auch wenn die Offenlegung personenbezogener Gesundheitsdaten sowohl dem Anbieter als auch den Konsumenten von Health Wearables wesentliche Vorteile wie beispielsweise eine verbesserte Personalisierung des Trainingsplans bieten kann, sind Konsumenten oft zögerlich ihre sensiblen Daten preiszugeben. Daher haben wir in Becker et al. untersucht, welchen Einfluss das Framing der Produkteigenschaften und die Informationsqualität der Argumente zur Datenerfassung auf die Bereitschaft zur Offenlegung personenbezogener Gesundheitsdaten haben. Neben den Produkteigenschaften und der Datenschutzerklärung, wird die Bereitschaft personenbezogene Daten offenzulegen meist auch davon beeinflusst, auf welche Art und Weise diese Informationen präsentiert werden. Somit könnten spezielle Kommunikationsstrategien als Teil der Produktpräsentation einen erheblichen Einfluss auf die Einstellung der Verbraucher haben. In diesem Fall könnten die Anbieter von Health Wearables die wahrgenommenen Vorteile ihrer Produkte durch das richtige Framing der Produkteigenschaften hervorheben. Außerdem könnte auch die Formulierung der Datenschutzerklärung das wahrgenommene Risiko, das mit der Datenerfassung verbunden ist, minimieren. Anbieter, die die Datenerfassung anhand logischer Argumentationen mit hohem Informationsgehalt rechtfertigen, könnten somit die Bereitschaft der Konsumenten personenbezogene Gesundheitsdaten preiszugeben erhöhen. Um diese Zusammenhänge genauer zu untersuchen, haben wir danach gefragt, welchen Einfluss das Framing der Produkteigenschaften und die Argumentationskraft der Datenschutzerklärung auf die Bereitschaft, personenbezogene Gesundheitsinformationen offenzulegen, haben.

Empirische Einsichten

Zur Beantwortung dieser Frage wurde ein Online-Experiment mit 529 Teilnehmern durchgeführt. Im Rahmen des Experiments haben wir den Teilnehmern die Fitnessarmbanduhr Charge 2 des Anbieters Fitbit vorgestellt. Hierfür wurde die Webseite der originalen Fitbit Charge 2 hinsichtlich der Produkteigenschaften und der Datenschutzerklärung angepasst. Die Produkteigenschaften wurden verlustorientiert, neutral und gewinnorientiert formuliert, um zu untersuchen, ob positiv formulierte Produkteigenschaften die Konsumenten motivieren, personenbezogene Gesundheitsinformationen preiszugeben. Bei der Datenschutzerklärung wurde zwischen logischen, unlogischen und keinen Argumenten für die Datenerhebung unterschieden. Die Hypothese war, dass Konsumenten ihre Daten eher offenlegen, wenn ihnen überzeugendere Datenschutzerklärungen mit hoher Argumentationskraft präsentiert werden. Nach der Erkundung der Webseite sollten die Teilnehmer angeben, in welchem Ausmaß sie dem Anbieter Fitbit personenbezogene Gesundheitsdaten bereitstellen würden.

Die Ergebnisse sind in Abb. 4 dargestellt. Unsere Studie zeigt, dass Konsumenten, denen positiv formulierte Produkteigenschaften präsentiert werden, eher dazu bereit sind personenbezogene Gesundheitsdaten offenzulegen. Dies bedeutet, dass bei diesen Konsumenten die wahrgenommenen positiven Produkteigenschaften gegenüber den wahrgenommenen Risiken überwiegen. Daher sind sie eher dazu geneigt, das Risiko der Datenpreisgabe einzugehen. Des Weiteren zeigen die Ergebnisse der Studie, dass eine Datenschutzerklärung mit starker Argumentationskraft überzeugender auf die Verbraucher wirkt als unlogische oder gar keine Argumente. Interessanterweise zeigen die Ergebnisse aber auch, dass unlogische Argumente zu einer höheren Bereitschaft führen Daten offenzulegen als fehlende Argumente. Dieses Phänomen der placebischen Informationen wurde auch schon von früheren Studien nachgewiesen. Mitunter kann der Einsatz unlogischer Argumente effektiver sein als das Fehlen jeglicher Begründung, da Verbraucher die Datenschutzerklärung oft nur gedankenlos überfliegen, anstatt sie aufmerksam zu lesen.

Abb. 4.

Offenlegung und Framing (basierend auf Becker et al. 2020)

Zusammenfassend lässt sich sagen, dass eine Datenschutzerklärung mit hoher Argumentationskraft die wahrgenommen Risiken der Datenerfassung minimiert, während positiv formulierte Produkteigenschaften die wahrgenommenen Vorteile der Datenerfassung maximieren. Folglich wird die Bereitschaft der Verbraucher, personenbezogene Gesundheitsdaten zur Nutzung von Health Wearables offenzulegen, gesteigert. Die Erkenntnisse unserer Studie zeigen damit auch, dass Anbieter von Health Wearables davon profitieren können, die Argumentationskraft der Datenerfassung und das Framing der Produkteigenschaften anzupassen und somit die Offenlegungsbereitschaft ihrer Kunden zu erhöhen.

4.3 Die Rolle der Privatsphäre Dritter im Entscheidungskalkül eines Konsumenten

Viele Studien gehen implizit davon aus, dass Konsumenten lediglich personenbezogene Daten zu ihrer Person offenlegen (oder eben nicht). Gerade in sozialen Netzwerken sieht man, dass diese Annahme so allgemein nicht mehr stimmt. Somit kann das Offenlegungsverhalten von Verbrauchern nicht nur ihre eigene Privatsphäre (interne Privatsphäre), sondern auch die Privatsphäre von Dritten (externe Privatsphäre) gefährden. Um ihren Erfolg zu sichern, ist es daher für Anbieter sozialer Netzwerke ausschlaggebend zu verstehen, inwieweit Konsumenten die Privatsphäre Dritter in ihrem Entscheidungskalkül zur Offenlegung personenbezogener Daten berücksichtigen.

Kontext

Um dies genauer zu erforschen haben wir in Morlok untersucht, wie die Intention Informationen über andere in sozialen Netzwerken zu teilen durch externe Privatheitsbedenken beeinflusst wird. Außerdem haben wir untersucht, inwiefern Erfahrungen mit Privatsphäreingriffen die externen Privatheitsbedenken und die Intention, Informationen über Dritte zu teilen, beeinflussen.

Ein wichtiger Unterschied sozialer Netzwerke zu anderen Kontexten, in denen personenbezogene Daten preisgegeben werden, ist, dass die Informationen nicht nur gegenüber einer Organisation, sondern auch gegenüber anderen Verbrauchern offengelegt werden. Daher haben Konsumenten nicht nur informationelle Privatheitsbedenken gegenüber der Organisation, wie beispielsweise Facebook, sondern auch soziale Privatheitsbedenken gegenüber anderen Verbrauchern. Folglich kann zwischen externen informationellen Privatheitsbedenken, das heißt Bedenken, dass das Verhalten von Organisationen die externe Privatsphäre negativ beeinflusst, und externen sozialen Privatheitsbedenken, das heißt Bedenken in Bezug auf die Handhabung der offengelegten Daten durch andere Verbraucher, unterschieden werden. Die externen sozialen Privatheitsbedenken setzen sich wiederum aus drei Dimensionen zusammen: Exposition, Eindringen und Identifizierung. Exposition bezieht sich auf die Enthüllung physischer und emotionaler Eigenschaften eines Individuums, wie beispielsweise Kummer oder Nacktheit. Eindringen bezieht sich auf das wahrgenommene Eingreifen in die Privatsphäre und das personenbezogene Leben eines Individuums wie beispielsweise dessen Komfortzone. Und Identifizierung beschreibt das Bedenken, dass identifizierbare Informationen ermöglichen, dass ein Individuum identifiziert oder lokalisiert werden kann.

Theoretische Grundlagen

Als theoretische Grundlage zur Untersuchung dieses Phänomens eignet sich die Communication Privacy Management Theory, da sie ein konzeptionelles Verständnis für den Umgang mit der Privatsphäre anderer Individuen bereitstellt. Die Theorie bezieht sich auf sogenannte metaphorische Grenzen, die aufzeigen, wie Individuen mit ihrer eigenen und der Privatsphäre Dritter umgehen. Hierbei müssen Individuen sowohl personenbezogene als auch kollektive Grenzen gleichzeitig managen. Personenbezogene Grenzen beschreiben die eigene Privatsphäre, während sich kollektive Grenzen auf die Privatsphäre anderer Personen beziehen. Petronio argumentiert, dass Individuen sich auch für die Privatsphäre anderer verantwortlich fühlen.

Basierend auf der Communication Privacy Management Theory wurde ein Forschungsmodell entwickelt, das sowohl den Einfluss externer informationeller Privatheitsbedenken als auch externer sozialer Privatheitsbedenken auf die Bereitschaft, personenbezogene Daten offenzulegen, untersucht. Die externen sozialen Privatheitsbedenken setzen sich in dem Modell aus Expositionsbedenken, Eindringungsbedenken und Identifikationsbedenken zusammen. Außerdem vermuten wir, dass Konsumenten, sobald sie einmal eine Verletzung ihrer internen Privatsphäre erlebt haben, eher zögern, Informationen anderer preiszugeben. Folglich stellen wir die Hypothese auf, dass ein vorheriges Eindringen in die personenbezogene Privatsphäre den Einfluss von externen sozialen und informationellen Privatheitsbedenken auf die Offenlegungsbereitschaft moderiert. Des Weiteren stellen wir die Hypothese auf, dass der wahrgenommene Besitz der Informationen von Dritten einen positiven Einfluss auf die Bereitschaft hat, diese Daten offenzulegen. Das Phänomen des wahrgenommenen Besitzes beschreibt, dass Konsumenten die Daten Dritter als ihr Eigentum wahrnehmen, wenn sie Kontrolle über diese haben.

Empirische Einsichten

Um das Forschungsmodell zu überprüfen, haben wir in Morlok eine Online-Umfrage mit 265 Teilnehmern durchgeführt und anhand eines Strukturgleichungsmodells ausgewertet (Abb. 5).

Abb. 5.

Determinanten der Bereitschaft zur Offenlegung von Daten Dritter (basierend auf Morlok, 2016)

Die Ergebnisse zeigen, dass sich die Absicht von Konsumenten personenbezogene Daten in sozialen Netzwerken offenzulegen sowohl durch die externen sozialen und informationellen Privatheitsbedenken als auch den wahrgenommenen Besitz der Informationen von Dritten erklären lässt. Der wahrgenommene Besitz der Informationen von Dritten verstärkt die Offenlegungsbereitschaft der Konsumenten. Haben Verbraucher allerdings externe informationelle Privatheitsbedenken, hat dies einen negativen Einfluss auf ihre Bereitschaft personenbezogene Daten offenzulegen. Auch Expositionsbedenken und Eindringungsbedenken verringern die Offenlegungsbereitschaft der Konsumenten, während die dritte Dimension der externen sozialen Privatheitsbedenken, die Identifikationsbedenken, keinen signifikanten Einfluss auf die Offenlegungsabsicht hat. Allerdings zeigt die Studie auch, dass diese Zusammenhänge stark davon abhängen, ob ein Verbraucher in der Vergangenheit Opfer eines Eingriffs in seine persönliche Privatsphäre geworden ist. Verbraucher, die bereits eine Verletzung ihrer Privatsphäre erfahren haben, machen ihr Offenlegungsverhalten von den Eindringungsbedenken abhängig, nicht aber von Identifikationsbedenken. Konsumenten, die diese Erfahrung noch nicht gemacht haben, sind sich zusätzlich auch der Expositionsbedenken bewusst. Diese Ergebnisse verdeutlichen die bisher kaum untersuchte, aber sehr komplexe Beziehung zwischen externen sozialen Privatheitsbedenken und der Offenlegungsabsicht in sozialen Netzwerken. Wenn Verbraucher einmal einen Eingriff in ihre interne Privatsphäre erlebt haben, werden sie sich auch mehr Sorgen über den Eingriff in die externe Privatsphäre machen, da es für diese Verbraucher einfacher ist, sich in die Lage anderer zu versetzen. Somit hängt das Bewusstsein über die Bedrohungen der externen Privatsphäre von den Erfahrungen der Konsumenten mit eigenen Privatsphäreverletzungen ab.

Die Offenlegung personenbezogener Daten spielt eine wichtige Rolle für Anbieter sozialer Netzwerke, da sie soziale Interaktion, Personalisierung und Ausspielung passender Werbung ermöglicht. Mit dieser Studie zeigen wir in Morlok, dass die externen Privatheitsbedenken der Verbraucher eine wichtige Rolle im Zusammenhang mit der Offenlegung personenbezogener Daten in sozialen Netzwerken spielen. Für die Betreiber sozialer Netzwerke bedeutet das, dass nicht nur Kontrollmechanismen zur Gewährleistung der internen, sondern auch der externen Privatsphäre implementiert werden sollten. Außerdem sollten sowohl informationelle als auch soziale Aspekte beim Datenschutz beachtet werden. Die Berücksichtigung dieser beiden Aspekte kann den Betreibern sozialer Netzwerke helfen, die Loyalität ihrer Verbraucher zu stärken und sich so von der Konkurrenz zu differenzieren.

5 Zusammenfassung und Ausblick

Die wirtschaftswissenschaftliche Forschung zur Privatheit um das Zusammenspiel von Unternehmen und Verbrauchern hat sich bisher stark auf die Personalisierung von Angeboten und die verbesserten Möglichkeiten der Differenzierung von Preisen fokussiert. Dies sind wichtige und interessante Perspektiven. Zur vollständigen Erfassung des Phänomens der informationellen Privatheit, insbesondere vor dem Hintergrund der technischen Entwicklungen bei der Erfassung und der Verarbeitung von Daten, greift dies aber zu kurz. Daher haben wir eine Reihe von Projekten durchgeführt, die bewusst einige wichtige weitere Perspektiven eingenommen haben. Das vorliegende Kapitel gibt einen Überblick über die zentralen Ergebnisse dieser Projekte.

Ein erster Teil der Projekte lässt sich in der unternehmenszentrierten Perspektive verankern. Zwei Szenarien der Verwendung von personenbezogenen Daten durch Unternehmen sind der Datenhandel auf sogenannten Datenmärkten und die unternehmensinterne Verwendung von Daten zwecks Auswertung. In einer ersten Studie wird aus struktureller Perspektive die Wertschöpfung auf Märkten für personenbezogene Daten am Beispiel des Marktes für Online-Werbung untersucht. Die Studie zeigt auf, welche Akteure auf Datenmärkten miteinander agieren und wie personenbezogene Daten zur Wertschöpfung genutzt werden. Die unternehmensinterne Nutzung von Daten zur Schaffung von Synergien wird in einer zweiten Studie thematisiert. Das im Rahmen dieser Studie erarbeitete konzeptionelle Framework zeigt auf, welche unternehmensinternen Voraussetzungen auf Management- und Datenebene gegeben sein müssen, damit Synergieeffekte aus Daten realisiert werden können.

Ein zweiter Teil unserer Projekte bezieht sich auf die verbraucherorientierte Perspektive. Von zentraler Bedeutung sind hier die Offenlegung von Daten sowie die Zahlungsbereitschaft für den Verzicht auf die Weitergabe von Daten. Eine erste Studie hat die Zahlungsbereitschaft von Konsumenten für personenbezogene Daten in sozialen Netzwerken untersucht. Dabei zeigte sich, dass die Zahlungsbereitschaft für eine privatsphäreschützende Premiumversion eines sozialen Netzwerkes signifikant durch den wahrgenommenen Nutzen und das Vertrauen in die Plattform beeinflusst wird. Neben dem Wert, den Verbraucher ihren personenbezogenen Daten beimessen, ist ebenfalls deren Bereitschaft, besagte Daten preiszugeben, relevant. In einer zweiten Studie wurde anhand des Beispiels von Health Wearables dargestellt, dass Konsumenten durch eine aussagekräftige Datenschutzerklärung und positiv formulierte Produkteigenschaften zur Offenlegung ihrer personenbezogenen Gesundheitsdaten bestärkt werden können. Dass Konsumenten nicht nur ihre eigenen personenbezogenen Daten, sondern auch die Daten Dritter in Händen halten, wird von einer dritten Studie herausgearbeitet. In diesem Kontext wird betont, dass Plattformbetreiber nicht nur auf interne Privatheitsbedenken von Konsumenten, sondern auch auf deren externe Privatheitsbedenken eingehen sollten.

Dieses Thema ist keinesfalls erschöpfend behandelt. Schon jetzt bestehen weitere wichtige Lücken. Exemplarisch sei der Umgang mit Privatheit am Arbeitsplatz genannt, hierzu gibt es bisher nur sehr wenige Studien. Darüber hinaus wird es, aufgrund von technischen Entwicklungen, zu weiteren Lücken kommen. Die zunehmende Verbreitung von mobilen Endgeräten führt zu einer wachsenden Vernetzung der Konsumenten – und das nicht nur untereinander. Man denke daher nur an technologische Trends wie das Internet der Dinge, das physische Objektive mit dem Internet und somit mit dem Konsumenten verbindet. Die zunehmende Entwicklung solcher digitalen Technologien treibt die wachsende Generierung personenbezogener Daten der Verbraucher voran. Dies stellt sowohl die Praxis als auch die Forschung vor immer neue Herausforderungen und fordert neue Gestaltungsansätze. Das Kapitel von Conrad u. a. in diesem Band geht auf jene Gestaltungsansätze ein und beschreibt, wie erhöhte Transparenz über den eigenen digitalen Fußabdruck die informationelle Selbstbestimmung von Konsumenten schützen kann.

CC BY

Hess, T., Matt, C., Thürmel, V., Teebken, M. (2022). Zum Zusammenspiel zwischen Unternehmen und Verbrauchern in der Datenökonomie. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden.

https://doi.org/10.1007/978-3-658-35263-9_3

Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.