In den Daten liegt die Zukunft, meint Georges Bock, Managing Partner von KPMG

Datenraffinerie

d'Lëtzebuerger Land vom 20.06.2014

D’Lëtzebuerger Land: Herr Bock, reden wir über Daten.

Georges Bock: Daten sind das Rohöl der Zukunft – der Spruch habe nicht ich erfunden, aber er gefällt mir gut. Wer Öl verarbeiten will, braucht allerdings auch eine Raffinerie. Ohne Raffinerie ist Öl nur Schlamm.

Wie raffiniert man Daten?

Wer die Daten hat und dazu noch die Kapazitäten, den Daten Sinn zu geben, der kann neue Geschäftsmodelle für die Zukunft entwickeln.

Wo kommen denn die Daten her?

Jeder hinterlässt überall Daten. Das wird völlig unterschätzt, die Leute sind sich dessen nicht bewusst. Ihnen fehlt auch das Bewusstsein dafür, wer alles Daten sammelt. Sie laden zum Beispiel eine Gratis-App auf ihr Smartphone herunter. Umsonst ist die App trotzdem nicht, denn es gibt nichts umsonst. Sie klicken „ich akzeptiere die Nutzungsbedingungen“, um den Download zu starten, und schon erhält die App Zugriff auf jede Menge Informationen im Smartphone. Zum Beispiel auf Ihre Kontakte oder die Fotos, die sie übertragen kann. Es fehlt noch ein bisschen an der Datenerziehung. Aber irgendwann kommt das böse Erwachen.

Und dann?

Dann werden die Leute feststellen, dass sie das alles gar nicht wollen. Sie werden sich fragen, wo die Daten überhaupt sind. Und wer was damit anstellt.

I want my data back!

Genau, dann werden sie sich vielleicht überlegen, dass sie bereit sind, etwas dafür zu bezahlen, wenn ihnen im Gegenzug dafür jemand die Sicherheit ihrer Daten gewährt. Sie werden lieber eine App für fünf Euro kaufen, wenn sie wissen, wo die Daten sind und wer darauf Zugriff hat.

Sind wir denn schon so weit?

Meiner Meinung nach sind wir eher noch in der Daten-Steinzeit. Uns steht eine riesige Evolution bevor. Die Daten-intelligente Gesellschaft steht noch ganz am Anfang ihrer Entwicklung.

Aber das wird ihrer Meinung nach zur geldwerten Dienstleistung?

Ja, daraus werden sich neue Geschäftsmodelle entwickeln. Das ist eine Nische, in der man sich positionieren kann. Im Fall Google, in dem einige Leute das Recht auf Vergessen eingeklagt haben, kann man ja schon ein wenig sehen, in welche Richtung es geht. Ein anderer Aspekt ist die sichere Lagerung der Daten. Mein Geld bringe ich zur Bank, damit die es sicher aufbewahrt. Aber Privatfotos, SMS, Kontakte – der Inhalt des eigenen Lebens –, wo wird das aufgehoben? Die Frage ist: Wo stehen die Datenzentren?

Die Luxemburger Banken kennen sich mit dem Geheimhalten von Finanzdaten ja aus. Aber mit dem Bankgeheimnis ist Schluss.

Ich vermeide es, vom Bankgeheimnis zu reden.

Warum?

Der Begriff ist so negativ belastet. „Datenschutz“ ist hingegen ein Begriff mit positivem Bedeutungsumfang. Nach der NSA-Affäre wurde damit in Deutschland Wahlkampf gemacht. Deswegen sollten wir als Luxemburger vor allem auf unsere Erfahrung in der sicheren Datenverwahrung verweisen. Das kann man positiv vermarkten. Aber diese Tradition hemmt uns auf der anderen Seite ein wenig dabei, die neuen Geschäftsmodelle zu entwickeln.

Inwiefern?

Unsere Gesetze sind darauf ausgelegt, Daten anzunehmen. Die Herausgabe von Daten, beispielsweise ins Ausland, ist darin nicht vorgesehen. Damit hier solche neuen Geschäftsmodelle entwickelt werden können, die auf der Annahme, Lagerung, Sicherung und der gezielten, kontrollierten Weitergabe von Daten beruhen, müssen also die Gesetze geändert werden. Sonst können die Daten nicht aus unseren „Safes“ zum „Raffinieren“ zu den Nutzern gelangen, die darauf Zugriff haben.

Wer hat denn Zugriff auf unsere Daten?

Wir bewegen uns da anders als beim sogenannten automatischen Informationsaustausch von Steuerdaten hauptsächlich im Vertragsrecht. Da wird derjenige Zugriff haben, dessen Nutzungsbedingungen „akzeptiert“ wurden. Bei Cloud-Diensten kann das auch wichtig werden, wenn sich die Leute bis die Frage stellen, wo die Cloud eigentlich ist. Warum sollte sie nicht in Luxemburg sein? Bei der ganzen Datenflut, welche die Leute produzieren, sollten wir hier in Luxemburg allerdings versuchen, uns auf die Ebene der vertraulichen, sensiblen Daten zu konzentrieren. Ich rede hier nicht vom Video, das jemand auf Youtube postet. Da kann es jeder sehen – das ist das Gegenteil von vertraulich.

Welche Daten meinen Sie dann?

Eben zum Beispiel die im Smartphone, die im PC oder auf Tablets, die durch Apps oder Internetdienstleister abgegriffen werden.

Was brauchen wir also konkret, um ein solches Geschäftsmodell zu entwickeln. Datenbunker? Eine Gesetzesänderung? Welche?

Gute Frage. Gehen wir von der Nachfrage aus. Als Verbraucher wünscht man sich, mit seinem Smartphone und anderen mobilen Geräten wie Tablets in einem gesicherten Umfeld zu sein, ein Back-up zu haben, zu wissen, wo die Daten lagern, welche Verbraucherschutzbestimmungen anwendbar sind und zu bestimmen, wer darauf Zugriff hat. Wem würde ich dabei vertrauen? Meiner Bank? Sicher. Der Luxemburger Post auch. Der britischen Post weniger.

Weshalb?

Weil mir das Vertrauen, zu Recht oder Unrecht, fehlt. Die Frage lautet also: Welchen Autoritäten oder Dienstleister vertraue ich? Für Privatpersonen wäre es ein großer Vorteil, wenn sie ihre verschiedenen Geräte miteinander synchronisieren, zentral auf ihre Daten zugreifen und sie verändern, mit anderen Nutzern teilen könnten, und die Daten dennoch vor Datenräubern sicher aufbewahrt würden. Dazu braucht man einen Cloud-Dienst und zwar am besten einen, der den modernen Anforderungen des Datenschutzes entspricht. Wer schon einmal sein Telefon verloren hat, seine Daten nicht in ungesicherten Clouds aufbewahren will und deshalb keine Sicherungskopie seiner Daten hatte, weiß wovon ich rede.

Kommen wir zum Angebot. Warum sollten sich Luxemburger Firmen und Institutionen dafür interessieren?

Luxemburger Firmen, vor allem die aus der Finanzbranche, sollten an der digitalen Umwandlung teilnehmen, um ihren Kundenstamm zu erhalten und die Kundenloyalität auszubauen. Möglicherweise ist ihr Geschäftsmodell durch neue Alternativen wie Crowdfunding, virtuelle Währungen oder mobile Zahlungsdienste bedroht. Oder sie werden preislich eventuell nicht mit Firmen wie Paypal, Amazon oder Google mithalten können, die solche Alternativen anbieten oder entwickeln. Der Internet-Handel und das mobile Internet werden die Finanzwelt transversal verändern.

Und im Zuge dieser Entwicklung entstehen wieder neue sensible personenbezogene Daten.

Wenn wir also davon ausgehen, dass die Verbraucher in Europa einen höheren Schutz ihrer Daten einfordern, wenn sich Fälle von Datenverlusten, wie kürzlich bei der SNCB oder bei Ebay häufen, dann brauchen wir eigentlich einen europäischen „Datenpass“.

Warum?

Die Datenverwaltung und -aufbewahrung ist teuer, deshalb haben Unternehmen ein Interesse daran, sie an einer Stelle – hoffentlich Luxemburg – zu zentralisieren, um Skaleneffekte zu erreichen. Das Problem ist: Der Datenschutz ist innerhalb der EU nicht harmonisiert und es gibt keine gegenseitige Anerkennung. Wenn ich also in Luxemburg beispielsweise die Daten anderer EU-Bürger aufbewahren will, kann es zu Konflikten zwischen den Datenschutzbestimmungen kommen, auch im Fall von Rechtsgesuchen. Entweder halte ich die Luxemburger Regeln ein und verstoße deshalb gegen die Regeln anderer EU-Länder, oder umgekehrt. Ein solcher Pass würde ein Minimum an europaweit gültigen Datenschutzregeln gewährleisten und mich vom Datenschutzdilemma erlösen. Das war eigentlich Viviane Redings Vorhaben als EU-Kommissarin, und ein solcher Pass würde nach sich ziehen, dass auch große Konzerne von außerhalb Europas anfangen müssten, die Daten europäischer Kunden irgendwo in der EU zu lagern, um sie so besser zu schützen. Denen könnten wir dann anbieten, zu uns zu kommen, und wenn wir schnell in der Umsetzung sind, könnte ein Erfolg gelingen, wie er in der Investmentfondsbranche gelungen ist. Damals haben auch zuerst die Nichteuropäer Luxemburg als Verteilungsplattform innerhalb der EU genutzt.

Wenn aus dem europäischen Datenpass nichts wird – welche Möglichkeiten gibt es dann?

Jeder Staat kann entscheiden, einen Teil seiner Souveränität abzugeben. Wir könnten sozusagen unseren Datenschutz aufgeben.

Jetzt wird es etwas verwirrend.

Das heißt: Für die Daten von Luxemburger Gebietsansässigen, die in Luxemburg aufbewahrt würden, würde der Luxemburger Datenschutz gelten. Aber für die Daten von anderen Europäern, die in Luxemburg aufbewahrt würden, würden die Datenschutzbestimmungen ihrer jeweiligen Heimatländer gelten.

Das würde bedeuten, innerhalb der Luxemburger Gesetzgebung einen EU-Datenpass zu schaffen. Allerdings nicht, indem er harmonisiert würde, sondern die ganze Vielfalt der Datenschutzbestimmungen integriert würde.

Das Recht, die eigenen Gesetze zu Gunsten denen anderer Länder aufzugeben, hat ein Staat. Dann würde sich zwar immer noch die Frage stellen, ob die anderen Länder das anerkennen würden. Aber wenn wir ihnen die Einhaltung ihrer Gesetze garantieren, glaube ich nicht, dass sie die Verwahrung von Verbraucherdaten hierzulande anfechten könnten. Es gibt schließlich die Niederlassungsfreiheit in der EU.

Das könnte funktionieren?

Wenn Daten das neue Rohöl sind, warum können wir nicht zum nächsten Emirat werden?

Michèle Sinner
© 2023 d’Lëtzebuerger Land