Credit Suisse AM Thematic Insights: Good Digital Partners Required

Martins Donins, Analyst bei Credit Suisse Asset Management beschäftigt sich mit möglichen Anlagechancen, die sich aus der Umsetzung der Datschenschutz-Grundverordnung (DSGVO) ergeben könnten. „IT-Berater, Anbieter von Cybersicherheit-Software, Datenverwaltungsunternehmen sowie die Bereiche IT Outsourcing und IT Audit stellen infolge der DSGVO eine Nachfragezunahme fest“, konstatiert er. Credit Suisse | 05.11.2018 10:55 Uhr
Martins Donins, Analyst, Credit Suisse Asset Management / © Credit Suisse Asset Management
Martins Donins, Analyst, Credit Suisse Asset Management / © Credit Suisse Asset Management
Archiv-Beitrag: Dieser Artikel ist älter als ein Jahr.

Die Datenschutz-Grundverordnung, besser bekannt unter ihrem Kürzel DSGVO (englisch: GDPR - General Data Protection Regulation), ist seit Mai 2018 in Kraft. Das Go-Live ging einher mit Klagen gegen die großen Technologieunternehmen Google und Facebook betreffend der Art und Weise, wie sie Verbraucher zur Zustimmung derer Dienstleistungsbestimmungen «zwingen». Das geschah zeitgleich mit einem Anstieg der Verbraucherbeschwerden und Meldungen von Datenschutzverletzungen im Allgemeinen. Es wird sich jedoch erst allmählich abzeichnen, wie sich die wichtigste Verordnung personenbezogener Daten der letzten beiden Jahrzehnte in Europa langfristig auswirken wird. 

Wir haben den Umfang und Geltungsbereich der DSGVO bereits in einem früheren Thematic Insight erläutert. In diesem Artikel legen wir unseren Schwerpunkt auf die wirtschaftlichen Auswirkungen für Branchen, die eine Datenerfassung ermöglichen, und stellen Lösungen für die Verwaltung und Sicherheit von Daten bereit.  

Der breite Geltungsbereich der DSGVO

Zunächst eine kurze Zusammenfassung: Die DSGVO ist die neueste Verordnung der EU zum Schutz personenbezogener Daten und der Privatsphäre. Sie ersetzt die mittlerweile veraltete, 1995 erlassene Datenschutzrichtlinie. Obwohl die DSGVO nicht ausschließlich digitale Daten betrifft, deckt sie alle Aspekte im Hinblick auf Online-Erfassung, -Speicherung und -Verarbeitung unserer persönlichen Daten ab. Die 88 Seiten der DSGVO zielen auf Transparenz und Kontrolle ab und sollen Datenschutzgesetze in ganz Europa vereinheitlichen, Verbraucher zur Kontrolle ihrer Datenverwendung befähigen und sicherstellen, dass Unternehmen für ihren Umgang mit den von ihnen erfassten persönlichen Daten haftbar sind. 

Das vielleicht wichtigste Merkmal der DSGVO ist ihr Geltungsbereich. Bei der Verordnung wurde sorgfältig darauf geachtet, dass alle Einzelpersonen, Organisationen und Unternehmen, die allfällige personenbezogene Daten entweder kontrollieren, speichern oder verwenden, berücksichtigt sind. Auch die Definition personenbezogener Daten ist äußerst umfassend. Alle Informationen, die zur Identifikation einer Person verwendet werden können, fallen in den Geltungsbereich der Verordnung – sei es Name, E-Mail-Adresse, Telefonnummer, physische oder virtuelle Adressen, Standortdaten usw. In der Praxis heißt das, dass die DSGVO für alle Unternehmen gilt, die auch nur eine einzige relevante Information zu einem beliebigen EU-Bürger speichern. Damit sind nicht nur die großen Unternehmen im Bereich der sozialen Medien, wie Facebook, Google und Twitter, gemeint, sondern auch kleine App-Entwickler, Online-Shops und Fast-Food-Restaurants, die Informationen womöglich für die gelegentliche Essenslieferung speichern.   

DSGVO-Bereitschaft

Obwohl die DSGVO vor ihrer offiziellen Verabschiedung im Jahr 2016 über einen Zeitraum von vier Jahren bearbeitet wurde und Unternehmen anschließend ein Zeitfenster von zwei Jahren zur Vorbereitung auf ihre Umsetzung hatten, dauert ein großer Teil der Arbeiten in den Unternehmen noch immer an. Branchenexperten von Bloomberg gehen davon aus, dass die Arbeiten zur Einhaltung der DSGVO bis zum Jahr 2020 andauern werden.

Das ist nicht darauf zurückzuführen, dass Unternehmen bequem sind und die Arbeiten auf den letzten Moment schieben, sondern darauf, dass es üblich ist, zu beobachten, wie Mitbewerber und Konkurrenten sich auf die neue Verordnung vorbereiten, Rat zur rechtlichen Auslegung einholen, Geschäftsprozesse und Risiken bewerten und erst dann mit der Umsetzung der erforderlichen Änderungen zu beginnen. Oftmals handelt es sich bei dem GoLive-Datum für neue Verordnungen (in diesem Fall der 25. Mai 2018) lediglich um einen „Softstart“, da die Aufsichtsbehörden in vielen Fällen selbst noch nicht in der Lage sind, neue Gesetze sofort zu überwachen oder durchzusetzen. In der Tat zeigte eine von Reuters einen Monat vor dem Start der DSGVO durchgeführte Umfrage, dass 17 von 24 lokalen EU-Aufsichtsbehörden entweder nicht über ausreichende Finanzmittel oder rechtliche Befugnisse zur Erfüllung ihrer Pflichten verfügten. (EU Privacy Regulations Boon to Data Security Sector von Tamlin Bason, Bloomberg Intelligence, 10. Oktober 2018) Das Abwarten macht zudem Sinn, bis sich Branchennormen etablieren, um herauszufinden, welche Verhaltensweisen untersucht und bestraft werden und welche als weniger kritisch erachtet werden. 

Die Einhaltung der DSGVO gestaltet sich für viele Unternehmen aufgrund der Komplexität der Datenwertschöpfungskette ziemlich schwierig. Selbst in einer einfach strukturierten Organisation werden Daten unter Umständen mithilfe einer Art CRM (Client Relationship Management)-Software von Vertriebsmitarbeitenden eingegeben, aktualisiert und verwendet. Vielleicht werden die Daten und mit diesen Daten zusammenhängende „Transaktionen“ in einer Datenbank gespeichert und womöglich hat eine Reihe von Management- und Marketingsystemen Zugriff auf diese Datensätze, damit das Unternehmen ihren geschäftlichen Ausblick prognostizieren oder auf ihre Kunden ausgerichtete Marketingkampagnen erstellen kann. Bereits an diesem einfachen Beispiel zeigt sich, dass es einige bewegliche Teile gibt. Die DSGVO macht zudem Unternehmen für die Sicherheit der von ihnen gespeicherten Kundendaten verantwortlich. Das erhöht natürlich die Komplexität in einem Unternehmen, da IT-Sicherheitsdienstleister und Partner möglicherweise Zugriff auf die Daten haben und sie selbst verwenden könnten. 

Blockierung von Online-Werbung

Für viele Unternehmen zieht die DSGVO zusätzlich Arbeit und Aufwand nach sich, für einige Unternehmen bedeutet sie sogar eine Änderung ihres Geschäftsmodells. Ein besonders stark betroffener Bereich ist Online-Marketing. Nur 20 % der von Demand Metric und Demand Base befragten 2556 Marken sind davon überzeugt, dass sie keinem Rechtsrisiko ausgesetzt sind, falls ihre Dienstleister für digitales Marketing gegen die DSGVO verstoßen. Aufgrund der Natur des Werbegeschäfts werden zahlreiche Benutzerinformationen über Internet-„Cookies“ – kleine, einen Benutzer und seine Aktivität auf einer bestimmten Website beschreibende Datenmengen, auf die der Webserver zugreifen kann – an Dritte weitergegeben. Diese „Cookies“ enthalten unter Umständen unter die DSGVO fallende Informationen, wie Standort oder IP-Adresse, und wurden bisher in der Regel mehreren Anzeigenverkäufern zur Anzeige sogenannter „gezielter Werbeanzeigen“ weitergereicht. Darum sehen wir oftmals Anzeigen online, die zum Beispiel mit der Stadt im Zusammenhang stehen, in der wir uns zum entsprechenden Zeitpunkt aufhalten oder zu der wir vielleicht kürzlich Informationen gesucht haben. Das beginnt sich jetzt jedoch zu ändern. Abbildung 1 zeigt, dass die durchschnittliche Anzahl der Cookies von Drittunternehmen auf Nachrichtenseiten in ganz Europa im Allgemeinen zurückgeht. Eine Möglichkeit, im Hinblick auf die DSGVO auf der sicheren Seite zu sein, ist natürlich die Entfernung aller Cookies von der Website. Allerdings könnte sich das negativ auf die Kundenerfahrung, die Fähigkeit des Unternehmens zur Betreuung seiner Kunden und natürlich den Wert von Werbeflächen auf der Homepage auswirken.  

zum Vergrößern bitte auf den Chart klicken
zum Vergrößern bitte auf den Chart klicken

Online-Werbetreibende nutzen vermehrt eine Lösung namens „kontextbezogene Werbung“, wobei der Websiteinhalt selbst anstatt des Browserverlaufs der Nutzer zur Bestimmung der Werbeanzeige herangezogen wird. So würde beispielsweise das Lesen eines Reiseblogs die Anzeige von Werbung für günstigere Flugtickets bewirken. Zudem stellen wir fest, dass kleinere Werbeunternehmen Marktanteile an Google und Facebook verlieren, wobei sich die Reichweite von Online-Werbeanzeigen insgesamt scheinbar verringert hat (Abbildung 2). Eine mögliche Erklärung dafür ist, dass Marken sich Sorgen machen, dass kleinere Akteure nicht DSGVO-konform sind und schlussfolgern, dass die großen Technologieunternehmen besser zur Bewältigung der neuen Verordnung aufgestellt sind. Zahlreiche Experten hatten Bedenken geäußert (15 Unexpected Consequences Of GDPR, Forbes Technology Council, 15. August 2018), dass die Verordnung große Unternehmen begünstigen könnte, die sich eigene Abteilungen für den Umgang mit Datenschutz leisten können.   

zum Vergrößern bitte auf den Chart klicken
zum Vergrößern bitte auf den Chart klicken

Um auf den Standpunkt der Unternehmen zurückzukommen, welche die Entwicklung der DSGVO abwarten: Eine weitere interessante Beobachtung ist, dass viele US-amerikanische Websites begonnen haben, den Zugriff für europäische Besucher zu blockieren, oder einfach Inhalte von Dritten vorübergehend von ihren Seiten zu entfernen. Die Folge ist eine durchschnittliche Ladezeit für die europäische Version einer Website von unter einer Sekunde gegenüber 9,9 Sekunden für die entsprechende US-amerikanische Website. (The impact of GDPR von Jessica Davies, Digiday, 24. August 2018)

Der Speicherort von Daten ist wichtig

Der Ort der Speicherung ist ein wichtiger Bestandteil der Diskussion rund um den Datenschutz, daher wird das Augenmerk verstärkt auf Rechenzentren gelegt. Da die Europäische Kommission zwischen sicheren und unsicheren Drittländern unterscheidet, stehen Unternehmen der Inanspruchnahme der Dienstleistungen von Rechenzentrumsbetreibern, die außerhalb der EU tätig sind, skeptisch gegenüber. Die Benennung als unsicheres Land impliziert, dass die nationalen Gesetze der Länder, in denen sich Rechenzentren physisch befinden, kein mit EU-Recht vergleichbares Schutzniveau für personenbezogene Daten bieten.     

Falls für ein Land kein „Angemessenheitsbeschluss“ vorliegt, ist deswegen die Datenübermittlung in dieses Land nicht zwingend untersagt. Stattdessen muss der Auftragsverarbeiter oder Verantwortliche (d. h. das Unternehmen) anderweitig sicherstellen, dass die personenbezogenen Daten angemessen vom Empfänger geschützt werden, beispielsweise mithilfe von Vertragsklauseln. Darüber hinaus spielen Unterschiede zwischen der Speicherung und Verarbeitung von Daten eine Rolle. 

Das bedeutet, dass selbst kleine Einzelhändler über ein relativ umfassendes Wissen sowohl zu rechtlichen als auch technischen Aspekten der Übertragung, Speicherung und Verarbeitung von Daten verfügen müssten. Die Einhaltung der DSGVO könnte somit zu einem Verkaufsargument für die in Europa oder im Europäischen Wirtschaftsraum (EWR) ansässigen versierten (und hochgradig sicheren) Rechenzentren werden. 

Auf der Verordnung basierende Erträge

Auch wenn die DSGVO für die meisten Unternehmen einen finanziellen Aufwand darstellt, dürfte sie für andere vermutlich einen Anstieg der Geschäftstätigkeiten nach sich ziehen. Schätzungen zufolge werden 70 % aller Unternehmen für die Implementierung der neuen EU-Verordnung in zusätzliche IT- oder Supportdienstleistungen investieren.(What financial impact will GDPR have on your business? von Sian Macintyre, Horrexcole, 12. Februar 2018) IT-Berater, Anbieter von Cybersicherheit-Software, Datenverwaltungsunternehmen sowie die Bereiche IT Outsourcing und IT Audit stellen infolge der DSGVO eine Nachfragezunahme fest. Die DSGVO verweist beispielsweise ausdrücklich auf die folgenden Sicherheitsmaßnahmen:

  • Pseudonymisierung und Verschlüsselung von personenbezogenen Daten 
  • Fähigkeit zur Gewährleistung der laufenden Vertraulichkeit und Integrität der Verarbeitungssysteme (d. h. Umsetzung von Netzwerk- und Endpunktsicherheit, Cloud-Gateways usw.) 
  • Prüfung der Effektivität der vorstehend genannten technischen Maßnahmen (d. h. Gefährdungserkennung und Risikomanagement) 
  • Fähigkeit zur Benachrichtigung betroffener Personen und der Aufsichtsbehörde innerhalb von 72 Stunden nach einem Verstoß.  

Die DSGVO wird eine schnellere Übernahme dieser Sicherheitsmaßnahmen erzwingen, was den Anbietern im Bereich IT-Sicherheit zugutekommen wird, da der „Datenraum“ derzeit noch großteils ungeschützt ist. Laut Breach Level Index von Gemalto waren bei 96 % aller Datenschutzverletzungen die kompromittierten Daten nicht verschlüsselt. (Breach Level Index, Gemalto, abgerufen am 15. Oktober 2018)

Auch für Content-Management-Anbieter, einschließlich der Bereiche Client Relationship Management, Web Content Management, Dokumentenverwaltung, digitale Rechteverwaltung sowie Such- und Portalfunktionen, kann die DSGVO ein Verkaufsargument sein, da die Einhaltung der DSGVO direkt folgende Aspekte vorgibt:

  • Recht auf Vergessenwerden, auch „Datenlöschung“ genannt 
  • Auskunftsrecht zu unseren personenbezogenen Daten sowie Informationen zur Verwendung und Verarbeitung unserer Daten 
  • Datenübertragbarkeit, die eine freie Übertragung unserer personenbezogenen Daten von einem Verarbeitungssystem zu einem anderen ermöglicht.  

Die Erfüllung dieser Anforderungen würde für viele Unternehmen mit selbst nur relativ geringer Onlinepräsenz Investitionen in Datenverwaltungskapazitäten erfordern.  

IT-Outsourcing- und Beratungsunternehmen werden mit Änderungsmanagement, Umsetzung, Mitarbeiterschulungen und ähnlichen Aufgaben betraut werden. Das ist wie bei einem Großteil neuer Verordnungen ein Katalysator für die Beratungsbranche im Allgemeinen.  


 Fazit

Geldstrafen von bis zu 4 % des Jahresumsatzes sind deutliche Anreize für Unternehmen, die DSGVO ernst zu nehmen. Zur Verdeutlichung: Eine derartige Geldstrafe würde für Amazon ca. USD 7 Milliarden betragen. Auch wenn die Strafe für viele kleine und mittlere Unternehmen insgesamt wesentlich kleiner ausfallen würde, wäre ein Verstoß gegen die DSGVO auch für sie verheerend.   

Da jedoch die Verbraucher den Unternehmen im Hinblick auf den Schutz ihrer Privatsphäre vertrauen müssen, dürfte eine Verordnung, welche die Übernahme dringend benötigter Sicherheits- und Transparenzmaßnahmen vorantreibt, begrüßt werden. Unternehmen müssen daher mit vertrauenswürdigen Drittunternehmen zusammenarbeiten, um die angemessenen Sicherung und Verwaltung sowohl ihrer eigenen als auch der Daten der Kunden zu gewährleisten, da Teile der DSGVO durch die Wertschöpfungskette an Online-Marketingunternehmen, Rechenzentren, IT-Sicherheits- und Datenverwaltungsdienstleister weitergegeben werden.   

Verordnungen sind immer schon ein wichtiger Treiber von Veränderungen im Hinblick auf Sicherheit gewesen, nicht nur im digitalen Raum, sondern unter anderem auch in den Sektoren Umwelt, Automobil und Nahrungsmittelsicherheit. Als langfristige Anleger in dem Bereich Sicherheit und Automatisierung verfolgen wir die Entwicklungen in der Rechtsprechung genau und bewerten die daraus folgenden geschäftlichen Auswirkungen für Unternehmen. Credit Suisse Asset Management hat zwei Strategien entwickelt, um Kunden ein „Pure Play“Engagement in diesen überzeugenden und miteinander verknüpften langfristigen Wachstumsthemen zu bieten: Robotik und Automatisierung sowie Schutz und Sicherheit.

Martins Donins, Analyst, Credit Suisse Asset Management

Für weitere Informationen zum Thema Robotik, Sicherheit, Infrastruktur und digitales Gesundheitswesen klicken Sie bitte hier.   

Performanceergebnisse der Vergangenheit lassen keine Rückschlüsse auf die zukünftige Entwicklung eines Investmentfonds oder Wertpapiers zu. Wert und Rendite einer Anlage in Fonds oder Wertpapieren können steigen oder fallen. Anleger können gegebenenfalls nur weniger als das investierte Kapital ausgezahlt bekommen. Auch Währungsschwankungen können das Investment beeinflussen. Beachten Sie die Vorschriften für Werbung und Angebot von Anteilen im InvFG 2011 §128 ff. Die Informationen auf www.e-fundresearch.com repräsentieren keine Empfehlungen für den Kauf, Verkauf oder das Halten von Wertpapieren, Fonds oder sonstigen Vermögensgegenständen. Die Informationen des Internetauftritts der e-fundresearch.com AG wurden sorgfältig erstellt. Dennoch kann es zu unbeabsichtigt fehlerhaften Darstellungen kommen. Eine Haftung oder Garantie für die Aktualität, Richtigkeit und Vollständigkeit der zur Verfügung gestellten Informationen kann daher nicht übernommen werden. Gleiches gilt auch für alle anderen Websites, auf die mittels Hyperlink verwiesen wird. Die e-fundresearch.com AG lehnt jegliche Haftung für unmittelbare, konkrete oder sonstige Schäden ab, die im Zusammenhang mit den angebotenen oder sonstigen verfügbaren Informationen entstehen. Das NewsCenter ist eine kostenpflichtige Sonderwerbeform der e-fundresearch.com AG für Asset Management Unternehmen. Copyright und ausschließliche inhaltliche Verantwortung liegt beim Asset Management Unternehmen als Nutzer der NewsCenter Sonderwerbeform. Alle NewsCenter Meldungen stellen Presseinformationen oder Marketingmitteilungen dar.
Klimabewusste Website

AXA Investment Managers unterstützt e-fundresearch.com auf dem Weg zur Klimaneutralität. Erfahren Sie mehr.

Melden Sie sich für den kostenlosen Newsletter an

Regelmäßige Updates über die wichtigsten Markt- und Branchenentwicklungen mit starkem Fokus auf die Fondsbranche der DACH-Region.

Der Newsletter ist selbstverständlich kostenlos und kann jederzeit abbestellt werden.