Befragt, wie er das Verhältnis von CDR und CSR bewerte, wies Professor Kempf gleich zu Anfang darauf hin, dass er es aus einer Reihe von Gründen gut finde, wenn man das Thema CDR nicht unmittelbar unter CSR subsummiert. Ein Grund sei technischer Natur: Ein Unternehmen, das sich für CSR entscheide, halte einen Großteil der Prozesskette, die man unter CSR subsumieren kann, in eigenen Händen. Bei CDR sei dies in aller Regel anders, da über die Prozesskette hinweg eine Fülle von Werkzeugen eingesetzt werde, die – wenn sie Schwachstellen im Sinne der CDR hätten – vom nutzenden Unternehmen nur schwer auszugleichen und zu korrigieren sind.

Mit Blick auf den internationalen Wettbewerb – und dort vor allem auf die wachsende Bedeutung chinesischer Unternehmen – betont Professor Kempf, dass man trotz aller verständlichen Bedenken im Hinblick auf den chinesischen Weg stets prüfen sollte, ob es nicht auch andere Wege gibt, die dort entwickelten oder eingesetzten digitalen Innovationen nutzbar zu machen, ohne sie aufgrund bereits erkannter oder vermuteter Risiken grundsätzlich abzulehnen. Man müsse sich auf der Basis der europäischen Werte verhalten, sich aber der Konsequenzen digitaler Innovation erster, zweiter und dritter Ordnung immer bewusst sein. Die frühzeitige und konsequente Antizipation von Konsequenzen sei wichtig, da die Regulation schon qua Definition immer der Technik hinterherläuft. Aus diesem Grund sei es notwendig, dass Unternehmen – in der Rolle des Anbieters und des Nachfragers gleichermaßen – digitale Verantwortungskompetenz aufbauen. Dies ist nach Ansicht von Professor Kempf bereits der Fall, weil in der Wirtschaft nach seiner Erfahrung ähnlich diskutiert werde wie in der Zivilgesellschaft.

 

Ein diesbezügliches Beispiel sei künstliche Intelligenz. Bei diesem Thema geistere im Hinterkopf vieler Menschen eine Art “humanoider Homunkulus” herum, vor dem man sich je nach Ausrichtung entweder fürchte oder ihn richtig gut finde. In solchen Fällen sei eine Diskussion über digitale Verantwortung nicht einfach. Speziell in Europa komme ein spezifisches Problem hinzu: Dort würde man den Facetten des personenbezogenen Datenschutzes deutlich mehr Diskussionsaufwand widmen als dem Thema einer umfänglich definierten Datensicherheit. Eine klare Unterscheidung zwischen den drei Layern Safety, Security und Privacy, wie sie z.B. in den USA erfolge, würde auch im Hinblick auf CDR weiterführen: Auf Basis einer solchen Trennung könne man im ersten Schritt prüfen, wie man Sachverhalte technisch gestalten wolle, um dann in einem zweiten Schritt darüber zu urteilen, wie man gemeinsame Ziele dieser drei Bereiche mit ein und demselben Medium erreichen könnte. In diesem Kontext nennt Professor Kempf das Beispiel der Data Ownership: Nach wie vor gebe es für Fragen des Urheberschutzes kein vernünftiges technisches Medium. Hätte man sich zu diesem wichtigen Praxisthema ähnlich viele Gedanken gemacht wie zu Data Privacy, dann täte man sich mit der Lösung des einen oder anderen Problems der digitalen Welt leichter.

Ausgehend vom Thema Datenschutz und Datennutzung, ging es im Weiteren um die Frage, inwieweit der BDI u.a. zum Thema CDR in der Lage sein könnte, gemeinsame Standpunkte vor dem Hintergrund einer Vielzahl heterogener Mitgliederinteressen zu prägen. Professor Kempf betont, dass es im Rahmen des BDI nicht nur eine große Vielfalt an Interessen, sondern auch unterschiedliche Voraussetzungen in den rund 100.000 Unternehmen der BDI-Mitgliedsverbände gebe, um Themen wie CDR zu operationalisieren. So hätten größere Unternehmen durchaus die Möglichkeit, kurzfristig eine Taskforce aufzusetzen, während der engagierte Familienunternehmer die gleichen Themen mit viel weniger Ressourcen lösen müsse. Zudem zeige die Erfahrung, dass im Kontext der Findung gemeinsamer Standpunkte die vergleichbare Bedarfssituation von Unternehmen eine wichtige Rolle spiele. Als Beispiel nennt er die Datennutzungskontrolle bei Industrie-Daten im Kontext der “Industrie 4.0”. Ein Maschinenhersteller wisse beispielsweise, dass seine Maschine beim Kunden viele wichtige Daten produziere und dass es darüber hinaus sinnvoll wäre, diese Daten mit anderen Akteuren – durchaus im Sinne einer freiwilligen digitalen Verantwortung – zu sharen, um Korrelationen zu evaluieren, sie also im Zweifel auch mit Wettbewerbern und Kunden auszutauschen und zielgerichtet analysierbar zu machen. Diesbezüglich sehe er bei vielen verschiedenen Unternehmen eine ähnliche Bedarfssituation. Es gebe aber auch andere Bereiche mit unterschiedlichen Bedarfen, insbesondere solche, die beim einen bereits stark artikuliert, bei anderen gar noch nicht erkannt sind.

 

Mit Blick auf die CDR-Initiative des BMVJ, die mit einem kleinen Kreis von Unternehmen 2018 gestartet war und 2021 den CDR-Kodex veröffentlichte (den allerdings erst ein Teil der an der Entwicklung beteiligten Unternehmen mitgezeichnet habe, Anm. der Redaktion), würde sich Professor Kempf über eine Weiterführung der CDR-Initiative sehr freuen. Die Frage, in welchem Ministerium die Initiative zukünftig aufgehängt sei, spiele dabei für ihn keine entscheidende Rolle. Wichtig sei vielmehr, dass man auch künftig beachte, dass CDR weit mehr als nur Verbraucherschutz sei. Im Hinblick auf die Umsetzung im Unternehmen sei mit dem Unterzeichnen einer Proklamation schließlich nur der geringste Teil der Aufgabe erfüllt. Der viel größere Teil liege darin, zu überlegen, was eine solche Proklamation für Produkte und die Art der eigenen Dienstleistung bedeute – und vor allem: Welche Konsequenzen dies für die Kompetenzentwicklung der Mitarbeitenden besitze. CDR-Strategien und Ziele würden sich ja nicht von selbst umsetzen. Das Corona-Beispiel zeige die Herausforderungen für Unternehmen in der Praxis: Viele Mitarbeiter wurden ins Homeoffice geschickt – was angesichts der pandemischen Lage grundsätzlich zu begrüßen war. Allerdings waren dort viele Mitarbeitende plötzlich mehr oder weniger auf sich allein gestellt. Aus CDR-Sicht eine kritische Situation. Unternehmen wie die DATEV, die Professor Kempf viele Jahre als Vorstandsvorsitzender geleitet hat (und das 2021 auch einen CDR-Award gewonnen hat, Anm. der Redaktion), hätten in der Corona-Krise Mitarbeitern freiwillig einen kompletten Arbeitsplatz im Homeoffice zur Verfügung gestellt. Nur dadurch habe die DATEV als Arbeitgeber eine Chance gehabt, auch beim Thema CDR alle Facetten des Themas remote zu managen: Weil ein Großteil der Arbeit bei CDR ähnlich wie beim Thema Datenschutz in permanenten Schulungen liege, die sich nicht im Vorlesen juristischer Texte erschöpfen.

Insofern sei die Rolle der CDR-Initiative phasenbezogen zu bewerten: Politische Initiative sei in einer ersten Phase häufig erforderlich, um Dinge ins Rollen zu bringen oder politischen Flankenschutz zu ermöglichen. Über eine solche Anfangsphase hinaus bestehe die Gefahr, dass überreguliert wird. Bezüglich CDR vermute er, dass man mittlerweile in einer zweiten Phase angekommen sei, in der ein Großteil der Unternehmen bereits bemerkt habe, dass CDR positiv auf das eigene Unternehmen einzahlt. Dabei betont er, dass es nicht nur um das positive Image im Sinne eines weiteren Siegels ginge. Vielmehr würden Unternehmen erkennen, dass sich CDR-Engagement auch in Bereichen lohnt, die wenig PR-tauglich sind. Als Beispiel nennt er das zuvor ausgeführte Thema der Data Ownership. Für Kunden eines Unternehmens sei ein solches Thema in der Regel nicht so relevant, wohl aber für das Unternehmen selbst.

 

Schließlich plädiert Professor Kempf für mehr Pragmatismus im Kontext von CSR und CDR. Beispielhaft nennt er die SDGs, bei denen er nicht selten den Eindruck habe, dass einige Menschen lediglich einen Punkt der 17 SDGs kennen bzw. betonen würden, dafür jedoch Gefahr liefen, die anderen 16 zu vernachlässigen, vielleicht auch gar nicht richtig zu kennen. Würde man daher CDR unter die SDG-Ziele subsummieren wollen, verlöre CDR an Sichtbarkeit, da dann, wenn man sich schon die 17 SDG-Ziele nicht merken könne, eine widerlegbare Vermutung bestehe, dass man am Ende gar nicht mehr weiß, unter welchen der 17 SDGs man CDR subsummieren könne oder wolle. Daher gelte für Unternehmen genauso wie für die einzelnen BürgerInnen: Jede/r muss sich in seinem Kontext und seiner Handlungsweise überlegen, was im Sinne digitaler Verantwortung wichtig bzw. relevant ist. Trotz unterschiedlicher Motive kämen aber am Ende im Hinblick auf CDR ähnliche Maßnahmen und Ergebnisse heraus. Die Handlungsmotivation, sich mit CDR zu beschäftigen, könne folglich bei jedem Unternehmen eine andere sein, die übergreifende Zielsetzung sei jedoch weitgehend dieselbe. Möglicherweise wären dann auch die Wege zum Ziel dieselben. Ihm sei wichtig, dass die Wirtschaft, speziell die Industrie, ein Teil der Gesellschaft sei. Auf CDR projiziert bedeute dies, dass es darum gehe, für eine Gesellschaft digitale Verantwortung zu definieren, zu übernehmen und zu tragen – und nicht nur für das einzelne Unternehmen oder die Wirtschaft. Vor diesem Hintergrund sei auch nicht so wichtig, in welchem Ministerium das Thema CDR künftig abgebildet bzw. weiter flankiert werde. Wichtiger sei, dieses Grundverständnis im Hinblick auf das Zusammenspiel von Wirtschaft und Gesellschaft auf beiden Seiten zu wecken und zu fördern.

Insgesamt sieht Kempf das Thema CDR auf einem guten Weg. Es gebe immer mehr Unternehmen, die sich CDR nicht nur deshalb widmen, weil es gut klinge, sondern weil es für das Unternehmen für die Produkte und das Dienstleistungsportfolio wichtig sei. Unternehmen würden auch erkennen, dass die Auseinandersetzung mit digitaler Verantwortung für die Kunden Relevanz besitze. CDR geht nach seiner Auffassung auch über die bereits genannten Aspekte hinaus. Diesbezüglich erwähnt er den Health-Bereich: Speziell dort sei digitale Verantwortung unabdingbar.

Abschließend betont Professor Kempf, dass CDR heute und in Zukunft auch in vielen mittleren und kleineren Unternehmen aktiv vorangetrieben werde. Diese Entwicklung zeige, dass CDR in einem breiten Teil der Unternehmen angekommen sei und erkannt werde – dass man sich dort überlege: “Was bedeutet CDR für mich? Was muss, was sollte ich ändern?”