Dr. Philipp Räther im Gespräch über Datenverantwortung im Spannungsfeld von Recht, Ethik und Wirtschaft
Mit unseren beiden Mit-Herausgebern Dr. Frank Esselmann und Prof. Dr. Dr. Alexander Brink gibt Dr. Philipp Räther ausführliche Einblicke in Datenschutz, Datenverantwortung und Datenethik eines weltweit führenden Versicherungsunternehmens.
Frank Esselmann: Zur Speicherung, Archivierung und Löschung unstrukturierter Daten gibt es jüngst in den USA einige aufsehenerregende Urteile und einige juristische Debatten. Wir sprechen da vermutlich primär über Kommunikationsdaten. Das sind Daten, welche typischerweise weniger im Zentrum der Datenschutzdebatten stehen. Wie sieht die Allianz das Thema? Wie ist die rechtliche Situation aus Ihrer Sicht, Herr Räther?
DATENURTEIL: Die Bank of America, Citigroup, Goldman Sachs, Morgan Stanley, Barclays und die Deutsche Bank müssen nach Compliance-Untersuchungen der US-Aufsichtsbehörden SEC und CFTC jeweils mit 200-Millionen-Dollar-Strafen rechnen, wie das „Wall Street Journal“ berichtet. Der Grund: Angestellte der Banken haben Whatsapp und Signal für geschäftliche Kommunikation genutzt. Nach den Regeln der Aufsichtsbehörden, müssen die Banken sicherstellen, die schriftliche Kommunikation ihrer Mitarbeiter zu archivieren und zu überprüfen – auf Whatsapp kann der Verlauf allerdings automatisch gelöscht werden (https://www.businessinsider.de/wirtschaft/whatsapp-fuer-den-job-benutzt-jetzt-drohen-deutscher-bank-goldman-sachs-co-strafen-in-milliarden-hoehe-a/).
Philipp Räther: Unstrukturierte Daten, wie wir sie bei der Allianz definieren, sind z.B. E-Mails, können aber auch in Form von Powerpoint-, Excel- oder Word-Dateien vorkommen. Bei strukturierten Daten ist die Datenaufbewahrung, -löschung in einer Kund*innendatenbank einfacher. Bei unstrukturierten Daten tun sich aber viele Unternehmen schwer mit der Vielzahl und Vielfalt. Wir haben beobachtet, dass sich auch bei der Allianz über die Jahre erhebliche Mengen solcher Daten anhäufen. Damit haben Sie potenziell das Risiko, dass Hacks stattfinden, also diese Daten nach außen gelangen. Außerdem gab es ein Urteil des Europäischen Gerichtshofs, der gesagt hat, there is a right to be forgotten. Es gibt ein Recht auf Vergessenwerden. Kurzum, wir müssen löschen, die Allianz muss löschen, alle müssen löschen. Wir haben das bei der Allianz aufgenommen. Wir stellen hier die Kund*innen und Mitarbeiter*innen-Rechte wirklich voran und sagen, diese Emails, die wir mit euch ausgetauscht haben, löschen wir. Dafür sortieren wir Informationen, welche zum Beispiel für die Vertragsdurchführung relevant sind oder Informationen aus Diskussionen mit Mitarbeiter*innen, die länger aufbewahrt werden müssen, aus. Aber die vielen nicht relevanten Emails wie ‚lasst uns Mittagessen gehen‘, die werden eben gelöscht. Wir haben jetzt bei der Allianz ein großes Programm aufgesetzt, bei dem alle Kolleginnen und Kollegen ihre E-Mails entsprechend sortieren.
Frank Esselmann: Sind die Themen Kommunikation mit Kund*innen und Kommunikation von/ mit Mitarbeiter*innen strukturell und von den Complianceanforderungen her sehr ähnlich?
Philipp Räther: Also, aus Sicht der Complianceanforderungen müssen Emails aufbewahrt werden, die zur Vertragsdurchführung erforderlich sind. Bei den Mitarbeiter*innen sind es die Arbeitsverträge, bei den Kund*innen die Versicherungsverträge. Alle E-Mails, die mit diesen beiden Verträgen zu tun haben, werden mindestens für die Laufzeit des Vertrages, aber auch noch für zehn Jahre danach aufbewahrt. Also insofern sind die rechtlichen Anforderungen gleichlautend.
Frank Esselmann: Das heißt, rein technisch gibt es zwei Aufgaben: Zum einen die Speicherung dessen, was vertraglich relevant ist, zum anderen die Löschung all dessen, was man genau nicht haben will. Das ist wahrscheinlich ein erheblicher Aufwand, so etwas zu trennen. Liege ich da richtig und wie sind da Ihre Ansätze?
Philipp Räther: Ja, absolut. Einfacher ist es natürlich bei den Kund*innendatenbanken. Da haben wir bei der Allianz ein sehr gutes System. Hier werden die E-Mails schon automatisch den Vorgängen zugeordnet und alle anderen werden sofort gelöscht. Der schwierigere Part ist es, in der E-Mail-Kommunikation von und mit Arbeitnehmer*innen herauszufinden, welche Emails aufbewahrt werden sollen und welche nicht. Das muss am Ende des Tages per Hand gemacht werden. Es gibt auch bestimmte IT-Tools, die helfen, diese Daten zu strukturieren, aber am Ende des Tages ist das ein manual effort der Mitarbeiter*innen.
Frank Esselmann: Berührt das Thema auch die möglicherweise zunehmende Multi-Kanal-Kommunikation Ihrer Außendienstler*innen oder auch sonstiger Innendienst-Mitarbeiter*innen mit den Kund*innen? Also die Nutzung privater IT-Instrumente, privater Handys, privater E-Mail-Accounts oder ähnliches?
Philipp Räther: Wir haben in der Allianz bestimmte Kommunikationssysteme wie E-Mail oder Microsoft Teams, die freigegeben sind, weil wir die IT datenschutzrechtlich und auch von der IT-Sicherheit her geprüft haben, um eben hier Kund*innen maximalen Datenschutz zur Verfügung zu stellen. Wir wissen alle, dass man natürlich auch privat auf andere Kanäle wechseln kann, aber das ist bei uns durch Complianceanforderungen streng untersagt und wird auch geschult. Zum einen, weil dann dieser Aktivitätspfad bei der Aufbewahrung fehlen würde und zum anderen, um die IT-Sicherheit und den Datenschutz zu gewährleisten.
Frank Esselmann: Spielt künstliche Intelligenz und maschinelle Mustererkennung schon eine Rolle bei der Aufgabe? Sie sagten, da sei noch viel Händisches dabei. Und dann natürlich die spannende Frage: Was bedeutet das bezüglich der Complianceanforderungen? Werden diese dann besser erfüllt oder kaufe ich mir damit möglicherweise neue Risiken ein?
Philipp Räther: Künstliche Intelligenz ist ein wichtiges Thema für die Allianz, und wir versuchen die Technik auch bestmöglich einzusetzen, wenn das Nutzen für die Kund*innen, aber auch für die Arbeitnehmer*innen bringt und wir gleichzeitig die Risiken abschätzen können. Wir haben mit unserem Chief Data Scientist eine Richtlinie zum verantwortungsvollen Umgang mit künstlicher Intelligenz entwickelt. Das bedeutet, wenn wir künstliche Intelligenz in unseren Prozessen anwenden, machen wir erst mal eine ethische Folgenabschätzung, um uns genauer anzuschauen, was für Risiken entstehen können. Gibt es einen Bias in der KI, wie können wir die KI transparent machen und wie können wir sie kontrollieren? Das sind alles Faktoren, die abgeprüft werden, bevor wir die KI einsetzen, und erst dann können wir loslegen. Wenn KI zum Einsatz kommt, wird natürlich auch geprüft, ob sie compliant läuft. Das betrifft zum Beispiel die Schadenbearbeitung oder die Angebotserstellung für Kund*innen.
Wenn wir künstliche Intelligenz in unseren Prozessen anwenden, machen wir erstmal ein ethical impact assessment, eine ethische Folgenabschätzung, um uns anzuschauen, was für Risiken entstehen können.
Dr. Philipp Räther
Wir haben uns das auch für die Sortierung von E-Mails angeschaut, aber bisher leider keine erfolgreiche Anwendung gefunden. Das kann sich in der Zukunft ändern, aber im Moment ist die Technik noch nicht reif für die Praxis.
Frank Esselmann: Das heißt zusammenfassend, dass Sie sowohl in der Kund*innen- wie auch in der Mitarbeiter*innenkommunikation eine sehr sauber definierte Regel haben, was zu archivieren ist, was gelöscht wird und diese Regelungen mit den Menschen zusammen, wahrscheinlich mit denjenigen, die auch unmittelbar diese E-Mail schreiben, umsetzen?
Philipp Räther: Absolut. Und wie immer bei der Allianz gibt es e-learning und classroom training, die dann auch anschaulich erklären, welche E-Mails relevant und welche nicht relevant sind.
Frank Esselmann: Das Thema unseres Magazins ist ja die Corporate Digital Responsibility. Wir vertreten die Grundthese, dass die Dynamik der technischen Entwicklungen so groß ist, dass es für die meisten Unternehmen notwendig und sinnvoll ist, sich mit der Umsetzungspraxis auch ethisch bewusst auseinanderzusetzen und dabei auch durchaus über gesetzliche Anforderungen hinaus zu gehen. Würden Sie sagen, dass die Archivierung und Löschung von unstrukturierten Daten ein Bereich ist, an den man mit ethischem Rüstzeug herangehen sollte?
Philipp Räther: Also bei der Archivierung und Löschung von Daten gehen die gesetzlichen Anforderungen sehr weit. Ich sehe ethische Fragestellungen eher in dem Bereich der Anwendungen von künstlicher Intelligenz.
Frank Esselmann: Das verstehe ich ganz gut. Mögen Sie sagen, wo da Ihr Augenmerk liegt, wo Sie beim Thema KI die spannendsten Felder im Sinne von Corporate Digital Responsibility sehen und wie Sie damit umgehen?
Philipp Räther: Für die Allianz ist das Vertrauen der Kund*innen und auch Arbeitnehmer*innen sehr wichtig. Dass wir bei der Allianz deren personenbezogene Daten schützen, ist unser oberstes Ziel. Wenn dieses Vertrauen verletzt werden würde, wäre auch unsere Digitalisierungsbemühung in Gefahr. Entsprechend wollen wir da auch über die gesetzlichen Anforderungen hinausgehen. Wir haben schon bei anderen Unternehmen gesehen, welche Risiken die künstliche Intelligenz mit sich bringt. Zum Beispiel, wenn KI beim Einstellungsprozess angewendet wird, und dann weiße ältere Männer immer bevorzugt werden und eben keine Minderheiten, keine Frauen – solche Sachen sollen in der Allianz nicht passieren. Gleichwohl ist der Gesetzgeber in der Regulierung der künstlichen Intelligenz etwas hinterher. Aus der Europäischen Union erwarten wir in den nächsten Monaten ein Gesetz zur Regulierung der künstlichen Intelligenz, was aber dann noch zwei weitere Jahre dauert, bis es in Kraft tritt. Bis dahin wollen wir mehr machen und haben uns deshalb bei der Allianz Richtlinien zur ethischen Verwendung von KI gegeben. Da geht es um große Themen: Zum einen um Transparenz, also den Individuen klarzumachen, wie wir KI anwenden und was die Folgen sind und zum anderen um Nichtdiskriminierung, die faire Behandlung der Individuen. Letzteres hängt davon ab, dass wir biases erkennen, diese ausschließen und hier auch immer eine menschliche Kontrolle haben. Das sind Richtlinien, die wir in der Allianz in Europa ausgerollt haben und die jetzt befolgt werden.
Der AI ACT: Die Antwort der Europäischen Union auf Auswirkungen von künstlicher Intelligenz ist der Artificial Intelligence Act (AI Act). Es ist das erste Gesetz weltweit, mit dem KI in allen Lebensbereichen reguliert werden soll. Dieser Prozess wird weltweit genau beobachtet, da das Gesetz über die EU hinaus Wirkung zeigen wird. Gegenwärtig verhandeln das EU-Parlament und der EU-Rat jeweils intern den von der EU-Kommission verfassten Gesetzentwurf. Anschließend werden die drei Institutionen Trilog-Verhandlungen aufnehmen. Der AI Act folgt einem risikobasierten Ansatz, um zu gewährleisten, dass der Einsatz KI-basierter Systeme keine negativen Auswirkungen auf die Sicherheit, Gesundheit und Grundrechte von Menschen hat. Die jeweiligen gesetzlichen Auflagen hängen von dem jeweiligen Risikopotenzial ab: Inakzeptabel risikoreiche Systeme sind verboten, Hochrisiko-Systeme unterliegen bestimmten Regeln und risikoarme KI-Systeme sind keinen Auflagen unterworfen (vgl. https://algorithmwatch.org/de/ai-act-erklaert/).
Frank Esselmann: Welche Rolle übernehmen Sie als Verantwortlicher für den Datenschutz in diesen Prozessen? Es ist für CDR-Verantwortliche eine ganz relevante Frage, wie die Governance organisiert ist, wie welche unterschiedlichen Rollen und Silos, die es typischerweise gibt, eingebunden werden. Insbesondere, welche Rolle nehmen Sie als Datenschützer ein? Wo wird die ethische Umsetzung verantwortet?
Philipp Räther: Wir sind der Meinung, dass die Verantwortung multidisziplinär verankert sein muss und haben deshalb bei der Allianz ein Data Advisory Board eingerichtet. Das hat folgende Mitglieder: zwei unserer Vorständinnen, die Leiterin der Government & Regulatory Affairs, die Chief Data Officer (die Kollegin, der praktisch die Daten „gehören“), der Chief Data Scientist, die Leiterin der Internen Revision, der Chief Compliance Officer und meine Wenigkeit als Konzerndatenschutzbeauftragter. Federführend für die Richtlinien und deren Ausrollen war der Chief Data Scientist und der Datenschutzbeauftragte. Natürlich sind das nicht nur wir in der Unternehmenszentrale. Die Allianz hat weltweit über 170 Mitarbeiterinnen und Mitarbeiter im Datenschutz, die sich das anschauen und dann eben sehr konkret mit diesen Data Scientists, die wir auch fast überall haben, zusammenarbeiten und sicherstellen, dass diese ethischen Richtlinien eingehalten werden. Also die Datenschutzbeauftragten der Allianz spielen hier eine ganz zentrale Rolle, weil die natürlich von ihrem Handwerkszeug und der Erfahrung her, glaube ich, sehr gut ausgerüstet sind, um die Umsetzung von Verantwortlichkeitsaspekten sicherzustellen.
Frank Esselmann: Im Data Advisory Board treffen diese Perspektiven aufeinander. Ich formuliere es mal etwas flapsig, der datenhungrige Analyst, der daran denkt, was man alles machen kann, trifft auf die, sagen wir mal in der Defensive spielenden Datenschutzperson. Von daher ist es sehr spannend für unsere Leser*innen zu erfahren, wie dort der Interessenausgleich hergestellt wird. Hat man dort einen roten Faden oder wird das Fall zu Fall ausgehandelt?
Philipp Räther: Auch die datenhungrigen Kolleg*innen sind sich der Verantwortung sehr bewusst und eben auch des Vertrauens, das man schnell verspielen kann. Wir haben ja gesehen, dass große Tech-Companies inzwischen Milliardenstrafen wegen non-compliant data use bekommen. Das ist natürlich ein Angstszenario. Und ich glaube, auch ein Versicherer, der ja vom Vertrauen lebt, will sich zurecht nie in so einer Position finden. In dem Punkt sehen wir auch ganz klar unsere gesellschaftliche Verantwortung. Gleichwohl – und ich glaube, mit der Entwicklung können wir uns auch als Person identifizieren -, haben sich die Zeiten in der Digitalisierung gewandelt. Wir verarbeiten mehr Daten, und auch als Konsumenten wollen wir Daten. Da gibt es natürlich verschiedene Befindlichkeiten, aber ich persönlich freue mich auch über viele Apps, mit denen ich meine Versicherung verwalten oder andere Daten nutzen kann. Zugleich sind natürlich, wie Sie sagen, checks and balances wichtig. Am Ende steht bei uns, bei der Allianz, immer das Individuum im Zentrum. Also a) wollen wir transparent machen, was wir mit seinen bzw. ihren Daten machen, und b) ihm bzw. ihr dann die Hoheit lassen um zu sagen, gut, bestimmte Daten gehen bei uns mit, andere nicht. Wir haben zum Beispiel Kund*innen, die sind noch total analog unterwegs. Von denen haben wir nicht mal eine E-Mail-Adresse oder eine Handynummer, die bekommen noch Post. Andere machen ihre Versicherungen schon komplett über die Apps oder andere nutzen auch datenreiche Anwendungen. Zum Beispiel gibt es Autoversicherungen, die analysieren, wie risikoreich Sie fahren, und dann wird die Versicherungsprämie justiert. Aber diese Daten müssen a) sicher sein und b) müssen wir den Individuen die Wahl lassen. Ich glaube, dann bewahren wir Vertrauen und sind am Ende auch compliant.
Alexander Brink: Ich finde Ihre Ausführungen sehr spannend, Herr Räther, Sie haben gerade die gesellschaftliche Verantwortung angesprochen. Wir haben in der CDR-Initiative das Verständnis, CDR als Teilbereich einer umfassenden Verantwortung zu betrachten. Es gibt eine digitale Verantwortung und es gibt sozusagen die Gesamtverantwortung der Allianz. Jetzt gibt es auch Positionen, die Allianz als ein digitales Unternehmen zu betrachten. Also im Grunde genommen, wenn wir über Digitalverantwortung sprechen, dann haben wir schon fast alles abgedeckt, was die Gesamtverantwortung angeht. Können Sie da noch mal ein bisschen was zu diesem Verhältnis sagen, wie Sie die digitale Verantwortung zu der Gesamtkonzernverantwortung steht?
DIE CDR-INITIATIVE: Ziel der Corporate Digital Responsibility (CDR)-Initiative ist es, digitale Verantwortung zu einer Selbstverständlichkeit für Unternehmen aller Branchen werden zu lassen. Ins Leben gerufen wurde die Initiative im Mai 2018 durch das seinerzeitige Bundesministerium der Justiz und für Verbraucherschutz (BMJV) gemeinsam mit Unternehmen. Durch die Initiative sollen noch mehr Unternehmen dazu motiviert werden, die Digitalisierung menschen- und werteorientiert zu gestalten. Mit fortschreitenden technologischen Entwicklungen stehen besonders das gemeinsame Lernen und der Austausch im Vordergrund.
Philipp Räther: Das ist natürlich richtig, Herr Brink. Wir haben eine Online- und eine Offlineworld. Das Digitale spielt bei uns eine große Rolle. Wir wollen eben alles so weit wie möglich digitalisieren. Wenngleich, wie gesagt, es Kundinnen und Kunden gibt, die da noch nicht mitgehen, die noch offline sind, und mit denen werden wir auch weiterhin zusammenarbeiten und die auch nicht in das Digitale drängen. Der Bereich wird kleiner, Herr Brink, und je mehr die Zeit fortschreitet, wird die Allianz am Ende des Tages ein komplett digitales Unternehmen sein. Was aber, glaube ich, bei unserem Digitalisierungsweg einen grundlegenden Unterschied macht, wenn wir uns auch mit vielen Tech- oder Social-Media-Companies vergleichen: unser kommerzieller Schwerpunkt sind nicht die Daten. Wir verdienen das Geld nicht mit Daten. Wir verdienen unser Geld mit Finanzprodukten, Versicherungsprodukten, Finanzanlagen und ich glaube, das erlaubt uns aus der Motivation gesellschaftlicher Verantwortung heraus, bestimmte Dinge auch nicht zu machen, weil wir von der Datennutzung eben kommerziell nicht abhängig sind. Gleichwohl wollen wir die Digitalisierung dann den Kund*innen als Mehrwert anbieten.
Wir verdienen unser Geld mit Finanzprodukten, Versicherungsprodukten, Finanzanlagen. Das erlaubt uns in der gesellschaftlichen Verantwortung, bestimmte Dinge auch nicht zu machen, weil wir von der Datennutzung eben kommerziell nicht abhängig sind!
Dr. Philipp Räther
Frank Esselmann: Das finde ich jetzt einen wichtigen Aspekt: Einiges nicht machen, was möglich wäre. Ich weiß nicht, wie aktuell die Zeichen bei der Frage stehen, ob Amazon und Google mit ihren datengetriebenen Modellen in das Versicherungsgeschäft drängen. Bekommt die Allianz diesen Unterschied im Geschäftsmodell kommuniziert? Uns interessiert u.a. bei der CDR-Initiative, wie man verantwortliches Verhalten den Kund*innen so vermitteln kann, dass es wertgeschätzt wird. Ansonsten hätte man einen Wettbewerbsnachteil. Was sind Ihre Erfahrungen damit?
Philipp Räther: Also nach meiner Erfahrung, Herr Esselmann, ist es schon ein Unterschied, ob ich eine Google Suche mache oder ob ich meine Lebensversicherung oder meine Krankenversicherung mit den dazugehörigen Daten jemandem anvertraue. Nach meiner Erfahrung nehmen das die Kund*innen sehr ernst. Gerade auch in Deutschland hat der Datenschutz eine große Tradition. Bei einer Google Search bin ich vielleicht ein bisschen leichtfertiger, aber bei meinen Versicherungsdaten weniger. Wir kommunizieren unseren Kund*innen, dass wir den Datenschutz sehr ernst nehmen. Nach der Datenschutzgrundverordnung haben die Kund*innen Auskunftsrechte und Löschungsrechte. Und die werden viele hunderttausende Male allein in Deutschland im Jahr in Anspruch genommen. Also insofern glaube ich, dass gerade auch in Deutschland der Datenschutz und die Datenverantwortung bei den Verbrauchern weiterhin einen großen Stellenwert hat.
Datenverantwortung hat bei den Verbrauchern einen großen Stellenwert!
Dr. Philipp Räther
Frank Esselmann: Ich kenne die Allianz so, dass sie meistens einen Marktführeranspruch hat – zu Recht in vielen Bereichen. Würden Sie sagen, der lässt sich auch in diesem verantwortlichen Umgang bei Ihnen festmachen? Es wird vieles diskutiert, vom Datencockpit, welches besondere Transparenz schaffen soll, bis zur vielleicht schwersten Aufgabe, künstliche Intelligenz transparent und erklärbar zu machen, die Sie ja auch vorhin erwähnten. Mögen Sie vielleicht noch etwas zu den Herausforderungen und Erfolgen bei Ihnen etwas sagen?
Philipp Räther: Wir sind wirklich bemüht, den Datenschutz zu leben. Wir haben zum Beispiel jetzt – das war ein ganz schöner Erfolg –das TÜV-Siegel „geprüfter Datenschutz“ für alle Versicherungsprodukte in Deutschland erhalten; übrigens auch für den Bewerberprozess. Der TÜV hat sich die IT-Security, aber auch den Datenschutz sehr genau angeschaut. Wir sind zum Beispiel auch in dem Dow Jones Sustainability Index, da wird ja auch der Datenschutz bewertet und da haben wir 100 von 100 Punkten erreicht. Wir sind einer von zwei Versicherern, denen das als erste gelungen ist. Das sind alles Zeichen, wo auch Dritte sagen, die Allianz macht hier mit ihren policies und technischen Lösungen, einen guten Job, und so erlebe ich das auch. Sie haben absolut recht, dass wir nicht nur in den Produkten, sondern auch im Datenschutz Marktführer sein wollen.
INFOBOX DOW JONES SUSTAINABILITY INDEX: Dow Jones Sustainability Indexes (kurz DJSI, deutsch: Dow Jones Nachhaltigkeits-Indizes) sind eine Familie von Aktienindizes, welche neben ökonomischen auch ökologische und soziale Kriterien berücksichtigen. Damit heben sich die DJSI sowohl von klassischen Aktienindizes als auch von rein ökologieorientierten Indizes ab (https://de.wikipedia.org/wiki/Dow_Jones_Sustainability_Index).
Wir wollen nicht nur in den Produkten, sondern auch im Datenschutz Marktführer sein!
Dr. Philipp Räther
Alexander Brink: Das passt ja auch insofern ganz gut, weil wir in der Nachhaltigkeitsdebatte genau diese drei Säulen diskutieren – Ökologie, Soziales und Ökonomie. Und der Datenschutz und die digitale Verantwortung fallen unter die Governancesäule und das hat wahrscheinlich auch zu diesem sehr guten Rating im Dow Jones Sustainability Index geführt. Einige Unternehmen sagen, na ja, wir warten erst mal ab, bis die Regulierung kommt, und dann handeln wir. Was ich jetzt bei Ihnen herausgehört habe, ist, dass Sie sagen, nein, wir wollen da wirklich immer absolute Spitze sein. Und wir denken die Regulierung sozusagen immer mit.
Philipp Räther: Ja, unbedingt. Und interessant ist ja auch, wir sind eben global unterwegs und was wir auch immer hören, gerade aus China und der USA, ist, dass Europa zu viel red tape hat: „Ihr macht Überregulierung und jetzt wollt ihr auch noch KI regulieren. Wo soll das denn hinführen?“ Wir bei der Allianz sagen, das ist nicht red tape. Das bringt den Kund*innen einen Mehrwert, weil eben verantwortungsvoll mit deren Daten umgegangen wird. Und deshalb sind wir auch im Austausch mit zum Beispiel Europa-Parlamentarier*innen und sprechen mit denen, was man machen kann und was man machen sollte. So versuchen wir, die Gesetze mitzugestalten, aber nicht in der Weise, dass wir Regelungen verhindern wollen. Wir sagen, es gibt hier eine ethische Verantwortung, aber die muss natürlich in einer praktikablen Art und Weise geregelt werden, d.h. so, dass dann auch ein Mehrwert für Individuen und Gesellschaft entsteht.
Alexander Brink: Jetzt haben wir über die Kund*innen und die Politik gesprochen. Es gibt noch eine weitere Anspruchsgruppe, das sind dann die Mitarbeiter*innen oder die zukünftigen Mitarbeiter*innen. Wir haben enorm viele offene Stellen in Deutschland, ca. zwei Millionen im Moment. Das ist ein Rekord. Ich weiß von unseren jungen Leuten, dass die sehr viel Wert auf Datenschutz und Digitalverantwortung legen. Merken Sie das auch bei den eigenen Mitarbeiter*innen, vielleicht auch eher bei der jüngeren Generation als bei den etwas älteren? Ist da ein Wertewandel eingetreten, was die Sensibilität für dieses Datenthema angeht?
Philipp Räther: Absolut. Also ich habe ja gesagt, ich bin schon einige Jahre im Datenschutz unterwegs und da ging es eben hauptsächlich um Kund*innendaten. Jetzt habe ich zum Beispiel in meinem Team Mitarbeiter*innen, die sich ausschließlich um den Arbeitnehmer*innendatenschutz kümmern. Und das ist auch gut so, weil wir über die Mitarbeiter*innen ebenso viele Daten haben. Wir setzen zukünftig vielleicht künstliche Intelligenz ein und wollen das dann auch richtig machen, weil wir von dem Vertrauen der Mitarbeiter*innen leben. Da haben Sie recht, das ESG-Thema, aber auch Datenschutz, und Datenethik betreffen gerade die jüngeren Kolleg*innen, da gibt es viele Rückfragen, auch was die Arbeitnehmer*innendaten betrifft. Das Thema nehmen wir ebenso ernst, wie bei den Kund*innen.
Frank Esselmann: Merken Sie einen Wettbewerbsvorteil der europäischen Lösung? Es wird ja viel auf den großen Treffen wie z.B. auf den Digitalgipfeln von dem „europäischen Weg der Digitalisierung“ gesprochen, der andere Werte in das Zentrum stellt als das US-amerikanisches oder gar das chinesische Modell. Kann man das als Allianz, die ja wirklich jetzt den globalen Vergleich hat, im internationalen Geschäft merken? Oder ist das eine Botschaft, bei der Sie sagen, na ja, die funktioniert vielleicht in Deutschland oder im Kerneuropa, aber darüber hinaus wird es schwierig?
Philipp Räther: Das kann man absolut merken. Wir sind in über 70 Ländern tätig und ich habe durch meine Mitarbeiter*innen einen ganz guten Überblick über Datenschutzgesetze und andere Datengesetze. Sie werden sich ja vielleicht erinnern, die Datenschutzgrundverordnung wurde von einigen Kreisen, auch außerhalb Europas, sehr gescholten. Aber inzwischen ist sie wirklich der Goldstandard für neue Datenschutzgesetze. Kalifornien und jetzt auch andere amerikanische Einzelstaaten haben sich daran angelehnt. Und Sie haben China erwähnt. China hat jetzt auch ein neues Datenschutzgesetz, das sehr ähnlich der DSGVO ist. Natürlich mit einer Einschränkung: Es gilt nur für die Unternehmen, nicht für den Staat. So kann man sehen, dass der Datenschutz in Europa und auch die digitale Verantwortung zum Exportschlager geworden sind und immer mehr implementiert wird.
Datenschutz und digitale Verantwortung sind zum Exportschlager geworden!
Dr. Philipp Räther
Frank Esselmann: Das finde ich ein unglaublich positives Statement. Das wäre ein schönes Schlusswort, aber ich würde trotzdem noch eine Frage stellen, weil ich neugierig bin. Glauben Sie, dass wir das auch im Bereich der künstlichen Intelligenz schaffen? Das mag ja noch mal schwieriger sein, denn man kann diskutieren, ob wir technologisch eigentlich schon ziemlich weit hinten dran sind. Der EU AI Act versucht so etwas ähnliches und die Diskussion geht wiederum um Überregulierung. Sehen Sie da die Regulierung auf einem guten Wege? Oder ist das kritischer zu sehen?
Philipp Räther: Ich bin natürlich Jurist und kein KI-Experte. Aber wenn Sie sich mal mit Vätern von KI oder anderen erfahrenen Leuten unterhalten, berichten diese von einer exponentiellen Entwicklung von KI, die immer mehr unserer Prozesse übernehmen kann und uns vielleicht bald alle in gewisser Weise überflüssig macht. Da sehe ich unwahrscheinlich viele Chancen, aber auch Risiken. Ich glaube, wir brauchen die KI-Regulierung noch viel mehr als die Datenschutzregulierung. Wir als Menschen müssen die boundaries festlegen, das kann uns sonst schnell aus den Händen gleiten. Die KI-Regelung ist ein absolutes Muss. Wenngleich, da haben wir das europäische Gesetzgebungsverfahren auch kommentiert, es da zum Beispiel eine Art Attestierung von KI hätte geben sollen, möglicherweise auch von dritten Organisationen. Wir müssen schon aufpassen, dass es nicht zu viel red tape gibt und dass die Europäer*innen dann nicht hinterherhinken. Ich glaube, dass Unternehmen – die Allianz ganz sicher, aber auch andere Unternehmen – die ethische Anwendung von KI selbst regulieren können, natürlich überwacht durch eine Behörde. Ich glaube nicht, dass wir hier große Zertifizierungsinstrumente brauchen.
Ich glaube, da brauchen wir die KI-Regulierung noch viel mehr als die Datenschutzregulierung!
Dr. Philipp Räther
Frank Esselmann: Im Moment wird sehr dynamisch an Regelungen für B2B- und B2B2C-Geschäftsmodellen gearbeitet. Das Spannungsfeld zwischen ,Daten teilen und Daten vertrauenswürdig handhaben’ äußert sich zum Beispiel im Data Act, der die Teilungsnormung umsetzen möchte. Es äußert sich auch in solchen ‚Leuchtturmprojekten‘ wie Gaia-X oder Catena-X, bei denen versucht wird, europäische Datenräume zu erstellen. Ich weiß nicht, ob die Allianz dort eine aktive Rolle spielt. Halten Sie das für eine gute, ergänzende Säule, technisch-regulative Modellprojekte zu entwickeln?
Philipp Räther: Absolut. Wir haben jetzt viel über personenbezogene Daten gesprochen. Aber auf Deutschlandebene, mit der Tradition unserer Maschinenbauindustrie, gibt es sehr viele technische Daten. Da ist die Datenteilung wichtig und ich glaube, hier kann auch Deutschland in der Gestaltung eine führende Rolle übernehmen. Aber auch hier spielen B2C-Daten, und personenbezogene Daten hinein: ein Beispiel, bei dem wir Versicherer natürlich ein großes Interesse haben, ist die Autofahrerversicherung. Kfz-Daten werden im Moment noch nicht geteilt. Wir hätten natürlich ein großes Interesse daran, diese Daten zu erhalten. Aber wie gesagt, eben nur, das war vorhin mein Petitum, mit Wissen und Einverständnis der jeweiligen Fahrer*innen.
Ein anderes Thema sind natürlich Daten im Gesundheitsraum. Wir können sehr gut medizinische Forschung unterstützen, indem wir Daten teilen. Da sind Anonymisierungstechniken sehr wichtig, um die Individuen zu schützen. Ich bin da ganz bei Ihnen, der Datenraum ist wichtig. Wir müssen, um ökonomisch, technisch und medizinisch weiterzukommen, Daten teilen, aber gleichzeitig die Risiken abschätzen und dieses dann über Anonymisierung, über Transparenz oder Einwilligung vermeiden.
INFOBOX DATA ACT: Die EU-Kommission hat am 23. Februar 2022 ihren Vorschlag für einen EU „Data Act“ vorgelegt, der die europäische Datenwirtschaft entscheidend voranbringen soll. Der Data Act deckt eine ganze Reihe teils recht unterschiedlicher Regelungsbereiche ab, die alle darauf abzielen, den Austausch und die Nutzung von Daten zwischen Unternehmen (B2B), zwischen Unternehmen und Verbrauchern (B2C) und zwischen Unternehmen und der öffentlichen Hand (B2G) zu verbessern (vgl. https://www.cep.eu/cep-aktuell-archiv/artikel/eu-kommission-veroeffentlicht-data-act-datenteilungspflicht-fuer-hersteller-vernetzter-geraete-kommt.html).
Frank Esselmann: Viele Unternehmen, die sich bewusst sind, dass man den verantwortlichen Umgang mit Daten fördern muss und dass man eigentlich über das Gesetzliche hinaus ethische Regeln darlegen muss, sagen uns, es fällt ihnen schwer, über solche Sachen positiv zu kommunizieren.Sie fürchten ein umgangssprachlich gesagt blaming and shaming-Effekt. Wenn ich sage, ich mache irgendetwas besonders gut, dann kann das eventuell Kritik auf mich ziehen und kontraproduktiv sein. Würden Sie denjenigen Tipps mitgeben? Können Sie sagen, wenn man es richtig macht, wird es nicht passieren oder sagen Sie eher, ,Augen zu und durch‘?
Philipp Räther: Wir haben Webseiten im ESG-, aber auch im Datenbereich, die nach außen zeigen, wie die Allianz verantwortungsvoll mit Daten umgeht. Und meine Empfehlung ist, bei dem Thema wirklich sachlich zu bleiben und es nicht zu werblich darzustellen. Wenn wir mal das Beispiel IT-Security nehmen: Es wäre sicher vermessen, wenn ein Unternehmen sagen würde, es würde auf keinen Fall gehackt. Das kann man, wie wir wissen, IT-technisch nicht darstellen. Wir bei der Allianz versuchen unser Bestmöglichstes und investieren auch viel Geld, um die Daten sicher zu machen. Ich glaube, wenn man das sachlich kommuniziert und ruhig darstellt, dann kann man auch überzeugend wirken.
Frank Esselmann: Vielen Dank, Herr Dr. Räther, für Ihre Zeit und das spannende Gespräch!
Philipp Räther: Sehr gerne, danke Ihnen beiden. Vielen Dank!
Das Gespräch führten Frank Esselmann und Alexander Brink am 20. Dezember 2022.
Dr. Philipp Räther ist der Konzerndatenschutzbeauftragte der Allianz SE und Leiter deren Datenschutzabteilung. In dieser Eigenschaft berät Dr. Räther die Allianz und insbesondere deren Vorstand bei allen Fragen des Datenschutzes global und konzernweit. Zuvor war Dr. Räther in ähnlicher Funktion bei der UBS über acht Jahre in London tätig. Dr. Räther ist als Solicitor (England & Wales) und als Rechtsanwalt zugelassen. Als Rechtsanwalt hat Dr. Räther mehrere Jahre bei der Kanzlei Freshfields gearbeitet.
Der Text dieses Beitrags steht – soweit nicht anders gekennzeichnet – unter der Lizenz Creative Commons Namensnennung Weitergabe unter gleichen Bedingungen 4.0 International (CC BY-SA 4.0). Details zur Lizenz finden Sie unter https://creativecommons.org/licenses/by-sa/4.0/legalcode