DSGVO wird zum Exportschlager für deutsche Startups

Seit über 1000 Tagen gilt die EU-Datenschutz-Grundverordnung (DSGVO). Bei den meisten Firmen löste das „Jubiläum“ wohl keine Feierlaune aus. Denn das am 25. Mai 2018 in Kraft getretene Regelwerk gilt vielen als teures, sperriges Brüsseler Bürokratiemonster. Grund zum Anstoßen haben hingegen Startups, die mit dem neuen Datenschutz und seinen Pflichten zur Speicherung, Löschung und Auskunft von und über personenbezogene Kundendaten, zu Ernennung von Datenschutzbeauftragten und Meldepflicht bei Cyberattacken ihr Geld verdienen.

Internet-User kennen den langen Arm der DSGVO indirekt durch das Aufpoppen von Zustimmungsmenüs zu „notwendigen“ sogenannten Cookies, Datentracking und zusätzlichen Werbeangeboten. Nur etwa jeder 100. klickt wirklich in die Auswahl. Die meisten stimmen zu, um schnell weiter surfen zu können. Doch dass Cookies keine leckeren Plätzchen sind, begreifen User spätestens dann, wenn unerwünschte Werbung ihren Bildschirm flutet. Hier legte die DSGVO einen Sperrriegel vor. Nutzer müssen seitdem der Speicherung der Mini-Textdateien im Browser („Cookies“) zustimmen, damit die von ihnen besuchten Websites rückverfolgt werden können.

Ein Schlag für Firmen, die von personalisierter Werbung oder Auswertung von Nutzerdaten leben. Schnell machte bei ihnen die Angst vor der „Cookiecalypse“ die Runde. Auch, weil bei Verstößen gegen die DSGVO hohe Bußgelder drohen. Rund 400 Millionen Euro gaben deutsche Unternehmen schon im ersten Geltungsjahr für DSGVO-konformen Datenschutz aus, rechnete der Deutsche Anwaltverein. Ein hoher Anteil floss dabei an Beratungsdienste.

Clevere Gründer wie Mischa Rürup profitieren davon. Einst Gründer einer Datensammel-Firma (verkauft an die Deutsche Post), die Kunden maßgeschneiderte Werbung schickte, wäre er heute im Fokus für die Regulierungen der DSGVO. Die nutzt er nun als Geschäftsmodell für sein 2017 gegründetes Münchner Startup Usercentrics. Damit hilft der 38-jährige Informatiker Firmen, die Einwilligung für die Verarbeitung von Nutzerdaten DSGVO-kompatibel zu erfassen, zu speichern und einzuholen. Nach eigenen Angaben ist er damit europäischer Marktführer für Consent Management Platforms (CMP, consent engl. Zustimmung). Auch dank einer einstelligen Millionensumme von der Kapitalfirma Alstin vom DHDL-Juror Carsten Maschmeyer.

Eine Fusion mit der dänischen Firma Cybot Anfang des Monats soll den Aufstieg zum weltweiten „Top-3-Player“ für CMP ermöglichen. Laut Rürup verwaltet die Firma (250 Mitarbeiter in München, Lissabon, Kopenhagen) rund 60 Millionen Einwilligungen pro Tag für etwa 3000 Firmenkunden. Investoren wie Cavalry Ventures gewährten kürzlich eine weitere Finanzspritze in Höhe von 17 Millionen Euro.

DSGVO als „Chance für ein besseres Internet"

Längst sieht Rürup die DSGVO als „Chance für ein besseres Internet“, wie er gegenüber Gründerszene sagte. Personenbezogene Daten seien „künftig nur noch mit Einwilligung des Nutzers etwas wert“. Das Vertrauen der Nutzer schlage sich unmittelbar im Geschäftserfolg der Unternehmen nieder. Das gelte auch für neue Formen des Trackings, denn Cookies seien eine „veraltete Technologie“. Dass die DSGVO zum „Exportschlager“ wurde, ist für CEO Rürup klar. In Japan, USA und Brasilien, wo sein Startup ebenfalls Kunden hat, lehnten sich die nationalen Datenschutzverordnungen an die DSGVO an.

Der 28-jährige Julian Hauber stellte noch während seines Studiums für Elektro- und Informationstechnik an der TU München sein Startup JH-Computers mit mittlerweile acht Mitarbeitern auf die Beine. Nach Start der DSGVO baute der Spezialist für Cybersicherheit mit einem einstelligen Millionenkredit von der Bank ein Rechenzentrum auf. Seine Server stehen im schwäbischen Stödtlen zwischen den Ballungsräumen Stuttgart und München. „Bei uns bleiben die Daten dort, wo sie entstehen“, so Hauber zu Gründerszene. Im süddeutschen Raum sitzen auch die meisten seiner bis zu 1500 Kunden, darunter Mittelständler, Behörden und Banken. Von ihnen fordert die DSGVO unter anderem eine Auskunftspflicht über den Speicherort personenbezogener Daten und erschwert den Datenfluss nach außerhalb der EU.

Bei internationalen Cloud-Anbietern wie etwa Amazon könne laut Hauber „niemand garantieren, dass die Daten in Europa bleiben“. Der Geschäftsführer berichtet von einem Kunden, der den Bauplan für ein neues Produkt in einer externen Cloud ablegte – vier Wochen später sei ein baugleiches Teil in Asien aufgetaucht. Das treibt Hauber die Kunden zu, die in Stödtlen ihre Daten speichern oder Server mieten. Hauber beziffert seinen Jahresumsatz auf eine siebenstellige Summe. Er benötige keinen Großinvesto, er setze auf nachhaltiges, regionales Wachstum bis ins deutschsprachige Ausland. Der clevere Schwabe fängt sogar die hohen deutschen Strompreise ab. Seine Server heizen per Abwärme das anliegende Gewerbegebiet und frischen die CO2-Bilanz auf.

Niklas Hanitsch vom Hamburger Startup Secjur geht einen anderen Weg. Der Anwalt für Datenschutzrecht interessierte sich für „die Schnittstelle zwischen IT und Recht“, sagte er im Gespräch mit Gründerszene. 2018 bauten er und sein Co-Gründer Manuel Stahl ihr Startup auf. Gestartet als klassisches Beratungsunternehmen, das Firmen einen externen Datenschutzbeauftragten stellt, sei man heute ebenfalls als Tech-Firma unterwegs. Im 30-köpfigen Team arbeiten ITler, Juristen, Betriebswirte und ein promovierter Physiker. Dazu kommt eine Kooperation mit den E-Learning-Startups Sosafe und Masterplan. Seine Kunden beziffert Hanitsch auf mehrere hundert, unter anderem in den Benelux-Staaten, Großbritannien, USA und Österreich. Etwa 90 Prozent der Firmenkunden seien KMUs, so der Gründer, viele von ihnen ohne eigene Rechtsabteilung. Das Startup unterstütze auch DAX-Konzerne bei der Bewältigung des komplexen Datenschutzes.

Der Vorteil von Hanitsch: Er kennt beide Seiten. Vor seinem Studium an der WHU arbeitete er bei Amazon in der Rechtsabteilung. Der E-Commerce-Riese ist in Sachen Datenschutzverstoß kein Waisenknabe und bekam erst im Sommer von der Luxemburgischen Datenschutzbehörde eine Rekordstrafe in Höhe von 746 Millionen Euro aufgebrummt, wegen seines fragwürdigen Daten-Trackings. Hanitsch sieht seine Zeit bei Amazon als wichtige berufliche Station: „Dadurch habe ich auch die Perspektive großer US-Tech-Unternehmen im Detail kennengelernt.“

Bußgelder im zweistelligen Millionenbereich

Gerade kleinere Firmen zögern manchmal aus Kostengründen, ihren Datenschutz auf rechtssichere Füße zu stellen. Dabei drohen bei DSGVO-Verstößen hohe Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Und auch selbst verantwortete Datenlecks werden nach DSGVO bestraft. Allein für 2020 registrierte das Bundeskriminalamt einen Anstieg von Cyberkriminalität von 7,9 Prozent auf 108.000 Straftaten – eine Verdopplung seit 2015. 2018 kassierte etwa der Social-Media-Dienst Knuddels kurz nach Start der DSGVO ein Bußgeld von 20.000 Euro, nachdem Hacker umverschlüsselte Kunden-Passwörter und personenbezogene Daten von über 300.000 Usern stahlen. Der Dienst kam damit noch glimpflich davon, weil er mit Kontroll-Behörden kooperierte.

Laut einer Studie des Münchner Startups Heydata wurden seit Start der DSGVO knapp 70 Millionen Euro Bußgelder in Deutschland verhängt. „Die Strafverfolgung in Deutschland wird streng gehandhabt“, warnt Heydata-CEO Miloš Djurdjevic. Da gilt es vorzusorgen. Laut dem Ländervergleich von Heydata zum dritten Geburtstag der DSGVO liegt Deutschland zwar beim Datenschutzniveau hinter Irland auf Platz 2, sei aber bei Datenschutzverstößen Europameister.

Die positiven Beispiele von Unternehmen wie Heydata, Secjur und Co. zeigen, dass DSGVO-basierte Services zu einem Erfolgsmodell für deutsche Firmen werden können. Wer Cloud-Dienste aus deutschen Rechenzentren bereitstellt oder DSGVO-kompatible Software verkauft, der hat längst ein Alleinstellungsmerkmal gegenüber amerikanischen Wettbewerbern.