Skip to main content
main-content

Tipp

Weitere Artikel dieser Ausgabe durch Wischen aufrufen

16.04.2021 | Schwerpunkt Open Access

Datentreuhandstellen gestalten: Status quo und Perspektiven für Geschäftsmodelle

Zeitschrift:
HMD Praxis der Wirtschaftsinformatik
Autoren:
Tim Arlinghaus, Kevin Kus, Patricia Kajüter, Frank Teuteberg

1 Relevanz von Datentreuhandstellen

Daten werden oftmals als das Öl des 21. Jahrhunderts angesehen. Mittlerweile hat sich die Sicht jedoch erweitert, sodass nicht mehr nur Daten, sondern das damit verbundene Vertrauen der Rohstoff des 21. Jahrhunderts sein könnte (Kelber 2020). Wie treffend der Öl-Vergleich ist, wird deutlich, wenn man nicht nur den Wert beider Güter berücksichtigt, sondern die Wertschöpfungsketten gegenüberstellt. Der immense Wert von Daten wird, wie beim Öl, durch eine Raffination erzeugt, um bspw. ein Scoring zu generieren und somit Vorhersagen über das Kaufverhalten von Nutzern zu generieren. Forschungsdaten werden strukturiert, um für Wissenschaftler die Berechnung von Korrelationen oder Signifikanzen zu ermöglichen. Doch auch die Schattenseiten von Öl und Daten sind sinnverwandt. Es entstehen Kosten bei der Lagerung, sichere Transportwege müssen bereitgestellt werden und auch das unkontrollierte Austreten von Öl wie bei der Deepwater Horizon kann auf Datenlecks projiziert werden, die immense Schäden, sowohl finanziell als auch bezogen auf Vertrauen, mit sich bringen. Es gilt also Instanzen einzusetzen, die für diese Datenmengen Sorge tragen und eine Infrastruktur bereitstellen, um die Stakeholder im Prozess des Datenflusses zu unterstützen. Hierfür werden sogenannte Datentreuhandstellen (DTHS) eingesetzt.
Wenn auch nicht explizit rechtlich formuliert, gilt in Deutschland für personenbezogene Daten von Verbrauchern eine Art „Recht auf Vergessenwerden“. So wurde die Deutsche Wohnen SE 2019 mit einem Rekordbußgeld von 14,5 Mio. € belegt, da sie die Löschung von nicht zweckgebundenen Mieterdaten unterlassen hat, weil kein geeignetes Löschkonzept vorhanden war (Datenschutz.org 2019) – eine Situation, für die eine DTHS Sorge tragen kann.
In der Forschung lassen sich bisher nur vereinzelt Beiträge zu DTHS finden. Somit ist weitere Forschung nötig, um tiefergehende Einblicke in die Leistungsspektren von DTHS zu erlangen. Bisher wurden hauptsächlich die Rollen von DTHS beschrieben sowie erste Rahmenbedingungen für ihre Gestaltung gegeben (Rat für Informationsinfrastrukturen 2020; Blankertz et al. 2020; Pommerening et al. 2014). Eine Einordnung der Geschäftsmodelle von DTHS ist bisher nicht vorgenommen worden. Darüber hinaus liegt der Fokus bisher auf DTHS im öffentlichen Sektor, die maßgeblich im Forschungsdatenmanagement eingesetzt werden. Mittlerweile sind hingegen auch privatwirtschaftliche Treuhänder bekannt, deren Wertschöpfungsmechanismen ebenfalls noch nicht analysiert wurden. Dies führt zu folgender Forschungsfrage: Wie lassen sich die Geschäftsmodelle von öffentlichen und privaten Datentreuhandstellen beschreiben und voneinander abgrenzen?
Die Erkenntnisse des vorliegenden Beitrages basieren auf sechs Experteninterviews, die mit Datenschutzbeauftragten und leitenden Angestellten von DTHS geführt wurden. Es wird eine grundlegende Beschreibung der Tätigkeiten universitärer DTHS für die Forschung gegeben sowie ein relevanter Use Case aus der Privatwirtschaft skizziert. Das Digital Canvas wird verwendet, um das Geschäftsmodell der befragten Anbieter einzuordnen, woraufhin Chancen und zu überwindende Barrieren in diesem Dienstleistungsbereich identifiziert werden.

2 Grundlagen und Hintergrund

2.1 Datentreuhandstellenkonzept

Eine unabhängige DTHS fungiert als gesetzeskonformer Vermittler zwischen einer datenliefernden und einer datenauswertenden Stelle. Die potenziellen Anwendungsgebiete beschränken sich nicht auf einen Sektor und umfassen u. a. das Gesundheitswesen und den Onlinehandel (Bundesdruckerei 2019). Dabei übernimmt die DTHS die Funktion eines vertrauenswürdigen Dritten und wird häufig synonym als Vertrauensstelle bezeichnet (Metschke und Wellbrock 2002). Eine DTHS ist dabei eine Stelle, die „rechtlich, räumlich und personell selbstständig und unabhängig ist“ (Pommerening et al. 2014, S. 45), um sowohl gegenüber der datenerhebenden Stelle als auch gegenüber der datenauswertenden Instanz ihre Treuhänderfunktion zu gewährleisten. DTHS besitzen kein Interesse an der Nutzung der Daten, sodass sie als eine neutrale Instanz angesehen werden (Pommerening et al. 2014; Von Braunmühl und Klein 2020). Es gilt zu verstehen, dass DTHS als staatliche, aber ebenso als privatwirtschaftliche Einrichtung auftreten können. Die Vielzahl an digitalen Transaktionen, sowohl in der Forschung als auch in der Privatwirtschaft, bei denen sichere Prozesse im Fokus stehen, steigern die Bedeutung von DTHS in beiden Sektoren.
Die charakteristischen und datenschutzrelevanten Aufgaben einer DTHS bestehen in der Anonymisierung, (De‑)Pseudonymisierung, Verknüpfung (Mapping) sowie der weitreichenden Sicherung von Daten (Bundesdruckerei 2019; Rat für Informationsinfrastrukturen 2020). Zudem werden häufig Aufgaben wie die Verwaltung von Einwilligungen, Ermächtigungen und Widerrufen, die Datenaufbereitung, initiale Auswertungen sowie Datenqualitätsprüfungen übernommen (Bundesdruckerei 2019). Datensätze, die aus unterschiedlichen Quellen stammen oder zu verschiedenen Zeitpunkten erhoben werden, können personenspezifisch zusammengeführt werden. Durch die DTHS soll insbesondere mit der Anonymisierung bzw. Pseudonymisierung das Ziel erreicht werden, dass personenidentifizierende Datensätze so anonymisiert bzw. pseudonymisiert werden, dass für die auswertenden Stellen kein Rückschluss auf einzelne Personen möglich ist. Die Datensätze werden an die auswertende Stelle übermittelt, ohne personenidentifizierende Merkmale zu beinhalten.
Durch die neuen Möglichkeiten der Digitalisierung können immer größere Datenmengen erstellt und verarbeitet werden. Daher bedarf es zunehmend umfangreicherer Datenschutzmechanismen. Trotz der steigenden Bedeutung von DTHS besteht aktuell noch kein öffentlicher Konsens darüber, wie diese im Detail auszugestalten sind (Rat für Informationsinfrastrukturen 2020). Auch der Datentreuhandbegriff selbst ist nicht klar definiert (Blankertz et al. 2020). Diese Unklarheit ist auch darin begründet, dass das Konzept einer DTHS trotz der mittlerweile immensen zu verarbeitenden Datenmengen noch vergleichsweise neu ist.

2.2 Big Data Business Models und Digital Canvas

Während ein Geschäftsmodell allgemein beschreibt, welchen Bausteinen sich ein Unternehmen zur Wertschöpfung bedient (Amit und Zott 2001; Osterwalder und Pigneur 2010), fokussiert sich ein Big Data-Businessmodel (BDBM) auf neuartige Geschäftsmodelle, die durch die Entwicklungen im Zuge der Digitalisierung und Big Data entstehen. Es erscheint aufgrund der fehlenden Gewinnorientierung zunächst nicht naheliegend, staatliche Einrichtungen hierbei zu berücksichtigen. In der Transformations- und Innovationsforschung wird dennoch angeregt, dieses Konzept nicht nur auf privatwirtschaftliche, sondern auch auf öffentliche Einrichtungen zu übertragen. Sie werden zwar zum Großteil aus öffentlichen Mitteln finanziert, insbesondere in Bezug auf Digitalisierung und Weiterentwicklung sollten geschäftsmodellähnliche Strukturen jedoch auf den öffentlichen Sektor projiziert werden, um effizientes und progressives Handeln zu fördern. Während staatliche Organisationen eher über den gesamten Lebenszyklus hinweg wirtschaftlich operieren und sich aufgrund ihrer demokratischen und politischen Notwendigkeit legitimieren, gelten private Organisationen als strikt profitorientiert mit starker Kundenzentrierung. Dass der öffentliche Sektor in Geschäftsmodelle eingeordnet werden kann, zeigt eine ausführliche Einordnung des öffentlichen Sektors in den St. Galler Business Model Navigator (Schedler und Bolz 2020).
Nach Schroeder ( 2016) kann zwischen drei BDBM-Typen differenziert werden: Data Supplier, Data User und Data Facilitator. Während Supplier Big Data sammeln und anbieten, nutzen User diese zur Auswertung und Analyse. Facilitator stellen die notwendige Infrastruktur sowie Serviceleistungen für Supplier und User bereit. Daten können dabei auf verschiedenen Wegen als zentraler Bestandteil eines Geschäftsmodells dienen (Schroeder 2016). Zum einen kann durch große Datenmengen die notwendige Informationsgrundlage für Geschäftsentscheidungen geliefert werden, was vor allem für den User gilt. Zum anderen können große Datensätze selbst als Ware aufgefasst werden, die zu einem gewinnbringenden Preis angeboten wird, welches dem BDBM-Typ Supplier entspricht. Diese beiden Geschäftsmodellkanäle stimmen nicht mit den originären Zielen einer DTHS überein, wohl aber folgende Aspekte: Es kann eine von den eigentlichen Datennutzern ausgelagerte Datenanalyse, welche auch die Pseudonymisierung beinhaltet, durch DTHS vorgenommen werden. Weiter können von der DTHS Beratungsleistungen rund um den richtigen Umgang mit großen Datenmengen angeboten werden. Schließlich kann eine DTHS auch als Anbieter diverser Soft- und Hardwaretools und folglich der notwendigen IT-Infrastruktur fungieren. DTHS nehmen daher die Rolle eines Facilitators ein. Durch die Bereitstellung ihrer Soft- und Hardwarekomponenten, aber auch ihrer Expertise im kontextuellen Umgang mit diesen, sorgen sie dafür, dass User die Daten wie gewünscht und im Rahmen geltender Gesetze erhalten.
Während das Geschäftsmodell der User häufig im Fokus wissenschaftlicher Studien steht, hat das Geschäftsmodell des Facilitator in der Literatur bisher nur geringe Beachtung gefunden (Wiener et al. 2020). Es kann daher als Forschungslücke identifiziert werden.
Das Business Model Canvas (BMC) dient als Werkzeug dafür, Geschäftsmodelle zu beschreiben, zu analysieren und zu entwerfen (Osterwalder und Pigneur 2010) und hat sich in der Modellierung von Geschäftsmodellen etabliert (Wattenberg und Kottmann 2019). Die jüngeren Entwicklungen digitaler Geschäftsmodelle werden im originären BMC allerdings nicht hinreichend berücksichtigt. Diese Problematik ist bereits angemerkt worden, indem die fehlende Adaption des Modells an die stetigen IT-Entwicklungen betont wird (Simmert et al. 2014; Schlimbach und Asghari 2020). Das Digital Canvas (DC) schafft dies durch einen Fokus auf den Kunden (1) sowie der Berücksichtigung marktspezifischer Rahmenbedingungen (2). Ebenso werden digitale Bausteine für die Wertschöpfung in Form von Daten und Werten (3), hybriden Produkten (4) und Ressourcenintegration (5) einbezogen. Die Rahmenbedingungen können folglich als Präliminarien gesehen werden, aus denen sich die Notwendigkeit der Bausteine begründen. Die Betrachtung der Organisationsstruktur (6) erfolgt sowohl mit Blick auf die strategische Ausrichtung und Führung, untersucht jedoch gleichermaßen, wie flexibel das Unternehmen Umstrukturierungen umsetzen kann. Die Anpassungsfähigkeit (7) umfasst wiederum die Betrachtung des gesamten Geschäftsmodells und stellt dar, in welchem Ausmaß Bausteine an die dynamische Unternehmensumwelt angepasst werden können, oder ob Spezialisierungsmöglichkeiten bestehen. Die Ertragsmechanik (8) fasst zusammen, durch welche Dienstleistungen und Produkte das Unternehmen Geld verdient, welche Kosten dabei entstehen und wann es rentabel ist. Der Baustein Problem/Bedürfnis (9) vereint gleichermaßen den Kunden mit dem Dienstleister, indem einerseits analysiert wird, mit welchen Schwierigkeiten sich der Kunde konfrontiert sieht und andererseits hervorgehoben wird, welchen Mehrwert er durch die erbrachte Dienstleistung erfährt (Schlimbach und Asghari 2020). Mithilfe des DC und dem beschriebenen Rahmenwerk der neun Bausteine kann die Geschäftsmodellanalyse der DTHS strukturiert durchgeführt werden.

3 Use Cases in der Praxis

Neben der Verwaltung und Aufbereitung von Forschungsdaten, ergeben sich für DTHS Aufgaben in der Privatwirtschaft, die in ihrer Form von kaum einem anderen Dienstleister übernommen werden können. Diese Aufgaben umfassen Prozesse, bei denen ein Datenaustausch stattfindet. In vielen Fällen fehlt den verarbeitenden Unternehmen die Kompetenz, digitale Dokumente datenschutzkonform zu behandeln. Aufgrund dessen ist es in der Vergangenheit bei diversen Unternehmen wiederholt zu Verstößen gegen Datenschutzauflagen gekommen. Hier greift eine DTHS ein, die Dokumente und Daten in einem hochsicheren Umfeld verschlüsselt, aufbereitet und die notwendigen Informationen an die relevanten Stellen weiterleitet. Als Pionier im Tätigkeitsfeld privater DTHS kann die DATATRUSTEE GmbH gesehen werden. Das Unternehmen hat sich auf DTHS-Services spezialisiert und bietet u. a. die Verwaltung von Werbeeinwilligungen, die Zustellung von Gehaltsabrechnungen, sicheren Datenverkehr, Industrie-Tracking, Datentreuhand sowie weitere Mikroservices wie Zeitstempel, Videoident, Bonitätsprüfung, Screenshot-Dokumentation, Druck (Output-Management), Digitale Signaturen, Telefonverifizierung und Hashwertbildung zur Echtheitsprüfung an.
Durch die DTHS kann es also auf Seiten der Unternehmen zu keiner unrechtmäßigen Behandlung von z. B. Bonitätsdokumenten kommen, da diese automatisch durch die DTHS geprüft werden und lediglich die Information, ob eine Bonität vorliegt oder nicht, an die Unternehmen ausgegeben wird. Mithilfe dieser Services werden zum einen Kundendaten geschützt, zum anderen machen sich Unternehmen nicht angreifbar. Ein weiterer Vorteil ist die, in vielen Lösungen verwendete, Blockchain-Technologie der Systeme. Aufgrund dieser ist es möglich, zu jedem Zeitpunkt zu erfahren, welche Veränderungen an den Daten stattgefunden haben. Eine Manipulation der Daten würde einen Fehler in der Blockchain bedeuten, sodass das System als manipulationssicher gilt. Die Protokolle haben vor Gericht Bestand (SEC Consult 2020).

4 Ergebnisse

Die Ergebnisse beruhen auf sechs semistrukturierten Experteninterviews, geführt mit fünf Führungskräften von DTHS sowie einem Datenschutzbeauftragten zwischen dem 23. Oktober und 4. Dezember 2020 (vgl. Tab.  1). Die Interviews dauerten zwischen 30 und 120 min. Hierbei wurden die Leitfragen von Schlimbach und Asghari ( 2020) adaptiert und mit weiteren relevanten Fragestellungen zu den angebotenen Services ergänzt. In den folgenden Unterkapiteln werden Gemeinsamkeiten und Unterschiede der Bausteine von staatlichen und privatwirtschaftlichen DTHS anhand des DC analysiert. Eine Einordnung der Ergebnisse in das DC kann Abb.  1 entnommen werden.
Tab. 1
Übersicht der Interviewpartner
Alias
Organisation
Position
Erfahrung
E1
Universität
Datenschutzbeauftragter
Seit 15 Jahren vielfach international im Bereich Datenschutz zertifiziert und tätig
E2
DATATRUSTEE GmbH
Gründer
Seit 20 Jahren Inhaber und Geschäftsführer einer Performancemarketing-Agentur und Experte für Datenschutz und Datensicherheit; Gründung der DTHS DATATRUSTEE GmbH 2019
E3
Universität
Leitung der Servicestelle Forschungsdatenmanagement
Seit 2008 in der Arbeitsgruppe der Technologie- und Methodenplattform für die vernetzte medizinische Forschung e. V. (TMF) tätig; seit drei Jahren in der Medizininformatik angestellt und seit 2019 Leiter der Servicestelle Forschungsdatenmanagement
E4
Universitätsmedizin
Operative Leitung
Seit 2018 in dieser Position tätig
E5
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen (GWDG)
Leitung Basisdienst und Organisation
Seit 2011 bei der GWDG und hat dort zu der Zeit die erste Lösung für eine DTHS aufgesetzt
E6
Deutsche Bundesdruckerei GmbH
Leiter Sovereign Data Management
Seit 2015 in verschiedenen Positionen bei der Bundesdruckerei GmbH tätig; seit 2019 verantwortlich für den Bereich souveränes Datenmanagement

4.1 Rahmenbedingungen

Gemeinsamkeiten
Als allgemeiner Treiber für den Bedarf an DTHS wird einerseits die Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 gesehen (E1–6). Andererseits ist das Streben nach Digitalisierung in allen erdenklichen Bereichen sowie das gesellschaftliche Verlangen, Prozesse möglichst sicher abzubilden, maßgeblich. Insbesondere die Handhabung von Big Data stellt viele Unternehmen und Forschungseinrichtungen vor Schwierigkeiten. Dies drückt sich in einer „Angst vor Kontrollverlust“ aus (E6), da DTHS-Prozesse keine Kernkompetenz der meisten Unternehmen und Forschungseinrichtungen darstellen. Ebendiese Rahmenbedingungen sind auch primär als Regularien für die Geschäftsmodelle einer DTHS anzusehen. Obwohl bisher keine dezidierten Voraussetzungen einer Behörde ausgegeben wurden, wie eine DTHS ihre Arbeit zu verrichten hat, herrscht Konsens darüber, dass die DSGVO „ganz oben“ bei den einzuhaltenden Regularien steht: „Das sind die wirklich relevanten Dinge, die uns zu 95 % hier steuern und bewegen“ (E2). Darüber hinaus bieten die Arbeitsgruppe Datenschutz der TMF sowie die Deutsche Forschungsgemeinschaft (DFG) weiterführende Konzepte zum Datenschutz an (E1–6).
Staatliche DTHS
Das Anbieterfeld um DTHS befindet sich derzeit in einer Entwicklungsphase mit wenigen Akteuren, hauptsächlich aus dem universitären Bereich zur sicheren Verwahrung und Bereitstellung von Forschungsdaten (E1–6). Ein Trend ist die gestiegene Anzahl an Drittmittelprojekten, in denen entweder besonders schützenswerte Daten nach Art. 9 DSGVO erhoben werden oder es viele Daten aus verschiedenen Quellen zusammenzuführen gilt (E1, E3, E4, E5, E6). Je nach Art der Datengenerierung in der Forschung kann die gute wissenschaftliche und gute klinische Praxis die Rahmenbedingungen schärfen (E4).
Privatwirtschaftliche DTHS
Kommerziell betriebene DTHS fokussieren sich hingegen auf Akteure in der Privatwirtschaft. Das Gesetz gegen den unlauteren Wettbewerb ist für kommerzielle Anbieter maßgeblich in Bezug auf das Einwilligungsmanagement ihrer Kunden. Weiter ist die eIDAS-Verordnung (electronic IDentification, Authentication and trust Services), in welcher die Personenidentifizierung geregelt ist, von hoher Relevanz (E2).

4.2 Kunde

Staatliche DTHS
Der Kundenkreis universitärer DTHS beschränkt sich „ganz klar auf Einrichtungen, die […] mit Forschung und Lehre zu tun haben“ (E5) jedoch „nicht nur in der universitären Forschung, sondern […] auch […] in der Forschung von Pharmaunternehmen“ (E1). Die Aufnahme von nichtuniversitären Forschungsprojekten stellt hierbei die Ausnahme dar. Der Bedarf wird vor allem in der medizinischen Forschung (E3) und für große klinische Verbundforschungsstudien gesehen (E4).
Privatwirtschaftliche DTHS
Der Gründer der privatwirtschaftlichen DTHS gibt an, man könne die Kompetenzen gewerblich im Grunde für alles nutzen. Dabei kann die Unternehmensgröße der Kunden stark variieren. Das Angebot kann sich in Einzelfällen bereits für Unternehmen mit fünf Mitarbeitenden lohnen. In den meisten Fällen sind es jedoch mittelständische Unternehmen oder Großkonzerne, die ihre Prozesse automatisieren und gleichzeitig sicherer machen möchten (E2).

4.3 Problem/Bedürfnis und Mehrwert

Staatliche DTHS
Das wesentliche Problem, warum Forschungseinrichtungen eine DTHS benötigen, ist, dass die Forschenden nicht gleichzeitig die Funktion einer datenauswertenden Stelle und die eines Datentreuhänders ausüben können, da die DTHS nicht weisungsgebunden und nicht abhängig sein dürfen. Zudem können sie die Datenschutzanforderungen nicht allein bewältigen (E5). „Die Herausforderung ist, dass sie […] dazu veranlasst werden, Treuhanddienste in Anspruch zu nehmen, weil es entweder die Ethikkommission auferlegt oder sie sich in der [Arbeitsgruppe] Datenschutz der TMF beraten lassen und es da empfohlen wird. Oder der Datenschutzbeauftragte, […], stellt die Notwendigkeit fest. Oder die Leute sind methodisch so fit, dass sie [selbst] auf die Idee kommen, dass das State-of-the-art ist“ (E3).
Privatwirtschaftliche DTHS
Im kommerziellen Bereich wird als Ausgangslage gesehen, dass aktuell viele Verlage, Energiekonzerne oder auch Telekommunikationsanbieter Bußgelder zahlen, da sie aus Kostengründen „sehr günstige, schlecht generierte Marketingdaten genutzt haben, wo die Einwilligung nie nachgewiesen werden kann“ (E2). Ebenso gebe es ein Bedürfnis mittelständischer Unternehmen, Prozesse in einem hochsicheren Umfeld zu digitalisieren (E2). Der Mehrwert liegt für die Unternehmen, neben Kostenersparnissen durch schlankere Prozesse, in der gewonnenen Sicherheit, dass ihre Daten datenschutzkonform gespeichert, gesichert und z. B. Einwilligungen durch Blockchain-Technologie nachweisbar werden.

4.4 Ressourcen

Gemeinsamkeiten
Sowohl für DTHS im Bereich der Forschung als auch im kommerziellen Feld gelten Mindestanforderungen an eine IT-Infrastruktur (E1–6). Wichtig ist ein Rechenzentrum mit einer 27001 ISO-Zertifizierung, auf dessen Servern die Daten hochverschlüsselt gespeichert werden. Dies gilt ebenso für Backups, die durch Redundanzen sichergestellt werden sollten.
Benötigt werden ebenfalls „entsprechende Software, diese Grundkonstruktion der Cloud, […] die […] angebundenen APIs, die ganzen Funktionalitäten zur Verschlüsselung die dort erforderlich sind“ (E2). Die wichtigste Ressource für DTHS ist jedoch das Know-How, welches für die Verrichtung der Tätigkeiten sowie die Anwendung der Tools erforderlich ist. Dies bündelt sich in Anwendungsentwicklern, Medizininformatikern, Datenschutzexperten und Juristen (E1–5).
Staatliche DTHS
DTHS für Forschungsprojekte greifen vorzugsweise auf die kostenlose Software aus dem MOSAIC-Projekt der Treuhandstelle Greifswald (E3–5) sowie auf die Mainzelliste der Universitätsmedizin Mainz zurück (E4, E5).
Privatwirtschaftliche DTHS
Aufgrund der unterschiedlichen Anwendungsbereiche in der Wirtschaft, vertrauen kommerzielle Anbieter eher auf selbstentwickelte Software. Vor der Entwicklung der Software gilt es die juristischen Anforderungen für die Systeme zu erarbeiten. Bei bestehender Software ist die Vereinbarung mit allen rechtlichen Voraussetzungen nicht gegeben, sodass selbstentwickelte Programme notwendig sind (E2).

4.5 Daten und Werte

Gemeinsamkeiten
„Der Datentreuhänder ist nur so gut wie vertrauenswürdig er ist“ (E2) – die Vertrauensbildung zählt zu den wichtigsten Merkmalen einer DTHS. Hierzu benötigt sie ein „klares, transparentes und gutes Datenschutzkonzept“ (E3), Zertifizierungen (E1–3) sowie eine manifestierte Glaubwürdigkeit. Kunden müssen sich sicher sein können, dass ihre Daten nur zu dem vereinbarten Zweck genutzt und nicht missbraucht werden. Die Kosten, die durch Kommunikationsmaßnahmen für den Aufbau des notwendigen vertrauenswürdigen Images einer DTHS entstehen, werden für neue unbekannte Anbieter auf ca. 100 Mio. € geschätzt (E6). Als weiterer Wert für den Kunden gilt die Transparenz. Dafür wird bei der kommerziellen DTHS im Vorfeld mit den Datenschutz- und Aufsichtsbehörden sowie laufend mit einer Anwaltskanzlei abgestimmt, dass alle Prozesse, Datenflüsse und Dokumente DSGVO-konform sind (E2).

4.6 Hybrides Produkt

Gemeinsamkeit
Das Angebot einer DTHS kann als hybrides Produkt verstanden werden, sofern nicht der direkte Verkauf materieller Güter als Kriterium hierfür gilt. Die Serverkapazitäten, wenn auch virtuell bereitgestellt, sind physischer Natur. Folglich handelt es sich hierbei um die Kombination eines immateriellen Services und einer materiellen Bereitstellung von Rechenkapazitäten. Die immateriellen Services bestehen vor allem in der Expertise, die sich in Beratungsleistungen, aber auch tatsächlich durchgeführten Datenaufbereitungsprozessen äußern.

4.7 Organisationsstruktur

Staatliche DTHS
Universitäre DTHS können als Stabstelle gesehen werden. Sie handeln weitgehend autonom, sind jedoch organisatorisch und finanziell nicht unabhängig (E3). Die Mitarbeiterstruktur ist abhängig von der Größe der DTHS und dem Auftragsaufkommen. Aushilfsverträge helfen dabei, die Arbeitskapazität flexibel gestalten zu können, wohingegen eine unerwartete Steigerung der Arbeitslast nicht ohne Weiteres bewältigt werden kann. Hierzu bedarf es an geschulten Mitarbeitern mit informatischem Hintergrund, welche auf dem Arbeitsmarkt selten zur Verfügung stehen (E5).
Privatwirtschaftliche DTHS
Bei kommerziellen DTHS wird der Fokus verstärkt auf Flexibilität gelegt, insbesondere in der Kundenorientierung, um Kundenwünsche in der Entwicklung passgenau erfüllen zu können. Ebenfalls gilt es, sich strukturell gegenüber großen Mitbewerbern aus der IT-Branche abzugrenzen. „Wenn die [Konzerne] ein Angebot schreiben, dauert das eine Woche, bei uns dauert das drei Stunden. […] Der Kunde braucht schnell ein Angebot, dann kriegt er schnell ein Angebot. Der Kunde möchte gerne eine Funktion drin haben, dann bauen wir ihm die“ (E2).

4.8 Ertragsmechanismen

Gemeinsamkeiten
Sowohl kommerzielle als auch staatliche DTHS beziehen ihre Erträge aus dem Verwalten und Aufbereiten von Daten. Die Preisgestaltung kann von beiden flexibel gestaltet werden.
Staatliche DTHS
In der Forschung werden zumeist kostendeckende Pauschalen angesetzt, die in direktem Zusammenhang mit der Laufzeit des Projekts, der Größe und der Anzahl von Datenquellen, -volumen und geschätzten Personenstunden stehen. Denkbar sind auch mögliche Add-Ons, die dem Kunden einen einfacheren Zugang zu seinen Daten ermöglichen, indem die Daten bspw. ansprechend aufbereitet werden (E5). Auch das Management der Betroffenenrechte kann mit eingepreist werden, sodass die DTHS den Kontakt zu den Probanden übernimmt, sobald Widerrufe eingehen (E3).
Privatwirtschaftliche DTHS
Da das Leistungsspektrum im kommerziellen Segment wesentlich größer ist, weist auch die Preisgestaltung mehr Spielraum auf und hängt u. a. von der erbrachten Dienstleistung ab. Die Granularität erlaubt es demnach, viele verschiedene Module beliebig zu einer transparenten Kundenlösung zu formen. „Wir haben viele solcher Dinge, wo ein Kunde mit ein, zwei Funktionen im System anfängt und dann im Nachgang [Dinge] sieht, die er teilweise sowieso macht oder braucht, […] [die er] ganz einfach über unser System mitnutzen und mitmachen kann. Das ist das, wo sich sehr gute Upselling-Möglichkeiten ergeben“ (E2).

4.9 Anpassungsfähigkeit/Spezialisierung

Gemeinsamkeiten
Das Geschäftsmodell von DTHS kann als Nische bezeichnet werden, in der bislang sehr wenige Anbieter den Markt betreten haben. Aufgrund des sehr dezidierten Einsatzgebietes ist es kritisch, diesen Bereich noch weiter zu differenzieren.
Staatliche DTHS
Auf Forschungsebene können Unterschiede durch die Art der Daten oder durch verschiedene Pseudonymisierungskonzepte vorgenommen werden. „Wenn man jetzt eine Nische gefunden hat, wo der Bedarf da ist, macht es sicherlich Sinn, sich da zu spezialisieren und es zu standardisieren und die Prozesse so zu vereinfachen und zu automatisieren, dass man da durch Masse sozusagen dann Gewinn machen kann. Solange es das noch nicht gibt, muss man wahrscheinlich eher breit aufgestellt sein und viele Anwendungsfälle adressieren“ (E3).
Privatwirtschaftliche DTHS
Je anpassungsfähiger und übertragbarer die Systeme und Kompetenzen auf verschiedene Bereiche sind, desto geringer muss der Spezialisierungsgrad ausfallen. „In vielen Dingen ist die Grundfunktionalität trotz alledem immer die gleiche […]. Für mich ist es ein Input, den ich speichere, verschlüssele und am Ende in irgendeiner Form bereitstelle. Deswegen haben [wir] uns mehr auf den Gedanken der vertrauenswürdigen Stelle spezialisiert“ (E2). Demzufolge scheint es in der Privatwirtschaft wenig vorteilhaft zu sein, die DTHS auf einen bestimmten Bereich zu spezialisieren.

5 Diskussion

DTHS nehmen eine besondere Rolle im Datenmanagement ein, indem sie unabhängig und weisungsungebunden agieren müssen, um neutral zwischen verschiedenen Parteien vermitteln zu können (E2, E6). Damit die Integration von DTHS weiter voranschreiten kann, lassen sich auf Basis der Analyseerkenntnisse folgende Implikationen festhalten:

5.1 Implikation #1: Zertifizierungen

Vielfach wird die fehlende Möglichkeit für angesehene Zertifizierungen kritisiert. Die DTHS zeigen starkes Interesse daran, sich zertifizieren zu lassen, um den Vertrauensaspekt weiter auszubauen, jedoch „nicht von einem TÜV oder anderen Zertifizierern zu den jetzigen Datenschutzzertifizierungen, denn […] die sind nicht das, was einer DSGVO-Prüfung entspricht“ (E2). Als Handlungsempfehlung für die DTHS gilt, dem Findungsprozess für stringente, transparente Zertifizierungen Nachdruck zu verleihen und sich aktiv an diesem zu beteiligen.

5.2 Implikation #2: Innovationen und Mehrwerte

Es bedarf innovativer Ideen für DTHS, um einen adäquaten Service für Kunden anzubieten. Ebenso wichtig ist es, den Bedarf nach DTHS-Diensten für den Kunden sichtbar und messbar zu machen. Dieser Mehrwert besteht darin, individuelle Lösungen anzubieten. Wenn Kunden bspw. von ihren analogen Prozessen überzeugt sind, können ihnen digitale Alternativen aufgezeigt werden, von denen sie bisher keine Kenntnis hatten. Je früher diese Prozesse integriert werden, desto moderner und nachhaltiger kann sich ein Unternehmen aufstellen. Ein individueller Service und Flexibilität zur Erfüllung der Kundenwünsche sind somit notwendig.

5.3 Implikation #3: Nutzungsbereitschaft der Kunden

Organisationen mit Data Supplier- und User-Geschäftsmodellen sind gefordert, ihr Bewusstsein für die Notwendigkeit von DTHS-Leistungen zu schärfen. Als Handlungsempfehlung für Anbieter gilt, DTHS-Konzepte im Kundensektor zu kommunizieren. Dies kann beispielsweise durch zielgerichtete Marketingmaßnahmen, aber auch durch Aufklärungs- bzw. Informationskampagnen geschehen. Hierbei gilt es zu betonen, dass für Kunden eine Absicherung entsteht, die in Zukunft Kosten vermeidet und gleichzeitig Prozesse vereinfacht. Die Erinnerung an abschreckende Beispiele, wie der Fall der Deutsche Wohnen SE, können dabei helfen, das Bedürfnis nach bzw. den Mehrwert von DTHS-Services greifbarer zu machen.

5.4 Implikation #4: Einrichtung unabhängiger DTHS

Die zunehmende Sensibilität für das Thema Datenschutz in der Gesellschaft ist ein weiterer Treiber für die Einrichtung von DTHS. Forschungsprojekte sind vielfach dazu angehalten, eine DTHS in ihre Datenmanagementstrategie zu integrieren. Diese können sie nicht universitätsintern ansiedeln, da keine Abhängigkeit zwischen auswertender Stelle und DTHS bestehen darf (E4). Es wurde deshalb angeregt, dass staatliche DTHS eingerichtet werden, auf die sich Bildungseinrichtungen für ihre Forschung berufen können, sodass sowohl Weisungsungebundenheit als auch Unabhängigkeit gegeben sind (E1). Durch Kooperationen staatlicher Forschungseinrichtungen, aber auch anderer geeigneter Institutionen, kann die Errichtung und Weiterentwicklung von unabhängigen DTHS vorangetrieben und auf mehrere Schultern verteilt werden.

5.5 Implikation #5: Nutzung von First-Mover Advantages

Der Vorteil staatlicher Einrichtungen ist das Vertrauen, das sie als DTHS implizit von der Bevölkerung zugesprochen bekommen (E2). Diese Hürde ist für neue Anbieter in der Wirtschaft weitaus größer, wenn auch nicht unüberwindbar. Es ist denkbar, dass bereits etablierte Unternehmen den Dienst als DTHS neu für sich erschließen und ihr Image als Basis nutzen. Autonome Start-Ups erscheinen hierfür eher ungeeignet, jedoch sind die Markteintrittsbarrieren aktuell womöglich noch überwindbar, da bisher nur eine geringe Zahl an Anbietern in diesem Feld agiert. Gerade für die bisher unbekannten privatwirtschaftlichen DTHS-Anbieter gilt dementsprechend die Empfehlung, durch eine zügige und zielgerichtete Marktpositionierung das Vertrauen in dem noch recht jungen Kundenumfeld zu festigen. Es ist vorstellbar, dass in den nächsten Jahren ein Großteil der Unternehmen auf digitale automatisierte Prozesse umgestellt sein wird, sodass entsprechend viele DTHS die Nachfrage bedienen können. Je automatisierter und effizienter die Prozesse abgestimmt werden, desto herausfordernder wird es für „Second Mover“ sein, diese Mechanismen ebenfalls nachzubilden und Bestandskunden etablierter DTHS abzuwerben.

6 Fazit und Ausblick

Es konnte gezeigt werden, dass DTHS als Data Facilitator-Geschäftsmodell einzuordnen sind, die zwischen User und Supplier vermitteln. Es besteht weiterhin ein großer Bedarf nach DTHS, um wissenschaftliche Studien datenschutzkonform realisieren zu können. Es hat sich jedoch gezeigt, dass sich auch in der Wirtschaft ein stetig wachsender Bedarf nach den Diensten von DTHS entwickelt hat. Das Geschäftsmodell ähnelt anderen digitalen Services, setzt jedoch immaterielle Werte wie Know-How, rechtskonforme kundenspezifizierte Software und allem voran Vertrauenswürdigkeit voraus. Hier könnte es für neue Anbieter schwierig sein, in den Markt einzudringen, wobei ein früher Eintritt die Chance auf Erfolg steigern kann.
Das grundlegende Ziel ist es, die Datensicherheit zu erhöhen und Rechtsstreitigkeiten vorzubeugen. Bis dieser Zustand erreicht wird, gilt es die Gesetzeslage weiter zu schärfen, Zertifizierungen zu erarbeiten und analoge Prozesse weiter zu digitalisieren. Der Grad, zu dem DTHS benötigt werden, kann für die Politik als Indikator dienen, den Status quo der Digitalisierung in Deutschland einzuordnen. Ein Land, in dem maßgeblich digital agiert wird, benötigt viele DTHS, um die Prozesse sicher zu gestalten. In anderen Ländern ist die Digitalisierung des öffentlichen Lebens deutlich weiter vorangeschritten als in Deutschland. Einige Länder bieten z. B. E‑IDs an und „wenn man sieht, was damit alles möglich ist, dass man sozusagen digitaler Staatsbürger […] ist und im Grunde alles damit machen kann. Man kann damit ein Konto eröffnen, eine Firma gründen, Behördengänge machen. In Deutschland ist das hier gar nicht möglich, da ist es im Grunde genau das Gegenteil. Und ich glaube einfach, dass vieles, wo man gerade diese vertrauenswürdige Stelle braucht […] einfach noch nicht digitalisiert sind und noch auf Papier stattfindet“ (E2). Derartige Aussagen geben wichtigen Input für die politischen Entscheidungsträger, die einen Ausbau digitaler Infrastruktur weiter forcieren sollten. Ebenso sollte durch eine Intensivierung staatlich geförderter Digitalisierungsmaßnahmen die Akzeptanz und Bereitschaft der Gesellschaft für Digitalisierung und die Sensibilisierung für die Relevanz von DTHS weiter vorangetrieben werden, was zugleich auch den Bedarf an DTHS erhöhen wird.
Open Access Dieser Artikel wird unter der Creative Commons Namensnennung 4.0 International Lizenz veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.
Die in diesem Artikel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.
Weitere Details zur Lizenz entnehmen Sie bitte der Lizenzinformation auf http://​creativecommons.​org/​licenses/​by/​4.​0/​deed.​de.

Unsere Produktempfehlungen

HMD Praxis der Wirtschaftsinformatik

HMD liefert IT-Fach- und Führungskräften Lösungsideen für ihre Probleme, zeigt ihnen Umsetzungsmöglichkeiten auf und informiert sie über Neues in der Wirtschaftsinformatik (WI).

Literatur
Über diesen Artikel

Premium Partner

    Bildnachweise