Datenspenden für KI – Vertrauen nur mit Grundrechtsvorsorge

Private Datenpools globaler Plattformen

Solche Datenräume existieren bereits – allerdings in privater Hand. Globale Plattformen wie Google, Amazon, Facebook, Microsoft, Apple, Alibaba und Tencent speichern extrem große Sammlungen personenbezogener Daten von Kunden – und auch Nichtkunden. Die Plattformen nutzen diese Daten nicht nur, um Persönlichkeitsprofile zu erstellen und diese für individualisierte Werbung zu nutzen, sondern auch, um mit den Datenpools innovative Techniken und Geschäftsmodelle zu entwickeln. Ausreichende Schutzvorkehrungen für betroffenen Personen fehlen. Ihren Datenschatz stellen diese Plattformen nicht der Allgemeinheit zur Verfügung, sondern nutzen ihn ausschließlich für ihre eigenen Zwecke. Diese Datenmacht gibt ihnen Wettbewerbsvorteile, die sich negativ auf die Innovations- und Wettbewerbsfähigkeit ihrer Konkurrenten auswirken.

Drei Ansätze für eine europäische Rechtspolitik

Auf diese privaten Datenpools könnte die europäische Rechtspolitik auf drei Ebenen reagieren. Ein erster Ansatzpunkt wäre eine konsequente datenschutzrechtliche Bewertung und Behandlung des Datensammelns der globalen Plattformen. Dies würde dazu führen, dass das Sammeln von Daten aus Europa deutlich reduziert, Datenschutz gewahrt und die Monopolstellung der globalen Plattformen deutlich begrenzt würde. Ein zweiter Ansatzpunkt wäre die Verpflichtung der Plattformen, ihre Datenpools gemeinnützigen Zwecken zur Verfügung zu stellen. Die Datensammlungen könnten dann genutzt werden, um z.B. Gesundheits-, Gesellschafts-, Verkehrs-, Ressourcen-, Energie- und Umweltforschung zu ermöglichen oder zu verbessern. Ein dritter Ansatz betrifft die Lock-in-Effekte großer Plattformen. Eine Verbesserung des Rechts auf Übertragbarkeit von Daten nach Art. 20 DSGVO könnte die betroffene Person sowohl dabei unterstützen, Kontrolle über ihre Daten zu erhalten als auch ihr den Wechsel zu einer anderen Plattform zu erleichtern. Zudem würde diese Rechtsverbesserung neuartige Datenströme ermöglichen und den Wettbewerb fördern.

Der europäische Weg zu Datenräumen für das Gemeinwohl

Die Europäische Union versucht – unabhängig von diesen Tech-Konzernen – einen eigenen Weg zu gehen und den Bedarf an Daten für KI-Anwendungen auf andere Weise zu befriedigen. Sie sieht in ihrer Datenstrategie (COM(2020) 66 final) vor, dass öffentliche Stellen, private Unternehmen und betroffene Personen Daten, über die sie verfügen, Anderen zur Verfügung stellen. In dem dadurch entstehenden Datenraum sollen sowohl personenbezogene als auch nicht-personenbezogene Daten eingehen. Gedacht ist neben einem allgemeinen Datenraum an weitere Datenräume einzelner Sektoren – etwa für Industriedaten, für den europäischen Green Deal, für Mobilitäts-, Gesundheits-, Finanz-, Energie-, Agrar- und Kompetenzdaten sowie Daten der öffentlichen Verwaltung.

Zur Umsetzung ihrer Strategie hat die Europäischen Kommission im November 2020 den Entwurf eines Data-Governance-Acts (DGA) vorgelegt (COM(2020) 767 final). Dieser DGA soll Anreize und Schutzvorkehrungen für die Bildung der angestrebten Datenräume unter „uneingeschränktem Schutz personenbezogener Daten“ bieten. Hierzu werden drei wesentliche Elemente geregelt, die Vertrauen in die Entwicklung europäischer Datenräume hervorrufen sollen:

Eine wesentliche Quelle dieser Datenräume sollen die öffentlichen Stellen sein, die viele bei ihnen gespeicherte Daten – auch personenbezogene – einspeisen sollen. Dies soll im Wesentlichen unter zwei Bedingungen möglich sein: Entweder haben die Betroffenen unter Kenntnis der weiteren Bedingungen der Datennutzung (z.B. „nur für Gesundheitsforschung“) in die Weitergabe eingewilligt. Oder die Behörden geben die Daten nur frei, wenn ihr Personenbezug beseitigt ist, indem die Daten anonymisiert oder pseudonymisiert werden.

Die zweite Quelle sollen angemeldete Datenmittler sein, die den Kontakt zwischen Datennutzern und Datenspendern herstellen, dadurch die Bildung eines Datenmarkts ermöglichen und auf diesem für faire Bedingungen und Preise sorgen. Sie sollen Einzelpersonen insbesondere in Bezug auf die Handhabung ihrer Einwilligung unterstützen. Solche Datenmittler können auch Zusammenschlüsse von betroffenen Personen („Datengenossenschaften“) sein.

Als dritte Quelle regelt der Entwurf eines DGA anerkannte „datenaltruistische Organisationen“. Sie sollen die freiwillige Datenbereitstellung durch betroffene Personen zum Wohl der Allgemeinheit (Datenaltruismus) erleichtern. Organisationen, die Datenaltruismus unabhängig von Erwerbsorganisationen und ohne Erwerbszweck unterstützen, können sich in ein Register eintragen lassen, um mehr Vertrauen zu gewinnen. Im Gegensatz zu Datenmittlern wollen sie keinen Markt für personenbezogene Daten etablieren, sondern die Daten unmittelbar für Zwecke von allgemeinem Interesse sammeln, selbst verarbeiten oder zur Verfügung stellen. Im Regelfall willigen die betroffenen Personen in die Datenverarbeitung zu bestimmten Zwecken oder in bestimmte Forschungsbereiche ein.

Vorsorge für Grundrechtsschutz

Der DGA ist der erste Versuch, Datennutzung und Datenschutz normativ in Einklang zu bringen. Dies erfolgt vor allem dadurch, dass die DSGVO auch im Bereich der Datenwirtschaft ihre volle Geltung behält und durch den DGA nur punktuell in Bezug auf drei Typen von Verantwortlichen ergänzt wird: öffentliche Stellen, Datenmittler und datenaltruistische Organisationen. Zur Bewertung des Entwurfs ist es sinnvoll, zwischen personenbezogenen und nicht personenbezogenen Daten zu unterscheiden.

Personenbezogene Daten können die drei Typen entweder auf der Grundlage einer Einwilligung oder eines (Verwertungs)Vertrags sammeln und weitergeben. Ausreichende Vorgaben zum Schutz der Grundrechte der betroffenen Personen gegenüber den spezifischen Risiken der Verwendung von Daten für KI-Systeme enthält jedoch weder die DSGVO noch der DGA. Als spezifische Schutzvorkehrungen wären z.B. Bestimmungen notwendig, welche Verarbeitungszwecke im Allgemeininteresse liegen, welche wissenschaftlichen Ethikstandards eigehalten werden müssen und wie diese überprüft werden, wie die betroffenen Personen laufend über die Verwendung der von ihnen bereitgestellten Daten zu informieren sind, wie lange eine Einwilligung gültig ist, wie Zweckbindungen gesichert werden, welche Vertragsbedingungen zulässig oder zwingend sind, welche Technikgestaltungen angeboten werden müssen (z.B. On-Site-Auswertungen) und welche technischen Schutzvorkehrungen erforderlich sind.

Soweit wie möglich sollen jedoch Daten gesammelt und geteilt werden, die zuvor anonymisiert worden sind. Allein eine Anonymisierung reicht jedoch nicht aus, um ausreichend Vertrauen zu erzeugen. Denn eine absolute Anonymisierung ist weder möglich noch nach der DSGVO gefordert. Daher lassen sich Re-Identifizierungen nicht vollständig ausschließen – insbesondere dann nicht, wenn die Daten vielen Verantwortlichen mit unterschiedlichem Zusatzwissen zur Verfügung stehen und langfristig aufbewahrt und damit dem künftigen technischen Fortschritt ausgesetzt sein werden. Wenn ausreichendes Vertrauen in die Anonymisierung erreicht werden soll, müssen ergänzende – insbesondere rechtliche – Vorsorgemaßnahmen ergriffen werden. Um eine Re-Identifizierung zu verhindern, müsste die De-Anonymisierung – nach japanischem Vorbild – verboten werden. Damit eine willentliche De-Anonymisierung unterbleibt, muss zudem bekannt sein, welche Daten gezielt anonymisiert worden sind. Um die Möglichkeit der De-Anonymisierung zu reduzieren, ist die Weitergabe und Weiterverarbeitung anonymisierter Daten zu beschränken. Auch ist eine Zweckbindung für anonymisierte Daten vorzusehen. Um die künftigen Möglichkeiten der De-Anonymisierung mit verbesserten Analysetechniken zu begrenzen, sollten die anonymisierten Daten gelöscht werden, wenn sie nicht mehr für den Zweck benötigt werden, für den sie anonymisiert worden sind.

Fazit

In der digitalen Welt hinterlässt jede Person unzählige Daten, die immer wertvoller werden, je mehr die gesellschaftlichen Akteure glauben, auf die Vorhersage und die Steuerung des Verhaltens Einzelner und Gruppen angewiesen zu sein. Um Grundrechtsschutz und Gemeinwohlinteressen zusammenzuführen, ist es erforderlich, sowohl die Verantwortung von Plattformmonopolen geltend zu machen als auch für den künftigen Datenmarkt Vorsorge dafür zu treffen, dass die Grundrechte auch in einer Datenwirtschaft weiter uneingeschränkt ausgeübt werden können. Dann wird sich zeigen, dass – zumindest in Europa – der Grundrechtsschutz eine Voraussetzung für Vertrauen und damit eine Erfolgsbedingung für eine Datenwirtschaft nach europäischer Art ist.