Drei Fragen an ...

Massendaten bereitstellen und intelligent nutzen

Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein, und Dr. Nils Macke, Leiter Application Center Production & Quality bei der ZF Friedrichshafen AG, erklären im Interview, wie der Umgang mit Daten verantwortungsvoll und sicher ist.

  • Massendaten für Künstliche Intelligenz

    Handelt es sich nur um Maschinendaten, die mit Menschen gar nichts zu tun haben, greift das Datenschutzrecht nicht.

  • Marit Hansen

    „Datenschätze verleihen Macht. Hier gilt es, die Risiken im Blick zu haben und mit dem möglichen Nutzen abzuwägen.“ (Marit Hansen)

  • Dr. Nils Macke

    „Der Bank in ihrer treuhänderischen Funktion vertrauen wir relativ arglos, dass sie den Zugang zu unserem Bank-konto nur den dazu Berechtigten einräumt.“ (Dr. Nils Macke)

Im Zeitalter von „Industrie 4.0“, „Smart City“ und „Artificial Intelligence“ (AI) werden Unmengen von Daten erzeugt – und auch gebraucht. All diese Konzepte funktionieren nur dann, wenn alle Beteiligten Daten bereitstellen und intelligent nutzen. Weil diese Daten alles und jeden beschreiben können und weil immer bessere und kostengünstigere Technologien verfügbar werden, um diese Daten überall und jederzeit lückenlos zu erfassen, zu speichern, intelligent zu verarbeiten und zu korrelieren, werden sie heute bereits an Börsen gehandelt.

Beispielsweise werden mit solchen Massendaten Industrieanlagen kalibriert oder „Künstliche Intelligenzen“ angelernt. Auch wenn diese Daten nicht direkt personenbezogen sind, ist auf jeden Fall ein verantwortlicher Umgang mit ihnen unbedingt notwendig. Denn aus diesen Daten lassen sich unter Umständen – in Verbindung mit anderen Datenquellen – nicht nur personenbezogene Informationen rekonstruieren, sie können auch Betriebsgeheimnisse bergen, etwa zur Performance einer Maschine oder zur Qualität eines Fertigungsprozesses. Vor diesem Hintergrund befragte IT-MITTELSTAND zwei Experten: Marit Hansen ist Landesbeauftragte für Datenschutz in Schleswig-Holstein, Dr. Nils Macke leitet das Application Center Production & Quality beim Technologiekonzern ZF Friedrichshafen.

ITM: Wer ist verantwortlich für die Daten in Szenarien wie Industrie 4.0, Big Data oder Machine Learning – der Hersteller der Maschine, die z.B. über Sensoren diese Daten liefert, der Hersteller dieser Sensoren, der Hersteller der Datenbank-, ERP- oder AI-Software, die diese Daten sammelt, verwaltet und/oder verarbeitet, oder das Unternehmen, das diese Software bzw. die Maschine nutzt? Oder kommen noch andere Verantwortliche in Betracht, etwa in der Logistik der Hersteller des verwendeten Transportmittels?
Dr. Nils Macke:
Eine Datenverantwortung muss in jedem Anwendungsfall im Vorfeld eindeutig definiert und mit dem Dateneigentümer verhandelt werden. Der Maschinenhersteller ist in diesem Modell ein Datenerzeuger. Der Betreiber der Maschine wiederum ist der Eigentümer dieser Daten. Besitzer ist der Betreiber der Datenbank – aber auch alle anderen Verwender dieser Daten. Aus dieser Kette lassen sich konkrete Verantwortlichkeiten ableiten. So ist der Maschinenhersteller beispielsweise für die Kalibrierung eines Sensors verantwortlich, damit dieser qualitativ hochwertige Daten liefert, keinesfalls aber für die Interpretation in einer Datenanalyse. Das ist Sache des Betreibers.

Marit Hansen: Vorausgeschickt: Als Landesbeauftragte für Datenschutz denke ich sofort an Verantwortliche im Sinne des Datenschutzrechts. Dies gilt immer dann, wenn es um personenbezogene Daten geht, d.h. Daten, die einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können. Davon unabhängig gibt es natürlich auch eine Verantwortung dafür, dass die Kommunikation zwischen verschiedenen Maschinen integer ist und keine Schäden, z.B. durch fehlerhafte Parameter, verursacht werden.

In Szenarien wie Industrie 4.0, Big Data oder Machine Learning ist es oft möglich, direkt oder indirekt mithilfe zusätzlicher Informationen eine Zuordnung zu einer natürlichen Person vorzunehmen. Es ist diejenige Organisation – z.B. ein Unternehmen – für den Datenschutz verantwortlich, die auch für die Verarbeitung verantwortlich ist und über die Wahl der Mittel entscheidet.

Auch wer als Auftragsverarbeiter für einen Verantwortlichen Daten verarbeitet, muss ab dem 25. Mai 2018 – ab dann gilt die europäische Datenschutz-Grundverordnung (DSGVO) – viele Regeln des Datenschutzrechts einhalten. Die Hersteller, die nicht selbst personenbezogene Daten verarbeiten, sind von der DSGVO ausgenommen, aber für sie sind dennoch einige Pflichten zur Risikoeindämmung vorgesehen, z.B. in der kommenden ePrivacy-Verordnung.
Handelt es sich nur um Maschinendaten, die mit Menschen gar nichts zu tun haben, greift das Datenschutzrecht nicht.

ITM: Welche Rechte und welche Pflichten leiten sich aus dieser Verantwortlichkeit für die Daten ab?
Hansen:
Dies ergibt sich hauptsächlich aus der Datenschutz-Grundverordnung. Für Daten mit Personenbezug muss der Verantwortliche zunächst klären, ob er sie überhaupt verarbeiten darf: Nur die für den jeweiligen Zweck erforderlichen Daten dürfen erhoben und verwendet werden, und dies ist nur dann rechtmäßig, wenn es auf einer Rechtsgrundlage (z.B. einem Gesetz oder Vertrag) beruht oder wenn eine informierte und freiwillige Einwilligung der betroffenen Personen vorliegt. Achtung: Einwilligungen können mit Wirkung für die Zukunft widerrufen werden und eignen sich daher oft nicht als Fundament der Datenverarbeitung.

Es ist stets wichtig, dass man die betroffenen Personen ausreichend über die Verarbeitung und etwaige Risiken informiert. Die Daten müssen korrekt und aktuell gehalten und gegen unberechtigte Zugriffe geschützt werden. Wenn die Daten nicht mehr erforderlich sind, müssen sie gelöscht werden. Betroffene Personen können außerdem bestimmte Rechte wahrnehmen, z.B. Auskunft zu ihren sämtlichen Daten oder Berichtigung – dann muss der Verantwortliche zeitnah reagieren.

Im AI-Bereich kommen immer mehr Algorithmen zum Einsatz, auf deren Basis Entscheidungen gefällt werden. Das ist nur in einem engen rechtlichen Rahmen erlaubt. Auf keinen Fall darf man Entscheidungen über Menschen allein auf Basis von undurchsichtigen und vielleicht sogar unkontrollierbaren Computerberechnungen fällen.

Auch wenn man Auftragsverarbeiter einschaltet, bleibt man für den Datenschutz verantwortlich. Je mehr Datenschutz man in die Systeme eingebaut ist, desto weniger Probleme hat man.

Macke: Auch hier ist die Frage der Definition zu stellen. Verantwortlichkeit kann sich sowohl auf die Datenqualität beziehen, aber auch auf die Quantität – also die kontinuierliche Datenlieferung. Das sind für mich die Pflichtfelder.
Rechte an Daten wiederum lassen sich nicht so einfach beschreiben. Sie sind international unterschiedlich definiert. So lässt sich in Deutschland beispielsweise das Dateneigentum niemals vollständig veräußern, wohl aber lassen sich Nutzungsrechte einräumen. Hier ist der Interpretationsspielraum sehr breit gefächert. Eindeutigere Regelungen für den Handel mit Daten sind wünschenswert, um internationale Rechtstreitigkeiten zu vermeiden.

ITM: Unter welchen Bedingungen sollten solche Massendaten von dem Verantwortlichen für die Allgemeinheit oder für bestimmte Interessenten bereitgestellt werden, damit ihre Wiederverwendung, Nachnutzung und Verbindung mit anderen Datensätzen einerseits einfach und andererseits schadlos möglich ist?
Macke:
Was uns fehlt, ist eine Lösung zur vertrauensvollen Verwaltung unserer Daten. Für unser konventionelles Wertgut, Geld, existiert seit Langem ein funktionierendes Bankwesen. Der Bank in ihrer treuhänderischen Funktion vertrauen wir relativ arglos, dass sie den Zugang zu unserem Bankkonto nur den dazu Berechtigten einräumt  – z. B. durch Lastschrift, Überweisung oder gar Vollmacht. Warum gelingt es uns aber nicht, eine Datenbank zu etablieren, die dasselbe mit den von uns erzeugten Daten macht? Die Technologien dazu sind jedenfalls vorhanden. Es fehlt aber an einem Datentreuhänder, der zum einen die gesetzlichen Regelungen befolgt und zum anderen einen einfachen Zugang zum Handel mit Daten gewährleistet.

Hansen: Datenschätze verleihen Macht. Hier gilt es, die Risiken im Blick zu haben und mit dem möglichen Nutzen abzuwägen. Eine gute Möglichkeit aus Datenschutzsicht ist die Nutzung anonymisierter Daten: Dann sind die Identitätsinformationen der betroffenen Personen durch Umwandlung der Daten geschützt und man kann trotzdem statistische Werte analysieren. Für bestimmte gesellschaftliche relevante und politisch gewollte Auswertungen gibt es spezielle Gesetze, z.B. bei Krebsregistern, in denen die Regeln zur Erhebung, zur Verarbeitung und zum Schutz vorgegeben sind. Nutzungen von Massendaten müssen gut geplant sein, nicht nur aus Datenschutzsicht oder für den berechtigten Schutz von Geschäftsgeheimnissen. Es muss auch gewährleistet sein, dass die Datenbasis verlässlich ist und keine Verzerrungen beinhaltet. Auch muss man unfaire Diskriminierungen vermeiden. Wir setzen auf Risikovermeidung, Transparenz und Einflussnahme statt blindes Vertrauen in scheinbar intelligente Systeme.

Bildquelle: ZF Friedrichshafen AG/Thinkstock/iStock/Land Schleswig-Holstein

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok