Data Sharing und Datenschutz: Daten sicher gemeinsam nutzen

Data Sharing bringt Risiken mit sich

Gerade in Zeiten von KI (künstliche Intelligenz) scheint Data Sharing das Gebot der Stunde zu sein, denn ohne geeignete Datenquellen und Datenbestände ist bekanntlich kein KI-Training sinnvoll möglich.

Schon mehrfach haben die Datenschützer aber auf die Kehrseite des Data Sharings hingewiesen, sie verweisen auf mehrere Risiken für personenbezogene Daten, darunter:

• Mangelndes Bewusstsein der betroffenen Personen und der Öffentlichkeit hinsichtlich der Tatsache, dass die Daten verarbeitet werden, ihres Zwecks, der Rechtsgrundlage, des Geschäftsmodells (mangelnde Transparenz),
• Vage Definition des Umfangs der Verarbeitung (fehlende Zweckbindung),
• Datenvervielfältigung oder -verbreitung über den rechtmäßigen Rahmen hinaus (fehlende Speicherbeschränkung und Zweckbindung),
• unnötige Nutzung von Daten (mangelnde Datenminimierung),
• Sicherheitsvorfälle und Datenschutzverletzungen, da große Datenmengen gespeichert werden, und über mehrere Netzwerke und Systeme übertragen werden, die von verschiedenen Organisationen mit unterschiedlichen Richtlinien verwaltet werden (mangelnde Vertraulichkeit, Integrität und Verfügbarkeit),
• Verringerung der Datenqualität, was wiederum zu Fehlentscheidungen führen kann (mangelnde Datengenauigkeit),
• unrechtmäßiger Zugriff, rechtswidrige Nutzung oder Offenlegung, da Daten von mehreren Personen gemeinsam genutzt werden (Mangel an Rechtmäßigkeit) und
• Schwierigkeiten bei der Durchsetzung der Verantwortung (fehlende Rechenschaftspflicht).

Kurz gesagt, kann Data Sharing dazu führen, dass die Grundsätze des Datenschutzes, wie sie in Artikel 5 der Datenschutz-Grundverordnung (DSGVO) eingefordert werden, nicht mehr eingehalten werden, letztlich auch deshalb, weil das Datenschutzniveau der Beteiligten am Data Sharing unbekannt oder unterschiedlich hoch ist.

Data Sharing braucht den richtigen, technisch-organisatorischen Rahmen

Die Empfehlungen der Berlin Group für datenschutzgerechtes Data Sharing umfassen sowohl Maßnahmen im Bereich der Organisation als auch technische Vorkehrungen. Im Bereich der Organisation nennen die Datenschützer insbesondere Frameworks und Richtlinien für das Sharing und Management der Daten, eine Risikoanalyse (Datenschutz-Folgenabschätzung, DSFA), Verfahren zur Datenaufbewahrung und -entsorgung, regelmäßige Audits und Überprüfungen des Datenfreigabeprozesses, Benachrichtigung von Personen, deren personenbezogene Daten weitergegeben werden, und Bereitstellung von Informationen über ihre Rechte, einschließlich des Rechts auf Zugriff und Korrektur ihrer personenbezogenen Daten.

Weiterhin gehören dazu Datenvalidierungen, Notwendigkeits- und Verhältnismäßigkeitsprüfungen, Verfahren zur Verhinderung und Reaktion auf Datenpannen und andere Vorfälle, eine Datenfreigabevereinbarung, die den Zweck, den Umfang und die Bedingungen der Datenfreigabe klar definiert, die Schulung der Mitarbeiter, um sicherzustellen, dass sie sich der mit der Datenfreigabe verbundenen Risiken bewusst sind, und Datenportabilitätsmechanismen, die es den betroffenen Personen ermöglichen, die sie betreffenden personenbezogenen Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zu erhalten oder diese Daten an einen anderen Verantwortlichen zu übertragen.

Im technischen Bereich sollten Privacy-Enhancing Technologies (PETs) zum Einsatz kommen, wie Confidential Computing (Nutzung von Trusted Execution Environments), Homomorphic Encryption, Secure Multiparty Computation und Zero Knowledge Proofs. Bei Secure Multiparty Computation (SMPC) zum Beispiel werden Daten in mehrere Komponenten oder Anteile aufgeteilt, die dann kombiniert werden, um Berechnungen durchzuführen, wie die Berlin Group erläutert.

Technologie- und Lösungsanbietern empfiehlt die Berlin Group: Die Zusammenarbeit sollte gefördert werden, um eine kollaborative/kooperative Computerinfrastruktur für den Datenaustausch mit klar definierten Regeln zu schaffen, wobei insbesondere Datenschutzregeln Priorität haben. Standardisierte, offene Lösungen sollten proprietären Lösungen vorgezogen werden, um Unterschiede zwischen verschiedenen Rechtsräumen oder Regionen der Welt zu verringern und eine unfaire Datenverarbeitung zu vermeiden.

Dies ist ein gutes Beispiel dafür, dass Data Sharing nur datenschutzgerecht sein kann, wenn nicht nur Daten, sondern auch Datenschutzprinzipien geteilt werden, also gemeinsamer Standard sind, und für den Datenschutz gemeinsam gesorgt wird.