Datenethik braucht ein Gleichgewicht zwischen Innovation und Verantwortung
POSMO, als ethischer Datenmarkt, räumt dem Schutz der Rechte und Freiheiten seiner Datenproduzenten Priorität ein. Dementsprechend diktieren die ethischen Grundsätze des Unternehmens die Umsetzung und Nutzung innovativer technologischer Lösungen. Es gibt zahlreiche theoretische Veröffentlichungen über die Bedeutung und Wirksamkeit dieses Ansatzes. Experten weisen jedoch auf die Schwierigkeit hin, eine ethische Datennutzung für Projekte in die Praxis umzusetzen und ein ausgewogenes Verhältnis zwischen der Einführung von Technologien und ihrer verantwortungsvollen Nutzung zu wahren.
Die Nutzung von Mobilitätsdaten ist mit potenziellen Risiken für ihre Produzenten verbunden. Die Daten können beim Vergleich mit anderen Datensätzen oder zu einem späteren Zeitpunkt wieder identifiziert werden. Eine Re-Identifizierung bedeutet jedoch nicht zwangsläufig eine unmittelbare Schädigung der betroffenen Personen; sie deutet lediglich ein solches potenzielles Risiko an. Nichtsdestotrotz gebieten es die ethischen Standards der Datennutzung, vor dieser Möglichkeit zu warnen und sie zu verhindern.
Die größten Risiken sind mit dem Verlust der Anonymität oder der möglichen Re-Identifizierung der betroffenen Personen verbunden. So könnten sich beispielsweise Informationen über die Häufigkeit und Art der Besuche in medizinischen Einrichtungen negativ auf die Bedingungen von Versicherungsgarantien auswirken, und Informationen über die Abwesenheit von Bewohnern in einem Haus zu einer bestimmten Zeit könnten zu kriminellen Zwecken verwendet werden.
Außerdem besteht immer die Gefahr von Datenschutzverletzungen, bei denen sensible Informationen in die falschen Hände geraten und für böswillige Zwecke wie Identitätsdiebstahl, Stalking oder Belästigung verwendet werden könnten. So können beispielsweise Daten über eine große Menschenmenge zu einem bestimmten Zeitpunkt für Social Engineering, die Beeinflussung der öffentlichen Meinung, terroristische Handlungen, politische Provokationen und andere unsoziale Aktivitäten verwendet werden. So können beispielsweise Versuche, illegale Substanzen zu verteilen, an Orten stattfinden, an denen sich eine große Anzahl von Jugendlichen versammelt. Und während offizielle Einrichtungen wie Schulen über bestimmte Sicherheitsmaßnahmen verfügen, fehlen diese an solchen spontanen Orten.
Was sind die Risiken?
Schwerwiegende Risiken, die mit der Erhebung von Mobilitätsdaten verbunden sind, stehen im Zusammenhang mit der Überwachung und dem Verlust der Anonymität, da sich der Einzelne ständig überwacht fühlt, was zu einem Verlust der Anonymität und der persönlichen Freiheit führt. Die intensive Verfolgung der Aktivitäten von Arbeitnehmern durch die Leitung einer Organisation kann unter bestimmten Bedingungen die Grenzen der Selbstbestimmung überschreiten und missbräuchlich werden.
Eine weitere Gruppe von Risiken steht im Zusammenhang mit Diskriminierung und Voreingenommenheit: Wenn die Daten voreingenommen sind (z. B. weil sie bestimmte Bevölkerungsgruppen überrepräsentieren oder soziale Voreingenommenheit enthalten, die mit der Erhebungsmethode zusammenhängt), können sie zu diskriminierenden Praktiken bei der Stadtplanung, der Ressourcenzuweisung oder gezielter Werbung führen. Beispielsweise könnten Informationen über Stadtteile, die überwiegend von Migranten bewohnt werden, zu einer geringeren Entwicklung der Infrastruktur führen: Verfügbarkeit von Geschäften und Schulen, öffentliche Verkehrsmittel, und Konflikte aufgrund kultureller, ethnischer und religiöser Unterschiede provozieren. Solche Informationen können auch als Grundlage für die Manipulation der Bevölkerung dienen, etwa durch unterschiedliche Preise für identische Waren oder aggressive Marketingkampagnen. Dieses Argument ist auch mit der Gefahr der wirtschaftlichen Ausbeutung verbunden, die mit Spam, gezielter Werbung und der Nutzung von Daten ohne Gegenleistung verbunden sein kann.
Der nächste Punkt in dieser Liste potenzieller Risiken ist die Genauigkeit und Zuverlässigkeit der Daten: Falsche oder irreführende Daten können zu schlechten Entscheidungen in der Stadtplanung, im Verkehrsmanagement und in anderen Bereichen des öffentlichen Lebens führen. So können unvollständige Daten über die Anzahl der Fahrradnutzer dazu führen, dass es nicht genügend Fahrradständer an für die Nutzer günstigen Orten gibt.
Ein besonderes Risiko bei der Verwendung von Mobilitätsdaten ist die Abhängigkeit von der Technik. So führt eine geringe Zahl von Nutzern öffentlicher Verkehrsmittel zu bestimmten Zeiten zu einer Verringerung der Zahl der eingesetzten Verkehrsmittel, was sich negativ auf den Komfort der Nutzer auswirken kann. Darüber hinaus sind ernsthafte Risiken auf psychologische Faktoren zurückzuführen, wie z. B. die Angst der betroffenen Personen vor Manipulation oder Kontrollverlust bei der Entscheidungsfindung.
Abbildung 1 (Quelle: https://aircloak.com/the-five-private-eyes-part-1-the-surprising-strength-of-de-identified-data/ )
4 Schritte bis zur Verletzung der Privatsphäre
Man sollte die Auswirkungen auf gefährdete Bevölkerungsgruppen nicht übersehen. Schutzbedürftige Gruppen sind auch in Datensätzen schwer zu schützen. Das liegt daran, dass es sehr schwierig ist, Anwendungsfälle vorherzusagen und sich vor voreingenommenen oder böswilligen Analysen zu schützen. So könnten beispielsweise Kinder und ältere Menschen im Entscheidungsprozess einfach «unsichtbar» werden, da sie in der Regel nicht Gegenstand der Daten sind.
Wie bereits dargelegt, birgt die Landschaft der Mobilitätsdaten viele potenzielle Risiken. Auch wenn der Umgang mit solchen Daten gefährlich erscheinen mag, zeigt sich bei näherer Betrachtung, dass es mehrere Schichten von Schutzmaßnahmen gibt, die eingerichtet werden können, bevor den Betroffenen Schaden entsteht.
Es gibt vier Schutzbedingungen gegen die Re-Identifizierung, die alle gebrochen werden müssen, wie in der Abbildung oben dargestellt. Sie lauten wie folgt
- Eindringen: Sicherung des Zugangs zu den Daten
- Die erste Bedingung setzt voraus, dass ein Angreifer Zugang zu nicht identifizierten Daten haben muss. Um dieses Risiko zu mindern, ist die Beschränkung des Zugangs zu sensiblen Informationen ein grundlegendes Prinzip.
- Anreize: Abwägung von Risiken und Nutzen
- Die zweite Bedingung betrifft die Motivation des Analytikers, Daten zu reidentifizieren. Vertragliche Verbote und Überwachungsmaßnahmen dienen als wirksame Abschreckung, während die Kosten der Re-Identifizierung mit der Stärke der De-Identifizierungsmechanismen zunehmen.
- Isolierung: Durchbrechen von Erkennungsmustern
- Starke Anonymisierungsmechanismen machen es schwierig, einzelne Datenpunkte zu erkennen oder zu isolieren. Techniken wie die K-Anonymität und fortgeschrittene Systeme tragen dazu bei, dass die Re-Identifizierung immer schwieriger und teurer wird.
- Identifizierung: Brückenschlag zwischen Isolierung und Eindringen
- Selbst wenn eine Person in den Daten isoliert ist, findet eine echte Re-Identifizierung nur dann statt, wenn personenbezogene Informationen damit in Verbindung gebracht werden. Die Unterscheidung zwischen Isolierung und Identifizierung von Personen ist für den Schutz der Privatsphäre von entscheidender Bedeutung.
Erst wenn alle vier Bedingungen erfüllt sind, kann die Privatsphäre einer Person verletzt werden. Dies führt jedoch nicht automatisch zu einem Schaden für die Person. Aus Sicht des Angreifers muss das gewonnene Wissen über das Opfer nützlich sein und der Angreifer muss auf der Grundlage des gewonnenen Wissens handeln, um Schaden anzurichten. Aus Sicht des Opfers spielt das subjektive Gefühl der Verletzung der Privatsphäre eine zentrale Rolle. Die Frage, ob sich eine Person verletzt fühlt, fügt den ethischen Überlegungen zum Umgang mit de-identifizierten Daten eine weitere Ebene hinzu.
Entgegen der weit verbreiteten Meinung, dass die Anonymisierung eine unüberwindbare Herausforderung darstellt, sind Fälle von böswilliger Re-Identifizierung anonymisierter Daten ausgesprochen selten. Versuche, solche Daten zu reidentifizieren, beschränken sich oft auf White-Hat-Angriffe, die von Wissenschaftlern oder Journalisten initiiert werden. Böswillige Angriffe auf ordnungsgemäß anonymisierte Daten sind auffallend selten, was darauf hindeutet, dass erfolgreiche Verstöße nicht so alltäglich sind wie ursprünglich angenommen. Der technologische Fortschritt ermöglicht jedoch neue Angriffe auf Datensätze, die mit plötzlich veralteten Algorithmen anonymisiert wurden. Daher ist es unbedenklich, so wenig Daten wie möglich zu veröffentlichen.
Über das Projekt
Die Genossenschaft Posmo (POSitive MObility) sammelt Mobilitätsdaten in einer bisher in der Schweiz nicht verfügbaren Qualität. Die Daten werden nicht nur als Entscheidungsgrundlage für die Gestaltung einer nachhaltigeren Mobilität genutzt, sondern auch in einem Datenmarkt für Forschung, Stadtentwicklung oder Mobilitätsplanung zur Verfügung gestellt. Das Ziel der Genossenschaft ist es nicht, Gewinn zu machen, sondern einen wichtigen Beitrag für eine bessere Zukunft der Schweiz zu leisten. Da Mobilitätsdaten datenschutzrechtlich hochsensibel sind, hat Posmo in einem früheren Innocheque-Projekt zusammen mit Forschern des Instituts für Datenanwendungen und Sicherheit IDAS ein erstes Konzept für den ethischen Datenmarkt entwickelt, das nun weiterentwickelt werden soll.
Dein Kommentar
An Diskussion beteiligen?Hinterlasse uns Deinen Kommentar!