Zum Inhalt springen

Umgang mit Daten

Daten sind die Grundlage der meisten digitalen Prozesse. Der ethische Umgang mit ihnen ist von wesentlicher Bedeutung sowohl für die Vermeidung von Risiken als auch für die Nutzung von Chancen in einer digitalen Gesellschaft. Dafür verfolgen wir insbesondere die von der CDR-Initiative identifizierten, folgenden Ziele:

Verzerrungen von Datenanalysen („Bias“) aktiv entgegenwirken

Mit dem Einsatz von algorithmischen Systemen ergibt sich für Verbraucherinnen und Verbraucher ein Risiko durch unbeabsichtigte, in ihren Auswirkungen nicht von vornherein absehbare, und damit auch nicht zuverlässig vermeidbare, systemische Verzerrung(en), sogenannter „Bias“. Wir wirken diesen Risiken bei der Gestaltung von Techniken und Prozessen algorithmischer Systeme aktiv entgegen.

Maßnahmenvorschläge

  • Beschäftigte (inkl. der Leitungsebene) dafür sensibilisieren, sich die ethischen Risiken eines möglichen Bias bewusst zu machen, damit sie solche so weit wie möglich vermeiden oder ihnen entgegensteuern können,
  • bei dem Einsatz von algorithmischen Systemen mögliche Bias analysieren, die Ergebnisse intern transparent und gut zugänglich dokumentieren und auf die Akzeptierbarkeit hin bewerten,
  • dafür sorgen, dass die eingesetzten algorithmischen Systeme und die darin verwendeten Parameter keinen unfairen Status quo reproduzieren,
  • die eingesetzten algorithmischen Systeme so gestalten, dass dafür verantwortliche Menschen die Kontrolle behalten und erforderlichenfalls eingreifen können 1 .

Profilanalysen („Profiling“) verantwortlich, transparent und fair gestalten

Mit der rapiden Zunahme verfügbarer Daten, Rechenkapazitäten und neuer Klassen von algorithmischen Systemen, insbesondere aus dem Bereich des Maschinellen Lernens, entstehen neue Möglichkeiten des Profilings von Verbraucherinnen und Verbrauchern. Ein Profiling kann in Einzelfällen relevante Auswirkungen auf Verbraucherinnen und Verbraucher haben. Wir stellen Verantwortung, Transparenz und Fairness im Sinne eines menschenzentrierten Ansatzes in den Mittelpunkt.

Maßnahmenvorschläge

  • Kundinnen und Kunden informieren, wenn Kundendaten genutzt werden, um Profile über sie zu erstellen 2 ,
  • Systeme so gestalten, dass sie nicht darauf ausgerichtet sind, aus den Persönlichkeitsprofilen ermittelte Schwächen oder Abhängigkeiten der Nutzerinnen und Nutzer auszunutzen oder Benutzerinnen und Benutzer sowie deren Verhalten zu manipulieren (z. B. durch Addictive Designs oder Dark Patterns) 3
  • Maßnahmen ergreifen, um zu verhindern, dass durch den Einsatz algorithmischer Systeme bestimmte Gruppen von Menschen mit einer gewissen Systematik und ohne legitimen, rationalen Grund von Leistungen ausgeschlossen oder mit sonstigen negativen Folgen konfrontiert werden 4 ,
  • keine Daten oder Analysen verwenden, die im konkreten Kontext der Geschäftsbeziehung den Erwartungen typischer Kundinnen und Kunden widersprechen würden, weil sie z. B. Rückschlüsse auf deren sexuelle Orientierung oder psychische Gesundheit ermöglichen würden.

Verbrauchersouveränität und Autonomie sicherstellen

Mit der Digitalisierung und einer rapide wachsenden Verfügbarkeit von Daten sind viele Chancen für Verbraucherinnen und Verbraucher verbunden. Diesen Chancen stehen aber gleichzeitig auch Risiken einer Informationsasymmetrie zu Gunsten der datenverarbeitenden Unternehmen gegenüber. Wir gestalten Prozesse und Produkte so, dass Verbraucherinnen und Verbraucher in den sie betreffenden Situationen Entscheidungen souverän und autonom treffen können.

Maßnahmenvorschläge

  • Kundinnen und Kunden neben den vollständigen Vertragsbedingungen auch eine Zusammenfassung der wesentlichen Informationen zur Datenverarbeitung zur Verfügung stellen 5 ,
  • das Prinzip des Profilings, auch außerhalb der gesetzlich vorgeschrieben Fälle, auf Nachfrage Kundinnen und Kunden mit Beispielen und / oder weiteren Hilfsmitteln erläutern, die ein höchstes Maß an Verständlichkeit anstreben 6 ,
  • auf leicht verständliche Weise (z. B. mithilfe von Zusammenfassungen, Grafiken und Bildsymbolen) ergänzend erklären, welche Daten gesammelt werden, wie die Datenschutzpolitik aussieht und wozu die Daten der Kundinnen und Kunden verwendet werden,
  • anstreben, Kundinnen und Kunden technische Möglichkeiten zur Verfügung stellen, mit denen die Kundinnen und Kunden sehen und beeinflussen können, wie ihre Daten genutzt werden dürfen,
  • es Kundinnen und Kunden im Rahmen des Machbaren ermöglichen, personenbezogene Daten auf Nachfrage problemlos zu verlangen, zu erhalten und wiederzuverwenden .

Verantwortliche Technikgestaltung im Umgang mit Daten fördern

Die Umsetzung eines ethischen Umgangs mit Daten erfordert fortgeschrittene technische Lösungen, die von der generellen Infrastruktur über die Produktgestaltung bis zu Kundenschnittstellen reichen. Wir fördern die Entwicklung einer verantwortlichen Technikgestaltung im Rahmen unserer Möglichkeiten.

Maßnahmenvorschläge

  • Anstreben, ein Schutzniveau zu gewährleisten, das dem aktuellen Stand der Technik entspricht und den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist 7 ,
  • bereits bei der Ausgestaltung der technischen Lösungen/Anwendungen das Prinzip „Privacy by Design“ zugrunde legen,
  • nach Möglichkeit Kundendaten innerhalb des Unternehmens in anonymisierter Form verarbeiten,
  • für den Fall, dass personenbezogene Daten pseudonymisiert verarbeitet werden, mit technischen und organisatorischen Maßnahmen dafür Sorge tragen, dass diese ausschließlich von Berechtigten in legitimen Fällen zur Person zurückverfolgt werden können 8 ,
  • datenbasierte Produkte so gestalten, dass Kundinnen und Kunden keine Aspekte über sich oder ihr Leben offenlegen müssen, die für die Kundenbeziehung nicht relevant sind 9 .

Verantwortlichen Umgang mit Daten im Unternehmen sicherstellen

Als Unterzeichnende dieser Erklärung bekennen wir uns zu unserer Verantwortung für einen ethischen Umgang mit Daten. Die Berücksichtigung von ethischen Fragestellungen betrachten wir dabei als eine unternehmensweite Querschnittsaufgabe. Wir tragen dafür Sorge, dass der verantwortungsvolle Umgang mit Daten im Unternehmen und in unseren Prozessen eine zentrale Rolle einnimmt.

Maßnahmenvorschläge

  • Ethische Standards definieren und sie zum Bestandteil interner Verhaltenskodizes machen,
  • gegenüber den Problemen, die aus der Abgrenzung von Bereichen bzw. Abteilungen gegeneinander entstehen, höchst aufmerksam sein und anstreben, Formen des „Silodenkens“ zu überwinden,
  • sicherstellen, dass persönliche Daten nur von Personen verwendet werden, die über entsprechende Berechtigungen verfügen 10 ,
  • regelmäßig überprüfen, ob komplexe Modelle, die signifikante Auswirkungen auf Kundinnen und Kunden haben können, korrekt funktionieren,
  • Beschäftigte gemäß ihrer funktionalen Rollen bei der Erkennung ethischer und damit zusammenhängender technischer Herausforderungen unterstützen, z. B. durch Schulungen,
  • für den Fall, dass Risiken identifiziert werden, dafür Sorge tragen, dass diese an qualifizierte interne Ansprechpersonen kommuniziert und damit einer Lösung zugeführt werden können.

Verantwortung im Umgang mit Daten über das eigene Unternehmen hinaus übernehmen

Auch in der Datenökonomie bestehen zunehmend komplexer werdende Wertschöpfungsketten, die mehrere Unternehmen involvieren, z.B. in digitalen Ökosystemen und Plattformmodellen. Wir übernehmen in unserem Einflussbereich die Verantwortung auch in der Wertschöpfungskette im Rahmen unserer Möglichkeiten.

Maßnahmenvorschläge

  • Daten von Dritten kaufen, die die Anforderungen des Unternehmens an externe Dienstleistende erfüllen und vertrauenswürdig und transparent über ihre Praxis der Datenerhebung und -verwendung informieren,
  • in Fällen, in denen für Anwendungen Daten und/oder Modelle anderer Unternehmen genutzt werden, von diesen die erforderlichen Informationen einholen, damit diese auf eine ethisch vertretbare Weise eingesetzt werden können.

Daten- und Cybersicherheit konsequent weiterentwickeln

Mit der umfassenderen Vernetzung nehmen sowohl die Zahl von Cyberangriffen als auch deren Auswirkungen zu. Im gemeinsamen Interesse von Verbraucherinnen und Verbrauchern, Wirtschaft und Gesellschaft sind von allen Beteiligten umfassende und koordinierte Maßnahmen für Daten- und Cybersicherheit zu ergreifen. Wir entwickeln unsere Sicherheitssysteme, inklusive ihrer Teilsysteme, konsequent weiter und tun dies unter anderem, indem wir Daten- und Cybersicherheit in der System- und Produktentwicklung von Grund auf berücksichtigen, Sicherheitslücken bei Einführung und im Betrieb konsequent vermeiden und leistungsstarke Management-Systeme einrichten.

  1. Entspricht bzgl. Systemen, die personenbezogene Daten verarbeiten, der grundsätzlichen Systematik des Verantwortlichen im Sinne des Art. 4 Abs. 7 DSGVO; bzgl. Systemen mit automatisierten Einzelfallentscheidungen dem Art. 22 Abs. 3 DSGVO.
  2. Entspricht bei personenbezogenen Daten der Informationspflicht aus Art. 13 Abs. 2 Buchstabe f, Art. 14 Abs. 2 Buchstabe g DSGVO.
  3. DEK E 3.2.2.
  4. DEK F 2.6.
  5. Entspricht bei personenbezogenen Daten der Pflicht zur leichten Verständlichkeit der Information aus Art. 12 Abs. 1 DSGVO.
  6. Gesetzlich vorgeschrieben ist eine solche erweiterte Informationspflicht gem. Art. 13 Abs. 2 Buchstabe f, Art. 14 Abs. 2 Buchstabe g DSGVO bisher nur bei Vorliegen einer automatisierten Entscheidung im Sinne des Art. 22 DSGVO.
  7. Entspricht Art. 15 DSGVO, Mehrwert ist durch Qualifikation als „problemlos“ gegeben.
  8. Entspricht bei personenbezogenen Daten den TOMs (Technische und Organisatorische Maßnahmen) im Sinne des Art. 32 DSGVO.
  9. Entspricht bei personenbezogenen Daten dem Grundsatz der Datensparsamkeit aus Art. 5 DSGVO.
  10. Entspricht bei personenbezogenen Daten den TOMs (Technische und Organisatorische Maßnahmen) im Sinne des Art. 32 DSGVO.
bmuv.de

© 2024 Geschäftsstelle der CDR-Initiative