"Daten sind das neue Öl" und Datenschutzprobleme das digitale Gegenstück der fossilen Umweltprobleme. Gesetzliche Umweltauflagen wurden geschaffen, um die externen Effekte fossiler Brennstoffe zu beschränken, und die neue Datenschutzgesetzgebung, die ab 25. Mai anzuwenden ist, kann als deren digitales Pendant gesehen werden. In Europa setzt man mit der Datenschutzgrundverordnung hohe Maßstäbe, wie mit persönlichen Daten umzugehen ist, und man ist hier global in einer Vorreiterrolle. Gleichzeitig stellt es die Wirtschaft aber vor eine enorme Herausforderung, im globalen Wettbewerb mitzuhalten, zumal Kundenansprache, Ressourceneinsatz und Innovation auf Basis personenbezogener Daten optimiert werden können und die mit der Verarbeitung dieser Daten verbundenen gesetzlichen Auflagen Kosten verursachen. Da durch Datenschutz bestimmte ökonomisch sinnvoll erscheinende Datenverarbeitungsvorgänge nicht oder nur unter Auflagen möglich sind, wird der Raum an möglichen Innovationen eingeschränkt. Gilt somit "Datenschutz = Innovationshemmnis"?

In der im Auftrag des Bundesministeriums für Verkehr, Innovation und Technologie erstellten Studie "Big Data, Innovation und Datenschutz" wird dieses Spannungsfeld interdisziplinär aus Sicht der Informatik, den Rechtswissenschaften und der Innovationspolitik untersucht. Neben der Erarbeitung von Empfehlungen für eine datenschutzrechtlich konforme Vorgangsweise bei Big-Data-Projekten und der Ableitung von wirtschaftspolitischen Empfehlungen, wird in der Studie die These aufgestellt, dass Datenschutz auch Innovationstreiber sein kann. Analog zur Umweltgesetzgebung, die zur Basis der Umweltschutzindustrie wurde, kann die Datenschutzgrundverordnung neue Impulse für Softwareinnovationen geben, die den Widerspruch zwischen hohem Schutzniveau und flexibler Datennutzung auflösen.

Strukturerhaltende Anonymisierung mittels neuronaler Netze

Im neuen Datenschutzrecht muss vor jeder neuen Verarbeitung von personenbezogenen Daten die Zustimmung eingeholt werden und die Verarbeitung muss unter Maßgabe der Datensparsamkeit erfolgen. Dies ist insbesondere bei Data-Mining-Analysen von Big Data relevant, da hier in der Regel der zum Ziel führende Algorithmus von vornherein nicht bekannt ist. Werden personenbezogene Daten anonymisiert, unterliegen sie allerdings nicht mehr den Bestimmungen der Datenschutzgrundverordnung. Eine Anonymisierung im Sinne der Verordnung liegt aber erst dann vor, wenn es keinerlei nachträgliche Reidentifizierung einzelner Personen mehr möglich ist, auch nicht unter Heranziehen weiterer Informationsquellen, und auch nicht für den Datenverarbeiter selbst. Dass dies keine triviale Aufgabe ist, zeigen die immer wieder öffentlich werdende Fälle auf, bei denen scheinbar harmlose Datenpunkte in Kombination sich dann sehr wohl auf einzelne Individuen beziehen lassen:

Bestehende Anonymisierungstechniken bilden entweder Aggregate nach vorab definierten Kriterien – sogenannte k-Anonymity, wobei k für die Anzahl der Individuen in einem Aggregat steht – oder verfälschen gezielt einzelne Werte – sogenannte Noise Injection. Beide Verfahren verlieren viel an Information, sodass die Qualität von darauf aufbauenden Data-Mining-Analysen leidet.

Eine vom Wiener Start-Up Mostly AI verfolgte Möglichkeit, den Widerspruch zwischen Informationserhaltung und Anonymisierung zu lösen, ist der Einsatz von künstlicher Intelligenz. Mittels neuronaler Netze können die in den Daten zum Benutzerverhalten vorhandenen Strukturen erlernt werden. Die dadurch ermittelten Parameter werden dann verwendet, um aus diesem Netzwerk heraus synthetische Personas mit realistischen oder repräsentativen Daten zu generieren. Es gibt dann keinen direkten Bezug mehr zu real existierenden Personen, und dennoch bleiben aber Muster und Korrelationen erhalten. Und als anonymisierter Datensatz fällt eine weitere Verwendung dann nicht mehr in den Bereich der Datenschutzgrundverordnung, und ermöglicht das Heben des Datenpotentials unter gleichzeitigem Schutz der Privatsphäre.

In Verbindung mit der Blockchaintechnologie ergeben sich damit gänzlich neuartige Möglichkeiten zur Datenanalyse. Das Berliner Start-Up Ocean Protocol etwa entwickelt ein blockchainbasiertes dezentrales Datenaustauschprotokoll, über das derartige anonymisierte Datensätze unter Verwendung eines Utility Tokens rechtlich sicher monetarisiert werden können.

Blockchain schafft Transparenz

Blockchaintechnologien bieten auch eine gute Basis zur Minimierung des Aufwandes, der mit der Erfüllung der in der Datenschutzgrundverordnung bestimmten Auskunftspflichten und Betroffenenrechte verbundenen ist. Grundidee dieses Ansatzes ist die verschlüsselte Speicherung aller Verarbeitungsvorgänge, die personenbezogene Daten betreffen, auf einer Blockchain. Dadurch sind die Einträge unveränderbar und für den Betreiber der Blockchain anonym, während das Unternehmen und das jeweilige Datensubjekt den passenden Schlüssel besitzen und dadurch die betreffenden Vorgänge verfolgen können.

Beim Ansatz, den das Linzer Start-Up Akarion verfolgt, erfolgt auf Basis eines Metamodells der personenbezogenen Daten, in das alle IT-Systeme des betreffenden Unternehmens eingehen, eine unveränderbare und rechtssichere Dokumentation von datenschutzrelevanten Verarbeitungen auf einer Blockchain. Dies ermöglicht dem Unternehmen eine Übersicht sämtlicher Vorgänge und die Modellierung von darauf basierenden Geschäftsprozessen. Unterstützt werden dadurch auch die Optimierung der Datenqualität und das Erkennen von ungewollten oder unberechtigten Datenänderungen. Endbenutzer erhalten über ein Dashboard volle Transparenz aller Speicherungen, Änderungen und Verwendungen der eigenen Daten und können darüber direkt von ihren Betroffenenrechten laut Datenschutzgrundverordnung Gebrauch machen. Dadurch kann das Vertrauen der Kunden in den Datenschutz des Unternehmens gesteigert werden. In weiterer Folge nimmt die Bereitschaft dem Unternehmen Daten zu überlassen zu, wodurch dessen Spielraum zur Produktgestaltung steigt.

An der WU Wien wird derzeit außerdem in einem großen EU-Projekt mit internationalen Partnern wie dem World Wide Web Consortium (W3C), Thompson Reuters und Telekom-Anbietern, nationalen Datenschutz-Regulierungsbehörden und Universitätspartnern aus Neapel und Berlin an Technologien geforscht, die es ermöglichen sollen, oben genannte Transparenzaufzeichnungen in standardisierter, austauschbarer, integrierbarer und vom Endbenutzer konfigurierbarer Form bereitzustellen, sowie die nach der Datenschutzgrundverordnung vorgeschriebenen Einwilligungserklärung in skalierbarer und jederzeit vom Endbenutzer widerrufbaren Form zu verwalten. Blockchains sind hier ein möglicher Kandidat zur technischen Realisierung dieser Anforderungen. Zu diesem Thema wird an der WU im April auch ein internationaler Standardisierungs-Workshop unter der Schirmherrschaft des W3C stattfinden.

Data Sovereignty und Zero Knowledge Proofs

Denkt man diesen Ansatz konsequent weiter, erkennt man, dass sich Datenschutz massiv vereinfachen würde, wenn nicht jede Organisation die Speicherung der personenbezogenen Daten vornimmt, sondern die Kunden oder Bürger ihre Daten selbst verwalten würden und diese nur selektiv für einen Geschäftsfall dem Unternehmen oder der Behörde zur Verfügung stellen. Zur Speicherung der Daten zur eigenen Identität bietet sich eine Blockchain an und unter dem Begriff Data Sovereignty bieten eine Reihe von Unternehmen, wie etwa das Berliner Start-Up Jolocom Lösungen zur Rezentralisierung der eigenen Daten an. Der persönliche Datenspeicher ist wie ein Bitcoin-Wallet nur über ein Schlüsselpaar zugänglich und die Regeln für den Zugriff können vom Kunden oder Bürger über einen Smart Contract gesteuert werden. Damit entfällt für den diesen das mühsame und unsichere Merken der Vielzahl der Passwörter für die verschiedenen Systeme und die Notwendigkeit die verschiedenen Kopien der personenbezogenen Daten aktuell zu halten. Auch die notwendige Verifikation der Identität bei Bezahlvorgängen kann entfallen.

Eine besonders elegante und auf den ersten Blick utopisch anmutende Art der Verarbeitung vertraulicher Daten auf einer Blockchain, sind Zero Knowledge Proofs. Bei diesem Verfahren kann der Besitzer einer Information einem Nachfrager mit hoher Wahrscheinlichkeit nachweisen, dass er die Information besitzt, ohne diese selbst preiszugeben. Ein einfaches Beispiel ist die Identitätsfeststellung: Um festzustellen, ob jemand den zu einem öffentlichen Schlüssel passenden privaten Schlüssel besitzt, kann der Anfragende eine Frage mit dem öffentlichen Schlüssel verschlüsseln. Besitzt das Gegenüber den privaten Schlüssel, kann die Frage entschlüsselt und korrekt beantwortet werden. Anderenfalls kann nur geraten werden. Mit einer gewissen Wahrscheinlichkeit wird auch hier eine korrekte Antwort möglich sein. Der Anfrager wird daher weitere Fragen stellen, solange bis die Wahrscheinlichkeit, trotz Unkenntnis des privaten Schlüssels alle Antworten zu erraten, genügend klein beziehungsweise die Wahrscheinlichkeit einer korrekten Identifikation genügend groß ist.

Technologie alleine reicht nicht

Entscheidend für die Verbreitung fortgeschrittener Technologien zur Gewährleistung des Datenschutzes ist, dass die Kunden oder Bürger bewusst mit ihren persönlichen Daten umgehen und die ihnen in der Datenschutzgrundverordnung gegebenen Rechte auch nutzen. Hier gilt allerdings oft das "Privacy Paradox": In einer Befragungssituation wird Datenschutz als wichtig bezeichnet, im konkreten Anwendungsfall hingegen werden Datenschutzerklärungen ohne genaueres Lesen pauschal akzeptiert und private Daten gegen eine geringe Gegenleistung preisgegeben. Dieses Verhalten wird dann verständlich, wenn man sich verdeutlicht, dass der Nutzen eines Services im Gegensatz zu den Folgen einer Datenweitergabe sofort und leicht erkennbar ist. Entsprechende Aufklärung und Bildung ist daher notwendig.

Ein weiterer wichtiger Aspekt ist die Rechtsdurchsetzung. Die Datenschutzgrundverordnung gilt auch für ausländische Unternehmen mit europäischen Kunden. Google, Facebook und Co haben somit auch entsprechende Vorkehrungen zu treffen. Im Fall einer Verletzung ist es aber für einzelne Nutzer teuer und kompliziert zu klagen, wie der Fall Max Schrems gegen Facebook eindrücklich belegt.

Initiativen wie Schrems' Datenschutz-NGO noyb zur kollektiven Durchsetzung des Rechts auf Datenschutz sind daher sehr wichtig. Ohne mündige Nutzer und effiziente Rechtsdurchsetzung ist das Datenschutzrecht eine strenge rechtliche Regelung ohne praktische Relevanz.

Wie immer folgt am Ende meines Beitrags der Aufruf an die STANDARD-Community um Feedback. Gibt es weitere Ideen für den Einsatz von Blockchains, AI und ähnlicher Technologien im Datenschutzbereich? Wie sehen Sie die Erfolgschancen derartiger Ansätze? (Alfred Taudes, 12.2.2018)

• Peer-to-Peer-Wissenschaftsverlage funktionieren nicht – oder doch?
• Blockchains – alles dezentral oder was?