Der rich­ti­ge Umgang mit Daten: Com­pli­an­ce als Pflicht, Ethik als Kür

Daten sind ent­schei­den­de Inno­va­ti­ons­trei­ber. Unter­neh­men set­zen des­halb stär­ker auf eine bewuss­te Daten­nut­zung. Um den ver­ant­wort­li­chen Umgang mit Daten zu unter­stüt­zen, hat der Wirt­schafts­ver­band der ICT- und Online-Bran­che Swi­co Ende Novem­ber 2021 eine Char­ta für einen ethi­schen Umgang mit Daten lanciert. 

Daten sind “the new (s)oil”

Um Pro­duk­te zu ent­wickeln, Trends zu pro­gno­sti­zie­ren, Abläu­fe zu ver­bes­sern und Kosten zu sen­ken, ist die Aus­wer­tung von Daten zen­tral. Weil Daten hohes Wert­schöp­fungs­po­ten­ti­al haben, wer­den sie häu­fig als «the new oil» bezeich­net. Der Ver­gleich von Daten mit Öl trifft bei nähe­rer Betrach­tung aber nicht. Ölres­sour­cen sind knapp, Daten nicht. Im Gegen­satz zum Öl reicht zudem das Sam­meln von Daten nicht, um ihren Wert zu erschlie­ssen. Erst wenn ein Unter­neh­men gezielt mit Daten arbei­tet, wer­den sie wert­voll. Bild­lich gespro­chen sind Daten also eher mit Erde (soil) zu ver­glei­chen. Der Boden muss bewirt­schaf­tet wer­den, wenn er Früch­te tra­gen soll. Ein Klum­pen trocke­ner Erde hilft einer Pflan­ze wenig. Die Ana­lo­gie trifft für Daten zu: Der «Daten­bo­den» muss gepflegt wer­den, durch Pla­nung, Ver­net­zung und Tools. Ein Unter­neh­men muss wis­sen, wel­che Daten es ein­set­zen will und wel­che Zie­le es damit ver­folgt. Dabei ist nicht nur die Ein­hal­tung gesetz­li­cher Rege­lun­gen anzu­stre­ben; das Ziel sind auch ethisch «rich­ti­ge» und damit nach­hal­ti­ge Ergebnisse.

Data Gover­nan­ce und Daten­ethik in Unternehmen

Zur Steue­rung und Kon­trol­le der stei­gen­den Daten­men­gen hat die Data Gover­nan­ce stark an Bedeu­tung gewon­nen. «Data Gover­nan­ce» zielt auf ein pro­fes­sio­nel­les Manage­ment von Daten und umfasst Rege­lun­gen, Mecha­nis­men und Werk­zeu­ge, die für einen ver­ant­wor­tungs­vol­len Umgang mit Daten Vor­aus­set­zung sind. Der durch die Data Gover­nan­ce vor­ge­ge­be­ne Ord­nungs­rah­men kann hel­fen, die Ver­ar­bei­tung von Daten in der erfor­der­li­chen Qua­li­tät sicher­zu­stel­len und auch ethisch ver­tret­ba­re Ent­schei­dun­gen zu treffen.

Data Gover­nan­ce braucht Daten­ethik als Bestand­teil und System­gren­ze. Ethik – ver­stan­den als ange­wand­te Phi­lo­so­phie – wid­met sich oder beruht auf Wer­ten. Die­se sind indes­sen einem Wan­del unter­wor­fen. Wer­te ändern sich durch den Ein­satz der Tech­no­lo­gie zwar nicht grund­le­gend, wer­den dadurch aber mit neu­en Her­aus­for­de­run­gen kon­fron­tiert. Umso mehr Gewicht erhält der Umgang mit Daten­ethik in Unternehmen.

Das Recht selbst ist weder bestimmt noch in der Lage, Ethik fest­zu­schrei­ben. Es ist zwar – hof­fent­lich – ethisch auf­ge­la­den. Sodann geht es über die Ethik hin­aus, weil es auch Vor­ga­ben orga­ni­sa­to­ri­scher oder pro­ze­du­ra­ler Natur schaf­fen muss, die nicht unbe­dingt ethisch begrün­det sind, und bleibt zugleich hin­ter der Ethik zurück, weil nicht alles, was ethisch gebo­ten oder ver­bo­ten sein mag, nach recht­li­cher Rege­lung ruft. Die Ein­hal­tung des Rechts allein kann des­halb nicht genü­gen, ethi­schen Prin­zi­pi­en zu ent­spre­chen. Es wäre zudem ein gro­sser Feh­ler, die Ethik ver­recht­li­chen zu wol­len. Es gibt zwar selbst­ver­ständ­lich Durch­gangs­nor­men wie Art. 2 ZGB, die fle­xi­bler auf geän­der­te Wert­vor­stel­lun­gen reagie­ren kön­nen, aber der Anspruch einer ethi­schen Durch­re­ge­lung führt zu schwam­mi­gen Gene­ral­klau­seln und Rechts­un­si­cher­heit, wie dies beim revDSG (z.B. bei der Infor­ma­ti­ons­pflicht und dem Aus­kunfts­recht) lei­der ver­stärkt zu beob­ach­ten ist.

Des­halb muss die Daten­ethik auf der per­sön­li­chen Wert­hal­tung der Ent­schei­dungs­trä­ger und auf Selbst­re­gu­lie­run­gen beru­hen, die eine recht­li­che Rege­lung beglei­ten, aus­fül­len und kon­kre­ti­sie­ren können.

In den letz­ten Jah­ren haben ver­schie­de­ne Exper­ten­grup­pen und Orga­ni­sa­tio­nen die Unter­neh­men ent­spre­chend mit Grund­prin­zi­pi­en und Kodi­zes unterstützt.

Bei­spiels­wei­se hat der Wirt­schafts­ver­band eco­no­mie­su­is­se im Som­mer 2020 ein Grund­la­gen­pa­pier mit zehn Prin­zi­pi­en publi­ziert, die im Dienst eines ver­ant­wor­tungs­vol­len Umgangs mit Daten ste­hen. Auf inter­na­tio­na­ler Ebe­ne hat die WFA (World Fede­ra­ti­on of Adver­ti­sers) prak­tisch zeit­gleich einen Leit­fa­den zum The­ma Daten­ethik für Mar­ken unter dem Titel «Data Ethics – The Rise of Mora­li­ty in Tech­no­lo­gy» her­aus­ge­ge­ben. Damit soll­te Trans­pa­renz geför­dert und das Ver­trau­en bei Kon­su­men­ten und Kon­su­men­tin­nen gestärkt wer­den, und gleich­zei­tig woll­te die WFA mit dem Leit­fa­den gene­rell dazu bei­tra­gen, Daten­schutz und Daten­ethik als Stüt­ze einer gesun­den digi­ta­len Gesell­schaft zu stärken.

Die Swi­co Char­ta für den ethi­schen Umgang mit Daten 

Ende Novem­ber 2021 hat auch der Schwei­zer Wirt­schafts­ver­band der ICT- und Online-Bran­che Swi­co eine Char­ta für den ethi­schem Umgang mit Daten her­aus­ge­ge­ben. Die Char­ta stammt vom – durch die Swi­co gegrün­de­ten – Digi­tal Ethics Cir­cle. Der Digi­tal Ethics Cir­cle hat sich das Ziel gesetzt, ethi­schen Fra­gen daten­ba­sier­ter Geschäfts­mo­del­le nach­zu­ge­hen und natio­na­le und inter­na­tio­na­le Best Prac­ti­ces (Kodi­zes, Richt­li­ni­en, Stan­dards usw.) zu iden­ti­fi­zie­ren. Der Char­ta kön­nen sich alle Unter­neh­men frei­wil­lig unter­stel­len, nicht nur Swico-Mitglieder.

Die Char­ta beruht auf dem Ethik-Kodex für daten­ba­sier­te Wert­schöp­fung der Digi­tal Object Iden­ti­fier (DOI), der sei­ner­seits an der 6. Swiss Con­fe­rence on Data Sci­ence Mit­te 2019 vor­ge­stellt wor­den ist. Sie benennt im gesam­ten Lebens­zy­klus von Daten ethi­sche Her­aus­for­de­run­gen und for­dert von Unter­neh­men, sich zu fest­ge­leg­ten Ver­hal­tens­wei­sen im Umgang mit Daten zu beken­nen, um die­sen Her­aus­for­de­run­gen gerecht zu wer­den. Die Char­ta listet zuerst die über­ge­ord­ne­ten drei Wer­te auf, an denen sie sich ori­en­tiert: Scha­den­ver­mei­dung, Gerech­tig­keit und Auto­no­mie. Um ihre Umset­zung zu gewähr­lei­sten, benennt sie zusätz­li­che Anfor­de­run­gen: Kon­trol­le, Trans­pa­renz und Rechen­schaft. Die Swi­co Char­ta beschreibt in einem näch­sten Kapi­tel sodann fol­gen­de vier Haupt­schrit­te des Lebens­zy­klus von Daten:

  1. Erzeu­gung und Akqui­rie­rung von Daten (z.B. das Sam­meln oder Ein­kau­fen von Daten)
  2. Spei­che­rung und Manage­ment von Daten (z.B. Schutz der gespei­cher­ten Daten)
  3. Daten­ana­ly­se und Wis­sens­ge­ne­rie­rung (z.B. Ein­set­zen von maschi­nel­lem Lernen)
  4. Wir­kung der daten­ba­sier­ten Pro­duk­te und Dienst­lei­stun­gen (z.B. Beein­flus­sen von Über­zeu­gun­gen oder Verhalten)

Im näch­sten Kapi­tel fin­det sich der Kern der Char­ta: Unter­neh­men in der ICT-Bran­che sol­len daten­ba­sier­te Pro­duk­te und Dienst­lei­stun­gen anhand von 24 Bekennt­nis­sen men­schen­zen­triert und fair aus­ge­stal­ten. Die Bekennt­nis­se sol­len dazu bei­tra­gen, ethi­sche Fra­gen, die sich aus der Nut­zung von Daten erge­ben, bes­ser zu ver­ste­hen. Auch sol­len ethi­sche Grau­zo­nen mit Blick auf die Daten­schutz-Gesetz­ge­bung bes­ser iden­ti­fi­ziert wer­den können.

Ergän­zung des DSG – Bei­spiel «auto­ma­ti­sier­te Entscheidungssysteme»

Eines der Bekennt­nis­se der Swi­co Char­ta (Schritt 4, Ziff. 2) hält fest, dass Unter­neh­men sich ver­pflich­ten sollen,

«auto­ma­ti­sier­te Ent­schei­dungs­sy­ste­me oder Emp­feh­lungs­sy­ste­me auf unbe­ab­sich­tig­te Dis­kri­mi­nie­rung zu über­wa­chen, selbst wenn das Daten­pro­dukt auf indi­rek­te Dis­kri­mi­nie­rung gete­stet wur­de, weil die Test­da­ten ande­re sta­ti­sti­sche Eigen­schaf­ten als die rea­len Daten haben kön­nen und des­halb neue For­men von Dis­kri­mi­nie­rung ent­ste­hen könn­ten»

Die­ses Bekennt­nis darf als Ergän­zung von Art. 21 revDSG ver­stan­den wer­den, der die Betrof­fe­nen­rech­te bei auto­ma­ti­sier­ten Ein­zel­ent­schei­dun­gen im Ein­zel­fall regelt. Art. 21 revDSG gibt dem Ver­ant­wort­li­chen vor, betrof­fe­ne Per­so­nen über sol­che Ent­schei­dun­gen zu infor­mie­ren, soweit kei­ne Aus­nah­men grei­fen. Die betrof­fe­ne Per­son kann ent­spre­chend ver­lan­gen, dass eine Ent­schei­dung von einer natür­li­chen Per­son über­prüft wird, bspw. weil sie den Ver­dacht hat, sie sei durch eine künst­li­che Intel­li­genz auf­grund eines bias benach­tei­ligt wor­den. Die Swi­co Char­ta setzt hier bereits frü­her an, indem Unter­neh­men prä­ven­tiv prü­fen sol­len, ob auto­ma­ti­sier­te Ent­scheid­sy­ste­me unbe­ab­sich­tigt diskriminieren.

Die Swi­co Char­ta führt nicht nur bei auto­ma­ti­sier­ten Ent­schei­dun­gen eine ergän­zen­de Rege­lung zum revi­dier­ten DSG ein. Auch an ande­ren Stel­len geht die Swi­co Char­ta wei­ter als das revDSG – dies ist sinn­voll, weil eine wei­ter­ge­hen­de Ver­an­ke­rung der Ethik im revDSG wie erwähnt nicht nur anspruchs­voll, son­dern sogar schäd­lich wäre.

Das Gesetz ist die Pflicht, Ethik die Kür

Dass gel­ten­des Recht ein­zu­hal­ten ist, braucht kei­ne Erwäh­nung. Der Ein­hal­tung von Geset­zen kommt in der öffent­li­chen Wahr­neh­mung aber unter­ge­ord­ne­te Bedeu­tung zu, wenn ein Unter­neh­men unethisch han­delt. Auch intern las­sen sich nega­ti­ve Vor­fäl­le nur unzu­rei­chend dadurch recht­fer­ti­gen, dass das Gesetz nicht ver­letzt wur­de. Die Ein­hal­tung ethi­scher Grund­sät­ze ist aus Unter­neh­mens­sicht ent­spre­chend schon des­halb sinn­voll, weil sich dadurch das Risi­ko von Kla­gen oder Repu­ta­ti­ons­schä­den ver­min­dern und Ver­trau­en för­dern lässt. Ein ethi­scher Rah­men hilft auch, recht­lich gebo­te­ne Mass­nah­men bes­ser zu ver­ste­hen und intern wie extern bes­ser zu kom­mu­ni­zie­ren. Dadurch trägt er auch zu einer robu­ste­ren Com­pli­an­ce bei.