Die ethische Nutzung von Daten geht über die bloße Einhaltung von Vorschriften hinaus. Die Unternehmen sehen sich einer neuen Realität ausgesetzt, in der die Verbraucher – und sogar ihre eigenen Mitarbeiter – von ihnen verlangen, dass sie weniger Daten aufsaugen, und erklären was sie damit tun.
In einer KPMG-Umfrage gaben 97 Prozent der befragten Konsumenten an, dass sie Datenschutz für wichtig halten, und 87 Prozent waren der Meinung, dass er ein Menschenrecht sein sollte. Gleichzeitig trauten allerdings 54 Prozent der Befragten Unternehmen nicht zu, dass sie ihre Daten ethisch korrekt verwenden.
„Datenschutz und -sicherheit sind klare Prioritäten für Verbraucher“, sagt Vijay Jajoo, Principal Cyber Security Services bei KPMG. Damit Unternehmen ethisch handeln können, müssen sie genau darauf achten, wie sie Verbraucherdaten verwalten und schützen.
„Bedeutet die Tatsache, dass Unternehmen jetzt bestimmte Dinge tun können, dass sie diese auch tun sollten?“ fragt Jajoo. „Dieses Problem betrifft den Kern der Debatte über Datenethik.“
Für viele Unternehmen haben ethische Datenerfassung und -verwaltung allerdings keine hohe Priorität. „Zu viele Unternehmen haben es sich zur Gewohnheit gemacht, alle Daten zu sammeln, die sie digital in die Hände bekommen“, sagt Kathy Baxter, Principal Architect of Ethical AI Practice bei Salesforce.
Sie werden durch potenzielle Anwendungsfälle in der Geschäftsanalyse, bei Prognosen oder einfach zum Verkauf an andere motiviert. „Das Ergebnis ist, dass Unternehmen über viel mehr Daten verfügen, als sie benötigen oder haben sollten“, sagt sie.
Warum es wichtig ist
Da Cyberangriffe zunehmen, beginnen Konsumenten den Fragen des Datenschutzes mehr Aufmerksamkeit zu schenken. Regierungen auf der ganzen Welt befassen sich mit der Verabschiedung von Gesetzen zum Schutz der Nutzerdaten, teilweise als Reaktion auf neue Technologien mit künstlicher Intelligenz (KI), die mehr Daten verlangen, und immer noch erhebliche Risiken für Missbrauch bergen. All dies bedeutet, dass es für Unternehmen wichtiger denn je ist, ihre Datenerfassungspraktiken ganzheitlich zu betrachten.
Viele Unternehmen befinden sich im reaktiven Modus, indem sie ihre Sicherheit nach einem Verstoß erhöhen und ihre Prozesse und Richtlinien nach der Verabschiedung neuer Gesetze aktualisieren. Dieser Ansatz ist nicht nur kostspieliger, als von Anfang an ordnungsgemäße Prozesse aufzubauen, er schafft auch erhebliche Probleme für die Öffentlichkeitsarbeit der Unternehmen.
Das Compliance-Risiko
Verletzungen der Privatsphäre kosten Geld – direkt, mit den Vorschriften in Europa und Kalifornien, und indirekt, wenn sie zu Datenverletzungen beitragen.
Einige Unternehmen nähern sich der Compliance aus der Perspektive der Erfüllung der Mindestanforderungen bestimmter, für sie geltender Gesetze. Andere nehmen eine ganzheitlichere Sichtweise ein, indem sie ethische Data-Mining-Grundsätze und die Absicht hinter den Datenschutzgesetzen betrachten, diese allgemein anzuwenden.
Wenn die Verbraucher eine vertrauensvolle Beziehung zu Ihrem Unternehmen haben, werden sie mit der Zeit mehr Geld ausgeben.
Paige BartleyS&P Global Market Intelligence
Zum Beispiel gelten die EU-Datenschutz-Grundverordnung (EU-DSGVO) und der kalifornische Consumer Privacy Act nur für Kunden in diesen Rechtsordnungen, aber einige Unternehmen dehnen diese Schutzmaßnahmen auf alle Nutzer aus, unabhängig davon, wo sie ihren Sitz haben.
„Mit zunehmender Macht der heutigen Unternehmen wächst auch die Verantwortung, über die Einhaltung der Gesetze hinauszugehen und sich mit der Ethik auseinanderzusetzen“, sagt Laura Norén, Gastwissenschaftlerin am Center for Data Science der NYU. „Das bedeutet, nur die erforderlichen Daten zu sammeln, Schäden für Mensch und Umwelt zu vermeiden und die ausdrückliche Zustimmung für diese Datensammlung einzuholen.“
Die Konzentration auf spezifische Prinzipien kann Unternehmen dabei helfen, den Vorschriften immer einen Schritt voraus zu sein, zukünftige Kosten zu senken und Vorfälle in der Öffentlichkeitsarbeit im Zusammenhang mit dem Datenschutz zu begrenzen.
„Aus rein regulatorischer Sicht sollten sich Unternehmen mit der Datenethik befassen“, sagt Anand Rao, Partner und globaler KI-Leiter bei PwC.
Und das könnte geschehen. Laut einer kürzlich durchgeführten PwC-Umfrage gaben 85 Prozent der Führungskräfte von Unternehmen an, dass sie die strengsten Datenschutz- und Sicherheitsvorschriften weltweit einhalten. Die Vorschriften konzentrieren sich jedoch eher auf spezifische Details des Datenschutzes als auf das Gesamtbild.
„Das ist das zentrale Problem bei der ethischen Datenerfassung“, sagt Dipayan Ghosh, Co-Direktor des Projekts Digital Platforms & Democracy Project an der Harvard Kennedy School. „Es gibt keine Regulierungsstruktur, die dies erfordert.“ Das bedeutet, dass es keinen kommerziellen Anreiz für Unternehmen gibt, sich um die größeren ethischen Datenprobleme zu kümmern.
„Unternehmen sollten sich natürlich darum kümmern, aber sie haben derzeit keinen Anreiz, sich darum zu kümmern“, sagte Ghosh. „Das könnte sich aber alles bald ändern.“
Das PR-Risiko
Was könnte diese Veränderung bewirken und Unternehmen dazu bringen, sich um ethisches Data Mining zu kümmern? Die Antwort: Die Öffentlichkeit interessiert sich dafür.
Laut einer kürzlich von McKinsey durchgeführten Verbraucherumfrage gaben 71 Prozent der Befragten an, dass sie ihre Geschäfte mit einem Unternehmen aufgeben, das sensible Daten unerlaubt weitergibt.
„Verbrauchervertrauen aufzubauen, ist letztendlich gewinnbringend“, sagt Paige Bartley, Senior Research Analyst für Daten bei S&P Global Market Intelligence. „Wenn die Verbraucher eine vertrauensvolle Beziehung zu Ihrem Unternehmen haben, werden sie mit der Zeit mehr Geld ausgeben.“
Bei PR-Risiko geht es nicht nur um Kunden. Auch andere Interessengruppen, wie zum Beispiel Investoren, Mitarbeiter und Aufsichtsbehörden, achten auf die ethischen Fehltritte eines Unternehmens.
„Es scheint zwar, als könnten Daten zur Erzielung von Einnahmen als Waffe eingesetzt werden, aber in vielen Fällen kann das Ganze mit schlechter PR nach hinten losgehen, was ein Unternehmen aus dem Geschäft treiben kann“, erklärt David Linthicum, Chief Cloud Strategy Officer bei Deloitte Consulting.
Das Datenverlustrisiko
Verstöße sind einer der offensichtlichsten Probleme, wenn man zu viele Daten sammelt und aufbewahrt und nicht genug tut, um sie zu schützen.
Laut Risk Based Security war 2020 ein Rekordjahr für die Zahl der Datensätze, die bei Verstößen aufgedeckt wurden. Und das nur in den ersten beiden Quartalen. Ende Oktober veröffentlichte das Unternehmen einen aktualisierten Bericht: Mehr als acht Milliarden zusätzliche Datensätze wurden aufgedeckt, womit sich die Gesamtzahl für dieses Jahr bisher auf 36 Milliarden beläuft.
Aber es sind nicht nur Kriminelle, die an sensible Daten gelangen. Auch Strafverfolgungsbehörden fordern von privaten Unternehmen Daten über Einzelpersonen an, und diese Daten können auf eine Weise verwendet werden, die ursprünglich nicht erwartet wurde.
„Sehen Sie sich als Beispiel kommerzielle Genealogie-Unternehmen an, die Strafverfolgungsbehörden Zugang zu genetischen Daten gewähren“, sagt Jessica Lee, Partnerin und Co-Chair bei Loeb & Loeb. „Ich glaube nicht, dass die meisten Verbraucher – zumindest bis vor kurzem – der Ansicht waren, dass ihre Bemühungen, mehr Informationen über ihre Abstammung zu erhalten, zur Verhaftung eines Familienmitglieds führen könnten.“
Unternehmen müssten sich laut Lee im Vorfeld überlegen, wie sie auf Anfragen von Strafverfolgungsbehörden reagieren, und es den Kunden deutlich machen, damit sie die Risiken verstehen.
Das KI-Risiko
Einer der wichtigsten Aspekte der ethischen Datennutzung in der Zukunft ist der Aufbau von KI-Systemen. Eine IDC-Umfrage unter Wirtschaftsführern ergab, dass die ethische Nutzung von KI wichtig ist, um eine gute Kundenerfahrung, Datenschutz, Einhaltung von Vorschriften und das Vertrauen der Mitarbeiter zu gewährleisten. Diese Faktoren waren sogar noch wichtiger, als sicherzustellen, dass KI-Empfehlungen zu guten Geschäftsentscheidungen führen.
Inzwischen gaben etwa 65 Prozent der Befragten an, dass sie „sehr zuversichtlich“ sind, KI ethisch korrekt anwenden zu können; 33 Prozent sagten, dass ihr Vertrauen „im Allgemeinen hoch ist, sie aber Vorbehalte haben“.
„Dieses hohe Maß an Vertrauen könnte jedoch das Ergebnis eines begrenzten Verständnisses der damit verbundenen Risiken sein“, sagt Björn Stengel, Senior Research Analyst bei IDC. „Wir befinden uns in einem relativ frühen Stadium, und die Organisationen fangen gerade erst an zu erkennen, was der Einsatz von KI tatsächlich bedeutet.“
Die Umfrage zeigt auch eine Kluft zwischen dem Vertrauensniveau und der Annahme ethischer Lösungen. Mehr als die Hälfte der Befragten wollte in Systeme für die Strategie- oder Datenarchitekturphasen des KI-Entwicklungslebenszyklus investieren, im Gegensatz zu fortgeschritteneren Phasen wie Bereitstellung, Modelltraining und Überwachung.
Nur etwa sieben Prozent der Befragten gaben an, dass sie KI in großem Maßstab als Teil ihrer Unternehmensstrategie implementiert haben, während der Rest die KI in ausgewählten Geschäftsbereichen, kleinen Pilotprojekten oder noch in der Planungsphase einsetzt. „Das deutet darauf hin, dass die Reife und das Verständnis für diese Themen nicht so groß ist", sagt Stengel.
Abbildung 1: Wie die EU personenbezogene Daten definiert.
Und die potenziellen Risiken sind hoch. „Unternehmen verwenden Daten, um Entscheidungen zu treffen, die bestehende Verzerrungen verstärken und echten Schaden anrichten können“, sagt Baxter.
In jüngster Zeit gab es ethische Fälle, in denen KI-Einstellungssysteme weiße Männer bevorzugten, Kreditkartenunternehmen Frauen schlechter bewerteten und Gesichtserkennungstechnologie zur Verhaftung unschuldiger Menschen führte.
„Im Interesse des Erfolgs Ihres Unternehmens wollen Sie genaue Vorhersagen und Entscheidungen treffen“, sagt Baxter. „Aber um der Gesellschaft willen müssen Sie sicherstellen, dass Sie keine schädliche Voreingenommenheit begehen.“
Der Weg nach vorn
Um diese Probleme bei der ethischen Nutzung von Daten anzugehen, bietet Salesforce laut Baxter Schulungsprogramme für Mitarbeiter an, stellt ethische Fragen in seinem Softwareentwicklungszyklus und untersucht seine Schulungsdaten auf Verzerrungen.
Laut einer Studie, die Anfang des Jahres von FTI Consulting durchgeführt wurde, gaben 81 Prozent der Führungskräfte von Unternehmen an, dass ihre obersten Unternehmensleiter und Vorstandsmitglieder über Kenntnisse in Fragen der Einhaltung des Datenschutzes verfügten und sich zur Einhaltung verpflichtet hätten. Tatsächlich planten 97 Prozent der Unternehmen eine Erhöhung der Ausgaben für den Datenschutz – durchschnittlich um 50 Prozent.
Der knifflige Teil besteht laut Max Kirby, Customer Data Platform Practice Lead bei Publicis Sapient, einem Beratungsunternehmen für digitale Unternehmen, darin, die philosophischen Grundsätze ethischen Datenmanagements mit praktischen Umsetzungsrichtlinien zu verbinden, die von den Entwicklern verstanden werden.
„Es gibt nicht viele Philosophen, die auch Technologen sind“, sagt er. Obwohl sich das wahrscheinlich ändern wird. „In der Zwischenzeit ist das, was die Kluft überbrückt, die Veröffentlichung eines Playbooks, [ein Dokument mit Grundsätzen], das Ihre Haltung und Philosophie erklärt und erklärt, wie Sie den Datenschutz betrachten.
„Aber es gibt viele weitere Organisationen, die Richtlinien erstellen“, sagt Kirby. „Sie zielen auf die zugrundeliegenden Prinzipien ab, nicht auf eine bestimmte Reihe von Gesetzen oder Praktiken. Wir befinden uns hier allerdings immer noch am Anfang.“
