Wie sich Datenrisiken gefahrlos bestimmen lassen

Sandboxing, nicht nur in der IT-Sicherheit

Aus der Cybersicherheit ist Sandboxing bekannt, also eine geschützte, spezielle Umgebung, in der zum Beispiel eine Datei ausgeführt werden kann, um mögliche Schadfunktionen erkennen zu können, ohne dabei ein Risiko einzugehen. Solche Verfahren sind nicht auf die IT-Sicherheit beschränkt, auch für den Datenschutz ist so etwas denkbar und möglich.

Seit Oktober 2024 arbeiten Forschende der Universität Bayreuth in Zusammenarbeit mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz an den Grundlagen für solche digitalen Experimentierumgebungen. In diesen Sandboxes können Unternehmen und Behörden künftig die Datenschutzkonformität ihrer Anwendungen testen. Das Projekt wird vom Bundesministerium für Bildung und Forschung (BMBF) gefördert.

Rechtsverstöße vorab erkennen, ohne sie zu begehen

Eine sogenannte „Regulatory Sandbox“ könnte helfen, Rechtsverstöße und Datenschutzprobleme zu vermeiden, gleichzeitig aber die Erprobung neuartiger Anwendungen im „regulatorischen Sandkasten“ zu ermöglichen und so die Innovationskraft zu fördern, so die Datenschutzaufsicht von Rheinland-Pfalz. In naher Zukunft sollen in Kooperation mit den Aufsichtsbehörden mögliche Datenschutzprobleme in einem gesicherten Raum erkannt werden, bevor die Anwendungen auf den Markt kommen.

In einem ersten Schritt werden die rechtlichen Bedingungen und technischen Voraussetzungen für die Einrichtung einer solchen Sandbox erfasst. Anschließend wird eine Datenschutz-Sandbox bei der Datenschutzaufsicht eingerichtet und rechts- sowie IT-wissenschaftlich analysiert. Am Ende des Projekts und damit im Jahr 2027 soll ein praktischer Leitfaden entstehen, der den anderen 17 Datenschutzaufsichtsbehörden in Deutschland die Einrichtung einer Datenschutz-Sandbox erleichtern soll.

„Unser Projekt ist ein wichtiger Schritt in Richtung sicherer und innovativer digitaler Anwendungen in Deutschland. Wir stellen damit eine Balance zwischen dem Schutz sensibler Daten und der Förderung von Innovationen her, indem wir eine Umgebung schaffen, in der Unternehmen neue Technologien und Lösungen testen können, ohne die Privatsphäre der Nutzenden zu gefährden“, sagte Prof. Dr. Christoph Krönke vom Lehrstuhl Öffentliches Recht I der Universität Bayreuth

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Kugelmann, machte deutlich: „Innovation ist datenschutzkonform möglich. Wir als Aufsichtsbehörde haben größtes Interesse daran, dass die Anforderungen des Datenschutzes von Anfang an in die Entwicklung neuer Technologien einfließen. Mit der Datenschutz-Sandbox schaffen wir eine Win-Win-Situation: Meine Behörde kann frühzeitig intensiv beraten, Unternehmen können ihre Anwendungen in einem klar abgesteckten Rahmen rechtssicher testen und entwickeln. Die Bürgerinnen und Bürger profitieren schließlich von Produkten, die ihre Rechte und Freiheiten im nötigen Maße achten, statt sie zu gefährden.“

Datenschutz bei KI vorab testen und bewerten

Gerade bei KI-Anwendungen ist es nicht einfach, für die erforderliche Transparenz zu sorgen und die möglichen Datenrisiken vor der Einführung zu erkennen. Aber es ist zwingend erforderlich, denn die Datenschutzfolgenabschätzung bei KI darf im Datenschutzkonzept nicht fehlen.

Auch der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen begleitet als Projektpartner entsprechend hilfreiche Entwicklungen, zum Beispiel das Forschungsprojekt CRAI zur Entwicklung vertrauenswürdiger KI-Anwendungen für den Mittelstand. Im Rahmen des Projekts entsteht in Niedersachsen ein Reallabor, in dem praxisnahe Lösungen für den Einsatz vertrauenswürdiger, auf Künstlicher Intelligenz (KI) basierter Geschäftsmodelle in mittelständischen Unternehmen entwickelt werden.

Dazu der Landesbeauftragte für den Datenschutz, Denis Lehmkemper: „Wir freuen uns, als Teil dieses innovativen Projekts zum Entwickeln datenschutzfreundlicher und vertrauenswürdiger KI-Anwendungen beizutragen. Wir erhoffen uns darüber hinaus wichtige Impulse zu Anwendung und gegebenenfalls Weiterentwicklung des Rechtsrahmens rund um Reallabore und Künstliche Intelligenz.“

Der LfD Niedersachsen übernimmt innerhalb des Projekts eine zentrale Rolle in der datenschutzrechtlichen Bewertung der eingesetzten KI-Methoden, insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten. Ziel ist es, die Anforderungen und Bedingungen für einen datenschutzkonformen Betrieb des Reallabors zu erarbeiten und in die Praxis umzusetzen. Die Forschungsergebnisse des LfD Niedersachsen und der weiteren Projektpartner sollen zudem dazu beitragen, künftige KI-Anwendungen von vornherein vertrauenswürdig und datenschutzkonform aufzustellen.

Datenschutz-Sandboxes und KI-Labore mit Datenschutz-Beteiligung erscheinen als der richtige Weg, Datenrisiken bei neuen Technologien wie KI frühzeitig zu erkennen. Dies wird Unternehmen in Zukunft ohne Zweifel helfen, die Datenschutzfolgen von KI bewerten zu können.