Bei Datenschutz geht es in erster Linie um individuelle Autonomie und Kontrolle. Bei Nachhaltigkeit scheint das eher hinderlich. Prinzipiell sind Umweltdaten wertvolle Inputs, um Veränderungen und Ressourcenverfügbarkeit und -verbrauch zu überwachen und zu optimieren. Bei Datenschutz im Zusammenhang mit Nachhaltigkeit geht es jedoch nicht nur um den Schutz eigener Daten. Es geht darum, Vertrauen in die Technologien zu stärken, die Nachhaltigkeit fördern. Es geht darum, Verantwortung zu übernehmen für die Transformation in eine nachhaltige, ressourcenschonende Zukunft. [1]
Bei Nachhaltigkeit von Unternehmen geht es beispielsweise darum, wie diese mit natürlichen Ressourcen umgehen und wie ihr CO²-Fußabdruck aussieht. Besonders in unserer digitalisierten Welt sammeln Organisationen immer umfassendere Mengen an personenbezogenen und personenunabhängigen Daten. Unter anderem zur Verarbeitung dieser Daten werden zunehmend auch KI-Modelle benutzt. Diese immensen Datenmengen zu sammeln und verarbeiten ist nicht nur aufwendig zu programmieren und mit viel Risiko verbunden es ist auch anfällig für hohen Ressourcenverbrauch. Auch von der Datensammlung selbst abgesehen: Je mehr Daten gesammelt werden, umso mehr Speicherplatz ist dafür erforderlich. Dafür ist neben Platz für Server- und Backupgeräten auch die Energie aufzubringen, diese Geräte am Laufen zu halten. Weiterhin sind besonders KI-Technologien in der Lage, große Mengen von Wasser und Energie zu verbrauchen, um betrieben zu werden – je nachdem, welches Modell auf welche Art genutzt wird [3].
Nachfolgend werden einige Prinzipien vorgestellt, die dabei helfen können, den Verbrauch von Energie und Ressourcen im eigenen Unternehmen zu minimieren. Wer sich schon mit Datenschutz und der Stärkung dessen in der eigenen Organisation beschäftigt hat, dem werden viele dieser Prinzipien vertraut vorkommen. Für wen dieser Bereich noch gänzlich neu ist, sei dieser Blogbeitrag zu den sieben Prinzipien privatsphäreschützenden Designs empfohlen. Im Fokus ist hier: Nachhaltigkeit durch Datenschutz.
Noch vor Beginn der Datensammlung ist die Entscheidung zu treffen, wie viele und welche Informationen überhaupt erhoben werden sollen. Dabei sollte dem Prinzip der „Datenminimierung“ gefolgt werden. Das bezeichnet grundlegend, dass nur unbedingt notwendige Daten erhoben werden sollen, um das spezifische Ziel der Erhebung zu erreichen. Dadurch verringern sich die Kosten und der Energieverbrauch für die Erhebung und Speicherung der geringeren Datenmengen. Gleichzeitig senkt das auch den Schaden, der durch mögliche Datenlecks oder Cyberangriffe verursacht werden kann und verringert die Daten, die ein Individuum preiszugeben hat [2;3;5]. Ein Subkonzept, um Datenminimierung zu erreichen, ist das der „Differenziellen Privatsphäre“. Darunter sind Techniken zu verstehen, die ein voreingestelltes „Rauschen“ zu den erhobenen Daten hinzufügen. So können trotz kleinerer, umweltfreundlicherer Datensätze die einzelnen Individuen in ihrer Privatsphäre geschützt und dennoch die gewünschten Ergebnisse statistisch wertvoll betrachtet werden [4]. Auch das Unterkonzept der „Zwecklimitation“ fällt in diese Kategorie. Damit ist gemeint, dass nur die Daten erhoben werden sollen, die für den zugrundeliegenden Zweck tatsächlich relevant sind und die so auch dem Datengeber kommuniziert wurden [5].
Nach Erhebung der Daten sind diese zu lagern. Dabei sollte auf verschiedene Datenschutz- und Nachhaltigkeitsprinzipien Rücksicht genommen werden. So hilft zum Beispiel die Verteilung der Datenspeicherung auf dezentrale Netzwerke statt in energieaufwendige zentralisierte Strukturen bei der Minimierung des Energieverbrauchs. Netter „Nebeneffekt“: die Erhöhung der Sicherheit und der Widerstandsfähigkeit gegen lokal begrenzte Risiken [4]. Weiterhin gilt es als Richtlinie, angemessene Sicherheitsvorkehrungen zu treffen hinsichtlich der personenbezogenen Daten, die in Besitz oder zumindest unter eigener Kontrolle liegen. Dazu gehört auch, die Daten sicher zu vernichten, sollten sie nicht mehr benötigt werden. Dadurch lässt sich sowohl Nachhaltigkeit als auch der Schutz der Daten stärken [5]. Darüber hinaus können interne Vorgaben zur automatischen Löschung nicht länger benötigter Daten diesen Prozess optimieren, Ressourcen und Speicherplatz freigeben und Energieverbrauch verringern bei gleichzeitigem Schutz der gelöschten Daten vor unrechtmäßigem Gebrauch. Zum Ende der Speicherung sollten die Daten dann auch angemessen entsorgt werden. Dabei kann Kontakt mit qualifizierten Entsorgungs- und Recyclingorganisationen aufgenommen werden, um sicherzugehen, dass die Daten vollständig gelöscht und die Speichermedien wiederverwendet werden [4].
Bei der Verarbeitung der gespeicherten Daten, besonders über KI-Modelle, kann auch jede Menge Energie gespart und Datensicherheit gewonnen werden. Diese Modelle sollten beispielsweise nur mit dem Mindestmaß an Datensätzen versorgt, „trainiert“ und genutzt werden – so werden weniger Daten angreifbar gemacht und gleichzeitig Ressourcen eingespart. Ferner sollte dieses „Training“ über dezentralisierte Netzwerke, also beispielsweise über verschiedene Netzwerke hinweg, stattfinden. Die Gründe dafür sind dieselben wie für die dezentrale Speicherung: Nutzung lokaler, erneuerbarer Energien über Standorte hinweg bei erhöhter Resilienz gegen regionale Risiken. Auch kann sogenannte „homomorphe Verschlüsselung“ eingesetzt werden. So wird die Datenverschlüsselung genannt, die eine Verarbeitung ohne Entschlüsselung ermöglicht, wodurch Datensicherheit bei verringertem Energieverbrauch gewährleistet wird.
Abschließend ist zu erwähnen, dass die meisten dieser Konzepte und Prinzipien kaum oder gar nicht funktionieren, wenn kein Vertrauen erreicht wird. Dabei kann Vertrauen dadurch erreicht werden, dass Transparenz und Verantwortung von Seiten des Unternehmens übernommen werden. Dieser Punkt ist als letzte Überschneidung von Datenschutz und Nachhaltigkeit zu erwähnen. Unternehmen, die für Offenheit sorgen und so transparent und verantwortungsbewusst handeln, haben einen entscheidenden Vorteil: Sie sind für interne und externe Überprüfungen zugänglich. Nicht nur ist es gut möglich, dass Gesetzesvorgaben eine solche Offenheit schon bald obligatorisch machen. Es sorgt weiterhin dafür, dass Probleme hinsichtlich Datenschutz und Nachhaltigkeit, mögliche ineffiziente oder unsichere Prozesse und Risiken schnell sichtbar gemacht und optimiert werden können. So kann Vertrauen zum Unternehmen aufgebaut werden und die eigene Verpflichtung zu Datenschutz und Nachhaltigkeit glaubwürdig umgesetzt werden – nicht zuletzt dank der vielen Überschneidungen zwischen den Konzepten.
Autor: Martin Köhler
[2] https://entrd.nl/en/privacy-first-sustainability-navigating-the-green-path/
[4]https://secureprivacy.ai/blog/sustainable-privacy-data-protection-environmental-social-governance
[6] https://www.digitalzentrum-fokus-mensch.de/kos/WNetz?art=News.show&id=2516
