Seit 2022 fördert das Bundesministerium für Bildung und Forschung (BMBF) Pilotprojekte auf Grundlage der „Richtlinie zur Förderung von Projekten zur Entwicklung und praktischen Erprobung von Datentreuhandmodellen in den Bereichen Forschung und Wirtschaft“. Zweck der Förderung ist es, Datentreuhandmodelle (DTM) in unterschiedlichen Anwendungsbereichen der Wissenschaft und Wirtschaft zu konzipieren, zu entwickeln und in einem Pilotbetrieb unter realen Praxisbedingungen zu testen. Die in unterschiedlichen Anwendungsbereichen verankerten und zugleich anwendungsbereichsübergreifenden Pilotprojekte sollen die praktischen Mehrwerte von geteilten Datenbeständen für Forschungs- und Innovationsvorhaben aufzeigen und darüber hinaus mögliche, noch auftretende Herausforderungen identifizieren und adressieren. 

Erste Projekte konnten bereits erfolgreich abgeschlossen werden, während andere Vorhaben noch auf der Zielgeraden sind. Schritt für Schritt soll daher auf dieser Seite der Blick auf Erkenntnisse und praktische Erfahrungen der Pilotprojekte gerichtet und die DTM-Projekte in einer Portraitreihe in Form von Interviews nach und nach vorgestellt werden.

Interview mit TrustNShare – Partizipativ entwickeltes, Smart-contract basiertes Datentreuhandmodell mit skalierbarem Vertrauen und Inzentivierung 

Das Projekt „TrustNShare“ zielt auf die Konzeption und Etablierung eines Datentreuhandmodells, das quasi-kontinuierliche Abstufungen von Vertrauen und Anreizen zur Kalibrierung bestmöglicher Datennutzungsszenarien verwendet. Als beispielhafter Anwendungsfall dient die Healthy Navigation App, eine mobile Navigationsanwendung zur Empfehlung gesundheitsförderlicher Routen im Alltag von Studierenden. Um Akzeptanz und Wirksamkeit des im Projekt entwickelten Datentreuhandmodells durch potentielle Datengebende und -nehmende zu gewährleisten, werden diese in die wissenschaftliche Untersuchung relevanter Einflussgrößen von Data Sharing aktiv eingebunden. Die Erarbeitung und Ausgestaltung von Incentives im Rahmen des Datentreuhandmodells erfolgt in einem partizipativen Forschungsprozess gemeinsam mit Datengebenden und -nehmenden.

Im nachfolgenden Interview sprechen Prof. Dr. Cord Spreckelsen (Gesamtprojektleitung „TrustNShare“ und Arbeitsgruppenleitung Medizinische Informatik, Universitätsklinik Jena), Dr. Sven Amaru Bock (Teilprojektleitung „TrustNShare“, DLR) und Dr. Friederike Klan (Abteilungsleitung „Data acquisition and mobilization“, DLR) über die zentralen Ergebnisse des Projektes und schildern ihre praktischen Erfahrungen bei der Konzeption und Umsetzung von Datentreuhandmodellen.

Welches Problem wollen Sie mit Ihrem Datentreuhandmodell konkret lösen? Welchen Bedarf versuchen Sie, damit zu adressieren? (Auf Seiten der Datengebenden wie Datennutzenden)

Datentreuhänderschaft spielt eine Schlüsselrolle zur Inzentivierung, zur Qualitätssicherung und für den Datenschutz beim Teilen von Daten. Ausgangspunkt von TrustNShare ist, dass einige Datenschutzverfahren es erlauben, das Schutzniveau frei zu wählen, also einzustellen, wie hoch das Risiko ist, dass der Bezug von den Daten zu einer Person wiederhergestellt werden kann (das Re-Identifizierungsrisiko). Einem hohen Schutzniveau steht dann aber oft ein stärkerer Eingriff in die Daten, z. B. stärkere Verallgemeinerung, gegenüber. Daten werden dann weniger aufschlussreich und weniger nützlich für die Datennutzenden. Ähnlich abgestuft, wie das Schutzniveau, kann auch die Reputation der Datennutzenden ausfallen – von ausgezeichneter Vertrauenswürdigkeit bis zu niedriger. Vor diesem Hintergrund geht es in TrustNShare darum, möglichst flexibel das Schutzbedürfnis der Datengebenden, ihre Ansprüche an die Vertrauenswürdigkeit der Datennutzenden, die Ansprüche an die Datenqualität seitens der Datennutzenden und deren Bereitschaft, Anreize zu geben, in ein Gleichgewicht zu bringen. Das soll auch technisch unterstützt werden.

Re-Identifizierungsrisiken merkmalsreicher Datensätze führen dabei zur besonderen Herausforderung, dass sich inzwischen die harte Grenze zwischen datenschutzpflichtigen Daten mit Personenbezug und anonymen Datensätzen immer mehr auflöst. Allerdings erlauben gerade im datenintensiven Bereich des maschinellen Lernens etablierte Verfahren wie Differential Privacy oder Distributed Privacy Preserving Computing einen fein justierbaren Informationsfluss, d. h. die flexible Wahl des Grads der Datenfreigabe und damit verknüpft: des Re-Identifizierungsrisikos. An die Stelle einer binären Entscheidung für vs. gegen die Freigabe von Daten tritt das graduelle Tolerieren von größeren vs. kleineren Re-Identifizierungsrisiken. Idealerweise sollten Datengebende ihre eigene Risikotoleranz flexibel und kontextabhängig an einen Vertrauenszuwachs bzw. -abbau anpassen können. Hier setzt das Projekt TrustNShare an. Ziel ist die Entwicklung eines Datentreuhandmodells, welches eine transparente Feinabstimmung von Vertrauenswürdigkeit, Risikotoleranz und Datenfreigabe unterstützt.

Welchen Ansatz verfolgen Sie hinsichtlich des Geschäftsmodells/Betriebsmodells Ihres Datentreuhänders?

In TrustNShare steht nicht das Geschäftsmodell/Betriebsmodell einer eigenständigen Datentreuhandinstitution im Mittelpunkt. Stattdessen geht es darum, das partizipativ entwickelte Modell zur Abstimmung zwischen Datengebenden und Datennutzenden durch eine App, den Trust-Navigator zu unterstützen. Die Plattform unterstützt gezielt den Aushandlungsprozess der zu für beide Seiten vorteilhaften Datennutzungskontrakten führt. Diese werden auf der Grundlage feingranularer Präferenzen des Datennehmenden hinsichtlich des Teilens sensibler Daten sowie der durch den Datennehmenden angebotenen Incentives und dessen Reputation konstruiert. Ihre Umsetzung wird manipulationssicher protokolliert. Das eigentliche Geschäftsmodell zielt auf Beratungs- und Customizing-Services zur und ggf. Lizensierung der im Projekt entwickelten technischen Plattform.

Welche Governance-Struktur streben Sie an? Wie sollen Entscheidungen bezüglich des Datenzugangs, der gemeinsamen Nutzung und der Nutzungsrichtlinien geregelt werden? 

Es werden individuelle Datennutzungskontrakte zwischen Datennutzenden und Datengebenden mittels der TrustNShare-Plattform vorgeschlagen, geschlossen und manipulationssicher protokolliert. Die Entscheidung bezüglich des Datenzugangs erfolgt, wenn die Bedingungen an Reputation, Datenschutzniveau und spezifische Anreizfaktoren erfüllt sind, von welchen die Datengebenden ihre Einwilligung zur Nutzung ihrer Daten abhängig gemacht haben.

Anhand des Protokolls kann nachgewiesen werden, unter welchen Bedingungen der Datenzugang gewährt wurde. Es kann auch nachgewiesen werden, welche Qualitätsanforderungen – bezogen auf die Effekte des Schutzniveaus – die Datennutzenden an die Daten gestellt haben. So sind manifeste Abweichungen von der vereinbarten Datennutzung klar definiert und können rechtlich beurteilt werden.

TrustNShare sieht allerdings keine vollständige Automatisierung der Datentreuhandservices vor.

Die Verifikation der Datenqualität auf der einen und reputationsrelevanter Auskünfte der Datennutzenden auf der anderen Seite müssen institutionell verankert und verantwortet werden.

Auf welcher technischen Basis funktioniert Ihr Datentreuhandmodell? Welche Strukturen und Instrumente werden dafür genutzt?

Wir nutzen Standard-Web- und Datenbanktechnologie (http-Server, Dokumentenbasiertes Datenbankmanagementsystem – konkret node.js express und mongoDB für das Backend und React für das Frontend) unter Verwendung von etablierten Verfahren der Transportverschlüsselung. Das Web-Backend wird containerbasiert aufgesetzt und betrieben auf einer Docker-Platform. Als wichtige technische Komponente umfasst die technische Basis des Datentreuhandmodells die manipulationssichere Transaktionsprotokollierung in einer Blockchain. Hierfür werden Hyperledger Fabric und Hyperledger Firefly eingesetzt.

Wie wollen Sie das Vertrauen der Datengebenden und Datennutzenden gewährleisten, gerade auch vor dem Hintergrund möglicher Datenschutzbedenken?

Nach einer umfassenden Analyse empirischer Befunde bezüglich der (subjektiven) Befürchtungen Datengebender in Bezug auf das Teilen von Aktivitätsdaten thematisieren, wurden in einer weiterführenden Recherche Anreize erarbeitet, welche die Bereitschaft der Datengebenden für das Teilen ihrer Daten erhöhen sollen. Auf Basis dieser Recherchen wurde eine Fragebogenstudie konzipiert und durchgeführt, um die internationalen Befunde auf nationaler Ebene zu verifizieren. Hieraus resultierten folgende empirische Befunde:

Die Datenspendenden wünschen sich Transparenz und Kontrolle über ihre geteilten Daten. Sie möchten Einblick in das Datenmanagement, klare Informationen über den Verwendungszweck ihrer Daten sowie darüber, wer die Daten erhält. Einfach gestaltete Benachrichtigungen sind ihnen wichtig. Zudem möchten sie entscheiden können, welche Daten weitergegeben werden und an wen, einschließlich der Granularität der Datenfreigabe. Die Mehrheit bevorzugt eine Opt-In-Lösung für die Einwilligung zur Datenweitergabe und legt großen Wert auf Anonymisierung, um eine Re-Identifizierung zu vermeiden. Aus diesem Grund entwickeln wir mit der Trust-Navigator-App ein benutzerfreundliches Interaktionswerkzeug für Datengebende und Datennehmende, welches die genannten Bedürfnisse adressiert.

Mit Hilfe der Trust-Navigator-App wird die Kommunikation zwischen Datengebenden und Datenempfängern in anonymer Form ermöglicht. Hierbei haben die Datengebenden die Möglichkeit, im Rahmen eines Reputationsmodells ihre Erwartungen, Bedingungen und ggf. Kompensationswünsche anzugeben. Diese Voraussetzungen werden anschließend vom Trust Center mit den Angeboten und Profilen der Datenempfänger abgeglichen, um den Datenspendenden zu ermöglichen, ihre Daten mit den Institutionen zu teilen, die ihren Anforderungen und Voraussetzung am besten entsprechen. Wie bereits beschrieben, werden dann alle Transaktionen, die sich auf den Datenaustausch beziehen manipulationssicher in einer Blockchain protokolliert. Die Identität der Beteiligten ist dabei unter Nutzung von Public-Private-Key-Verfahren so verborgen, dass eigene Transaktionen zwar zugeordnet, eingesehen und verifiziert werden können, für die übrigen Transaktionen der Bezug auf Personen oder Institutionen jedoch verborgen bleibt.

Welche bemerkenswerten Erfolge oder Meilensteine wurden bei der Entwicklung Ihres Datentreuhänders erreicht? 

Auf Basis unserer empirischen Befunde konnten wir ein Reputationsmodell zur Einschätzung der (subjektiven) Vertrauenswürdigkeit Datennehmender entwickeln. Darüber hinaus wurden Anreize konzipiert, welche mögliche Risiken beim Teilen sensibler Daten kompensieren sollen und so das Teilen von Daten befördern.

Auf dieser Basis wurde dann unser Transmissionsmodell konzipiert und umgesetzt. Das Transmissionsmodell fragt danach, in welcher Höhe potenzielle Datennutzende Anreize für welche Datenqualität – bezogen auf datenverändernde Maßnahmen zum Schutz vor Re-Identifizierung – setzen würden. Es fragt auch welche Kompensationen für Re-Identifizierungsrisiken die Datengebenden erwarten. Das kann natürlich nicht für jede der sehr vielen unterschiedlichen Einstellmöglichkeiten des Datenschutzniveaus erfragt werden. Ein wichtiger erreichter Meilenstein ist es, dass wir ein Transmissionsmodell konzipieren konnten, das eine – auch entscheidungspsychologisch begründete – Berechnung erwarteter Kompensationen, bzw. angebotener Anreize je Schutzniveau erlaubt, wenn die Erwartung bzw. Bereitschaft für einige wenige ausgewählte Schutzniveaus erfragt wurde. Das Transmissionsmodell rechnet also die fehlenden Zwischenwerte hoch.  

Gibt es Herausforderungen oder Hindernisse, die während des Prozesses aufgetreten sind? Falls ja, wie sind Sie damit umgegangen?

Konzeption und Entwicklung eines Datentreuhänders sind eine interdisziplinäre Aufgabe. Eine Herausforderung bestand darin, empirische Forschung und technische Entwicklung im Projektgut aufeinander abzustimmen und eine gemeinsame Kommunikationsebene zu finden. Dies ist bisher durchaus gut gelungen, durch Workshops und regelmäßige Treffen und nicht zuletzt durch die große Offenheit und Zugänglichkeit aller Projektbeteiligten.

Was hat Sie bei der Entwicklung Ihres Datentreuhänders am meisten überrascht? 

Bei der Auswertung der Fragebogenstudie ergaben sich teilweise überraschende Ergebnisse: In dem Fragebogen wurden die Probanden gebeten abzuschätzen, welche Aktivitätsdaten Daten von entsprechenden Geräten aufgezeichnet werden. Darüber hinaus wurde in einer weiteren Frage die Bereitschaft zum Datenteilen erfasst. Wir gingen davon aus, dass die Bereitschaft, Aktivitätsdaten zu teilen, mit der vermuteten Anzahl der aufgezeichneten Datenarten negativ korrelieren würde. Hintergrund dieser Annahme war es, dass Personen die davon ausgehen, dass eine hohe Anzahl von Daten erfasst wird, weniger gewillt sind diese Daten zu teilen als Personen, die von einer niedrigen Anzahl von Daten ausgehen. Diese These konnte jedoch nicht bestätigt werden.

Wie stellen Sie sich die künftige Wirkung und Skalierbarkeit Ihres Datentreuhänders vor? Was sind Ihre Pläne für weitere Forschung, Zusammenarbeit oder den Praxiseinsatz?

Das Geschäftsmodell konzentriert sich auf Beratungs- und Customizing-Services zu unserem Datentreuhandmodell und ggf. die Lizensierung der entwickelten Software. Ein weiteres Ziel ist es, unsere Forschung zu den Themen Vertrauensbildung in Datentreuhändern und Anreizen fortzusetzen und auf andere Anwendungsdomänen zu übertragen.

Weitere Interviews der Portraitreihe

KickStartTrustee

Das Projekt KickStartTrustee (KST) entwickelt ein umfassendes Framework für Datentreuhänder, das organisatorische, juristische und technische Unterstützung bietet. Es stellt Hilfestellungen, Methoden und technische Komponenten bereit, um die Realisierung von Datentreuhändern zu begleiten und mögliche rechtliche Grundlagen für den Datenaustausch aufzuzeigen. Zukünftige Entwicklungen und Kooperationen sollen das Framework weiter ausbauen und in konkreten Vorhaben nutzen können. Zum Interview

S3I Trusted Data Exchange and Analytics

Das Projekt S3I Trusted Data Exchange and Analytics (S3I-X) konzentriert sich auf die Entwicklung eines Datentreuhandmodells im Bereich der Forstwirtschaft, das sichere, transparente und effiziente Datennutzung zwischen verschiedenen Akteuren wie Waldbesitzerinnen und -besitzern, Unternehmerinnen und Unternehmern und Holzlogistik ermöglicht. Zum Interview

MobiDataSol

Das Projekt MobiDataSol entwickelt ein Datenökosystem für intelligenten organisationsübergreifenden Datenaustausch im Kontext einer Smart City auf kommunaler Ebene. Im Fokus des Projekts steht die urbane Mobilitätswende. Zum Interview

DDtrust – Dresden Data Trust Center

Im Verbundprojekt "Dresden Data Trust Center (DDtrust)" wird ein anwendungsgetriebenes Datentreuhandmodell an der TU Dresden für den sächsischen Wissenschafts- und Wirtschaftsraums entwickelt und praktisch erprobt. Das Datentreuhandmodell ist dabei domänen- und sektorenübergreifend ausgerichtet. Die Pilotanwendung erfolgt dabei mit einer Reihe unterschiedlicher Forschungsdaten aus den Fachdisziplinen Psychologie, Medizin, KI-Forschung, Ingenieurswesen und Geschichtswissenschaft. Zum Interview