Neue Modelle ermöglichen

Eine Datentreuhand ist gewünscht, so lautet der Kanon aus Politik, Wirtschaft und Gesellschaft. (vgl. Datenethikkommission 2019; Bundesregierung 2021: Abschnitt 2.3; Rat für Informationsstrukturen 2021). Diese soll als Alternativmodell unter anderem zu großen Plattformen dienen, denen vorgeworfen wird, Datenmacht anzusammeln und primär zum eigenen Nutzen auszuüben. Erste Konzepte von «neuen» Datenintermediären gibt es an vielen Stellen, von Personal Information Management Systems (PIMS)/ Einwilligungsassistenten, dem Gesundheitskontext, Forschungsdatenzentren hin zu Datenhubs für vernetzte Autos. Jedoch hat sich noch keiner der Ansätze durchgesetzt, und die Hoffnungen auf ihr transformatives Potenzial stehen einer zögerlichen Adaption in der Praxis gegenüber.

Zugleich werden, getrieben durch die problematischen Erfahrungen mit etablierten Datenhändlern, die Rufe laut nach einer Regulierung, die sicherstellt, dass eine Datentreuhand vertrauenswürdig ist. Besonders deutlich wird dies im Entwurf des Data Governance Acts (DGA), der Datendienste auf europäischer Ebene regulieren soll. Allerdings riskieren solche übergreifenden Regulierungsvorhaben, die noch zarten Datentreuhand-Entwicklungen im Keim zu ersticken. In diesem Fall profitieren die etablierten Anbieter, und zugleich bleibt das Ziel auf der Strecke, mehr produktiven Datenaustausch zu ermöglichen. (vgl. Specht-Riemenschneider et al. 2021).

In diesem Papier beschreiben wir die Autorinnen, wie anstelle einer One-size-fits-all-Lösung eine risikobasierte Regulierung sektorspezifische Risiken und Probleme adressieren kann, um damit die Entwicklung von Datentreuhändern zu ermöglichen. Dazu erfassen wir die Autorinnen den Begriff der Datentreuhand zunächst definitorisch, bevor sie einen risikobasierten Ansatz vorschlagen. Mit diesem leiten wir werden mögliche Elemente einer Regulierung für bestimmte Anwendungsfälle abgeleitet.