Das Sitra Rulebook als internationaler Referenzrahmen
Vielfältige Gründe sprechen für einen Datenaustausch über Organisationsgrenzen hinweg. Während die Vorteile kaum strittig sind, gibt es jedoch große Bedenken bezüglich der Umsetzung. Ganz weit oben auf der Liste der Entscheider liegt der Wunsch nach Gewährleistung von Datenschutz und Datensicherheit sowie nach einer kontrollierbaren Weiterverwendung der Daten. Oftmals führt eine unzureichende Klärung dieser Hindernisse zu einer unvollständigen Individuallösung oder gar zur Verhinderung der Operationalisierung. Hier bietet nun ein Regelwerk Abhilfe, das ein strukturiertes Vorgehen ermöglicht und auch Vorlagen für die Umsetzung beinhaltet. Als maßgeblich Beteiligte bei dessen Erarbeitung stellen wir das Regelwerk für faire Datenökonomie des finnischen Innovationsfonds Sitra vor und berichten von ersten erfolgreichen Umsetzungsprojekten. Dieses Regelwerk kann für jedes Unternehmen, das ein eigenes Datennetzwerk aufbauen oder an einem Datenökosystem teilnehmen möchte, systematisch angepasst und implementiert werden.
Von Datenaustausch, Datennetzwerken und Datenräumen
Der Wert von Daten in Wirtschaft und Gesellschaft nimmt zu und wird im Informationszeitalter mit demjenigen von Öl im Industriezeitalter verglichen. Organisationen rund um die Welt erkennen, dass Daten für Unternehmen oft unerlässlich sind, um den Gewinn zu steigern, das Management und die Innovation zu verbessern und eine Ressource für das Erreichen langfristiger Nachhaltigkeit zu sein.
Andererseits sind Daten eine ganz andere Art von Ressource als Öl. Der Wert von Daten ist in hohem Maße kontextabhängig und verändert sich mit dem beabsichtigten Verwendungszweck und -zeitpunkt. Daten können wiederverwendet und weitergegeben werden, oft ohne das Risiko, dass sie erschöpft werden oder an Wert verlieren. Daher sind neue Strategien erforderlich, die es Unternehmen ermöglichen, das Beste aus ihren internen Daten herauszuholen und sich gleichzeitig an Ökosystemen für den Datenaustausch zu beteiligen.
Der Datenzugang und die gemeinsame Nutzung von Daten tragen auch dazu bei, bestimmte gesellschaftliche, politische und rechtliche Ziele zu erreichen, die im öffentlichen Interesse liegen. Auch der Einzelne kann davon profitieren, wenn Daten leichter zwischen Dienstanbietern ausgetauscht werden können und gleichzeitig das Recht auf Privatsphäre und Datensouveränität gewahrt bleibt. Dem entgegen stehen zahlreiche Bedenken. Typische Hemmnisse für Unternehmen und Organisationen, sich an Datenaustausch zu beteiligen, sind unter anderem:
- Fehlende semantische Interoperabilität der Daten
- Fehlende Einigung auf neue Rollen und deren Aufgabenbeschreibung
- Unzureichende Datenqualität
- Bedenken, die Kontrolle über ihre wertvollen Daten und Handelsgeheimnisse zu verlieren, wenn sie diese mit anderen teilen
- Bedenken, Datenschutzregeln ungewollt zu unterlaufen
- Schwierigkeiten, die Vorteile von Datenaustausch darzustellen; fehlende Definition von Erfolg und Wert von Datenökosystemen
Auch Privatpersonen verlangen nach Fairness, Transparenz und besseren Kontrollmöglichkeiten bei der Verwendung ihrer persönlichen Daten. Es besteht ein großer Bedarf, das Vertrauen in Daten und KI zu verbessern und gleichzeitig Vertrauen zwischen den beteiligten Parteien zu schaffen.
Doch wie können Hemmnisse reduziert und die vielversprechenden Vorteile in der Realität erreicht werden? Voraussetzung ist zunächst, dass die Organisation bereits reflektiert hat, worin der eigene Mehrwert der gemeinsamen Nutzung von Daten in einem Netzwerk besteht. Dann sollten die Hauptakteure gemeinsam eine Vision für ihre Bemühungen um die gemeinsame Nutzung von Daten formulieren. Dieser kollaborative Ansatz erleichtert es zu überlegen, wie die gewünschten Geschäftsziele in der Praxis erreicht werden können – und auf mögliche Schwachstellen des eigenen Geschäftsmodells zu achten, wenn die Datenressourcen einer Organisation gemeinsam genutzt werden.
Ein Unternehmen kann sich dann ein eigenes Datennetzwerk aufbauen, über das es mit seinen Geschäftspartnern den Austausch organisiert. Werden mehrere solcher Datennetzwerke zusammengelegt, spricht man von einem Datenökosystem.
Eine Möglichkeit, ein Datennetzwerk beziehungsweise Datenökosystem umzusetzen, ist die Schaffung von Datenräumen (Data Spaces). „Datenraum“ ist ein neues Konzept, das auf der Idee der dezentralen Integration von Daten über ein Netzwerk von Teilnehmern aufbaut, wobei die Daten „an der Quelle gespeichert“ bleiben sollen. Das Hauptziel von Datenräumen besteht darin, Unterstützung und Funktionalität für die gemeinsame Nutzung unterschiedlicher Datenquellen im Datenökosystem zu bieten. Da es keinen zentralen Datenspeicher gibt, erfolgt der Datenaustausch direkt zwischen den Teilnehmern.
Daher müssen sich verschiedene Organisationen darauf einigen können, wie Daten nach bestimmten Regeln, die die Teilnehmer gemeinsam akzeptieren, gemeinsam genutzt werden können. Diese Regeln müssen von den relevanten Akteuren eines solchen Datenraums entwickelt, überarbeitet und harmonisiert werden, bevor der tatsächliche Datenaustausch realisiert wird.
Regelwerk für eine faire Datenwirtschaft
Es sind also Regeln notwendig, um sicherzustellen, dass alle Beteiligten in Bezug auf Datenverwaltung, Sicherheit und Datenschutz auf derselben Seite stehen. Ein Satz an kohärenten Regeln sind in einem Regelwerk zusammengefasst. Ein solches Regelwerk soll dazu beitragen, einen klaren Rahmen für die Datenverwaltung zu schaffen und festzulegen, wer unter welchen Bedingungen und zu welchem Zweck Zugang zu welchen Informationen hat. Regeln fördern das Vertrauen und die Transparenz, die für den Aufbau starker Beziehungen zwischen Unternehmen unerlässlich sind. Darüber hinaus reduzieren Regeln die Wahrscheinlichkeit von Datenschutzverletzungen und anderen Sicherheitsvorfällen. Dies könnte andernfalls dem Ruf eines Unternehmens schaden und es einer rechtlichen Haftung aussetzen. Ein klar definiertes Regelwerk hilft Unternehmen dabei, gesetzliche Vorschriften und Branchenstandards einzuhalten. Ohne solche Richtlinien könnte die gemeinsame Nutzung von Daten zufällig erfolgen und zu Konflikten, Datenschutzverletzungen und rechtlichen Problemen führen.
Ein Regelwerk schafft einen Mehrwert für ein Datennetzwerk, da es ein Mittel zur Lösung von Konflikten und zur Durchsetzung der Einhaltung von Vorschriften darstellt. Bei der gemeinsamen Nutzung von Daten zwischen Unternehmen treten schnell Probleme auf, zum Beispiel Meinungsverschiedenheiten über Eigentumsrechte oder unbefugten Zugriff. Eine Reihe von Regeln und Verfahren kann Unternehmen helfen, diese Konflikte zu bewältigen und einen klaren Weg zur Lösung zu finden.
Um den schwierigen Prozess zu einem Regelwerk zu erleichtern, stellen wir einen Rahmen vor, der es mehreren – und manchmal sogar konkurrierenden – Organisationseinheiten ermöglicht, zusammenzuarbeiten und Daten auf einer vertrauensbasierten Grundlage zu teilen: das Regelwerkmodell (Rulebook) für eine faire Datenwirtschaft des finnischen Innovationsfonds Sitra. Dieser Artikel erklärt diesen Regelwerkansatz, seine Grundprinzipien und Gestaltungsüberlegungen sowie die Erkenntnisse aus seiner praktischen Umsetzung. Außerdem wird gezeigt, wie der Prozess der Anpassung eines solchen Regelwerks an einen bestimmten Anwendungsfall der gemeinsamen Datennutzung die organisatorische Entwicklung fördert, neue Vertrauensbeziehungen zwischen den Teilnehmern eines Netzwerks für die gemeinsame Datennutzung schafft und dazu beiträgt, die gemeinsame Grundlage für Daten-Skalenerträge zu bilden.
Das Sitra Rulebook
Das Template des Sitra Rulebooks zielt darauf ab, die oben beschriebenen Hürden zu beseitigen. Sitra begann 2019 mit der Entwicklung von Grundregeln für die gemeinsame Nutzung von Daten. Eine breit angelegte Arbeitsgruppe aus Vertretern von Industrie, Wissenschaft, Interessenverbänden und Behörden erstellte 2020 die erste veröffentlichte Version des Rulebooks für eine faire Datenwirtschaft (Version 1.1) und aktualisierte es im Januar 2021 (1.2), im August 2021 (1.3) und im April 2022 (1.4). Die letzte Version 2.0 wurde im August 2022 veröffentlicht. Sie enthält auch einen neuen Sicherheitsteil: das Datensicherheits-Betriebsmodell. Alle Versionen des Rulebooks wurden zunächst auf Englisch veröffentlicht und dann ins Finnische übersetzt. Aufgrund der internationalen Nachfrage wurde die Version 1.2 des Regelwerkmodells 2021 vom SPMS – Shared Services des portugiesischen Gesundheitsministeriums in Portugiesisch veröffentlicht. Die Übersetzung der Version 2.0 ins Deutsche und Französische ist ebenfalls in Arbeit.
Ausgangspunkt für die Entwicklung des Regelwerks war es, alle verschiedenen Perspektiven des Datenaustauschs abzudecken, nämlich die geschäftliche, ethische, rechtliche, technische und sicherheitsrelevanten Perspektiven. Das Modell soll das Vertrauen stärken und den Aufbau eines Datenaustauschnetzes erleichtern. Um fair zu sein, wurde es als wesentlich erachtet, dass die Grundregeln die Privatsphäre und den Datenschutz stützen. Außerdem war die Vision, dass es die Zusammenarbeit und den Datenaustausch auch zwischen mehreren Netzwerken untereinander fördern würde, wenn sie alle die gleiche „DNA“ haben, das heißt über Regelwerke verfügen, die auf dem Sitra-Modell und den gleichen allgemeinen Geschäftsbedingungen basieren.
Schematischer Inhalt des Sitra Rulebooks. Die Ausformulierung der Dokumente erfolgte unter Berücksichtigung rechtlicher, geschäftlicher, sicherheitsrelevanter, technologischer und ethischer Perspektiven
Als Resultat stellt das Sitra Rulebook einen detaillierten Leitfaden dar, der aber für jeden Anwendungsfall gemäß der unterschiedlichen Natur des jeweiligen Geschäfts angepasst werden muss. Es besteht aus mehreren Komponenten. Es gibt eine allgemeine Einführung (Teil 1), die Leitlinien für die Anwendung des Modells unter verschiedenen Gesichtspunkten enthält. Diese Einführung ist als Webseite von Sitra veröffentlicht. Teil 2 hingegen enthält Mustervorlagen für rechtliche, geschäftliche, technische und administrative Regeln, eine Reihe von Kontrollfragen und Vorlagen für den Verhaltenskodex. Der zweite Teil ist ebenso auf der Website von Sitra verfügbar, passenderweise in bearbeitbarer Form als MS-Word-Dokumente:
- Es wird zunächst das vertragliche Rahmenwerk mit allgemeinen Geschäftsbedingungen vorgestellt; der Gründungsvertrag und die Beitrittsverträge werden aufgesetzt. Dies beinhaltet die Beschreibung der möglichen Rollen der Teilnehmer (Data Provider, Service Provider, End User, Operator, Third Party End User) und auch ein Governance-Modell.
- Die Beschreibung des Datennetzwerks wird in den Dimensionen Business/Geschäftslogik und Technologie über einen Leitfaden und ein Canvas ermöglicht.
- Es wird ein Datensicherheits-Betriebsmodell vorgeschlagen.
- Dem Thema Ethik wird ein angemessener Rahmen eingeräumt.
Prozess der Regelwerkentwicklung
Wenn die Entscheidung zur Schaffung eines Datennetzwerks getroffen wurde, werden folgende Schritte für einen Schnellstart der Regelwerkadaption vorgeschlagen:
- Durchlesen der Einführung (Teil 1), um sich mit den verschiedenen Dimensionen des Modells vertraut zu machen
- Kernteam bestimmen: Business Developer, Rechtsexperten, Technologieexperten, Ansprechpartner in Ethikfragen
- Templates des Regelwerks aus Teil 2 mit den Spezialisten aus dem Kernteam durchgehen
- Canvas für die Beschreibung des Datennetzwerks durchgehen; ebenso für den Geschäfts- und Betriebsteil und auch für den Technologie- und Sicherheitsteil; die Checkliste durchgehen und die dortigen Fragen für die Vertragsanhänge beantworten
- Prüfen, ob das vorgeschlagene Glossar vollständig ist oder weitere Begriffe hinzugefügt werden sollen
- Vertragsteil durchlesen und darüber entscheiden, wie er vervollständigt werden soll und welche Bestimmungen für den vorliegenden Fall angepasst werden sollen
- Gründungsmitglieder des Datennetzwerks bitten, das grundlegende Vertragswerk zu unterschreiben; Start des Datenaustauschs: neue Mitglieder können über Abschluss des Beitrittsvertrags (Accession Agreement) teilnehmen
Da wir mehrere Implementierungen des Regelwerkmodells für verschiedene Anwendungsfälle und Datennetzwerke bereits durchgeführt haben, hat sich auf der Grundlage unserer Erfahrungen eine Sammlung von Best Practices für die Regelwerkentwicklung herausgebildet. Als Richtwert für die Dauer des Regelwerkentwicklungsprozesses gelten drei Monate. Die Vorbereitungsphase besteht darin, die relevanten Teilnehmer zusammenzubringen und sie mit dem Inhalt des Regelwerks und dem geplanten Prozess vertraut zu machen. In der nächsten Phase werden die geschäftlichen, rechtlichen, ethischen, technischen und sicherheitstechnischen Ziele und Grundsätze anhand der Fragen einer Checkliste durchgesprochen. Erst danach ist es ratsam, dass die Teilnehmer den ersten Entwurf des Regelwerks und der rechtlichen Vereinbarungen erstellen.
Zeitstrahl eines exemplarischen Regelwerk-Implementierungsprozesses, wie ihn 1001 Lakes in den vorgestellten Anwendungsfällen verwendet hat.
Der Prozess beinhaltet mehrere Iterationen, bis die endgültige Version von den Teilnehmern durch aktive Workshops und Rückmeldungen aus der rechtlichen Überprüfung festgestellt wird. Die letzte Phase umfasst die formale Annahme des Regelwerks durch die Gemeinschaft, das dann in Gebrauch genommen wird. Die operative Phase umfasst die Pflege des Regelwerks, aber auch andere Aktivitäten wie die Verfolgung, welche Teilnehmer das Regelwerk unterzeichnet haben, wer die aktiven Mitglieder sind und wie die Einhaltung des Regelwerks überwacht wird.
Anwendungsfälle: Wie lässt sich das Regelwerk in der Praxis anwenden?
Wir haben Anwendungsfälle sowohl im industriellen als auch im öffentlichen Bereich betreut. Es können sowohl individuelle Datennetze gestaltet werden als auch Rulebook-Spezialisierungen für ganze Datenökosysteme und Datenräume. Im Folgenden zwei Beispiele.
Ökosystem für Verkehrsdaten
Um die bestmögliche Grundlage für ein nachhaltiges Verkehrssystem in Finnland zu schaffen und einen Durchbruch bei der Innovation neuer Verkehrsdienste und -lösungen zu ermöglichen, müssen die Daten zwischen Strecken, Fahrzeugen, Dienstleistern und Endnutzern reibungslos fließen. Um dieses Ziel zu erreichen, haben die Verkehrsbetreiber und -akteure in Finnland ihre Kräfte gebündelt, um Lösungen für die Datennutzung und ein faires und offenes digitales Betriebsumfeld innerhalb eines offenen Datenökosystems zu schaffen. Diese Zusammenarbeit zielt darauf ab, wettbewerbsfähige und skalierbare Verkehrs- und Mobilitätsdienste für den finnischen und internationalen Markt bereitzustellen – Lösungen, die sicheres, emissionsarmes und nutzerorientiertes Reisen und Transportketten ermöglichen, die verschiedene Verkehrsträger kombinieren. Beispielsweise soll ein Nahverkehrsticket in der einen Stadt künftig auch für dieselbe Person in einer anderen Stadt gültig sein.
Das Traffic Data Ecosystem ist ein offenes Ökosystem, das im Jahr 2021 gegründet wurde und mehr als 150 Mitglieder hat (Stand März 2023). Ein offenes Ökosystem ist ein Betriebsmodell, bei dem Unternehmen durch die gemeinsame Nutzung von Daten und die Bereitstellung von Diensten füreinander gemeinsam einen Mehrwert für die Kunden des Netzwerks schaffen, den keiner von ihnen allein erreichen könnte. Alle Mitglieder des Netzes erhalten ihren gerechten Anteil an dem Mehrwert, der für den Kunden generiert wird. Unter [8] befinden sich auch die bezüglich der konkreten Aufgabenstellung ausgefüllten Templates des Sitra Regelwerkmodells als Download.
Der Beitritt bedeutet, dass man sich bereit erklärt, das Regelwerk des Verkehrsdatenökosystems einzuhalten, das auf dem Rulebook für faire Datenwirtschaft von Sitra basiert. Es schafft einen vertraglichen Rahmen, der die gemeinsame Nutzung von Daten und den Aufbau von gegenseitigem Vertrauen innerhalb des Verkehrssektors erleichtern wird. Das Regelwerk des Verkehrsdatenökosystems ermöglicht es Organisationen und Einzelpersonen, eine bessere Kontrolle über die von ihnen gemeinsam genutzten Daten auszuüben und unabhängig über die Nutzerrechte für diese Daten zu entscheiden. In der Praxis wird dies das Vertrauen in Datenintegrität, -qualität, -sicherheit, Betreiberidentität, Betreiberrollen und Nutzungsbedingungen stärken.
MyData für Städte
Ein weiteres Beispiel ist das Regelwerkmodell, das von der Stadt Helsinki eingeführt wurde, um die Nutzung personenbezogener Daten in den von der Stadt angebotenen Diensten zu steuern, oft zusammen mit anderen öffentlichen und privaten Organisationen, die in das breitere städtische Datenökosystem eingebunden sind. Mögliche Anwendungsfälle reichen von der Genehmigung der Nutzung stadteigener Fahrzeuge über die Überprüfung der Einkommensverhältnisse der Eltern im Zusammenhang mit Vorschulzuschüssen bis hin zur effizienteren Nutzung persönlicher App-Daten in städtischen Gesundheitsdiensten. Auch das separate An- und Abmelden bei einem Umzug von einer Stadt in eine andere kann hierdurch entfallen.
Aus einer auf den Menschen ausgerichteten Perspektive basiert die gemeinsame Nutzung von Daten auf vertrauensvollen, ausgewogenen und fairen Beziehungen zwischen Einzelpersonen und Organisationen, die Dienstleistungen anbieten. Die Städte als öffentliche Akteure haben das Potenzial, eine stärker auf den Menschen ausgerichtete Digitalisierung zu fördern, bei der die Bürger besser in der Lage sind, die Verwendung ihrer persönlichen Daten in den von den Städten angebotenen Diensten zu verwalten und zu verstehen, ohne ihre Privatsphäre zu gefährden. Die Bürger müssen in der Lage sein, ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten für einen begrenzten Zweck problemlos zu erteilen oder zurückzuziehen, wenn beispielsweise keine rechtliche Verpflichtung für eine Behörde zur Verarbeitung dieser Daten besteht. In jedem Fall müssen die Menschen über die Verarbeitung personenbezogener Daten informiert werden und verstehen können, wie ihre Daten verwendet werden.
Um den notwendigen Informationsaustausch zu ermöglichen, befasst sich das „MyData-for Cities-Regelwerk“ mit der gemeinsamen Nutzung von Daten durch die verschiedenen Parteien. Dieses Regelwerk hilft Datenanbietern und Datennutzern, die Anforderungen geltender Gesetze und Verträge für städtische Daten zu bewerten, und leitet sie zu Praktiken an, die die Datennutzung und das Risikomanagement fördern. Gleichzeitig hilft das Regelwerk den Städten bei der Verwaltung ihrer Ad-hoc-Datennetze.
Diskussion und Zukunftsaussichten
Regelwerke helfen dabei, kritische Aspekte im Zusammenhang mit der gemeinsamen Datennutzung zu ermitteln, zu strukturieren und zu kommunizieren. Sie funktionieren wie ein Handbuch, das in Schlüsselbereiche (Wirtschaft, Ethik, Recht, Technologie, Sicherheit) und Schlüsselverträge unterteilt ist, die die Grundsätze der gemeinsamen Datennutzung zwischen den Beteiligten konkretisieren.
Zusätzlich zu den oben beschriebenen Anwendungsfällen wurde der Regelwerkansatz in zahlreichen anderen Kontexten angewandt, zum Beispiel im Gesundheitswesen (ECHO-Netzwerk von Kinderkrankenhäusern in ganz Europa), in der Landwirtschaft (Ernteplanung und Logistik für eine hochwertige Getreidekette) und in der intelligenten Fertigung (Entwicklung eines besseren Situationsverständnisses und Risikomanagements in einer Lieferkette). Wir gehen davon aus, dass in den nächsten Jahren Hunderte von Regelwerken auf der Grundlage dieses Ansatzes entstehen werden.
Das Sitra Rulebook wurde auch bei internationalen Aktivitäten im Bereich der Datenräume eingesetzt. Die International Data Spaces Association (IDSA) hat ein Schema für die gemeinsame Nutzung von Daten (IDS) definiert, das eine Referenzarchitektur, Open-Source-Bausteine und ein Zertifizierungssystem für die Schaffung und den Betrieb von Datenräumen umfasst. Das Ziel der IDSA ist es, internationale Datenräume (IDS) zu einem globalen Standard für den Datenaustausch und die Datensouveränität zu machen. Die IDSA hat ihr IDSA-Regelwerk veröffentlicht, das die funktionalen, technischen, betrieblichen und rechtlichen Aspekte für Datenräume spezifizieren soll, die den Anforderungen der IDS entsprechen. Das IDSA-Regelwerk enthält auch Leitlinien und bewährte Verfahren zur Umsetzung der Governance-Aspekte von IDS-konformen Datenräumen und empfiehlt zu diesem Zweck nachdrücklich das Regelwerkmodell von Sitra.
Da die Datenwirtschaft wächst und Organisationen mit immer komplexeren Datensätzen, Prozessen und Vorschriften umgehen müssen, wird die Verwaltung der Daten schwierig. Der Regelwerkansatz wurde als Planungs- und Entwicklungsinstrument für die gemeinsame Nutzung von Daten entwickelt. Er richtet sich an Unternehmen und Personen, die Geschäfte auf der Grundlage von Daten entwickeln, die von anderen Unternehmen oder Quellen stammen, und zwar innerhalb von Datenräumen und über Datenräume hinweg. Die Verwendung dieses systematischen Regelwerkansatzes zur Umsetzung der Governance-Aspekte der gemeinsamen Datennutzung kann viel Zeit, Geld und Kopfzerbrechen sparen.
Handlungsempfehlungen
- Beim Aufbau einen Datennetzwerks auf transparenten Regeln aufsetzen (Sitra Rulebook). Projekt mit allen Stakeholdern aufsetzen, erfahrene Beratung für Best Practices hinzuziehen
- Geschäftslogik für Datennetzwerk anhand des Canvas festlegen
- Schnellstart anhand öffentlich zugänglicher Vorlagen und Vorgehensmodell
Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.
Turpeinen, M., Pitkänen, O., Bub, U. et al. Data Sharing und Data Networks: ein Regelwerk für sichere Datenökonomie. Wirtsch Inform Manag 15, 174–183 (2023)