- Story
Daten spenden für mehr Nachhaltigkeit
21.06.2023 Wie sich Menschen bewegen, ist oft nur schwer erfassbar. Abhilfe schaffen Daten, die genau genug sind, um Lösungen zu ermöglichen, allerdings ohne dadurch Rückschlüsse auf einzelne Personen zu erlauben. Ein BFH-Projekt tüftelt an Wegen aus dieser Zwickmühle.
Use Case: Datenmangel in der Datenflut
Eine Stadt setzt sich ein für nachhaltigere Mobilität. Sie will zum Beispiel wissen, ob sie mehr Velowege anlegen soll. Sie sucht nach einer Entscheidungsgrundlage, die aus Sicht des Datenschutzes und ethisch unbedenklich ist.
Zwar gibt es dem Smartphone sei Dank bereits gigantische Datenvolumen zum Mobilitätsverhalten der Bevölkerung. Allerdings lagern diese Daten zum grössten Teil bei grossen Tech-Konzernen und sind damit für unsere Stadt nicht oder nicht in ausreichender Auflösung zugänglich. Für Projekte, die Daten für nachhaltige Zwecke einsetzen wollen, wie unsere Stadt, fehlt schlicht das benötigte Datenrohmaterial.
Neu: Genossenschaftliches Geschäftsmodell
Zusammen mit der Datengenossenschaft für nachhaltige Mobilität, Posmo, stellt sich die BFH-Forscherin Annett Laube dieser Herausforderung. Posmo sammelt und verwaltet Daten zum Mobilitätsverhalten mit dem Ziel, die Mobilität der Zukunft nachhaltiger gestalten zu können. Dabei geht Posmo genossenschaftlich mit Daten um. «Genossenschafter*innen teilen ihre Daten ganz bewusst für mehr Nachhaltigkeit», beschreibt Annett Laube den Ansatz.
Posmo-Nutzer*innen behalten immer die Kontrolle darüber, was mit ihren Daten passiert. Generiert eine Kundin wie etwa unsere Stadt einen Nutzen aus Ergebnissen, welche auf Daten von Genossenschafter*innen beruhen, sollen diese dereinst direkt für ihren Beitrag entschädigt werden. Damit weicht das Geschäftsmodell grundlegend ab vom heute gängigen impliziten Tausch von persönlichen Daten gegen gratis zugängliche Apps oder Services.
Die Krux: Glaubwürdigkeit
«Entscheidend für den Erfolg dieses Ansatzes ist die Glaubwürdigkeit», betont Annett Laube: «Die ethische Governance muss eingehalten werden, Daten dürfen auf keinen Fall missbraucht werden.» Ob eine Kund*innenanfrage vertretbar ist, entscheidet das Ethik-Komitee von Posmo. «Wir entwickeln die Prozesse und Entscheidungsgrundlagen, damit das Gremium seine Aufgabe möglichst effizient erfüllen kann», erklärt Annett Laube. Dereinst sollen diese Entscheidungsgrundlagen automatisch erstellt werden.
Dass bei Mobilitätsdaten, wie Posmo-Genossenschafter*innen sie sammeln, durchaus Vorsicht geboten ist, liegt auf der Hand. So wird via App alle 10 Sekunden ein GPS-Datenpunkt erhoben. Dies ermöglicht sehr genaue Bewegungsprofile und lässt leicht Rückschlüsse auf einzelne Personen zu. Deshalb verlassen auch keine Rohdaten den Posmo-Datenpool, sondern nur ausgewählte anonymisierte und aggregierte Ergebnisse.
Der Weg: Im Knäuel anonym
Bei der Anonymisierung der sensiblen Daten liegt denn auch das Hauptaugenmerk von Annett Laube: «Kein Datenpunkt darf ausserhalb eines Datenknäuels sein». Ein Datenknäuel ist eine Datensammlung, die als Ganzes die Anonymität der einzelnen Posmo-Nutzer*innen schützen soll, ohne dass dabei einzelne Datenpunkte auffallen oder identifizierbar wären.
Funktioniert ein Datenset noch nicht als Knäuel, wird durch die Auswahl der Daten, über Aggregation, Verrauschen der Positionsdaten, ungenauere Zeitangaben und so weiter sichergestellt, dass keine Einzelpersonen mehr identifizierbar sind.
Die Konzepte und Algorithmen, welche an der BFH entwickelt werden, erlauben es Posmo zu entscheiden, wann genügend grosse und genügend verknäuelte Datenmengen vorhanden sind, damit Resultate gefahrlos weiterverarbeitet werden können. Dazu wenden Annett Laube und Team bekannte Anonymisierungsmechanismen wie K-Anonymität und L-Diversität auf Bewegungsprofile und damit mögliche Auswertungen an und macht diese so für die Praxis nutzbar.
Das Ziel: Allgemeine Anonymitätstheorie
Je nachdem, welche Frage beantwortet werden soll, muss das Team bei der Anonymisierung der Daten anders vorgehen. Annett Laube gibt als Beispiel ein Projekt in Zürich: «Wenn nur das genutzte Verkehrsmittel interessiert, klingt das anonym und unkritisch. Aber nimmt eine einzelne Person im Datenset die Polybahn, wird sie schon potenziell identifizierbar. Es gibt also keine allgemeine Anonymität.»
Annett Laube und ihr Team suchen deshalb im Rahmen eines Innosuisse-Projekts noch bis im Sommer 2024 nach Wegen, Anonymisierungsmechanismen und -prozesse zu formalisieren und zu automatisieren.