Cognitive Computing: Der verlässliche DSGVO-Warner im Hintergrund

Stefan Welcker, Managing Director DACH, Expert System Deutschland GmbH

Kaum ein IT-bezogenes Thema wird dieser Tage derart intensiv diskutiert wie die EU-Datenschutz-Grundverordnung – kurz EU-DSGVO – und ihre Auswirkung auf die Unternehmen. Fast meint man, der jüngste Tag bricht an. Dabei sind aus planerischer Sicht lediglich zwei Fragestellungen entscheidend. Erstens: Was sind die Konsequenzen von der DSGVO? Und zweitens: Was müssen Unternehmen unbedingt in die Wege leiten. Die Antwort auf den ersten Punkt ist einfach: Nüchtern betrachtet, setzt die DSGVO Verordnung eine EU-Richtlinie in nationales Recht um und führt dazu, dass das bisher gültige Bundesdatenschutzgesetz ad acta gelegt wird. Die Regelung tritt am 25. Mai 2018 in Kraft. Bei größeren Verstößen dagegen drohen Unternehmen bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes als Strafzahlung. Die EU – und die darin vertretenen nationalen Regierungen – machen ernst und passen mit der DSGVO den Datenschutz des Verbrauchers an die Digitalisierung an.

Die zweite Frage verdient es differenzierter betrachtet zu werden. Denn: im Grunde genommen ist die DSGVO „nur“ eine Erweiterung der sich seit einigen Jahren verschärfenden Compliance-Maßnahmen. Die konkreten Auswirkungen erfordern es, das Thema sehr integriert im Unternehmen anzugehen. Das hat vor allem mit der Digitalisierung und dem dadurch verursachten Volumen an schützenswerten Daten zu tun.

Ein Beispiel dazu: Schon 2016 ist das E-Mail-Volumen in Deutschland auf ein neues Rekordhoch von 625,8 Milliarden angestiegen – ein Plus von 15 Prozent im Vergleich zum Vorjahr. Damit hat sich die Anzahl der E-Mails seit 2010 verdoppelt. Das ging aus einer Analyse der beiden größten deutschen E-Mail-Anbieter Web.DE und Gmx.net hervor. Und in dieser Zahl sind noch nicht einmal Spam-Mails enthalten. Schon für 2017 prognostizierten die Provider 732,2 Milliarden – allein elektronische Post.

Viel entscheidender ist eine zweite, ebenfalls erwartbare Tatsache: Durch die rasant fortschreitende Digitalisierung wird der Strom an unstrukturierten Daten, der in die Unternehmen fließen wird, gigantische Ausmaße annehmen. Zudem kommen zahlreiche neue Datenquellen hinzu: Wenn sich die smarte Heizung künftig selbsttätig mit den neuesten Verbrauchsdaten beim Gasversorger meldet, so übermittelt sie in diesem Augenblick auch personenbezogene Daten. Und verglichen mit den Volumina dieser Entwicklungen wird der E-Mail-Strom sich in bereits wenigen Jahren wie ein kleines Rinnsal gegenüber dem Mississippi verhalten. In der Konsequenz kann das für Unternehmen nur heißen: Es gilt, durch Automatisierung diese neuen Anforderungen an die Compliance beherrschbar zu machen. Denn es wäre abenteuerlich, wenn sich eine Organisation vornähme, diesen komplexen, dramatisch großen Datenstrom manuell zu erfassen, zu sortieren und anschließend zu integrieren. Sie benötigen die zentrale, unbedingt verlässliche Dateninstanz, die unterstützt von Künstlicher Intelligenz, diese Aufgabe übernimmt.

Diese Instanz besteht bestenfalls aus innovativer Software mit Methoden des Cognitive Computing. Das bedeutet technologisch, dass die Software die zu kuratierenden Inhalte auch „versteht“. Dafür benötigt sie eine Kombination aus gleich mehreren Technologien — NLP (Natural Language Processing), semantische Analyse und zusätzlich Machine Learning. Sie begreift die konkrete Wortbedeutung in ihrem Zusammenhang auf beinahe dieselbe Weise wie der Mensch, basierend auf einem hochentwickelten Trainingsmechanismus. Kognitive Systeme arbeiten mit einer neunzigprozentigen Genauigkeit. Je mehr sie dazulernen, umso höher fällt diese Quote aus. Annähernd 100 Prozent sind eine realistische Schätzung. Das ist notwendig, denn es geht sehr oft um sensible, personenrelevante und keinesfalls nur um „seelenlose“ Maschinendaten.

Ein Beispiel zu der Vorgehensweise: Die Software erkennt automatisiert Dokumente auf ihre personenrelevanten Daten. Sie ist in der Lage, Zusammenhänge zu erkennen und kann beispielsweise rechtsrelevante Inhalte zuordnen. Auf diese Weise kann das System dann autonom eine Aktion auslösen und einen Verantwortlichen auf den Inhalt hinweisen. Es lässt sich sogar sicherstellen, dass die Software verhindert, dass bestimmte E-Mails das Unternehmen verlassen, wenn sie erkennt, dass dadurch gegen die DSGVO verstoßen würde. Gewissermaßen eine auf Künstlicher Intelligenz basierende Kontrollinstanz. Im Grunde genommen ähnelt dieses Vorgehen den Prinzipien des autonomen Fahrens: Meint das Fahrzeug einen Verstoß zu erkennen, löst es eine Aktion aus oder gibt zumindest einen Hinweis darauf. Die momentan eingesetzten Testfahrzeuge zeigen, wie zuverlässig solche Prozesse bereits funktionieren können. Auch aus der alltäglichen Bürokommunikation sind die Vorläufer dieser Verfahren bekannt: Eine ähnliche Verfahrensweise setzt man beispielsweise ein, um das Drucken sensibler Dokumente zu verhindern. Voraussetzung ist, dass die Cognitive-Computing-Lösung in der Lage ist, personenbezogene Daten eindeutig zu identifizieren. Exakt an diesem Punkt manifestiert sich der Unterschied zwischen tatsächlich lernenden (Cognitive Computing) Lösungen und lediglich regelbasierter Software.

Warum das hinsichtlich der DSGVO so wichtig ist, zeigen die Konsequenzen. Im Unternehmen haftet in der Regel die Compliance-Abteilung für Verstöße gegen die neue Regelung. Wie soll sie dies guten Gewissens tun, wenn keinerlei verlässliche Tools im Einsatz sind, die ihr diese Arbeit automatisiert abnehmen? Nochmal: Der gigantische Datenstrom des Internet of Things lässt alles andere als solch einen Ansatz völlig weltfremd erscheinen.

Unrealistisch ist es auch aus dem Grund, dass die Prozesse im Unternehmen ansonsten massiv ins Stocken geraten. Beispiel: Eine Versicherung möchte einen komplexen Vorgang durch einen externen Sachverständigen klären lassen und versendet an diesen Akten und Daten des Kunden. Dann kann es durchaus durch die DSGVO vorgeschrieben sein, dass diese – und nur diese – dem extern Beteiligten ausschließlich anonym zur Verfügung gestellt werden. Dies kann nur automatisiert geschehen, etwa durch eine Schwärzung betreffender Stellen. Vergleichbar mit der Anonymisierung wie sie Google in seinem Streetview-Projekt realisiert hat. Ebenso spielen Verschlüsselungstechnologien in diesem Kontext eine große Rolle. Stattdessen eine Heerschar an Hilfspersonal im Unternehmen zu beschäftigen, die diese Arbeit vornimmt – das ist unrealistisch.

Fazit: Die Datenströme der Zukunft erfordern es, dass auf Cognitive Computing basierende Lösungen in den Unternehmen für DSGVO-konformes Verhalten eingeführt werden. Wichtig: Diese müssen tatsächlich lernend und dürfen keineswegs regelbasiert sein. Dann – und nur dann – ist ein Grad der Verlässlichkeit erreicht, wie man ihn sonst nur aus dem Straßenverkehr kennt: wenn man an einer Kreuzung stehend das grüne Licht mit dem guten Gefühl abwartet, dass die Ampel alles im Griff hat.

Autor: Stefan Welcker, Managing Director DACH, Expert System Deutschland GmbH

Diesen Artikel empfehlen