Swico Ethik Charta

1. Einleitung

Die Swico Charta für den ethischen Umgang mit Daten fokussiert auf die Sammlung, Speicherung und Nutzung von Daten. Sie hilft Unternehmen der ICT-Branche, datenbasierte Produkte und Dienstleistungen so zu entwickeln, dass sie mit den Erwartungen von Kundinnen und Kunden, Mitarbeitenden und der Gesellschaft in Einklang stehen. Diese Erwartungen gehen über den Datenschutz hinaus und beziehen sich auf ethische Grundsätze. Dank der klaren Formulierung unserer Werte, der Definition der einzelnen Lebensabschnitte von Daten und der einfach verständlichen Bekenntnisse zu jedem Schritt im Daten-Lebenszyklus bietet die Swico Charta Unterstützung in wichtigen Punkten:

• Die Qualität der datenbasierten Produkte und Dienstleistungen zu erhöhen
• Die ethischen Grauzonen mit Blick auf die Datenschutz-Gesetzgebung zu identifizieren
• Ethische Fragen, die sich aus der Nutzung von Daten ergeben, besser zu verstehen
• Talente anzuziehen, denen die ethische Haltung des Arbeitgebers wichtig ist
• Das Vertrauen der Konsumentinnen und Konsumenten und der Gesellschaft in die wertschöpfende Nutzung von Daten zu festigen

Die Orientierung an ethischen Prinzipien bzw. Werten wird für Unternehmen langfristig zu einem wichtigen Bestandteil der Good Corporate Governance werden und in vielen Fällen zum Unternehmenserfolg beitragen. Darüber hinaus ist diese Art der Selbstregulierung effektiver und kostengünstiger als ein staatlicher Eingriff.

Diese Charta ist nicht als allgemeiner Ethik Kodex gedacht, sondern bezieht sich explizit auf den Umgang mit Daten. Als solche bietet sie einen wichtigen Grundbaustein für eine ethische und vertrauenswürdige Digitalisierung.

2. Unsere Werte

Die Swico Ethik-Charta umfasst den gesamten Daten-Lebenszyklus unserer Produkte und Dienstleistungen. Sie zeigt, wie wir uns verhalten wollen. Dabei orientieren wir uns an folgenden Werten:

• Schadenvermeidung:
  Individuen und Gemeinschaften soll kein Schaden zugefügt werden.  Dazu gehören die Werte Schutz (z.B. vor medizinischer Fehldiagnose), Sicherheit (z.B. von Daten gegen Hacker) und Nachhaltigkeit (z.B. durch energieeffiziente Datenverarbeitung).
• Gerechtigkeit:
  Auf eine gerechte Verteilung von Nutzen und Lasten soll geachtet werden. Dies beinhaltet die Werte Gleichheit (z.B. von Schutz vor Diskriminierung), Fairness (z.B. durch Gegenleistungen für das Sammeln von Kundendaten) und Solidarität (z.B. indem Daten der Öffentlichkeit für eine gemeinschaftliche Nutzung verfügbar gemacht werden).
• Autonomie:
  Individuen und Gemeinschaften soll ein selbstbestimmtes Handeln ermöglicht werden. Dies beinhaltet die Werte Freiheit (z.B. durch Wahlfreiheit), Privatsphäre (z.B. indem gewisse Daten nicht gesammelt werden) und Würde (z.B. durch eine Informationspraxis, welche den Kunden ernst nimmt).

Um die Umsetzung dieser Werte in der Praxis sicherzustellen, braucht es zusätzlich Anforderungen an Kontrolle, Transparenz und Rechenschaft:

• Kontrolle:
  Es muss sichergestellt sein, dass die internen Prozesse rund um den Umgang mit Daten wohldefiniert und steuerbar sind. Dies beinhaltet auch das Erfordernis, Wissen über die Prozesse zu schaffen, damit eine Kontrolle effektiv sein kann.
• Transparenz:
  Es muss dokumentiert und kommuniziert werden, was mit Daten passiert und wie es getan wird. Fokus der Transparenz sind unterschiedliche Zielgruppen, zum Beispiel Kunden, Mitarbeitende und Geschäftspartner, mit unterschiedlichen Anforderungen an die Transparenz.
• Rechenschaft:
  Es müssen klare Zuständigkeiten für den Umgang mit Daten definiert sein. Bei Regelverletzungen muss die Verantwortung übernommen werden. Damit soll insbesondere der Tendenz entgegengewirkt werden, dass die Zuständigkeiten bei der Digitalisierung von Prozessen oft verwischt und unklarer werden.

Diese drei prozeduralen Werte – Kontrolle, Transparenz und Rechenschaft – sind Ausdruck gängiger Unternehmensgrundsätze für die Sicherung der Qualität von Produkten und Dienstleistungen und der Kontrolle von Unternehmensrisiken.

3. Praktische Umsetzung im Daten-Lebenszyklus

Datenbasierte Produkte und Dienstleistungen schaffen Wert für Kunden und Unternehmen. Das Geschäftsmodell ist auf diese Wertschöpfung ausgerichtet. Durch solche Produkte und Dienstleistungen können aber auch andere persönliche oder gesellschaftliche Werte betroffen sein. Die ethische Verantwortung eines Unternehmens besteht darin, diese Werte ebenfalls zu berücksichtigen und Verfahren einzuführen, die bestimmte ethische Standards gewährleisten.

Die Swico Charta umfasst die vier Hauptschritte des Lebenszyklus von Daten, wobei jeder Schritt durch spezifische ethische Herausforderungen geprägt ist. Im Zyklus bauen die Aktivitäten in jeder Phase auf den Ergebnissen früherer Schritte auf.

Schritt 1: Erzeugung und Akquirierung von Daten

Betrifft digitale Daten, die mit Metadaten angereichert sein können. Das können Sachdaten oder persönliche Daten sein:

• Sammeln oder Einkaufen von Daten
• Einrichten von physischen Überwachungssystemen
• Erstellen von Formularen für die Datenerfassung
• Erfassen von Verhaltensdaten von Nutzern

Schritt 2: Speicherung und Management von Daten

Betrifft eine Datenbank inklusive Zugriffsregeln und Sicherheitsmechanismen:

• Speichern oder löschen von Daten
• Regeln des Zugriffs auf gespeicherte Daten
• Schutz der gespeicherten Daten
• Bereinigen oder kombinieren von Datensätzen

Schritt 3: Datenanalyse und Wissensgenerierung

Betrifft ein Datenprodukt. Das kann ein Mechanismus sein, der Wissen aus der Datenbank erzeugt oder mithilfe dessen eine datenbasierte Wertschöpfung möglich wird:

• Visualisieren von Daten
• Interpretation von Daten
• Einsatz von Algorithmen und wissenschaftlichen Modellen (Klassifikation oder Vorhersage)
• Einsetzen von maschinellem Lernen
• Entwickeln von Systemen für die Automatisierung von Entscheidungen
• Interner Austausch von Modellen, um Wissen zu gewinnen

Schritt 4: Unsere Produkte und Dienstleistungen

Betrifft die Wirkung datenbasierter Produkte oder Dienstleistungen auf die reale Welt ausserhalb des Unternehmens:

• Klassifizieren von Personen
• Unterstützen oder automatisieren von Entscheidungen
• Beeinflussen des Zugangs zu Ressourcen
• Beeinflussen von Überzeugungen oder Verhalten
• Veröffentlichen von Prognosen gesellschaftlicher Vorgänge

4. Unsere Bekenntnisse

Entlang des gesamten Daten-Lebenszyklus unserer Produkte und Dienstleistungen ergeben sich ethische Fragen, denen wir uns als Unternehmen grundsätzlich annehmen:

Schritt 1: Erzeugung und Akquirierung von Daten

1. Wir vermeiden es, die Trägheit, mangelnde Aufmerksamkeit oder andere psychologische Schwächen von Personen auszunutzen, um mehr persönliche Daten von diesen zu erhalten als notwendig sind.
2. Wir überprüfen unser Webdesign und die Benutzererfahrung auf «Dark Patterns» und entfernen sie.
3. Wir entwickeln intuitiv einleuchtende und gegebenenfalls durch die Nutzerinnen und Nutzer wählbare Formen von informierter Zustimmung.
4. Wir unterstützen unsere Kunden dabei, dass sie oder deren Kundinnen und Kunden ihre Zustimmung zur Datennutzung später anpassen oder widerrufen können.
5. Wir dokumentieren unsere Datenquellen und jede Einschränkung bezüglich der Verwendung der Daten auf angemessene Weise.
6. Wir verzichten auf die Verwendung von Daten aus nicht vertrauenswürdigen Quellen.

Schritt 2: Speicherung und Management von Daten

1. Wir implementieren geeignete Massnahmen für Cybersicherheit, die kohärent auf alle Formen der Datenspeicherung (z.B. cloud-basiert oder hybrid) angewendet werden.
2. Wir unterstützen unsere Kunden dahingehend, dass sie oder deren Kundinnen und Kunden ihr Recht auf Datenportabilität effektiv nutzen können.
3. Wir informieren uns regelmässig über den neusten Stand von Technologien, die den Schutz der Privatsphäre von Personen sicherstellen.
4. Wir dokumentieren jede Änderung und Anpassung der Datenverwaltung und geben die entsprechende Information an alle internen und externen Nutzerinnen der Daten weiter.
5. Wir erklären unseren Kunden, wie ihre Daten oder die ihrer Kundinnen und Kunden geschützt werden und wie Zugriffe geloggt werden.
6. Wir definieren auf der Ebene unserer Organisation, wer an der Bewertung, Berichterstattung und Umsetzung datenethischer Standards beim Datenmanagement beteiligt ist.

Schritt 3: Datenanalyse und Wissensgenerierung

1. Wir integrieren in unsere Modelle Kontrollmechanismen zur Überwachung und Begrenzung des potenziellen Schadens, der bei deren praktischen Verwendung entstehen könnte; dies betrifft insbesondere die Verletzung der Privatsphäre oder fehlerhafte Entscheidungen.
2. Wir entwickeln Fachwissen über den Umgang mit indirekter Diskriminierung, die aus maschinellem Lernen resultieren kann.
3. Wir erklären unseren Kunden, welche Art von Unterscheidung beabsichtigt und in unserem Modell eingebaut ist, welche unerwünschte indirekte Diskriminierung gegebenenfalls beseitigt wurde.
4. Wir begründen die Angemessenheit der verwendeten Algorithmen im Hinblick auf den gegebenen Datensatz und die spezifische Analyse-Aufgabe. Die Begründung umfasst eine Dokumentation, die für die Bewertung der Risiken und der getroffenen Massnahmen zur Risikominderung relevant ist.
5. Wir erklären die Logik unserer Modelle, die in die Modellbildung eingeflossenen Entscheidungen sowie die Grenzen unserer Modelle auf eine Weise, die unsere Kunden und deren Kundinnen und Kunden verstehen können.
6. Wir weisen den in der Modellentwicklung involvierten Personen Verantwortlichkeiten zu, um sicherzustellen, dass ethische Standards eingehalten werden.

Schritt 4: Unsere Produkte und Dienstleistungen

1. Wir vertreiben datenbasierte Produkte und Dienstleistungen erst, nachdem wir untersucht haben, inwiefern unkundige Nutzerinnen und Nutzer damit Schäden verursachen oder fachkundige Benutzerinnen und Benutzer damit Missbrauch betreiben können.
2. Wir überwachen automatisierte Entscheidungssysteme oder Empfehlungssysteme auf unbeabsichtigte Diskriminierung, selbst wenn das Datenprodukt auf indirekte Diskriminierung getestet wurde, weil die Testdaten andere statistische Eigenschaften als die realen Daten haben können und deshalb neue Formen von Diskriminierung entstehen könnten.
3. Wir implementieren Prozesse, die es Betroffenen ermöglichen, auf negative Ergebnisse unserer Datenprodukte hinzuweisen, und wir gehen diesen Hinweisen nach.
4. Wir beurteilen, ob ethische Standards während dem gesamten Daten-Lebenszyklus eingehalten worden sind, und ob diese mit dem Auftrag, den Werten und der Eigenverantwortung unseres Unternehmens in Einklang stehen.
5. Wenn wir Daten, Modelle oder Datenprodukte für Dritte produzieren, stellen wir alle Informationen zur Verfügung, die zum ethischen Einsatz dieser Daten, Modelle und Produkte erforderlich sind.
6. Wir zeigen Führungsverantwortung, indem wir im komplexen Prozess der Entwicklung datenbasierter Produkte und Dienstleistungen klare Verantwortlichkeiten definiert haben.