Wer von der Datenschutzgrundverordnung (DSGVO) gehört hat, dürfte sich über die EU-Digitalstrategie, insbesondere den Data Act, wundern. Denn während die DSGVO einen strengen Schutz von Daten einfordert, verlangt der Data Act unter anderem, dass Unternehmen die Nutzungsdaten von Kund:innen, die bei der Verwendung vernetzter Produkten anfallen, teilen.
Neue Technologien und Anwendungen aus dem Bereich der künstlichen Intelligenz (KI) sprießen quasi aus dem Boden – nur nicht in Europa. Ein Grund dafür könnte sein, dass europäische Unternehmen mit vielen Regularien zu kämpfen haben, insbesondere im Bereich des Datenschutzes. Unternehmen in China und den USA haben es in dieser Hinsicht zum Teil leichter und sind oft schneller. Mit der Digitalstrategie will die Europäische Kommission nun die Datenwirtschaft in Europa fördern und einen „Binnenmarkt für Daten“ schaffen. Dieser soll der europäischen Wirtschaft einen Schub verpassen: Europa soll nicht nur wettbewerbsfähig, sondern Spitzenreiter einer datengesteuerten Gesellschaft werden.
Für technologischen Fortschritt benötigen Unternehmen Daten. Diese sollen künftig in Europa einfacher verfügbar sein. Gleichzeitig möchte die EU-Kommission aber auch für mehr Sicherheit sorgen, vor allem beim Einsatz von KI.
Die Kehrseite der europäischen Datenstrategie: Sie enthält auch wieder viele neue Rechtsvorschriften. Manche scheinen teilweise sogar widersprüchlich zu bestehendem Recht zu sein. Neben dem Data Act sind zwei weitere Verordnungen beispielhaft zu nennen: der AI Act und der Digital Services Act.
Mit dem geplanten AI Act möchte die EU-Kommission Kontrolle gewinnen
Die Diskussion um den Chatbot ChatGPT macht es deutlich: KI erzeugt nicht nur Euphorie, sondern schürt auch Ängste. Viele Menschen machen sich Sorgen um die eigenen Freiheiten und würden die Entwicklung von KI gerne aufhalten. Mit dem AI Act (auf Deutsch: KI-Verordnung) möchte die EU den unkontrollierten Einsatz von KI und damit einhergehende Gefahren verhindern. Denn der Erfolg von digitalen Technologien setzt das Vertrauen der Menschen in die digitalen Dienste voraus.
Der Entwurf des AI Act sieht vor, dass KI-Anwendungen in Risikoklassen eingeteilt werden. Technologien, die eine eindeutige Bedrohung für die Grundfreiheiten darstellen, sollen verboten werden. Je nach Risikostufe gelten besondere Sicherheitsmaßnahmen. Der AI Act stellt neue Herausforderungen an Risikomanagement, Dokumentation und Rechenschaftspflichten. Flankierend dazu arbeitet die EU-Kommission an einem Entwurf für eine Richtlinie zur KI-Haftung, um bestehenden Haftungslücken und Beweisschwierigkeiten bei Rechtsverletzungen im Zusammenhang mit dem Einsatz von KI zu begegnen. Ein Beispiel: Es sollte künftig einfacher geklärt werden können, wer zahlen muss, wenn beim autonomen Fahren ein Unfall geschieht.
Inwieweit die Regulierung von KI wirklich gelingt, wird man sehen. Denn Technologien entwickeln sich oft schneller, als Gesetze geschrieben werden. Das Beispiel ChatGPT zeigt das gut: Als der AI Act 2021 vorgeschlagen wurde, war der Chatbot noch nicht in Sicht.
Neue Pflichten für Anbieter digitaler Dienstleitungen im Digital Services Act
Der Digital Services Act ist bereits in Kraft getreten und findet ab dem 17.02.2024 für Anbieter digitaler Dienstleistungen Anwendung. Darunter fallen unter anderem digitale Vermittlungsdienste, Online-Marktplätze und Suchmaschinen.
Das Gesetz sieht ein abgestuftes Pflichtenprogramm vor: Je nachdem welche Dienste angeboten werden und wie groß der Anbieter ist, bestehen unterschiedliche Pflichten. Maßstab für die Größe ist unter anderem die Anzahl der Nutzer:innen. Der Digital Services Act verpflichtet Anbieter unter anderem zur Bekämpfung illegaler Online-Inhalte und sieht Informations- und Rechenschaftspflichten vor. Sanktionen bei Nichtbeachtung können noch über die Bußgelder der DSGVO hinausgehen: Es drohen Bußgelder von bis zu 6 Prozent des weltweiten Jahresumsatzes.
Der Data Act soll Daten einfacher verfügbar machen
Der Data Act (auf Deutsch: Datengesetz) ist ein gesetzliches Novum, denn er kann Unternehmen dazu verpflichten, Daten herauszugeben. Er befindet sich derzeit in den letzten Zügen des europäischen Gesetzgebungsverfahrens. Mit seinem Inkrafttreten ist spätestens im Laufe des Jahres 2024 zu rechnen. Der Hintergrund des Gesetzes: EU-Politiker:innen beklagen, dass enorme Mengen an Daten vorhanden sind, die nicht genutzt werden. Das möchte die Europäische Kommission mit dem Datengesetz ändern. Es soll vorhandene Daten nutzbar machen, um Innovation zu ermöglichen und den Standort EU zu stärken.
Wenn also ein Unternehmen eine neue Technologie entwickeln möchte und hierfür Daten benötigt, soll es durch den Data Act leichter werden, an diese Daten heranzukommen. Über die Daten verfügen dem Data Act zufolge dabei die ursprünglichen Nutzer:innen der vernetzten Geräte. Diese können sowohl Verbraucher:innen als auch Unternehmen sein. Sie sollen bestimmen können, ob das Unternehmen, das die Daten erhoben hat, diese herausgeben muss, sodass ein drittes Unternehmen damit neue Technologien entwickeln kann.
Ein typisches Beispiel sind Smart-Home-Anwendungen: Hierbei entstehen täglich viele Daten, die bei Anbietern der Smart-Home-Technologie gesammelt und gespeichert werden. Möchte jemand neue Dienstleistungen im Smart-Home-Bereich entwickeln, kann er nun Daten von bestehenden Anbietern nutzen, wenn die Verbraucher:innen ihr Einverständnis erklärt haben.
Konkurrenzprodukte dürfen mit Hilfe der Daten nicht entwickelt werden. Unklar ist allerdings, wie das verhindert werden kann. Anbieter müssen sich hier auf vertragliche Vereinbarungen verlassen und gegebenenfalls Unterlassungs- und andere Ansprüche geltend machen und notfalls auch gerichtlich durchsetzen.
Der Data Act könnte bestehende Gesetze schwächen
Der Data Act soll neben der DSGVO und anderen Regelungen gelten. Unseres Erachtens könnte das Datengesetz jedoch bestehende Gesetze schwächen, insbesondere das Geschäftsgeheimnisgesetz und das Urheberrechtsgesetz. Für Datenbanken sieht das Urheberrecht einen Investitionsschutz vor. Dieser greift, wenn ein Unternehmen Aufwendungen getätigt hat, um eine Datenbank zu erstellen und aufrechtzuerhalten. Dieser Datenbankschutz darf dem Herausgabeanspruch nach dem Data Act aber nicht entgegengehalten werden.
Auch der Geschäftsgeheimnisschutz wird aufgeweicht. Der Data Act sieht zwar vor, dass Geschäftsgeheimnisse, die sich in den zu übermittelnden Daten verbergen, weiterhin geschützt werden müssen. Nach dem Geschäftsgeheimnisgesetz müssen Unternehmen aber bestimmte Schutzmaßnahmen ergreifen, damit das Geschäftsgeheimnis geschützt ist. Wenn der Data Act nun verlangt, dass Unternehmen ihre Geheimnisse herausgeben müssen, fällt der Schutz nach dem Geschäftsgeheimnisgesetz unter Umständen weg. Die Politik verweist auf technische Maßnahmen, die Unternehmen ergreifen könnten, um den Schutz trotzdem aufrechtzuerhalten. Unklar ist bisher allerdings, wie diese aussehen könnten.
Digitale Ethik sollte Teil der Unternehmensstrategie sein
Die Einhaltung der neuen EU-Verordnungen, insbesondere des AI- und des Data Act, kann für Unternehmen ein schwieriger Spagat sein, da weiterhin auch die DSGVO beachtet werden muss. Diese gilt zwar nur für personenbezogene Daten. In der Praxis werden aber häufig gemischte Daten erhoben. Dies stellt Unternehmen vor erhebliche Abgrenzungsschwierigkeiten und schafft Verunsicherung darüber, inwieweit Daten nach dem Data Act herausgegeben werden müssen oder ob insbesondere die DSGVO einer Herausgabe sogar entgegensteht.
Es besteht die Gefahr, dass genau das Gegenteil davon eintritt, was die EU mit ihrer Datenstrategie bezweckt: dass nicht mehr Daten zur Verfügung stehen, sondern weniger. Aus Angst, gegen den Datenschutz zu verstoßen oder Konkurrenzunternehmen zu fördern, könnten Unternehmen aufhören, Daten zu sammeln.
Ob der AI Act geeignet ist, die Entstehung und Nutzung von KI in Europa zu fördern, bleibt ebenfalls abzuwarten. Der Erfolg der Verordnung wird unter anderem davon abhängen, inwiefern der Gesetzgeber dem rasanten Fortschritt im Bereich KI hinterherkommt. Unternehmen sind daher gut beraten, nicht nur auf gesetzliche Vorgaben zu schauen, sondern auch auf ethische Gesichtspunkte. Integrieren Unternehmen digitale Ethik in ihre Unternehmenswerte, können sie das Vertrauen in ihre Produkte und Dienstleistungen erhöhen und gleichzeitig darauf hinwirken, dass sie künftige gesetzlichen Regelungen einhalten.