Europäische Datenstrategie
KI Blog
19.09.2023

Die Europäische Datenstrategie soll das Eigentum an Daten regeln

Charlotte Götz

In wenigen Tagen, am 24.09.2023, wird der Data Governance Act aktiv. Aus gegebenem Anlass informieren wir Sie in diesem Artikel über die neuen Vorschriften und die zugehörigen Rechtsakte der neuen Europäischen Datenstrategie.

Diese soll einen rechtssicheren Rahmen für wirtschaftliche Investitionen schaffen und die Position Europas im digitalen Wandel stärken. Entwickler digitaler Geschäftsmodelle sollten sich bewusst sein, dass die Eckpunkte der EU Datenstrategie äußerst komplex sind. Die wichtigsten Rechtsakte, einschließlich ihrer Erwägungsgründe, umfassen mehr als 600 eng bedruckte Seiten.

Dieser Artikel gibt Ihnen durch die Unterstützung eines vorab durchgeführten Webinars des Rechtsanwalts Dr. Timo Ehmann (Ehmann&Ehmann Rechtsanwälte PartG mbB, München) einen wertvollen Überblick über die bereits beschlossenen und geplanten Gesetze durch die EU Kommission, die weitere Strategie zur Regelung am Eigentum an Daten und wie Sie die ineinandergreifenden Regeln auf Ihr digitales Geschäftsmodell anwenden.

Europäische Datenstrategie – Das Wichtigste in Kürze

  • Datenschutzgrundverordnung (DSGVO) seit 2018 in Kraft
  • Digital Markets Act (DMA) seit 25.06.2023 in Kraft
  • Data Governance Act (DGA) ab 24.09.2023 aktiv
  • Digital Services Act (DSA) wird am 17.02.2024 wirksam
  • Data Act (DA) und Artificial Intelligence Act (AIA) kurz vor gesetzlicher Verabschiedung

Diese Rechtsakte schaffen die Grundlage für künftige strategische und wirtschaftliche Behandlung von Daten in Europa. Das Diagramm veranschaulicht die wesentlichen Aspekte der EU Datenstrategie:

Europäische Datenstrategie Überblick
Quelle: Ehmann&Ehmann Rechtsanwälte PartG mbB, München & Kempten

Definition – Eigentum

Der § 903 BGB (Bürgerliches Gesetzbuch) „Befugnisse des Eigentümers“ definiert Eigentum wie folgt:

Der Eigentümer einer Sache kann, soweit nicht das Gesetz oder Rechte Dritter entgegenstehen, mit der Sache nach Belieben verfahren und andere von jeder Einwirkung ausschließen.

Der Art. 14 GG (Grundgesetz für die Bundesrepublik Deutschland) ergänzt diese Definition:

(1) Das Eigentum und das Erbrecht werden gewährleistet. Inhalt und Schranken werden durch die Gesetze bestimmt.

(2) Eigentum verpflichtet. Sein Gebrauch soll zugleich dem Wohle der Allgemeinheit dienen.

Unterscheidung zwischen Eigentum und geistigem Eigentum

Laut des Deutschen Patent- und Markenamts beinhaltet der Begriff „geistiges Eigentum“, international als „intellectual property (IP)“ bezeichnet, Eigentumsrechte an Schöpfungen des menschlichen Intellekts. Darunter fallen beispielsweise Erfindungen, Know-how oder Software.

Das bedeutet: Im Gegensatz zum Besitz physischer Objekte, wie sie im Sinne des § 90 BGB definiert sind, bezieht sich geistiges Eigentum auf das alleinige Recht an immateriellen Werten wie Kunstwerken oder technischen Erfindungen.

-> Was ist geistiges Eigentum? Lesen Sie es nach.

Wie wird geistiges Eigentum geschützt?

Gewerbliche Schutzrechte (Patente und Gebrauchsmuster, Marken, Designs)

Beispiel: Ein Pharmazieunternehmen beantragt ein Patent für einen neuen Impfstoff wie bei Covid-19, um seine Exklusivrechte an der Herstellung und Vermarktung zu schützen.

Geschäftsgeheimnisse

Beispiel: Ein Softwareunternehmen schützt seine proprietären Algorithmen und Technologien als Geschäftsgeheimnisse, indem es strenge Sicherheitsvorkehrungen trifft und Geheimhaltungsvereinbarungen mit seinen Mitarbeitern und Geschäftspartnern abschließt. Dadurch wird verhindert, dass vertrauliche Informationen an Dritte weitergegeben werden.

Urheberrecht und verwandte Schutzrechte

Beispiel: Ein Autor genießt automatisch Urheberrechte an seinem Werk. Diese Rechte schützen sein geistiges Eigentum und gewähren ihm das Recht, das Werk zu veröffentlichen, zu reproduzieren und zu verkaufen. Ein Fotograf besitzt auf ähnliche Weise das Urheberrecht an seinen Bildern und schützt es, indem er seine Werke markiert und Lizenzen vergibt. Dieser Fall ist klar geregelt.

Doch wie steht es um die Frage: Darf KI auf den geistigen Schöpfungen anderer trainiert werden? Das Urheberrecht ist streng, dementsprechend kompliziert gestaltet sich die Antwort auf diese Frage. Die Kurzform lautet:

Wenn die Daten, die für das KI-Training verwendet werden sollen, urheberrechtlich geschützte Inhalte enthalten, sind bereits im Vorbereitungsprozess des Trainings verschiedene Handlungen urheberrechtlich relevant. Dies betrifft zum Beispiel Texte, Musikstücke, Fotos, Filme, Zeichnungen aber auch Datenbanken. Allerdings ist es wichtig zu beachten, dass nicht alle Trainingsdaten von KI automatisch urheberrechtlichen Schutz genießen. Daten, die gemeinfrei oder nicht ausreichend schutzfähig sind, lassen sich ohne Verletzung des Urheberrechts für das Training verwendet.

Weitere Informationen darüber, wie Sie rechtmäßig Trainingsdaten für Künstliche Intelligenz beschaffen können, finden Sie in Kürze auf einem unserer vertiefenden Blogposts.

Bleiben Sie auf dem Laufenden!

Definition – Geschäftsmodelle

Ein Geschäftsmodell (engl. Business Model) ist eine modellhafte Repräsentation der logischen Zusammenhänge, wie eine Organisation oder ein Unternehmen Mehrwert für Kunden erzeugt und einen Ertrag für die Organisation sichert.

Was ist ein digitales Geschäftsmodell?

Das Bayerische Forschungsinstitut für Digitale Transformation definiert ein Geschäftsmodell als digital, wenn digitale Technologien fundamentalen Einfluss auf die Art und Weise des Wirtschaftens und der Umsatzgenerierung des Unternehmens haben. Der konkrete Digitalisierungsgrad eines Unternehmens lässt sich aber nicht exakt bestimmen.

Was ist ein datenbasiertes Geschäftsmodell?

Daten sind käuflich. Diesen Grundsatz nutzen datenbasierte Geschäftsmodelle (z. B. bei der Onlinewerbung), indem Daten als Schlüsselressource dienen. Datenbasierte Geschäftsmodelle unterscheiden sich von datengestützten Geschäftsmodellen, da Letzteres Wertschöpfungsprozesse durch datenbasierte Technologien nur ergänzt werden (z. B. zusätzlicher Vertrieb über eine App).

Sie möchten nähere Auskünfte über datenbasierte Geschäftsmodelle erhalten? Unser weiterführender Artikel bietet Ihnen bald alle wichtigen Hintergrundinformationen und anschauliche Beispiele. Es lohnt sich, den KI Blog in wenigen Tagen erneut zu besuchen.

Herausforderungen für digitale Geschäftsmodelle, die mit Digitalisierung und KI einher gehen

Hate Speech und Fake News

Beispiel: In sozialen Medien verbreitet eine Person rassistische und beleidigende Kommentare gegenüber einer bestimmten ethnischen Gruppe. Diese Beiträge verstoßen gegen die Richtlinien der Plattform. Die Betreiber müssen Maßnahmen ergreifen, um die Hate Speech zu entfernen und den Nutzer möglicherweise an das Bundeskriminalamt zu melden.

Die bloße Meinungsäußerung bleibt jedoch durch die Meinungsäußerung gedeckt: Urteil des Landgerichts Hamburg – Bewertung bei Google Maps ist zulässige Meinungsäußerung. Fehlen jedoch tatsächliche Bezugspunkte, auf die sich eine Meinung stützt oder sind die tatsächlichen Bezugspunkte unwahr, muss die Meinungsfreiheit regelmäßig zurücktreten, schreibt Knuth Folger.

Zukunft des Urheberrechts

Beispiel: Ein bekannter Fotograf stellt fest, dass seine Bilder ohne seine Zustimmung in verschiedenen Online-Publikationen verwendet werden. Er entscheidet sich für den Einsatz von Blockchain-Technologie, um die Urheberschaft seiner Fotos zu sichern und sicherzustellen, dass er fair für ihre Verwendung entlohnt wird.

Monopolisierungstendenzen und Gatekeeper

Beispiel: Ein großes Technologieunternehmen hat eine dominierende Position auf dem Markt für Suchmaschinen erreicht. Es missbraucht seine Macht, um kleinere Konkurrenten zu behindern und den Wettbewerb zu unterdrücken, indem es seine eigenen Dienste bevorzugt und andere benachteiligt.

In einem rechtlichen Tauziehen, das bereits vielfach Gegenstand publizistischer Betrachtungen geworden ist, hat Wetter.com – eine in Baden-Württemberg beheimatete Tochterfirma der ProSiebenSat.1 Media SE – vor dem Landgericht Mannheim Klage gegen den Technologiegiganten Google erhoben. Kern des Disputs ist eine sogenannte „Box“, die Google im Rahmen seiner Suchergebnisse prominent platziert. Diese Box bietet den Nutzern bereits im Vorfeld eine umfassende Darstellung von Wetterdaten, wodurch der Klick auf den Link zur Homepage von Wetter.com obsolet wird.

Dieses Vorgehen stellt eine ernsthafte Bedrohung für das Geschäftsmodell von Wetter.com dar, das maßgeblich auf Werbeeinnahmen angewiesen ist. Indem Google die Nutzer davon abhält, die Website von Wetter.com aufzusuchen, entzieht es dem Unternehmen potenzielle Werbeeinnahmen und schwächt damit seine ökonomische Lebensgrundlage.

Die Angelegenheit wirft komplexe Fragen des Wettbewerbsrechts und der digitalen Souveränität auf, und es bleibt abzuwarten, wie das Gericht in diesem markanten Fall entscheiden wird.

Datenschutz und Überwachungsdruck

Beispiel: Eine Regierung führt eine umfangreiche Überwachung der Bürger durch und sammelt massiv Daten über deren Online-Aktivitäten, ohne angemessene Datenschutzmaßnahmen zu ergreifen. Dies führt zu Bedenken hinsichtlich der Privatsphäre und der Bürgerrechte.

KI Sicherheit und Transparenz

Beispiel: Ein autonomes Fahrzeug mit künstlicher Intelligenz (KI) ist in einen Unfall verwickelt. Die Ermittelnden müssen die Entscheidungsprozesse des KI-Systems verstehen, um die Unfallursache zu klären und sicherzustellen, dass die KI-Algorithmen transparent und sicher sind. Dies wirft Fragen zur Verantwortlichkeit und zur Notwendigkeit von KI-Transparenz auf.

Rechtsakte der Europäischen Datenstrategie, die diese Herausforderungen regeln

„Eine weitere klare Entscheidung ist bei der Frage zu treffen, ob es Eigentum an Daten geben kann.“

Auszug aus der Drucksache 19/26538, Seite 2, Deutscher Bundestag – 19. Wahlperiode
Hate Speech und Fake NewsVO (EU) 2022/2065 Digital Services Act, gilt ab 17.02.2024
Zukunft des UrheberrechtsRL (EU) 2019/790 UrhR-Richtlinie, gilt seit 06.06.2019
MonopolisierungstendenzenVO (EU) 2022/1925 Digital Markets Act, gilt seit 25.06.2023
Datenschutz und ÜberwachungsdruckVO (EU) 2016/679 Datenschutzgrundverordnung, gilt seit 25.05.2018
KI Sicherheit und TransparenzArtificial Intelligence Act, laufende Triologverhandlungen

„Für alle, die an der Entstehung von Daten mitgewirkt haben, stärken wir den standardisierten und maschinenlesbaren Zugang zu selbsterzeugten Daten. Mit einem Datengesetz schaffen wir für diese Maßnahmen die notwendigen rechtlichen Grundlagen.“

Auszug aus dem Koalitionsvertrag Herbst 2021, Nutzung von Daten und Datenrecht

Überblick über Regelungen, die Daten zuordnen

Zur Veranschaulichung, wie genau die Zuordnung der Regelungen und Daten zu den verschiedenen Rechtsakten der EU Datenstrategie erfolgt, sehen Sie sich bitte das Diagramm an:

Überblick über die EU-Datenstrategie mit Zuordnung von Daten
Quelle: Ehmann&Ehmann Rechtsanwälte PartG mbB, München & Kempten

Die genauere Beschreibung der einzelnen Rechtsakte finden Sie in den folgenden Abschnitten.

Digital Services Act

Der Digital Services Act (EU-Verordnung 2022/2065) ist gültig ab 17.02.2024.

Dieser Stichtag führt automatisch zur Aufhebung des Netzwerkdurchsetzungsgesetzes (NetzDG) und Telemediengesetzes (TMG).

Vom DAS betroffen sind

  • Online-Vermittlungsdienste z. B. Hosting-Dienste, Online-Plattformen, Suchmaschinen, Marktplätze, App-Stores und Social-Media-Angebote,
  • Zusätzliche Pflichten (z. B. Risikomanagement) für sehr große Anbieter (die mehr als 10 % der 450 Millionen Verbraucher in Europa erreichen),
  • Zentrale Teile sind für Kleinst- und Kleinunternehmen ausgenommen (unter 50 Mitarbeitenden oder unter 10 Millionen Euro Jahresumsatz),
  • Überschneidungen, insbesondere mit der Verordnung 2019/1150.

Regelungen des DAS im Überblick

  • Transparenz bei der Ausgestaltung der Dienste
  • Regelung zum Umgang mit rechtswidrigen Inhalten z. B. Notice and Takedown
  • Für große Plattformen: Risikoanalyse und Risikominimierung
  • Stärkung der Grundrechte durch AGB-Regelung; auf der offiziellen EU-Homepage explizit erwähnt, wie z. B. „Redefreiheit“

Daher gilt: Es existiert keine Regelung zum Klarnamensverbot § 19 Abs. 2 TTDSG. Anbieter von Telemedien haben die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer von Telemedien ist über diese Möglichkeit zu informieren.

Digital Markets Act

Der Digital Markets Act (DMA) (EU-Verordnung 2022/1925) ist seit 25.06.2023 gültig.

Vom DMA betroffen sind

  • Online-Gatekeeper wie GAFAM (Google, Amazon, Facebook (Meta), Apple, Microsoft),
  • Unternehmen über 75 Mrd. EUR Unternehmenswert,
  • Unternehmen über 7,5 Mrd. EUR Jahresumsatz.

Die Artikel 6 des DMA regelt in den Absätzen 9 bis 11 den Zugang zu Daten auf zentralen Plattformdiensten.

Im Absatz 9 ist festgelegt, dass Endnutzern und von ihnen beauftragten Dritten auf Anfrage ein kostenloser und effektiver Zugang zu ihren eigenen Daten gewährt wird, die sie auf der Plattform bereitgestellt oder durch ihre Nutzung generiert haben.

Der 10. Absatz beschreibt, dass gewerblichen Nutzern und von ihnen zugelassenen Dritten ein kostenloser, hochwertiger und permanenter Echtzeitzugang zu aggregierten und nichtaggregierten Daten gewährt wird, einschließlich personenbezogener Daten, die im Zusammenhang mit der Nutzung der Plattformdienste generiert wurden. Dieser Zugang erfordert die Zustimmung der Endnutzer.

Im Absatz 11 wird Online-Suchmaschinenanbietern unter fairen und diskriminierungsfreien Bedingungen Zugang zu Ranking-, Anfrage-, Klick- und Ansichtsdaten gewährt, die von Endnutzern über ihre Suchmaschinen generiert werden. Alle personenbezogenen Daten in diesen Daten sind anonymisiert. Dies soll sicherstellen, dass der Zugang zu Daten auf zentralen Plattformen fair und transparent gestaltet ist.

Regelungen des DMA im Überblick

  • Bündelungsverbot bestimmter Dienstleistungen, Services und Apps (Art. 5 Abs. 7, 8 DMA)
  • Sicherung der Wettbewerbsfreiheit von Wettbewerbern und teilnehmenden Händlern (z. B. IE von Microsoft; Wettbewerb durch Amazon Basics)
  • Transparenzregelungen für Online-Werbung (inkl. Auskunft über Preise)
  • Einfache Deinstallationsmöglichkeiten von Software-Anwendungen auf ihrem Betriebssystem (Art. 6, 7 DMA)
  • Transparente und faire Anzeige bzw. Rankings (Art. 6 Abs. 5 DMA)
  • Anzeigepflichten bei bestimmten Zusammenschlüssen zur Fusionskontrolle

Data Governance Act

Der DGA wurde am 30. Mai 2022 veröffentlicht und tritt am 24.09.2023 in Kraft.

Er zielt darauf ab, den Datenaustausch in der EU zu erleichtern und die Nutzung von Daten im Interesse von Unternehmen und Bürgern zu fördern. Der Rechtsakt deckt verschiedene Aspekte ab, darunter die Regulierung von Datenvermittlungsdiensten, die Weiterverwendung öffentlicher Daten und die Förderung von Datenaltruismus. Dabei steht die Sicherheit und der Schutz der Daten im Vordergrund.

„Wir müssen jetzt klug reagieren und Künstliche Intelligenz vernünftig regulieren, bevor es dafür zu spät ist. Das darf nicht wieder Jahre dauern.“

Digitalminister Volker Wissing (FDP) gegenüber der „Bild am Sonntag“ im April 2023 in Berlin

Betroffen von DGA sind insbesondere Datenvermittlungsdienste.

Was sind Datenvermittlungsdienste und wer nutzt diese?

Datenvermittlungsdienste sind Dienstleistungen oder Plattformen, die den Austausch von Daten zwischen verschiedenen Nutzern oder Organisationen ermöglichen. Diese Dienste stellen in der Regel die technische Infrastruktur und die Mechanismen bereit, um Daten sicher von einem Ort zum anderen zu übertragen oder zu teilen. Datenvermittlungsdienste kommen in verschiedenen Branchen und Anwendungen vor. Beispiele sind:

  • Cloud-Dienste: Unternehmen wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud haben Datenvermittlungsdienste im Angebot, die es Unternehmen ermöglichen, ihre Daten in der Cloud zu speichern und zu verarbeiten.
  • Datenmarktplätze: Plattformen wie DataMarket, DatastreamX und Data.gov bieten einen Marktplatz für den Kauf und Verkauf von Daten zwischen verschiedenen Datenanbietern und -nutzern.
  • Finanzdienstleistungen: Finanzinstitute nutzen Datenvermittlungsdienste, um Finanztransaktionen zwischen Banken, Zahlungsabwicklern und anderen Akteuren in der Finanzbranche zu ermöglichen.
  • IoT-Plattformen: Internet of Things (IoT)-Plattformen wie AWS IoT und Azure IoT Hub erleichtern die Übertragung und Verarbeitung von Daten aus vernetzten Geräten und Sensoren.
  • Soziale Medien: Plattformen wie Facebook, Twitter und Instagram erleichtern es den Nutzern, Informationen und Daten in Form von Beiträgen, Bildern und Videos auszutauschen.
  • E-Commerce: Online-Marktplätze wie Amazon und eBay schaffen die Grundlage für den Austausch von Produktdaten zwischen Verkäufern und Käufern.
  • Kommunikationsdienste: Messaging-Apps wie WhatsApp und E-Mail-Dienste wie Gmail dienen dazu, Text-, Audio- und Videoinformationen zwischen Nutzern zu übertragen.

Ziele des Data Governance Act

  • Erleichterung des Datenaustauschs
  • Regulierung neuer Datenvermittler
  • Förderung des Datenaustauschs für altruistische Zwecke
  • Berücksichtigung von personenbezogenen und nicht personenbezogenen Daten
  • Einhaltung der Datenschutz-Grundverordnung (DSGVO)
  • Regulierung der Weiterverwendung geschützter Daten im Besitz öffentlicher Stellen
  • Begrenzung exklusiver Datenwiederverwendungsvereinbarungen.

Regelungen des DGA im Überblick

  • Eintragungspflicht für Datenvermittlungsdienste einem Register (Kundenvertrauen)
  • Datenauswertung durch Dienstleister für Datenaustausch für neutrale Marktplätze (Dienstleister für Datenaustausch dürfen die Daten nicht für eigene Zwecke auswerten)
  • Vermeidung von Lock-in-Effekten durch Begrenzung von Verträgen zur exklusiven Datenutzung
  • Zeitliche Begrenzung neue Verträge zur exklusiven Nutzung von Daten zwischen Behörden und Unternehmen auf 1 Jahr (fairer Wettbewerb)
  • Zeitliche Begrenzung bestehende Verträge zur exklusiven Nutzung von Daten zwischen Behörden und Unternehmen werden auf 2,5 Jahre (fairer Wettbewerb)
  • Strukturelle Trennung zwischen Datenvermittlung und anderen Diensten sowie Gebührenregelungen
  • Freiwillige Bereitstellung von Daten für das öffentliche Interesse ohne Gegenleistung (Datenaltruismus)
  • Einhaltung von Standards und Einwilligungsformularen gemäß Europäischem Dateninnovationsgremium (EDIB)
  • Einrichtung eines Gremiums zur Erleichterung des Datenaustauschs und der Interoperabilitätsstandards
  • Stärkung der internationalen Datenübertragungen unter Berücksichtigung von Datenschutz und -sicherheit (internationale Datenströme)

Datenpotenzial und Stategiehindernisse des EU Data Gonvernance Act

Der DGA dient der Schaffung eines Rahmens zur Stärkung des Vertrauens im freiwilligen Datenaustausch für Unternehmen und Bürger.

Potenzial von Daten: Daten bieten großes wirtschaftliches und gesellschaftliches Potenzial für Innovation, Effizienz, Gesundheitsversorgung und soziale Herausforderungen.

Hindernisse im EU Datenaustausch: Geringes Vertrauen im Datenaustausch, Probleme bei der Nutzung öffentlicher Daten und technische Hürden beschränken den Datenaustausch in der EU.

Artificial Intelligence Act

Der Artificial Intelligence Act (AIA) befindet sich aktuell noch in laufenden Trilogverhandlungen innerhalb der EU Kommission (Stand 09/2023).

Mit den AIA präsentiert die Europäische Kommission den ersten rechtlichen Rahmen für Künstliche Intelligenz (KI), der darauf abzielt, die Risiken von KI anzugehen und Europa in eine führende Position in diesem Bereich zu bringen. Dieser Vorschlag zur Regulierung soll klare Anforderungen und Verpflichtungen für Entwickler, Anbieter und Nutzer von KI in bestimmten Anwendungsbereichen festlegen.

Gleichzeitig ist das Ziel, die bürokratischen und finanziellen Belastungen für Unternehmen, insbesondere kleine und mittlere Unternehmen (KMU), zu minimieren. Dieser Vorschlag ist Teil eines umfassenderen Maßnahmenpakets für Künstliche Intelligenz, das auch einen aktualisierten koordinierten Plan für KI einschließt.

Betroffen vom AIA sind

  • Anbieter von KI-Systemen,
  • Nutzer fremder KI-Systeme,
  • Händler und Importeure von KI-Systemen.

Beschlossene Inhalte des AIA im Überblick

  • Regelungen zur Sicherheit
  • Regelungen zu Fairness und Transparenz
  • Schutz der Privatsphäre und der Grundrechte
  • Verwendung von AI-Systemen in bestimmten Bereichen (z. B. autonomes Fahren, biometrische Erkennung)

Warum brauchen wir Regeln für KI?

Die geplante KI-Verordnung gewährleistet, dass die Menschen in Europa Vertrauen in die Potenziale der Künstlichen Intelligenz haben können. Obwohl die meisten KI-Systeme vielfältige Anwendungsmöglichkeiten haben und zur Bewältigung gesellschaftlicher Probleme beitragen können, bergen bestimmte KI-Systeme Risiken, die im Rahmen der Europäischen Datenstrategie angegangen werden müssen, um unerwünschten Folgen vorzubeugen.

Beispiel: Oft ist nicht klar nachvollziehbar, warum ein KI-System eine Entscheidung getroffen oder eine Handlung ausgeführt hat, was die Bewertung von möglichen Ungerechtigkeiten, beispielsweise in Einstellungsprozessen oder bei öffentlichen Versorgungsdiensten, erschwert. Obwohl bestehende Gesetze einen gewissen Schutz bieten, sind sie nicht ausreichend, um den speziellen Herausforderungen, die durch KI-Systeme entstehen, gerecht zu werden.

Vorgeschlagene Vorschriften des AIA

  • Bewältigung von Risiken, die speziell durch KI-Anwendungen entstehen,
  • Liste der Anträge mit hohem Risiko,
  • Festlegung klarer Anforderungen an KI-Systeme für Anwendungen mit hohem Risiko,
  • Festlegung spezifischer Verpflichtungen für KI-Nutzer und Anbieter von Anwendungen mit hohem Risiko,
  • Konformitätsbewertung, bevor das KI-System in Betrieb genommen oder in Verkehr gebracht wird,
  • Durchsetzung, nachdem ein solches KI-System in Verkehr gebracht wurde,
  • Governance-Struktur auf europäischer und nationaler Ebene.

Risikobasierter Ansatz des Artificial Intelligence Act

Der Regulierungsrahmen legt vier Risikostufen in KI fest:

  1. Inakzeptables Risiko: Verbot von KI-Systemen mit eindeutiger Bedrohung für Sicherheit, Lebensunterhalt und Rechte von Menschen.
  2. Hohes Risiko: Strenger Regulierungsrahmen für KI-Systeme mit hohem Risiko z. B. in kritischer Infrastruktur, Bildung und Strafverfolgung.
  3. Begrenztes Risiko: Transparenzverpflichtungen für KI-Systeme mit begrenztem Risiko z. B. Chatbots.
  4. Minimales oder kein Risiko: Freie Nutzung KI-Systeme mit minimalem oder keinem Risiko z. B. Spamfilter.
Europäische Datenstrategie Risikobasierter Ansatz Artificial Intelligence Act
Quelle: https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai

Data Act

Der Data Act (DA) ist voraussichtlich ab Herbst 2025 gültig.

Von DA betroffen sind Anbieter von beweglichen Geräten oder damit verbundenen Diensten, die Daten über Benutzung oder Umgebung sammeln und übermitteln, beispielsweise IoT Geräte wie Smartwatch, Fitnesstracker, vernetzte Fahrzeuge oder Smart Homes.

Der Entwurf des Data Act wird als zentraler Bestandteil des Datenwirtschaftsrechts betrachtet. Die EU Kommission hat sich von der Idee exklusiver Nutzungsrechte, wie beispielsweise dem Konzept des „Dateneigentums“, verabschiedet, was als positiv angesehen wird. Es wäre rechtlich und wirtschaftlich problematisch, von faktischer Exklusivität zu rechtlicher Exklusivität überzugehen (Hennemann/Steinrötter, NJW 2022, 1481).

Die Regelungen des Data Act umfassen zwei wichtige Artikel.

Artikel 3: Pflicht der Zugänglichmachung von bei der Nutzung von Produkten oder verbundenen Diensten erzeugten Daten

Produkte und verbundene Dienste müssen so gestaltet sein, dass die vom Nutzer erzeugten Daten standardmäßig einfach, sicher und, falls relevant und angemessen, direkt zugänglich sind.

Artikel 4: Recht der Nutzer auf Zugang zu den bei der Nutzung von Produkten oder verbundenen Diensten erzeugten Daten und auf deren Nutzung

Falls der Nutzer nicht direkt auf die Daten zugreifen kann, muss der Dateninhaber dem Nutzer die bei der Nutzung bereitgestellten Daten sofort, kostenlos und gegebenenfalls kontinuierlich und in Echtzeit auf einfache Anfrage elektronisch zur Verfügung stellen, sofern technisch machbar.

Es steht allerdings noch die Frage im Raum, ob unterschiedliche Regelungen für verschiedene Produkte oder Dienste wie z. B. Apple Health und Adidas Runtastic gelten könnten.

Ausnahmen des Zugangsanspruchs

Es müssen keine Geschäftsgeheimnisse offengelegt werden (Art. 4 Abs. 3 DA).

  • Keine Datennutzung zur Entwicklung eines Wettbewerbsprodukts (Art. 4 Abs. 4 DA)
  • Kein Zugangsanspruch hinsichtlich personenbezogener Daten Dritter (Art. 4 Abs. 5 DA)

Aber: Es existieren noch keine generelle Beschränkung auf entgegenstehende Immaterialgüter und spezielle Regelung zur Begrenzung des Schutzbereichs des Datenbankherstellerrechts.

Zusammenfassung der vorvertraglichen Informationspflichten

Gemäß Art. 3 Abs. 2 des Data Acts:

  • Art und Umfang der Daten, die voraussichtlich bei der Nutzung des Produktes oder verbundenen Dienstes erzeugt werden
  • Beabsichtigung des Herstellers, die Daten selbst zu nutzen
  • Ob der Verkäufer, Mieter oder Leasinggeber oder Dateninhaber ist
  • Wie der Nutzer veranlassen kann, dass die Daten an einen Dritten weitergegeben werden

Pflicht zur Einholung einer „Datenlizenz“ und weitere Regelungen

Gemäß Art. 4 Abs. 6 S. 1 des Data Acts:

  • Datensparsamkeit
  • Definition von missbräuchlichen Nutzungsbedingungen
  • Weitergabe der Daten auf Verlangen des Nutzers Art. 5 DA-E
  • Vereinfachter Wechsel und Interoperabilität zwischen Anbietern z. B. schrittweise Abschaffung von Wechselentgelten Art. 23 ff., 28 ff. DA-E

Von den weiteren DA-Regelungen ausgenommen sind Kleinst- oder Kleinunternehmen.

Ausblick – Nächste Schritte der Europäischen Datenstrategie

Im Anschluss an den Vorschlag der EU Kommission im April 2021 ist die Verordnung der Europäischen Datenstrategie teilweise Ende 2022 bzw. Anfang 2023 in einem Übergangszeitraum in Kraft getreten. In diesem Zeitraum wurden Normen vorgeschrieben und entwickelt und die eingerichteten Governance-Strukturen würden funktionsfähig werden. Die zweite Hälfte des Jahres 2024 ist der früheste Zeitpunkt, dass die Verordnung der Europäischen Datenstrategie auf Betreiber anwendbar werden könnte, die sämtliche Normen umsetzen und die ersten Konformitätsbewertungen durchführen.

Fazit

Die EU Kommission bringt insbesondere mit dem Digital Markets Act (DMA) einige wichtige Aspekte hervor, die im Hinblick auf die Transparenz und die technische Umsetzung der Europäischen Datenstrategie von großer Bedeutung sind. Einerseits betont dieser die Notwendigkeit von mehr Transparenz, was ein positiver Schritt in Richtung eines offeneren digitalen Marktes ist. Andererseits gibt es auch einige Herausforderungen und offene Fragen im Zusammenhang mit dem DMA. Die Anforderungen an die technische und organisatorische Umsetzung, insbesondere im Bereich der Datenzugangsanforderungen (DA), sind hoch und möglicherweise für einige Unternehmen schwierig umzusetzen.

Es gibt auch Klarstellungen bezüglich missbräuchlicher Geschäftspraktiken, insbesondere im Zusammenhang mit dem DMA und den Datenzugangsanforderungen (DA), die sinnvoll sind. Dies trägt dazu bei, unfaire Wettbewerbspraktiken zu bekämpfen. Dennoch bleiben viele Aspekte ungeklärt und der DMA ersetzt herkömmliche Gesetzgebungsstrukturen, was potenziell zu Unsicherheit führt.

Wichtige Punkte, wie die Zulässigkeit des Crawlings und die Nutzung von Daten im Bereich SaaS (Software as a Service), bleiben klärungsbedürftig. Es besteht die Gefahr einer Überschätzung der Durchsetzbarkeit kleinteiliger Regelungen, wie beispielsweise der Beschränkung des Nutzungsumfangs von Daten. Zusätzlich wird eine verstärkte Informationsbereitstellung, ähnlich wie bei „Cookie-Bannern“, erforderlich sein – und es werden spezifische vertragliche Anforderungen gestellt.

Konkret

Insgesamt erreicht der DMA der EU Datenstrategie sein Ziel eines klaren Rechtsrahmens bislang nur teilweise, da notwendige Kompromisse und einige Unklarheiten weiterhin bestehen. Die Umsetzung wird weiterhin eine sorgfältige Überwachung und Anpassung benötigen, um die Strategieziele der Europäischen Kommission zu erreichen.

Wenn Ihnen der Artikel gefallen hat, freue ich mich über Feedback. Bei Fragen rund um KI und Konfuzio kontaktieren Sie unser Expertenteam jederzeit über das Kontaktformular.

Über mich

Weitere Artikel

Snapshot Feature für mehr Datensicherheit

Bei der Handhabung von Unternehmensanwendungen und sensiblen Geschäftsdaten kann es regelmäßig vorkommen, dass man einen früheren Zustand wiederherstellen möchte. Mit...

Zum Artikel
KI Blog
07.10.2023
Verkehr in der Nacht

Automatisierte Dokumenten­verarbeitung

Warum verarbeiten Unternehmen Dokumente mit KI? Heutzutage gelten Daten als eine der wertvollsten Ressourcen der Welt. Im Gegensatz dazu ist...

Zum Artikel
KI Blog
27.03.2021
Snapshot Konfuzio how to

Konfuzio Snapshot how to – Leitfaden

Die KI-basierte Verarbeitung von Dokumenten erfordert zunächst ein Training mit geeigneten Testdaten. Diese unterliegen oftmals der DSGVO und müssen daher...

Zum Artikel
Anleitungen
10.10.2023
Arrow-up