Grundlagen Sicherheitskonzepte

Governance-Offensive der EU bei KI und Datenregulierung

© v.poth - Fotolia.com

Der Governance-Gedanke rückt bei der Regulierung von Zukunftstechnologien wie der Kompilierung und Auswertung von Datenbeständen und dem sich rasant entwickelnden Bereich KI in den Vordergrund. Die Beschäftigung mit sozialen, ethischen und umweltbezogenen Standards bei der Anwendung digitaler Dienste, beim Austausch und der Auswertung von Daten und beim Definieren von Rahmenbedingungen für die endlosen Anwendungsmöglichkeiten von KI ist eine zweite Regulierungsebene neben den Grundsatzfragen des Datenschutzes, dem Schutz des Wettbewerbs im Digitalsektor und anderen Grundsatzregelungen im Sektor der ‚Digital Economy‘.

Die EU versucht einen wertebasierten Umgang mit ‚Digital Treasures‘ in Governance-Regeln zu fassen, die eine ‚Zähmung der monströsen Missbrauchsmöglichkeiten‘ der neuen Technologien des digitalen Zeitalters nach der EU-Werteordnung vorsehen.

KI-Verordnung und Daten Governance sind dabei zwei Seiten derselben Medaille. Die jetzt noch nicht überblickbaren Anwendungsmöglichkeiten sollen in vergleichbare Governance-Handlungsrahmen hineinwachsen. So hofft man, die potenziellen Digitalmonster und ihren Markt zähmen zu können.

Das EU-Datengesetz (DA)

Die Europäische Kommission hat am 23.02.2022 einen Vorschlag für eine Verordnung zur Sicherung eines fairen Datenzugangs und eine faire Datennutzung gemacht. Angestrebt wird ein Best-Practice-Rahmen für die Wertschöpfung aus nicht personenbezogenen Industriedaten und der datenintensiven Nutzung und Auswertung von Daten, die mit dem Internet der Dinge vernetzt sind.

Nachhaltige Datenwirtschaft benötigt nach Überzeugung der Kommission hohe Ethik-, Datenschutz- und Sicherheitsstandards. Mit der DSGVO wurde ein strikter Datenschutz installiert, während ein sektorübergreifender Governance-Rahmen für einen umfassenden Datenbinnenmarkt mit weitgehender Datenübertragbarkeit und einem fairen Zugang zu Daten fehlte.

Besserer Datenzugang für Verbraucher und Unternehmer

Mit dem DA sollen Verbraucher und Unternehmer über Datenbereitstellungspflichten einen besseren Zugang zu den von ihren vernetzten Geräten erzeugten Daten haben, die bisher fast ausschließlich von Herstellern und Handelsplattformen gesammelt, ausgewertet und vermarktet wurden. So sollen weitere Nutzerkreise im Rahmen einer Wertschöpfungserweiterung datengesteuerte innovative Dienste anbieten können.

Das Datengesetz soll eine ausgewogene Verhandlungsmacht im B2B-Bereich zwischen marktmächtigen Playern und KMU bei der Vereinbarung gemeinsamer Datennutzung ermöglichen. Die Kommission stellt Mustervertragsbedingungen zur Verfügung, um KMU zu helfen, faire Vertragsbedingungen über die gemeinsame Datennutzung zu erreichen.

Vermeidung von Lock-In-Effekten

Behörden und öffentliche Stellen sollen auf Daten im Besitz des Privatsektors und auf Datenbanken zurückgreifen können, um wichtige öffentliche Aufgaben zu erfüllen und Notlagen zu bekämpfen. Der Zugriff auf Datenbestände ist an den Verhältnismäßigkeitsgrundsatz geknüpft.

Kunden sollen künftig zwischen Anbietern von Cloud- und Edge-Diensten effektiver wechseln können, um unerwünschte Lock-In-Effekte zu vermeiden. Schutzmaßnahmen gegen unrechtmäßige Datenübermittlungen werden eingeführt.

Auf der Agenda steht außerdem die Entwicklung von Interoperabilitätsstandards für Daten, die sektorübergreifend Verwendung finden können.

Fairer Wettbewerb und Innovation

Insgesamt soll die Neuregelung einen fairen Wettbewerbsmarkt für Daten ermöglichen und zu einem Innovationstreiber werden. Das Datengesetz ergänzt mit seinen Vorschriften zu einem fairen Datenzugang und einer fairen Datennutzung die Datenschutzregelungen der DSGVO.

Die europäische Datenstrategie soll die entsprechende Industriestrategie im Bereich von Zukunftstechnologien wie Cloud-Computing und Systemen der künstlichen Intelligenz unterstützen, um datengetriebene Dienste und Technologien auf Grundlage der Werte der EU im freien Wettbewerb zu fördern.

Die europäische Daten-Governance-Verordnung (DGA)

Eine zweite Säule der europäischen Datenstrategie ist die am 24.09.2023 in Kraft getretene Daten-Governance-Verordnung.

Auf den ersten Blick scheint die Unterscheidbarkeit zwischen DSGVO, Datengesetz und Daten-Governance-VO schwierig zu sein, denn auch die Governance-Initiative der Europäischen Kommission zielt darauf ab, mehr Daten für mehr Marktteilnehmer und Verbraucher zur Verfügung zu stellen und den Datenaustausch zwischen Sektoren und EU-Ländern zu erleichtern, um die Wertschöpfung aus Datenbeständen zu vervielfachen.

Im Fokus stehen pseudonomisierte Gesundheitsdaten, Mobilitätsdaten, Umweltdaten, Agrardaten und Daten der öffentlichen Verwaltung mit nahezu unbegrenztem Anwendungspotenzial.

Vereinfacht dargestellt soll die DSGVO den europäischen Datenschutzstandard garantieren, der Data Act (DA) den fairen Datenzugang und die Datenverwendung sicherstellen und der Data Governance Act (DGA) einen europäischen Binnenmarkt für Daten mit Hilfe neuer Datenaustauschmechanismen schaffen.

Drei Anwendungsbereiche der DGA
  • Die DGA ermöglicht es, die Weiterverwendung von Daten öffentlicher Stellen, welche zum Nutzen der Allgemeinheit erhoben wurden, für kommerzielle und nicht kommerzielle Zwecke gegen Gebührenzahlung zur Verfügung zu stellen. Die bisherigen weit verstreuten Insellösungen sollen in ein europäisches Netzwerk überführt werden. Weiterverwendungen in Drittstaaten setzen voraus, dass dort ein der DSGVO entsprechendes angemessenes Datenschutzniveau herrscht (siehe auch Art. 45 DSGVO).
  • Die DGA eröffnet die Möglichkeit zur gemeinsamen Datennutzung verschiedener Unternehmen mit Hilfe von Vermittlungsdiensten und Datengenossenschaften, also besonderen Formen des Datenbrokerings.
  • Die DGA sieht die Förderung von Datenaltruismus durch eingetragene datenaltruistische Organisationen vor.

Daten in der Inhaberschaft öffentlicher Stellen (nicht kommerzielle staatliche Einrichtungen, Verbände und Stellen mit Ausnahme von Rundfunkanstalten, Kultur- und Bildungseinrichtungen) sollen nach den Vorgaben des Art. 5 DGA zu einem anderen als dem ursprünglichen Erhebungszweck weiterverwendet werden dürfen.

Zugangs- und Prüfbedingungen vor Erhalt und Verwendung von Daten sind für jeden Verwendungszweck in Kapitel II der DGA (Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen) detailliert geregelt.

Datenmittler und Datengenossenschaften

Besonders wichtig für das Handling der Datentransfers sind die in Kapitel III, Art. 10 ff. DGA (Anforderungen an Datenvermittlungsdienste) geregelten Handlungsmöglichkeiten der Datenmittler und Datengenossenschaften, von deren Tätigkeit das Funktionieren des Datenbinnenmarkts abhängt. Datenmittler stellen gegen Entgelt rechtliche, geschäftliche und technische Beziehungen zwischen Dateninhabern und Datennutzern her.

Sie unterstützen Interessierte bei der Lokalisation geeigneter Datensätze, bei der Erläuterung der mit dem Datenaustausch verbundenen Pflichten oder Bedingungen und bei der Datenübertragung. Datengenossenschaften bieten ihre Dienstleistungen nicht einem offenen Nutzerkreis, sondern den genossenschaftlichen Mitgliedern an.

Datenneutralität und Zweckbindungsgrundsatz

Ähnlich wie bei der Weiterverwendung von Daten, die durch öffentliche Stellen erhoben wurden, stellt das DGA auch an Vermittler Anforderungen, die neben denen der DSGVO eingehalten werden müssen. Dabei handelt es sich z.B. um die Einhaltung von Datenneutralität und eine Erweiterung des Zweckbindungsgrundsatzes, um zu verhindern, dass bereitgestellte Daten für Eigenzwecke verwendet werden.

Metadaten dürfen nur für die Entwicklung der Bereitstellungsdienste genutzt werden. Es sind faire und transparente Datenzugänge einzurichten. Dies beinhaltet u.a. die Garantie eines kontinuierlichen Echtzeitzugangs für Kunden und Mitglieder.

Jeder EU-Mitgliedstaat überträgt geeigneten nationalen Behörden die Organisation der Überprüfung potenzieller Datenmittler, die sich bei der zuständigen Behörde anzumelden und zu registrieren haben. Die zuständigen Behörden übernehmen auch die Überwachung der Datenmittler, Art. 11, 13, 14 DGA.

Datenaltruismus

Ungewohnt und eigentümlich mutet das Datenaustauschinstrument des Datenaltruismus an (Kapitel IV – Datenaltruismus – Art. 16 ff DGA). Datenaltruismus stellt die uneigennützige, freiwillige Bereitstellung von Daten dar. Dabei geben sowohl natürliche als auch juristische Personen Daten zur unentgeltlichen Nutzung zugunsten von Organisationen frei, die diese für wissenschaftliche Forschungen oder im Rahmen öffentlicher Dienstleistungen nutzen können.

Ähnlich wie bei gemeinfreien Werken im Rahmen des Urheberrechts haben derartige ‚Datenspenden‘ die kostenfreie Förderung des Gemeinwohls im Blick. Mittelfristig soll so ein freies Datenarchiv in der EU entstehen.

Datenaltruistische Organisationen sollen behördlich am Sitz der Hauptniederlassung registriert und überwacht werden, Art. 18 ff. DGA. Datenaltruistische Unternehmen müssen eine eigene Rechtspersönlichkeit aufweisen und im Allgemeininteresse handeln (z.B. als eingetragener, gemeinnütziger Verein).

Kontrolle datenaltruistischer Organisationen

Sie dürfen nicht erwerbsorientiert arbeiten und müssen Einnahme- und Finanzierungsquellen transparent nachweisen können. Die altruistische Tätigkeit ist über eine rechtlich unabhängige Struktur auszuüben, um eine Fremdlenkung durch Erwerbsunternehmen, wie z.B. kommerziell tätige Muttergesellschaften, auszuschließen.

Altruistische Organisationen haben Aufzeichnungspflichten über ihre ausgeübten Tätigkeiten und eine Verzeichnis- und Bekanntgabepflicht, wenn Verwaltungskosten für die Bereitstellung von Daten erhoben werden.

Es ist der Aufsichtsbehörde ein jährlicher Tätigkeitsbericht vorzulegen, und Dateninhaber sind darüber aufzuklären, aufgrund welchen Allgemeininteresses Daten abgefragt und wie diese verarbeitet oder ins Ausland migriert werden. Diese Pflichten gelten auch für nicht personenbezogene Daten.

Zwischenfazit

DA und DGA läuten für die EU das Datenwirtschaftszeitalter ein. Datenzugang und Datenaustausch sollen mithilfe neuer Datenintermediäre – gestützt auf faire, transparente Regeln und eine effektive Überwachung – Daten aller Arten und Sektoren untereinander zugänglich machen und einer Weiterverwendung zuführen.

Überall dort, wo personenbezogene Daten betroffen sind, gelten die strengen Regeln der DSGVO. Zur besseren Anwenderfreundlichkeit wird die Kommission eine zentrale europäische Informationsstelle einrichten, über die auf die existierenden Datenregister zugegriffen werden kann.

Mitunter wird vermutet, die Schaffung eines europäischen Datenmarktplatzes schleife hart erarbeitete Wettbewerbsvorteile und baue unnötige Missbrauchsrisiken auf. Skepsis besteht auch gegenüber den Registrierungs- und Überwachungsbehörden für Datenmittlerdienste, da sie national unterschiedlich sind und generell die Gefahr der Überbürokratisierung oder der Ineffektivität bestehe.

Tatsächlich wird erst der Praxistest zeigen, an welchen zusätzlichen Stellschrauben künftig gedreht werden muss, um ein reibungslos funktionierendes Instrumentarium bei der Daten-Governance zu bauen.

Die Kommission hält mit dem Europäischen Ausschuss für Dateninnovation (EDIB) ein mit Experten besetztes Gremium vor, das in allen Bereichen Leitlinien für europäische Datenräume vorschlagen kann, um die europäische Datenstrategie besser und wirkungsvoller umzusetzen. Es wird Zeit und Korrekturen brauchen, um bei den angestrebten Ergebnissen anzukommen.

(…)

Den vollständigen Beitrag lesen Sie im RdW-Kurzreport 19/2023, S. 868.