EU wappnet sich für Datenzeitalter

Mit der Datenschutz-Grundverordnung (DSGVO) hat die EU im Jahr 2016 einen grossen Erfolg erzielt: Es wurde ein neuer Datenschutzstandard geschaffen. Seither haben Staaten weltweit Regulierungen nach DSGVO-Vorbild erlassen. Auch das neue Schweizer Bundesgesetz über den Datenschutz (DSG), das im September 2023 in Kraft treten soll, ist davon massgeblich beeinflusst.

Mit dem Schutz von Personendaten ist es aber noch nicht getan, denn die datengetriebene Gesellschaft bringt verschiedenste weitere Herausforderungen mit sich: Heute kontrollieren etwa Nutzende einer App nur selten die Daten, die sie bei ihrer Nutzung generieren. Dies ist unter anderem dem Umstand geschuldet, dass an Daten kein Eigentum besteht. Dieser Fakt wiederum trägt dazu bei, dass die Wertschöpfung aus Daten ungleich verteilt ist: Einzelne Techfirmen kontrollieren riesige Datenmengen, was ihnen potenzielle Wettbewerbsvorteile verschafft. Die Nutzung von Algorithmen kann ferner dazu führen, dass der einzelne Konsument nicht nachvollziehen kann, weshalb er von seiner Bank keinen Kredit erhält, oder dass der Facebook-Nutzerin Fake News angezeigt werden.

Ein weiteres Thema ist der Datenzugang für Unternehmen und Behörden, um Innovationen zu fördern oder politische Entscheide zu verbessern. Dass Daten auch für den Staat eine unerlässliche Grundlage für politische Entscheide bilden, hat die Covid-19-Pandemie eindrücklich gezeigt.

Datenstrategie der EU

Diese Herausforderungen nimmt die EU in ihrer Europäischen Datenstrategie auf, deren Grundzüge die EU-Kommission Anfang 2020 festlegte. Mit dem ambitionierten Vorhaben will sie Investitionen in den europäischen Techsektor ankurbeln, die Digitalkompetenzen der Bevölkerung verbessern sowie den sektorübergreifenden Datenzugang und die Datennutzung forcieren. Zudem sollen gemeinsame europäische Datenräume (Binnenmarkt für Daten) in strategischen Sektoren und Bereichen von öffentlichem Interesse entstehen. So sind unter anderem ein Gesundheits- und ein Mobilitätsdatenraum geplant. Ähnliches soll übrigens auch in der Schweiz entstehen, wo der Bund etwa den Datenzugang im Agrarsektor verbessern will und die Schaffung einer Datenbank zu Transport- und Mobilitätsdaten angekündigt hat.

Die EU hat fünf Querschnittgesetze ausgearbeitet, die ihrer Vision zur Umsetzung verhelfen sollen. Kernelemente dieser Gesetze sind Regelungen zum Datenzugang, zur Datennutzung, zur Standardisierung sowie zur Interoperabilität.

Bereits in trockenen Tüchern ist der Daten-Governance-Rechtsakt (Data Governance Act), der vom Rat der EU-Mitgliedsstaaten als letzte der EU-Institutionen Mitte Mai 2022 gebilligt wurde. Mit dem Erlass sollen die Bedingungen dafür geschaffen werden, dass Daten gemeinsam genutzt werden können – seien dies Daten des öffentlichen Sektors oder Daten privater Unternehmen, die gegen Entgelt mit anderen Unternehmen geteilt werden.

Neu am Start des Gesetzgebungsverfahrens steht das Datengesetz (Data Act). Im Zentrum des Vorschlags der EU-Kommission von Februar 2022 steht das Bestreben, die Daten-Wertschöpfungskette aufzubrechen. Dazu werden Hersteller von Produkten oder Dienstleistungen verpflichtet, dafür zu sorgen, dass die bei der Nutzung erzeugten Daten für die Nutzenden standardmässig einfach und direkt zugänglich sind.

Das Datengesetz will also Unternehmen verpflichten, der Konsumentin etwa die detaillierten Daten der Autonutzung oder ein Protokoll der Netflix-Nutzung zur Verfügung zu stellen. Ferner macht es Vorgaben, die missbräuchlichen Vertragsbestimmungen in Bezug auf Datenzugang und -nutzung einen Riegel schieben sollen. Zwei weitere zentrale Säulen des Datengesetzes sind Vorschriften, die das Phänomen des «vendor lock-in» bekämpfen sollen, also die Abhängigkeit des Kunden von einem Cloud-Anbieter, sowie Vorgaben über die Nutzung von Daten in privatem Besitz durch öffentliche Stellen zur Bewältigung öffentlicher Notstände.

KI-Erlass als Paukenschlag

Auch Anwendungen künstlicher Intelligenz (KI) sind auf grosse Datenmengen in genügender Qualität angewiesen. Der viel beachtete Vorschlag der EU-Kommission für einen Grundsatzerlass, das Gesetz über künstliche Intelligenz (Artificial Intelligence Act), wurde im Frühjahr 2021 lanciert und befindet sich zurzeit im Europäischen Parlament. Der in seiner Grundsätzlichkeit bemerkenswerte Gesetzesentwurf nimmt eine risikobasierte Einteilung in verschiedene Kategorien von Anwendungen künstlicher Intelligenz vor: Gänzlich verboten sind KI-Anwendungen, die ein gesellschaftlich inakzeptables Risiko mit sich bringen, zum Beispiel staatliche Anwendungen des «social scoring», die die Vertrauenswürdigkeit einer Person bewerten sollen, oder gewisse Ausprägungen biometrischer Echtzeitidentifikation. Daneben werden KI-Systeme mit hohem Risiko und solche mit beschränktem und minimalem Risiko unterschieden. Die Nutzung von Hochrisikosystemen – dazu gehören unter anderem Systeme, die im Personalbereich zur Rekrutierung eingesetzt werden, oder solche, die in der Sicherheit kritischer Infrastrukturen zur Anwendung kommen – unterliegt umfangreichen Pflichten unter anderem hinsichtlich Aufsicht, Risikomanagement oder Dokumentation, die den ganzen Lebenszyklus der Anwendung einrahmen.

Zum Vergleich: In der Schweiz kamen in letzter Zeit mehrere Arbeitsgruppen zur Erkenntnis, dass auf nationaler Ebene kein allgemeines KI-Gesetz zu erlassen sei. Stattdessen seien, basierend auf dem geltenden Rechtsrahmen, wo nötig punktuelle Anpassungen vorzusehen.

Ebenfalls bereits am Ende des gesetzgeberischen Prozesses angelangt sind das Gesetz über digitale Dienste (Digital Services Act) und das Gesetz über digitale Märkte (Digital Markets Act). Während der Digital Services Act detaillierte Vorgaben zum Entfernen illegaler Inhalte im Internet macht und die Durchsetzung der Regeln auch online verschärft, will der Digital Markets Act die Machtverhältnisse im Cyberspace neu ordnen. Dazu haben sogenannte Gatekeepers, besonders grosse Anbieterinnen von Onlinediensten, umfangreiche Pflichten zu befolgen, von der Gewährung des Zugangs zu Daten bis zur Interoperabilität mit kleineren Diensten. Zusätzlich sollen gewisse Verhaltensweisen mit sogenannten Blacklists gleich vorab verboten werden – so etwa die Privilegierung eigener Angebote in den Trefferlisten von Internet-Suchmaschinen oder die Nutzung von Händlerdaten durch die Anbieterin zur Entwicklung eigener Produkte, wie dies beispielswiese der Plattform Amazon vorgeworfen wurde. Auch hier sind wie bei der DSGVO einschneidende finanzielle Sanktionen vorgesehen, die auf den weltweiten Jahresumsatz des Unternehmens berechnet werden.

Revolution oder Überregulierung?

Wenn die Vision der EU-Kommission Realität wird, werden datengetriebene Geschäftsmodelle und Produkte in Zukunft in der EU nicht mehr lediglich zum Vorteil des Unternehmens vertrieben werden können, das sie entwickelt hat. Diese Geschäftsmodelle sollen stattdessen multiplen Interessen dienen: dem Einzelnen, der Wirtschaft als Ganzes zu Zwecken der Innovationsförderung sowie dem öffentlichen Interesse. Um dies umzusetzen, dürfte für viele Firmen erst einmal ein bedeutender administrativer Mehraufwand entstehen.

Aus der Perspektive der in gesetzgeberischen Belangen eher zurückhaltenden Schweiz bleibt zu sehen, inwiefern dem europäischen Ansatz der «Innovation durch Datenregulierung» Erfolg beschieden sein wird und ob sich auch die geplanten neuen Regelwerke, wie vor ihnen die DSGVO, zum internationalen Benchmark entwickeln. Stellt sich der Erfolg ein, wird die Onlinewelt in zehn Jahren eine grundlegend andere sein als heute.