Viele Unternehmen beschäftigen sich aktuell intensiv mit Künstlicher Intelligenz. Nicht weil sie es wollen, sondern weil sie es müssen. Keine andere Technologie hat bisher solch eine gesellschaftsweite Durchdringung in so kurzer Zeit geschafft – echte Disruption. Und genau an dieser Stelle entfalten sich die enormen Möglichkeiten, von der zu erwartenden Arbeitserleichterung bis hin zu großen Schadpotenzial.
Für den Gesetzgeber ist es herausfordernd Schritt zu halten und neben einem Rahmen auch die notwendige Sicherheit zu schaffen, damit sich positive Perspektiven entfalten können und schadhafte gar nicht erst entstehen. Gerade vor dem Hintergrund einer kaum beherrschbaren Komplexität von Industrie 4.0, für die sich Unternehmen öffnen müssen, ist das wichtig. Im Folgenden möchten wir die unten aufgeführte Abbildung hinsichtlich ihrer Einzelbestandteile beleuchten.
Eine kurze Einordnung der EUKIVO
Als vor mehr als 10 Jahren die DSGVO eingeführt wurde, konnte man die Verunsicherung und die Bedenken förmlich greifen. Am Anfang hat kaum jemand in der Gesellschaft eine Notwendigkeit in der Verordnung entdecken können. Im Laufe der Zeit hat sich aber nicht nur die Nutzenerkenntnis eingestellt, sondern auch der sogenannte Brüssel-Effekt für eine Verbreitung über EU-Grenzen hinaus gesorgt. Und mit derselben Mechanik rechnet die Europäische Kommission, wenn sie das „Gesetz über Künstliche Intelligenz“ beziehungsweise die EU-KI-Verordnung (EUKIVO) im Europäischen Parlament und dem Rat einbringt. Durch den unaufhaltsamen Trend, der Künstliche Intelligenz in die heimischen Wohnzimmer, in die Anwendungslandschaft von Banken und Versicherungen aber auch bis in die Werkhallen und zu Fertigungsmaschinen bringt, steigt auch die Verunsicherung – und vor allem private Bürger stellen sich Fragen zur persönlichen Zukunft.
Wohl wissend hier juristisches Neuland betreten zu müssen, hat sich die EU in den letzten Jahren intensiv mit Digitalisierung, Daten und ihrer eigenen Strategie in diesen Themenfeldern beschäftigt und dabei eben dieses Werk geschaffen, dass die Bedürfnisse der Europäer adressieren soll. Flankierend zu diesem Gesetz, als Lehre aus der industriellen Ohnmacht vor der Umsetzung der DSGVO, wurde noch der Standard der VDE SPEC 90012 entwickelt.
Zwei Kernpunkte der EUKIVO
Der Blick auf die EUKIVO offenbart im Wesentlichen zwei Dinge:
In der Verordnung sind Anwendungsfälle beziehungsweise Anwendungsfallklassen geregelt, wie beispielsweise der Einsatz zur Meinungsmanipulation oder im Umfeld von Personalentscheidungen.
Die Verordnung definiert Risikoklassen, die KI-Anwendungsfälle in „verbotene Praktik“, „Hochrisiko-Systeme“ sowie zusammengefasst „Niedrig-Risiko-Systeme beziehungsweise Systeme ohne Risiko“ unterteilt.
Letztlich definiert die Verordnung fast ausschließlich für den Bereich der Hochrisiko-KI-Systeme eine Vielzahl an Maßnahmen, die mithilfe der erwähnten VDE SPEC sehr einfach operationalisiert werden können. Daneben komplettieren einige weitere Vorschriften den Umgang mit Daten.
Datenbezogene Regulierungsinstrumente
Für jedes Automatisierungsvorhaben im Digitalisierungszeitalter sind Daten unabdingbar. Aufgrund ihrer abstrakten Art aber erscheinen sie weniger nahbar als vorangegangene Automatisierungen von physischen Prozessen. Dabei kann auch bei der Verarbeitung von Daten gegen normative Vorgaben verstoßen werden. Dies kann sich viel einschlägiger, tiefer, in die jeweiligen Rechte, oder flächendeckender und somit umfangreicher auf einen großen Kreis von betroffenen Personen, auswirken. Die USA stellt für die EU ein wichtiges Bezugsland für digitale Services (zum Beispiel Cloudservices) dar. Die Auffassung des jeweiligen Wirtschaftsraums bezüglich der Verarbeitung von Daten, insbesondere von sensitiven Daten, ist differenziert, obwohl ein ähnliches übergeordnetes Ziel hinsichtlich Freiheit und Unversehrtheit angestrebt wird.
Als im Jahr 2001 das World Trade Center in New York durch Terroranschläge zusammenbrachen, leitete dies nicht nur eine neue Art von Kriegsführung, sondern auch eine neue Art von Überwachung von digitalen Datenströmen. Als direkte Reaktion darauf wurde der PATRIOT Act verabschiedet (Providing Appropriate Tools Required to Intercept and Obstruct Terrorism). Dieser erweitert die Eingriffsmöglichkeiten von US-Behörden auf alle elektronischen Kommunikationsströme außerhalb der USA für den Zweck der Terrorismusbekämpfung. Ein Auszug zu exemplarischen Textstellen und Analysepublikationen des deutschen Bundestages sind dem folgenden Screenshot zu entnehmen.
CLOUD Act regelt Datenzugriff
Im Jahr 2018 wurde der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) in den USA verabschiedet. Dieser regelt die Nutzung von Daten, die außerhalb der USA von amerikanischen Firmen wie Microsoft, Amazon, Alphabet oder Meta, zum Beispiel bei Clouddiensten in Europa mit Serverstrukturen in Berlin, verarbeitet werden. Unter dem CLOUD Act müssen US-Behörden, außerhalb des Zwecks der Terrorismusbekämpfung, Daten für strafrechtliche Analysen zur Verfügung gestellt werden. Aus der Sicht der EU bedeutet das: Der PATRIOT Act oder CLOUD Act regeln den Datenzugriff von US-Behörden innerhalb des Zwecks und auch außerhalb der Terrorismusbekämpfung. Dies dürfte wohl insbesondere (personenbezogene) Daten, Verhaltensdaten oder Finanzdaten betreffen, von amerikanischen Firmen, die (personenbezogene) Daten außerhalb der USA verarbeiten.
Mit Blick auf personenbezogene Daten hat die Europäische Union die Schutzbedürftigkeit der Bürger in den Vordergrund gestellt: Die DSGVO (Datenschutz-Grundverordnung) wurde daraufhin im Jahr 2016 verabschiedet. Diese regelt die Verarbeitung von personenbezogenen Daten (zum Beispiel Name, Vorname, IP-Adresse et cetera). In Kapitel V der DSGVO werden zudem die „Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen“ (siehe folgende Abbildung), ohne weitere Einzelfallgenehmigungen, geregelt. So heißt es in Artikel 45 DSGVO, dass solche personenbezogenen Daten auf Grundlage eines Angemessenheitsbeschlusses auch zu Drittländern übermittelt werden dürfen. Für die Verwendung von Clouddiensten amerikanischer Anbieter in der EU ist dies eine unüberwindbare Anforderung.
Der Versuch einen solchen Angemessenheitsbeschluss zwischen den USA und der EU zu vereinbaren, gab es kurz vor der Veröffentlichung der DSGVO durch den EU-US Privacy Shield. Jedoch wurde dieser im „Schrems II“-Urteil (2020) vom Europäischen Gerichtshof (EuGH) für unzureichend erklärt. Er erfüllt nicht die Anforderungen an ein angemessenes Schutzniveau personenbezogener Daten im Rahmen einer Übermittlung an die USA. Dies führte zu einer großen Verunsicherung bei Unternehmen, die ihre Digitalisierungsvorhaben mit amerikanischen Cloudanbietern umsetzen wollten. Anfang 2023 reagiert Microsoft darauf und rollte seinerseits „EU Data Boundary“ aus. In diesem verpflichtet sich Microsoft, die Daten, die in der EU entstehen auch nur innerhalb der EU zu verarbeiten. Dieses Versprechen bedeutet zwar eine dedizierte Anstrengung zugunsten von europäischen Endkunden, ist jedoch nicht haltbar gegenüber den stärkeren Bestimmungen aus dem CLOUD Act, denn mit der EU Data Boundary wird Microsoft (Redmond, USA) nicht automatisch zu einem nicht-amerikanischen Unternehmen. Ein neuer Versuch für einen Angemessenheitsbeschluss wie dem EU-US Privacy Shield kann in Form des „Data Privacy Framework“ gesehen werden, welches seit dem 10.07.2023 gilt. Jedoch besteht die Kritik an dem Angemessenheitsbeschluss hinsichtlich der Vorgängerversion weiter.
Dass die voranschreitende Regulierung von Daten in der EU kein Ende hat, erkennt man zum Beispiel auch an dem im Jahr 2023 ausgerollten Digital Markets Acts (DMA). In diesem soll das Verhalten von großen Online-Plattformanbietern beziehungsweise sogenannten „Gatekeepern“, zu diesen zählen zum Beispiel Amazon oder Booking.com et cetera, reguliert werden. Diese haben aufgrund ihrer Größe einen wesentlichen Einfluss auf die Kanalisierung von wirtschaftlichen Strömen in der digitalen Welt.
Alle zuvor beschriebenen digitalen Gesetze sind bereits aktiv und stellen noch vor weiteren Anwendungsfällen mit KI, und einer Regulierung dessen durch die EUKIVO, Compliance-Anforderungen dar die in einem digitalen Markt gemeistert würden müssen.
Fazit
Mit Blick auf die EUKI-Verordnung lassen sich drei Dinge feststellen:
Die Verordnung regelt die Nutzung beziehungsweise den Einsatz der Technologie der Künstlichen Intelligenz.
Für die Verwendung von Daten und Dokumenten gelten darüber hinaus die hier ausführlich dargestellten Gesetze des jeweiligen Wirtschaftsraums.
Sektorale Bestimmungen wie Vorgaben der Bundesnetzagentur runden den Dreiklang ab.
Wenn nun also datenbezogene Lösungen aufgebaut werden sollen, sind Firmen gut beraten diesen Dreiklang zu berücksichtigen, um Strafzahlungen bis hin zum Investitionsverlust zu vermeiden.
Allzu leicht werden die gesetzlichen Auflagen als Gängelei und der Regulierungszwang schnell als Innovationsbremse empfunden. Aber bei genauerer Betrachtung sichert ein verlässliches Umfeld in gewissem Maß auch die Attraktivität der eigenen Produkte. Das liegt vor allem daran, dass Firmen zur Sorgfalt angehalten sind und damit höhere Qualität bei größerer Nachhaltigkeit erreichen werden.