Daten im Zentrum der digitalen Strategie der EU

Die Strategie der Kommission zur „Gestaltung der digitalen Zukunft Europas“ (9-page/1.4MB PDF) gilt als das zentrale Projekt bei der Weiterführung des Gedankens eines real existierenden digitalen Binnenmarkts innerhalb der Europäischen Union unter der Präsidentschaft von Ursula von der Leyen. Die von der neuen Kommission skizzierten Pläne haben weitreichende Auswirkungen auf Unternehmen und Organisationen des öffentlichen Sektors: von Pharmaunternehmen, die sich mit personalisierten Arzneimitteln befassen, über Automobilhersteller, die vernetzte Autos entwickeln, bis hin zu Online-Plattformen und Telekommunikationsanbietern, die sich mit drahtloser Technologie der nächsten Generation befassen.

Dr. Nils Rauer von Pinsent Masons, der Anwaltskanzlei hinter Out-Law: „Diese Strategie wird nicht von Grund auf neu entwickelt. Die Pläne der Kommission bauen auf dem auf, was die vorherige Juncker-Kommission in Sachen digitaler Binnenmarkt bereits auf den Weg gebracht hat. Die neue Strategie zielt darauf ab, die bisherigen legislativen wie administrativen Anstrengungen zu vertiefen. Einige der Gesetze der in der letzten Legislatur verabschiedeten Richtlinien werden derzeit noch in den EU-Mitgliedstaaten umgesetzt. Es ist mithin ein sehr dynamischer und fortlaufender Prozess, der sukzessive zu einer digitalen Transformation in der gesamten EU führen wird.“ 

Zusätzlich wurden zwei Hauptkomponenten der neuen digitalen Strategie veröffentlicht: eine Datenstrategie (35-page/749 KB PDF), die eine Gesetzesreform verspricht, und ein Whitepaper (27-page/940 KB PDF), in dem neue Möglichkeiten für die Regulierung von KI untersucht werden. Beide Dokumente gehen detaillierter auf die spezifischen Herausforderungen ein, auf die Unternehmen voraussichtlich bei der Umsetzung der digitalen Strategie stoßen werden.

Die Datenstrategie

Im Zentrum der auf fünf Jahre angelegten  Datenstrategie steht die Überzeugung der Kommission, dass Daten das „Lebenselixier der wirtschaftlichen Entwicklung“ sind und genutzt werden sollten, um gesellschaftliche Herausforderungen zu bewältigen und das Wirtschaftswachstum zu fördern. Derzeit seien „nicht genügend Daten für eine innovative Wiederverwendung verfügbar.“

Um das zu beheben, beabsichtigt die Kommission im Laufe dieses Jahres Vorschläge vorzulegen, die einen sogenannten „Rechtsrahmen für die Verwaltung gemeinsamer europäischer Datenräume“ ermöglichen sollen.

Zudem plant die EU-Kommission neun „gemeinsame europäische Datenräume“ für Wirtschaftssektoren wie Fertigung, Mobilität, Energie, Finanzen und Gesundheit einzurichten. Unternehmen sollen so Zugang zu großen Datensätzen, Infrastruktur und technischen Hilfsmitteln erhalten, um Informationen und Kontrollmechanismen nutzen und austauschen zu können.

Die bestehenden Regeln für die Datenverwaltung werden durch die Gesetzgebung erweitert, Regeln für die Verwendung von Daten zwecks Forschung festgelegt und Einzelpersonen wird Kontrolle darüber gegeben, in welcher Form ihre Daten für das „öffentliche Wohl“ verwendet werden dürfen. Auf dieser Basis sollen dann sektorspezifische Regeln für die neuen Datenräume aufgebaut werden.

Die Kommission kündigte außerdem an, sie werde die bestehende „Open-Data-Richtlinie“ ausbauen, damit „hochwertige Datensätze“ von öffentlichen Stellen freigegeben werden könnten. Ein entsprechender Durchführungsrechtsakt soll Anfang 2021 veröffentlicht werden.

Ein neues Datengesetz könnte laut Kommission im Jahr 2021 vorgelegt werden. Sie muss ihre Pläne für das Gesetz noch fertigstellen, hat jedoch vorgeschlagen, dass die Gesetzgebung unter bestimmten Umständen den Austausch von Business-to-Business-Daten vorschreiben könnte.

Das Datengesetz könnte auch den EU-Rahmen für Rechte an geistigem Eigentum ändern. So wäre es möglich, dass das EU-Gesetze zu Datenbankrechten überarbeitet und die Gesetze zu Geschäftsgeheimnissen konkretisiert werden.

Die Kommission wies auch darauf hin, dass das derzeit in der Allgemeinen Datenschutzverordnung (DSGVO) verankerte Recht auf Datenübertragbarkeit durch das Datengesetz verbessert werden könnte, um Einzelpersonen „mehr Kontrolle darüber zu geben, wer auf maschinengenerierte Daten zugreifen und diese verwenden kann.“

Cloud computing

Die Datenstrategie enthält Vorschläge zur Stärkung des europäischen Marktes für Cloud-Dienste.

Die Kommission beabsichtigt, bis Mitte 2022 ein „Cloud-Regelwerk“ zu entwickeln, das „ein Kompendium bestehender Cloud-Verhaltenskodizes und Zertifizierungen zu Sicherheit, Energieeffizienz, Servicequalität, Datenschutz und Datenübertragbarkeit bieten wird.“

Weitere Pläne zur Entwicklung eines EU-Marktplatzes für Cloud-Dienste bis Ende 2022 wurden ebenfalls skizziert. Nach den Vorschlägen der Kommission könnte er ähnlich wie die britische G-Cloud-Rahmenordnung funktionieren.

„Der Marktplatz wird potenzielle Benutzer (insbesondere den öffentlichen Sektor und kleine und mittlere Unternehmen (KMU)) in die Lage versetzen, Cloud-Verarbeitungs-, Software- und Plattform-Service-Angebote auszuwählen, die in Bereichen wie Datenschutz, Sicherheit, Datenübertragbarkeit, Energieeffizienz und Marktpraxis eine Reihe von Anforderungen erfüllen“, so die Kommission. „Die Teilnahme am Markt für Dienstleister wird davon abhängig gemacht, dass transparente und faire Vertragsbedingungen angewendet werden, die der derzeitige Markt nicht immer bietet, insbesondere für Kleinstunternehmen und KMU-Nutzer.“

Regulierung von KI

Viele Unternehmen haben bereits mit der Erforschung des Potenzials von KI begonnen, um ihre Prozesse effizienter zu gestalten, die Interaktion mit Kunden zu verbessern und letztendlich Produkte und Dienstleistungen sowie Ergebnisse für Verbraucher bereitzustellen. Wie Untersuchungen für Pinsent Masons und Innovate Finance auf dem britischen Finanzdienstleistungsmarkt zeigen, müssen jedoch rechtliche, ethische und kulturelle Herausforderungen bewältigt werden, um KI-gestützte Dienste bereitzustellen.

Mit Hilfe von Unternehmen hatte eine hochrangigen Expertengruppe der Kommission zuvor ethische Richtlinien für den Einsatz von KI erarbeitet und einen Bericht vorgelegt, in dem die Notwendigkeit einer Reform des bestehenden Haftungsrahmens im Hinblick auf neue Technologien wie KI untersucht wurde. Auch dieser wurde von einer Expertengruppe vorbereitet.

Zwei Papiere, die die Kommission letzte Woche veröffentlichte, liefern die bisher klarsten Hinweise darauf, dass es neue Vorschriften und Gesetze geben wird, um dem Einsatz von KI Rechnung zu tragen.

Die Kommission ist der Ansicht, dass die bestehenden Rechtsvorschriften in Bereichen wie Haftung, Produktsicherheit und Cybersicherheit verbessert werden sollten, um die Risiken im Zusammenhang mit der Verwendung von KI besser anzugehen. Ihre augenfälligsten Vorschläge betreffen jedoch KI, die als „hochriskant“ eingestuft wird.

In ihrem KI-Whitepaper signalisiert die Kommission, dies diene einem neuen „risikobasierten Ansatz“ für die Regulierung auf EU-Ebene. So solle das Risiko einer Fragmentierung der Regeln für KI in der gesamten EU minimiert und auf diese Weise verhindert werden, dass einzelne Mitgliedstaaten ihre eigenen Regulierungssysteme entwickeln. „Abweichende nationale Vorschriften“, warnt die Kommission, „werden wahrscheinlich Hindernisse für Unternehmen schaffen, die KI-Systeme im Binnenmarkt verkaufen und betreiben wollen.“

Nach den Vorschlägen der Kommission würde der risikobasierte Ansatz ein maßgeschneidertes neues Regelwerk für KI mit hohem Risiko vorsehen. Um zwischen KI mit hohem Risiko und KI ohne Risiko zu unterscheiden, würden eigens Kriterien entwickelt.

Um KI-Anwendungen mit hohem Risiko zu erkennen, sollen laut Kommission in erster Linie zwei kumulative Kriterien gelten: Diese sollen sich danach richten, ob der Bereich, in dem KI verwendet wird, besonders risikoanfällig ist – nach Einschätzung der Kommission wäre das etwa im Verkehrs-, Gesundheits- und Energiesektor der Fall. Auch die Art, wie die KI eingesetzt wird, entscheidet unabhängig vom Einsatzbereich über die Risikobewertung.

Die Verwendung von Hochrisiko-KI würde gemäß den Plänen der Kommission einer Reihe von regulatorischen Anforderungen unterliegen und es soll ein Rahmen für die „vorherige Konformitätsbewertung“ festgelegt werden, um sicherzustellen, dass die regulatorischen Verpflichtungen eingehalten wurden, bevor die Technologie zum Einsatz kommt. Dieser Prozess könnte „Verfahren zum Testen, Prüfen oder Zertifizieren“ beinhalten, ebenso auch das „Überprüfen der Algorithmen und der Datensätze, die in der Entwicklungsphase verwendet wurden.“

Welche Art von Daten beim Training von KI-Systemen verwendet wird und welche Daten- und Aufzeichnungspflichten bestehen, könnte in den neuen Vorschriften zum Thema „Hochrisiko-KI“ festgelegt werden. Ebenso auch die Pflicht, Informationen über KI-Systeme offenzulegen – einschließlich ihrer Fähigkeiten und Einschränkungen.

Andere Gesetze könnten sicherstellen, dass die KI-Systeme robust und genau sind, dass Ergebnisse reproduzierbar sind und dass Fehler angemessen behoben werden können, wenn sie auftreten. Unternehmen können auch damit rechnen, dass Regeln für die menschliche Aufsicht über diese Systeme festgelegt werden.

Nach Angaben der Kommission würden die Vorschriften so gestaltet, dass sie „für die Akteure gelten, die am besten in der Lage sind, potenzielle Risiken anzugehen.“ Das könnte bedeuten, dass diejenigen, die die KI-Systeme entwickeln, möglicherweise anderen Anforderungen unterliegen als diejenigen, die die Technologie einsetzen.

Alle Wettbewerber, die KI-fähige Produkte oder Dienstleistungen in der EU anbieten, unterlägen den vorgeschlagenen neuen Vorschriften, unabhängig davon, ob sie in der EU niedergelassen sind oder nicht. Die neuen Vorschriften könnten neben einem System zur Bewertung der vorherigen Konformität auch vorsehen, dass bereits auf den Markt gebrachte Produkte durch die nationalen Regulierungsbehörden überwacht werden.

In Bezug auf die Verwendung von KI im Zusammenhang mit der biometrischen Fernidentifizierung sollen zusätzliche Regeln erarbeitet werden, da sie nach Angaben der Kommission ansonsten der Verordnung über KI mit hohem Risiko unterliegen würde.

Die Kommission veröffentlichte neben ihrem Whitepaper auch einen separaten Bericht über die Haftung für KI, in dem Optionen für eine mögliche Gesetzesreform in diesem Bereich dargelegt werden. Eine Expertengruppe hatte sich zuvor mit Haftung und neuen Technologien befasst. Viele Empfehlungen der Gruppe sind im neuen Bericht der Kommission enthalten. Möglicherweise wird ein neues, strenges Haftungsregelwerk eingeführt, um das erhöhten Schadensrisiko durch den Einsatz von KI zu bewältigen.

Weitere digitale Initiativen

Die Strategie zur „Gestaltung der digitalen Zukunft Europas“ enthält eine Reihe weiterer Maßnahmen, die die Europäische Kommission in den kommenden Monaten und Jahren ergreifen will.

Dazu gehören Pläne für:

• ein neues Gesetz über digitale Dienste, das neue Regeln für Online-Plattformen enthält;

• neue EU-Gesetze zu Krypto-Währungen sowie zur digitalen Betriebs- und Cyber-Resilienz im Finanzsektor;

• neue Verpflichtungen, um die europäischen Rechenzentren bis 2030 klimaneutral zu machen;

• eine Überarbeitung der bestehenden eIDAS-Verordnung der EU, die das Konzept vertrauenswürdiger digitaler Identitäten betrifft;

• eine Überarbeitung der Netzwerk- und Informationssicherheitsrichtlinie und einer neuen europäischen Cyber-Sicherheitsstrategie;

• ein aktualisierter Aktionsplan für '5G' und ein neuer '6G'-Aktionsplan;

• eine neue Erhebung des digitalen Sektors;

• eine neue Industriestrategie, die darauf abzielt, „saubere, zirkuläre, digitale und global wettbewerbsfähige EU-Industrien“ zu schaffen;

• neue Strategien für Quantencomputer, Blockchain und einen integrierten EU-Zahlungsmarkt.