- Blog , Digital Transformation
- Veröffentlicht am: 31.03.2022
- 4:01 mins
Digitale Zukunft „Made in EU“
Wieso die DSGVO nicht ausreichend ist
Wenn gilt, „Data is the new oil”, betrifft dies nicht nur den Wert, sondern auch die Problematiken, die sich daraus ergeben. Die Datenschutzproblematik ist hierbei das Spiegelbild der Umweltproblematiken in der digitalen Welt.
Der Europäischen Union (EU) ist die Wichtigkeit des Datenschutzes hinsichtlich unserer digitalen Welt bewusst. Auch deshalb ist 2018 mit der Datenschutz-Grundverordnung (DSGVO) die prominenteste gesetzliche Regulierung hinsichtlich des Datenschutzes in Kraft getreten.
Ebenso sieht die von der Europäischen Kommission 2020 veröffentlichte Digitalstrategie „Gestaltung der digitalen Zukunft“, die auf die Schaffung eines Binnenmarktes für Daten abzielt, den Schutz der Daten im Mittelpunkt. Das Digitalisierungsengagement der EU, welches auch als europäischer Weg in die digitale Dekade beschrieben wird, hat das Ziel, den digitalen Nachholbedarf im internationalen Vergleich auszugleichen, um auch in Zukunft wettbewerbsfähig zu bleiben. Europa setzt dabei auf die Überschrift „Trust“, einen im Sinne der Bürger*innen verantwortlichen Umgang mit Daten und Algorithmen.
Um dieser Überschrift gerecht zu werden, wird unter anderem die Umsetzung folgender Gesetzesvorschläge entscheidend sein: Der Digital Services Act (DSA), der Data Governance Act (DGA), der Digital Markets Act (DMA) sowie der Artificial Intelligence Act (AIA). Ziel dieser Gesetzesvorschläge ist es, die Digitalisierungsprogramme zu beschleunigen, die Grundrechte von EU-Bürger*innen zu stärken und weitere Kontrollmechanismen aufzubauen.
Wie das funktionieren kann, haben wir exemplarisch am Beispiel des Artificial Intelligence Act nachvollzogen.
Artificial Intelligence Act (AIA)
Mit dem Artificial Intelligence Act möchte die Europäische Kommission sicherstellen, dass Künstliche Intelligenz (KI), die in der EU eingesetzt wird, sicher, transparent, unparteiisch, ethisch und unter menschlicher Kontrolle ist. Der aktuelle Gesetzesentwurf stammt aus dem April 2021.
Dieser Entwurf verfolgt einen risikobasierten Ansatz, der KI-Systeme in vier unterschiedliche Risikoklassen einteilt: „unannehmbares Risiko“, „hohes Risiko“, „geringes Risiko“ und „minimales Risiko“. Der Fokus des Entwurfs liegt dabei auf einer umfangreichen Regulierung solcher KI-Systeme, welche ein „hohes Risiko“ aufweisen. Für KI-Systeme mit einem „unannehmbaren Risiko“ sieht der aktuelle Entwurf ein generelles Verbot vor. Hierzu zählen zum Beispiel KI-Systeme, die das soziale Verhalten von Menschen bewerten – zum Beispiel „Social Scoring“. Um trotz der teilweise umfangreichen Pflichten für Unternehmen innovationsfreundliche Bedingungen zu schaffen, werden KI-Systeme mit „geringem“ oder „minimalem Risiko“ bewusst weitestgehend unreguliert bleiben. Wie die DSGVO sieht auch der AIA-Entwurf bei Verstößen empfindliche Strafzahlungen vor. Verstöße können mit bis zu sechs Prozent des weltweiten Jahresumsatzes geahndet werden.
Bezogen auf das Thema Datenschutz ist hervorzuheben, dass die DSGVO von diesem Gesetzesentwurf unberührt bleibt. Die Datenschutzrichtlinien innerhalb der EU werden durch diesen Vorstoß um harmonisierte Vorschriften für Entwurf, Entwicklung und Verwendung bestimmter KI-Systeme mit „hohem Risiko“ ergänzt. Die Europäische Kommission wählt bei ihrem Aufschlag für eine KI-Regulierung bewusst den Weg eines flexiblen und risikobasierten Ansatzes, um genügend Freiraum für zukünftige Innovationen „Made in EU“ zu schaffen.
Das aufgrund der DSGVO aktuell bestehende Spannungsfeld zwischen dem Einsatz von Künstlicher Intelligenz und dem Datenschutz wird durch den Artificial Intelligence Act um einen weiteren Rechtsrahmen ergänzt. Die Qualität von KI-Systemen hängt aktuell wesentlich vom Umfang der verfügbaren Trainingsdaten ab. Hinzu kommt, dass während der Entwicklungsphase von selbstlernenden Systemen nicht immer klar ist, zu welchen anderen als den zuvor festgelegten Zwecken die KI womöglich in Zukunft eingesetzt wird. Anhand dieser Beispiele lässt sich aufzeigen, dass die KI-Entwicklung nach derzeitigem Stand häufig im diametralen Gegensatz zu Kernprinzipien der DSGVO, wie der Datenminimierung und Zweckbindung, steht.
Es ist jedoch keinesfalls unmöglich, trotz dieser aufgezeigten Konflikte zwischen dem europäischen Datenschutz und dem Einsatz von Künstlicher Intelligenz innovative KI-Projekte voranzutreiben. Hier könnte zukünftig unter anderem technischer Fortschritt, wie die Herstellung von synthetischen Datensätzen, Abhilfe schaffen.
Mit einem hohen Datenschutzniveau als Grundlage wird die konkrete Ausgestaltung dieser aufgezählten Gesetzesvorschläge maßgeblich darüber entscheiden, ob der europäische Weg in die digitale Dekade erfolgreich sein wird. Klar ist jedoch, dass die EU mit dem eingeschlagenen Weg die Zeichen der Zeit erkannt hat.
Corporate Digital Responsibility (CDR)
Um den eingangs erwähnten Vergleich nochmals aufzugreifen, werden zukünftig Datenschutzregulierungen mindestens genauso wichtig sein wie die heutigen Umweltvorschriften. Wir leben aktuell in einer Zeit, in der die Corporate Social Responsibility (CSR) und damit auch der verantwortungsvolle Umgang mit natürlichen Ressourcen oft bestehendem Recht vorauseilt und Unternehmen so den gestiegenen Erwartungshaltungen von Kund*innen, gesellschaftlichen Akteuren und Kapitalmarkt-Akteuren gerecht werden wollen. Das digitale Äquivalent der analogen Nachhaltigkeit stellt das noch junge Konzept der Corporate Digital Responsibility (CDR) dar. CDR geht wie CSR über die gesetzlichen Forderungen hinaus – etwa die DSGVO – und beschäftigt sich mit ethischen Fragen sowie der gesellschaftlichen Verantwortung von Unternehmen in einer digitalen Welt.
Wie im Bereich Nachhaltigkeit ist es wichtig, dass Unternehmen sowohl die gesetzlichen Regulierungen als auch das CDR-Konzept als Chance und nicht als Nachteil verstehen. Laut einer Studie der vom Bundesministerium für Wirtschaft und Technologie eingesetzten Smart-Data-Begleitforschung kann CDR „als Wettbewerbs- und Diversifizierungsmerkmal dienen, da die Problematik den Kunden bewusst ist und zunehmend Nachfrage nach datenschutzkonformen Angeboten und interessenskonformen Datenverarbeitungsrichtlinien herrscht". Die Einhaltung gesetzlicher Regulierungen und die Implementierung verantwortungsbewusster (CDR-)Maßnahmen entlang der datenverarbeitenden Prozesse sind zukünftig der größte Hebel, um das Vertrauen der Kund*innen zu gewinnen und somit auch den unternehmerischen Erfolg in einer digitalen Welt sicherzustellen.