Digitalpolitik

Diese Regeln plant die EU für Daten und Algorithmen

Die neue EU-Kommission präsentiert heute ihren digitalen Masterplan. Er sieht neue Vorschriften für Künstliche Intelligenz und einen Binnenmarkt für Daten vor. Wir besprechen die Vorhaben im Detail.

Digitalchefinnen: Von der Leyen und Vestager
Digitalchefinnen: Von der Leyen und Vestager Alle Rechte vorbehalten European Union

Die EU-Kommission hat ihren Fahrplan für die Digitalpolitik der nächsten Jahre vorgelegt. Kommissionsvizechefin Margrethe Vestager und Digitalkommissar Thierry Breton präsentierten die Strategie für Daten und Künstliche Intelligenz heute in Brüssel. In den kommenden Monaten will die Kommission noch die Meinungen von Zivilgesellschaft und Industrie einholen, ab dem Sommer will die Kommission eine ganze Serie neuer Gesetze und Investitionsprogramme vorschlagen.

Im Vorfeld gab es heftiges Lobbying. Wenn zwei Firmenchefs binnen weniger Woche Brüssel besuchen, ist wohl Feuer am Dach.

Google-Chef Sundar Pichai rief zu einem gewissen Maß an KI-Regulierung auf, Facebook-Gründer Mark Zuckerberg wünschte sich etwas mehr Regeln für Hass im Netz und andere unerwünschte Inhalte. Die beiden Konzernchefs wollten wohl Gesprächsbereitschaft zeigen – und weitergehenden Vorschlägen zuvorkommen.

Biometrische Gesichtserkennung

Einige EU-Staaten testen Gesichtserkennung bereits, teils für bizarre Zwecke. Ein geleakter Entwurf des heute präsentierten Weißpapiers zu Künstlicher Intelligenz sprach noch von einem möglichen Verbot von Gesichtserkennung im öffentlichen Raum. Das ist nun vom Tisch.

Das nun vorliegende Weißpapier erwähnt stattdessen nur noch „ernsthafte Grundrechtsbedenken“ beim Einsatz von biometrischen Identifizierungssystemen. Es listet solche Systeme als ein mögliches Hoch-Risiko-Szenario für den Einsatz Künstlicher Intelligenz. Für solche Anwendungen sollen besonders strikte Auflagen gelten, damit sie überhaupt in der EU zugelassen werden. Doch wer in Zukunft festlegt, welche Anwendungen tatsächlich als „hochriskant“ gelten und ob die Gesichtserkennung darunter fällt? Das sei noch völlig offen, sagte ein hochrangiger EU-Beamter in einem Hintergrundgespräch.

Die Kommission will den Mitgliedsstaaten offenbar Spielraum für die Erprobung der Technologie lassen. Zwar wünscht sie sich, dass es klare Kriterien für die Identifikation von Personen und Mindestanforderungen für Genauigkeit gibt. Einen rechtlichen Rahmen dafür setzen will sie aber nicht.

Stattdessen verweisen die Verantwortlichen auf die bereits geltende Rechtslage. Kommissionsvizechefin Vestager betonte im Vorfeld, dass ein breitflächiger Einsatz von Gesichtserkennung im Rahmen der Datenschutz-Grundverordnung ohnehin nicht möglich sei. Zu einem ähnlichen Schluss kam kürzlich der Europäische Datenschutzausschuss in seinen Leitlinien für Videoüberwachung. Für Polizeibehörden und Geheimdienste sind Ausnahmen aber durchaus möglich. Sie könnten die neue Technologie darum einsetzen, wenn dafür Rechtsgrundlagen geschaffen werden.

Haftung für Algorithmen

Die Kommission erwägt eine Modernisierung der Haftungsregeln für Produkte und Dienstleistungen, um Rechtssicherheit bei möglichen Fehlfunktionen von KI-Anwendungen zu schaffen. Das könnte etwa durch Algorithmen verursachte Unfälle von selbstfahrenden Autos betreffen.

Ein Expert:innenbericht hatte Ende 2019 bereits eine Blaupause für mögliche Regulierung geliefert. Der Bericht sprach sich unter anderem für eine strikte Haftung bei der Nutzung von Hochrisikoanwendungen aus, als Beispiel nennt der Bericht KI-gesteuerte Roboter an öffentlichen Orten.

KI-Regulierung und Aufsicht

Die EU-Kommission hat Sorge, Innovation im Bereich der sogenannten Künstlichen Intelligenz durch zu viel Regulierung einzuschränken. Deshalb will sie überwiegend darauf verzichten, vorab Regeln für solche Systeme festzulegen. Lediglich für Hochrisikoanwendungen (Kriterium 1) in Hochrisikofeldern (Kriterium 2) will sie darüber nachdenken, Zulassungskriterien einzuführen. Zwei der konkreten Anwendungsfälle, die das Papier hier ausmacht: Auswahl-Algorithmen in Bewerbungsprozessen und biometrische Identifikation, etwa durch automatisierte Gesichtserkennung.

Die Aufsicht über algorithmische Systeme ist heute weit verzweigt: So ist die Finanzaufsicht für Algorithmen im Finanzbereich zuständig, Gesundheitsbehörden für solche im Gesundheitsbereich. An dieser verteilten Aufsichtsstruktur will die Kommission nichts ändern. Allerdings will sie ein Expertengremium auf EU-Ebene einrichten, das relevante Akteur:innen koordinieren und beraten soll.

Die neuen Vorschläge stützten sich auf Leitlinien einer EU-Expertengruppe für den ethischen Einsatz von Künstlicher Intelligenz. Diese wurden allerdings auf Druck der Industrie verwässert, klare rote Linien fehlten darin.

KI-Forschung

Die EU-Kommission unterstreicht ihre Meinung, dass sogenannte Künstliche Intelligenz ein Schlüsselfaktor für künftigen wirtschaftlichen Erfolg ist. In den USA und in China werden seit Jahren riesige Summen investiert, um hier Forschung zu betreiben und zur Anwendung zu bringen. Die EU will nun aufholen und die Investitionen verstärken. Mindestens 2,5 Milliarden Euro dafür sollen vor allem aus den bereits existierenden Forschungsprogrammen Horizon und Digital Europe kommen.

Außerdem will die EU Initiativen zur KI-Forschung besser vernetzen und „Testfelder“ etablieren, in denen neue Technologien in einem begrenzten Rahmen ohne große regulatorische Einschränkungen getestet werden können.

Schaffung eines europäischen Datenbinnenmarktes

Das übergeordnete Ziel der Datenstrategie ist es, einen einheitlichen europäischen Markt für Daten zu schaffen. Für 2021 kündigt sie deshalb einen „Data Act“ an. Dieser soll Anreize dafür setzen, dass Unternehmen untereinander mehr Daten teilen. In Ausnahmefällen könnte er auch Verpflichtungen zum Datenteilen enthalten. Auch Vorgaben für das Datenteilen zwischen Unternehmen und Regierungen könnten Teil des Programms werden. Das Papier enthält keine Klärung zum Spannungsfeld von Maschinendaten, anonymisierten Daten und (pseudonymisierten) personenbezogen Daten.

Etablierung von neun Common European Data Spaces

Die EU-Kommission möchte den Zugang zu und die Nutzung von Daten im allgemeinen erleichtern. Für diesen Zweck will sie in den nächsten Jahren mindestens neun sogenannte „Common European Data Spaces“ etablieren, in denen thematische Datenpools aus unterschiedlichen Quelle aufgebaut werden. Diese Datenräume sollen eine Kombination aus technischen und rechtlichen Rahmenbedingungen sein, die klären, welche Akteure unter welchen Bedingungen an welche Daten kommen. Viel mehr als eine Idee ist das offenbar noch nicht. Geht es um personenbezogene Daten oder statistische Daten? Sollen Zugänge kostenlos sein? Geht es um die wirtschaftliche Nutzung, oder soll sie auch dem Gemeinwohl dienen? Alles unklar. Das kann für die neun Bereich jeweils unterschiedlich aussehen, heißt es bisher nur.

Dies sind die Bereiche, für die Datenräume geschaffen werden sollen: Industrie, Klima, Mobilität, Gesundheit, Finanzen, Energie, Landwirtschaft, Bildung sowie Recht und staatliches Beschaffungswesen. Für jeden einzelnen der Bereiche werde die Kommission bald konkrete Maßnahmen vorschlagen.

Föderation europäischer Cloud-Infrastrukturen

Ein zentraler Punkt der Datenstrategie ist die notwendige Infrastruktur, auf der Daten ausgetauscht und verarbeitet werden sollen. Die EU will hier aus der Abhängigkeit US-amerikanischer Cloud-Anbieter entkommen. Dabei will sie die Fragmentierung der europäischen Digitalwirtschaft zur Stärke machen und auf dezentrales Edge-Computing statt zentraler Cloud-Systeme setzen. Dazu will sie bis zu zwei Milliarden Euro investieren, weitere zwei bis vier Milliarden sollen von Wirtschaft und Mitgliedstaaten kommen.

Dazu gibt es aus den Mitgliedstaaten bereits unterschiedliche Initiativen, Gaia X aus Deutschland beispielsweise oder Cloud de Confiance aus Frankreich. Die Kommission kündigt an, noch in diesem Jahr mit den Mitgliedstaaten ein „Memorandum of Understanding“ verabschieden zu wollen, das einen Plan für eine Föderation europäischer Cloud-Dienste enthält.

Datenschutz

Die Kommission betont in ihren Strategiepapieren, dass es die Besonderheit und Stärke europäischer Technologiepolitik sei, dass diese an den Werten und Grundrechten der EU orientiert sei. In diesem Zusammenhang erwähnt sie auch den Datenschutz. In der Datenstrategie spielt er dann allerdings so gut wie keine Rolle. Die Kommission spricht weder darüber, wie sie bestehende Durchsetzungslücke beim Datenschutz schließen will, noch darüber, wie man Datenschutz modernisieren und vereinfachen könnte. Auch das große Thema Anonymisierung, das eine Voraussetzung dafür ist, dass auch solche Daten genutzt werden können, die womöglich Rückschlüsse auf Personen zulassen, wird überhaupt nicht thematisiert.

Lediglich das Thema Datenportabilität erwähnt das Papier explizit. Eigentlich ermöglicht Artikel 20 der Datenschutz-Grundverordnung Kund:innen die Mitnahme all ihrer Daten zu einem anderen Dienstleister. Die Hoffnung ist, dass dies die Souveränität der Nutzenden gegenüber Anbietenden stärkt und für mehr Wettbewerb sorgt. Das geht bisher aber überhaupt nicht auf, unter anderem wegen der monopolartigen Strukturen im Online-Bereich. Hier will die Kommission nachhelfen. Wie genau, sagt sie allerdings nicht.

Marktmacht

Außer im Bereich Cloud-Dienste, wo die Abhängigkeit von einigen wenigen US-Anbietern beendet werden soll, spielt das Thema Marktmacht in den Strategien kaum eine Rolle. Die Datenstrategie enthält lediglich eine vage Absichtserklärung, bei der Fusionskontrolle verstärkt auf Daten als Wettbewerbsfaktor zu schauen. In Ausnahmefällen könnte es eine Auflage für Fusionen werden, dass Daten mit anderen Marktakteuren geteilt werden müssen, wenn das neue Unternehmen ansonsten eine marktbeherrschende Stellung einnehmen würde.

In einem Hintergrundgespräch erklärte ein hochrangiger EU-Beamter, der für die zweite Jahreshälfte angekündigte „Digital Services Act“ zur Regulierung von Online-Diensten werde das Problem der Marktmacht von Plattformen wie Facebook angehen. Die Rahmengesetzgebung will die Kommission noch in diesem Jahr vorschlagen.

Open Data

Seit 2019 hat die EU eine Open-Data-Richtlinie. In ihrer Datenstrategie kündigt die Kommission nun an, 2021 einen Durchführungsrechtsakt im Rahmen dieser Richtlinien zu verabschieden, mit dem hochwertige Daten über den öffentlichen Sektor definiert werden sollen, die zwingend veröffentlicht werden müssen. Im Zuge dessen soll bis Anfang 2022 auch die Umweltinformations-Richtlinie überarbeitet werden, die seit 2003 eine wesentliche Erweiterung der Informationsfreiheit in der EU darstellt.

Daten und Klima

Die Kommission schätzt, dass Informations- und Kommunikationstechnologie bereits für bis zu neun Prozent des globalen Stromverbrauchs verantwortlich sind – ihr rasches Wachstum ist ein massiver Klimatreiber. „Datenzentren und Telekommunikation müssen energieeffizienter werden, mehr erneuerbare Energien nutzen und sollen bis 2030 klimaneutral werden“, folgert die Kommission.

In der Datenstrategie ist allerdings nur von wenigen konkreten Maßnahmen die Rede. Eine davon könne etwa sein, durch „Recht-auf-Reparatur“-Regeln die durchschnittliche Lebensdauer von Smartphones um ein Jahr zu verlängern. Die EU agierte bisher dabei äußerst zögerlich. Selbst kleine Maßnahmen wie ein verpflichtend einheitliches Smartphone-Ladegerät werden sei Jahren verschleppt.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

3 Ergänzungen
  1. Abgesehen von der überholten Raummetapher deutet die Sektorisierung der Datenökonomien auf das Risiko der Entstehung einer jeweiligen Exzellenz-Plattform, sprich „natürlichen“ Monopols pro Sektor welche dank Telko-betriebener 5G infrastruktur (EdgeML, Iot) vertikale Integration und Zentralisierung von Wertschöpfungsketten erlaubt, vorbei an den Prinzipien der Netzneutralität. Auf dem Weg zu dieser Sektor-Platformisierung wird viel Redundanz im Wettbewerb erzeugt, statt Forschung und Entwicklung zu koordinieren. Eine konsequente Erneuerung von Open Data Richtlinien im Bereich Algorithmen, Datenstrukturen, Trainingsdaten und Veröffentlichungen die aus zurückliegenden Fehlern lernen, und neue geeignete Lizenmodelle entwickelt, die verhindern ohne jede finanzielle Kompensation eine direkte Datapipeline wie z.b. von Wikidata zum Google Knowlege Graph zu legen. Überhaupt wo bleibt die Erwähnung von Wikpedia als europäisches kosteneffektives Gegenmodell zu Silicon Valley, mit Diderot und D’Alembert im digitalen Neuland? Die europäische Bertelsmann Suchmaschine und Europäische Digitale Bibliothek sind wohl im babylonischen Metadatenwust verschwunden. Daten sind nur in sofern das Öl des 21. Jahrhunderts als dass man darauf besser keine Ökonomie aufsetzen sollte, ohne auf unliebsame Nebeneffekte gefasst zu sein. Die vielen Fälle von Scraping, ebenso wie das Problem der Patent-trolle zeigen dass im Kern dass heutiges Urheberrecht alle digitale Entwicklung blockiert, mit Absurditäten wie dem Leistungsschutzrecht. Nur eine radikale Opensource und Open Standard Strategie im Bereich Machine Learning kann Europa ein Alleinsteillungsmerkmal zuweisen. Datenökonomie als Win-Win-Marktplatz wäre hingegen ein Irrtum, plattform ökonimie tendiert zu The-Winner-Takes-it-all. Google verdient sein Geld nicht mit dem Verkauf von Daten sondern Werbung. Amazon wertet Daten intern aus um Brick & Mortar Distribution zu optimieren usw. usw. Wenn es zu Datenverkauf kommt, wie bei Avast kuerzlich dann ist das ethisch meist zweifelhaft. Was man verkaufen kann sind komplexe ML unterstützte Dienstleistungen, bzw. ganze Umgebungen in denen sich Prozesse (Constrains) abstrahieren und logistisch optimieren lassen. (SAP). Dieses EU Paper sieht zusehr nach einem Cluelessmanifesto aus. Nichteinmal eine Unterscheidung von AI (AGI) und Machine Learning wird unternommen und die Allgemeinplätze wegen Bilderkennung und Bias werden publikumsfreundlich bedient. Statt die Ethik der überkommenen Eigentumsbegriffe im Digitalen zu hinterfragen, wird auf Wahrung der Privatsphäre verwiesen. Wie man leicht verstehen kann sind private Datensätze ohnehin für einen Grossteil der Trainingsmodelle irrelevant. (Übersetzungssoftware z.b.). Immerhin wird irgendwo am Rande darauf hingewiesen das Reproducibility ein Kriterium sein soll, was der Offenlegung von Trainingsdaten gleichkommt. Statt Spreadsheet Mentalität und McKinyeyfizierung der euroäischen Digitalpolitik endlich mal feststellen welche Strulturprinzipien Netzwerke und Digitales unterscheiden und erfolgreich gemacht haben im Vergleich zu industriell und finanzwirtschaftlich-neoliberal geprägten Ökonomischen Modellen.

  2. … WAS PASSIERT, WENN MAN EIN FUNKTIONIERENDES GETRIEBE MIT DATEN ANSTELLE VON „ÖL“ ….

    Wer wird sich Zertifizierungen leisten können? Kalkül ist offenbar, dass viel Geld und damit „Verantwortung“ kreisen muss, damit gewisse Technologien verwendet werden dürfen.

    OT: vergessen. Was wird wachsen, außer Kanarienvögeln? Im Frühling dieser unserer Zeit…

  3. Mit der neuen EU-Kommission weht ein neuer scharfer Wind, der Bedenkenträger der Digitalisierung aus sämtlichen Ecken fegen soll. Was machbar ist, soll möglich sein – zum Wohl weniger und zum Unwohlsein jener, die eigenes Denken nicht scheuen.

    Die Methode ist, zunächst faire Entwürfe zu präsentieren, die dann nach und nach geschliffen werden, bis nichts mehr übrig bleibt, was kommerzielle Interessen einschränken könnte.

    Die Zivilgesellschaft ist für die EU-Kommission augenscheinlich nicht mehr relevant, und wen wundert das noch, denn ein Wählerwille hat sie nicht ins Amt gebracht.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.