Intelligente Fahrassistenzsysteme erhöhen die Sicherheit im Straßenverkehr. Neuartige Bildanalysetools ermöglichen bedeutende Fortschritte in der Medizin. Vorausschauende Wartungen, automatische Fehlererkennungen und exaktere Absatzprognosen machen uns produktiver, reduzieren Kosten und schonen Ressourcen. Daten- und KI-basierte Produkte und Dienstleistungen können unseren Alltag besser machen und vieles positiv beeinflussen.
Zugleich führt der rasante technologische Fortschritt zu neuen Herausforderungen. Wir wollen, dass diese Technologien ihre positiven Effekte voll entfalten können. Deshalb brauchen wir klare und einheitliche europäische Regeln. Es geht um Vertrauen und Sicherheit bei allen Marktakteuren. Das erreichen wir durch ein klares Zielbild in der Digitalpolitik, einheitliche Spielregeln und eine konsequente Förderung von Innovationen. So können wir die digitale Souveränität Europas und unsere europäischen Werte stärken. Für europäische Unternehmen kann das ein echter Wettbewerbsvorteil sein. Europa hat mit dem Artifical Intelligence Act (AI Act), dem Data Act und dem Data Governance Act wichtige Impulse gesetzt. Jetzt geht es um die Umsetzung.
Der AI Act ist das weltweit erste umfassende Gesetz zum Umgang mit Künstlicher Intelligenz (KI). Ziel des Gesetzes ist es, Europa zum globalen Zentrum für vertrauenswürdige KI zu machen. Hierfür verfolgt der AI Act bekanntlich einen risikobasierten Ansatz. Je höher das Risiko, desto strenger sind die Regeln. Von sehr vielen KI-Anwendungen gehen keine besonderen Risiken aus. Das kann nicht deutlich genug betont werden. Dies sind zum Beispiel Chatbots in der Kundenkommunikation, E-Mail-Spamfilter oder Computerspiele. Für diese Anwendungen gelten nach dem AI Act entweder keine oder nur sehr geringe Anforderungen wie Transparenzvorgaben.
Einige wenige KI-Anwendungen, von denen Gefahren für Leib und Leben ausgehen oder die europäische Grundrechte potenziell gefährden, unterliegen einer strengen Aufsicht. Dazu gehören KI-Systeme in der Gesundheits- und Energieversorgung, im Eisenbahn- und Flugverkehr oder die Entscheidungen über die Kreditwürdigkeit treffen. Verboten sind nur Anwendungen, die schutzbedürftige Personen ausnutzen oder anlasslos und flächendeckend den öffentlichen Raum überwachen.
KI-Systeme nur so gut wie zugrunde liegende Daten
Um KI einzusetzen, sind hochwertige Daten wesentlich. Nur wenn sie verfügbar sind und zugleich die datenschutzrechtlichen Voraussetzungen ihrer Verarbeitung hinreichend klar sind, kommt die Entwicklung von KI voran. Laut Europäischer Kommission werden circa 80 Prozent der industriell erhobenen Daten aber nicht genutzt – auch nicht dort, wo ihre Verarbeitung zu Zwecken des KI-Trainings zulässig wäre. Woran liegt das? Einerseits an der Rechtsunsicherheit, die bei der Datennutzung zu Zwecken des KI-Trainings noch immer besteht. Andererseits an Datensilos, die bis heute noch nicht aufgebrochen wurden. Datenschutzrechtlich müssen wir daher Rechtssicherheit schaffen – und dazu kann die Aufsicht wesentlich beitragen – durch mehr Beratung und Dialog.
Datensilos bricht der Gesetzgeber nun über den Data Act auf. Er will die europäische Datenwirtschaft stärken. Heute hat oftmals allein der Hersteller einer vernetzten Maschine, eines Fahrzeugs oder einer Windkraftanlage die Kontrolle über die anfallenden Daten. Es bestimmt also nur der Hersteller darüber, wie diese Daten genutzt werden. Genau hier knüpft der Data Act an. Nutzer haben zukünftig einen gesetzlichen Anspruch, die Daten zu erhalten.
Ein landwirtschaftlicher Betrieb wird ab September 2025 beispielsweise die Daten seiner Maschinen selbst einsehen und verarbeiten können. Zudem darf er die Daten an spezialisierte Drittanbieter weitergeben. Diese können mit Datenanalysen den Wasserverbrauch reduzieren oder die Verteilung des Saatguts verbessern.
Ergänzend dazu soll der Data Governance Act das Vertrauen in spezifische Datenvermittler stärken. Die Vorteile liegen auf der Hand: Datenvermittler können beispielsweise der Wissenschaft künftig Gesundheitsdaten mit Einwilligung der Betroffenen zu Forschungszwecken zur Verfügung stellen. Bisher fragt uns der Arzt, ob er unsere personenbezogenen Daten verarbeiten darf. Der nächste sinnvolle Schritt wäre, wenn er außerdem fragen würde, ob wir unsere Gesundheitsdaten anonym für wissenschaftliche Studien spenden wollen, um anderen Menschen zu helfen.
Gesetzgeber sollte zeitnah Aufsicht benennen
Die gesetzlichen Anforderungen oder auch die KI-Anwendungen, die die Daten nutzen, könnte man auch erst einmal in einem Reallabor testen. So wie viele innovative Anwendungen zuerst auf diese Weise ausprobiert werden könnten, bevor sie in der Breite zum Einsatz kommen. Der AI Act sieht für jeden Mitgliedstaat mindestens ein Reallabor vor. Mehrere, von denen möglichst viele Unternehmen profitieren, wären noch besser.
Aufgabe des deutschen Gesetzgebers ist es nun, zuständige Behörden für die Durchsetzung und Beratung der neuen Digitalgesetze zu benennen. Dabei sollte es darum gehen, Aufsichtsstrukturen nicht zu zersplittern. Die Abläufe für Unternehmen, Verbraucher und datenschutzrechtlich Betroffene müssen einfach und nachvollziehbar sein. Es muss klare Ansprechpartner und einen „Single Point of Contact“ geben. Das schafft Planungssicherheit und erleichtert die Rechtsdurchsetzung. Rechtsunsicherheit bei der Auslegung der Digitalrechtsakte ist unbedingt zu vermeiden. Die Bundesnetzagentur hat viel Erfahrung damit, Märkte zu öffnen, Innovationen zu ermöglichen und durch eine verlässliche Aufsicht das Vertrauen von Herstellern, Anwendern und Verbrauchern sicherzustellen. Und die Bundesdatenschutzbeauftragte hat mit ihrem gesamten Haus das Fachwissen, in datenschutzrechtlichen Fragen umfassend und lösungsorientiert zu informieren und zu beraten.
Aus unserer Sicht sind vier Maßnahmen erforderlich, damit die neuen digitalen Spielregeln ihre volle Wirkung entfalten können.
- Innovation ermöglichen, Grundrechte wahren: Die Umsetzung von AI und Data Act muss einen guten Rahmen für Innovationen bieten. Priorität hat, das Potenzial einer besseren Datennutzung bei gleichzeitiger Wahrung des Datenschutzrechts zu heben. Das sollten die zuständigen nationalen Behörden als agile Ansprechpartner unterstützen.
- Verlässliche und transparente Aufsicht: Klare Konzepte und Ziele der Aufsicht stärken das Vertrauen der Marktteilnehmer. Die konsistente und abgestimmte Durchsetzung von Regeln schafft Rechtssicherheit. Unternehmen sollten durch umfassende Informationen, insbesondere durch Leitlinien und Handlungsempfehlungen, bei der Umsetzung des neuen Rechtsrahmens zielgerichtet unterstützt werden – dies gilt vor allem für kleine und mittlere Unternehmen.
- Europäische Orientierung: Behörden sollten sich in Europa bei allen relevanten Fragen eng abstimmen. Das gewährleistet eine einheitliche Aufsicht und einen starken Binnenmarkt.
- Enge Vernetzung: Es bedarf eines dauerhaften Austausches aller betroffenen Akteure aus Wirtschaft, Wissenschaft und Zivilgesellschaft. So können die Bedarfe der verschiedenen Akteure verstanden und die erforderlichen Hilfestellungen durch die Behörden angeboten werden.
Unsere beiden Behörden pflegen unter anderem im Digitalcluster Bonn einen guten Austausch untereinander und mit anderen Digitalbehörden. Wir verstehen uns als Wegbereiter einer verantwortungsbewussten und werteorientierten Digitalisierung in Deutschland und Europa. Wir begreifen die digitale Transformation als Chance für Gesellschaft und Wirtschaft gleichermaßen und möchten diese konstruktiv begleiten. Davon können wir am Ende alle profitieren.
Louisa Specht-Riemenschneider ist seit September 2024 Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Sie war zuvor Inhaberin des Lehrstuhls für Bürgerliches Recht, Recht der Datenwirtschaft, des Datenschutzes, der Digitalisierung und der Künstlichen Intelligenz der Rheinischen Friedrich-Wilhelms-Universität Bonn.
Klaus Müller ist Präsident der Bundesnetzagentur. Zuvor war er Vorstand des Verbraucherzentrale Bundesverbands und für die Grünen in der Politik unter anderem als Umweltminister in Schleswig-Holstein tätig.
