Wie kann die Datenregulierung Innovationen im Bereich der künstlichen Intelligenz in Europa besser fördern und welche konkreten regulatorischen Änderungen müssen kurz- und mittelfristig umgesetzt werden?

Das Impulspapier "Reformimpulse für den EU-Regulierungsrahmen zur Stärkung von Wettbewerb und Innovation im Kontext Künstlicher Intelligenz und Daten" von Prof. Dr. Boris Paal, M. Jur. (Oxford) der TUM, initiiert von der IHK für München und Oberbayern, beleuchtet Herausforderungen wie Rechtsuntersicherheit sowie hohen Compliance-Aufwand für Unternehmen, fordert einen stärkeren risikobasierten, innovationsfreundlichen Ansatz bei der Datenregulierung und gibt konkrete Vorschläge für die Weiterentwicklung der europäischen Gesetzgebung.

Digital Acquis der Europäischen Union

Die EU hat mit der Datenschutzgrundverordnung (DSGVO), dem Data Governance Act (DGA), dem Data Act (DA), dem Digital Markets Act (DMA), dem Digital Services Act (DSA) und der KI-Verordnung (KI-VO) sowie weiteren Digitalrechtsakten einen ebenso umfassenden wie komplexen, leider aber nicht durchgängig kohärenten und in der praktischen Umsetzung herausfordernden Digital Acquis etabliert. Diese Komplexität in Verbindung mit sich teilweise widersprechenden Vorgaben erschwert Unternehmen den rechtssicheren Einsatz bzw. die Entwicklung von KI unter Nutzung von Daten sowie die Entwicklung und Umsetzung von geeigneten Compliance-Maßnahmen.

Vor dem Hintergrund des laufenden europäischen Digital Omnibus-Reformprozesses und des bevorstehenden Digital Fitness Checks zur Nachjustierung des europäischen Digital Acquis besteht die Möglichkeit und Chance, diese Rechtsunsicherheiten zu adressieren und durch gezielte Modifikationen möglichst weitgehend auszuräumen.
Diese Chance will die IHK München mit diesem Papier nutzen.

Reformimpulse für den EU-Regulierungsrahmen zur Stärkung von Wettbewerb und Innovation im Kontext künstlicher Intelligenz und Daten

Die nachfolgenden Ergebnisse und Handlungsempfehlungen geben Antworten auf die Leitfrage des Impulspapiers: Wo müssen wir mit Blick auf das Datenrecht ansetzen, um die Nutzung und Entwicklung von KI in Unternehmen zu erleichtern? Sie sind als konsolidierte Reformimpulse für den Digital Omnibus und den Digital Fitness Check zu verstehen und verfolgen das übergeordnete Ziel einer strategischen Weiterentwicklung des europäischen Digital Acquis, die Grundrechtsschutz und Innovationsförderung, Wettbewerbsfähigkeit und digitale Souveränität als gleichrangige Ziele verwirklicht.

In diesem Zusammenhang ist auch und gerade die Datenschutz-Grundverordnung (DSGVO) in den Blick zu nehmen, die mit dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein fundamentales Grundrecht sichert (Art. 8 Grundrechte-Charta – GRCh). Zugleich schadet jedoch die aktuelle Auslegungs- und Durchsetzungspraxis der DSGVO sowie zusammenhängender Digitalrechtsakte sowohl dem Datenschutz als auch den allgemein anerkannten Zielen Innovation und Wettbewerbsfähigkeit.

Wesentliche Ergebnisse und Handlungsempfehlungen

  • Erstens verletzt der Null-Risiko-Ansatz die aus Art. 8 GRCh, Art. 52 Abs. 1 GRCh und ErwGr. 4 DSGVO folgende Abwägungspflicht. Das Grundrecht auf Datenschutz ist kein absolutes Recht. Datenverarbeitungen zu KI-Zwecken sind unter Inbezugnahme (unter anderem) der unternehmerischen Freiheit nach Art. 16 GRCh und des gemeinwohlbezogenen Innovationsinteresses in eine normbezogene Güterabwägung einzustellen. Diese Güterabwägung hat sich unter Berücksichtigung von Verhältnismäßigkeit auf die Herstellung von praktischer Konkordanz und einen schonenden Ausgleich kollidierender Interessen und Rechtsgüter auszurichten. Zur normativen Absicherung dieser Abwägungspflicht empfiehlt sich – unter anderem – eine Ergänzung von Art. 1 DSGVO um ein explizites Innovationsmandat (Art. 1 Abs. 3a DSGVO-neu), das Innovation, digitale Entwicklung und Wettbewerbsfähigkeit der Union als gleichrangige Ziele neben dem Datenschutz verankert.

  • Zweitens ist der risikobasierte Ansatz einer der zentralen normativen Hebel für eine innovationsfreundlichere Auslegung der DSGVO. Dieser risikobasierte Ansatz ist als Strukturprinzip bereits de lege lata in der DSGVO angelegt und sollte de lege ferenda als übergreifendes Grundprinzip an zentraler Stelle im Normtext verankert werden. In diesem Sinne empfiehlt sich ein pragmatischer, innovations- und verhältnismäßigkeitsorientierter Neuansatz für DSGVO-Kernprinzipien, Erlaubnistatbestände und die Governance-Architektur der Aufsichtsbehörden. De lege ferenda kann dies etwa durch eine ausdrückliche Verankerung des risikobasierten Ansatzes in Art. 5 Abs. 3 DSGVO-neu geschehen.

  • Drittens ist Art. 6 Abs. 1 lit. f) DSGVO (berechtigte Interessen) im Grundsatz eine geeignete Rechtsgrundlage für die Verarbeitung öffentlich zugänglicher (personenbezogener) Daten im Rahmen des KI-Trainings. Die vorzunehmende Interessenabwägung wird bei anonymisierten oder pseudonymisierten Trainingsdaten vielfach zugunsten des Trainingsinteresses ausfallen. Es besteht keine normative Hierarchie zwischen den Rechtsgrundlagen des Art. 6 DSGVO; die Einwilligung ist weder die einzige noch eine privilegierte Rechtsgrundlage für das KI-Training. Technische Schutzmaßnahmen (insbesondere Differential Privacy, Pseudonymisierung und Datensatz-Deduplikation) senken das Risikoprofil einer KI-Verarbeitung und sind als positive Faktoren sowohl für die Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO als auch für die Datenschutzfolgenabschätzung nach Art. 35 DSGVO heranzuziehen.

  • Viertens erzeugt das Nebeneinander von DSGVO-Pflichten, Vorgaben der KI-VO, dem Data Act und weiterer Digitalrechtsakte an zentralen Schnittstellen kumulierte Compliance-Lasten, die insbesondere für KMU kaum mehr beherrschbar und umsetzbar sind. Koordinierte Leitlinien, Orientierungshilfen und belastbare Handreichungen zur Gesetzesanwendung sind deshalb dringend geboten. Hierbei sind konkret zwei Schnittstellen vorrangig zu adressieren: (1) Die strukturelle Überschneidung von DSFA (Art. 35 DSGVO) und KI-Konformitätsbewertung (Art. 43 KI-VO) erfordert gemeinsame Leitlinien für eine koordinierte Durchführung. (2) Die kumulative Anwendung von Art. 22 DSGVO und den Hochrisiko-KI-Anforderungen nach Anhang III KI-VO bei automatisierten Entscheidungen ist auf ein handhabbares Maß zurückzuführen.

  • Fünftens erfordert die Wirksamkeit des normativen Reformprogramms eine Reform der Auslegungshoheit auf EU-Ebene. Selbst eine überzeugende dogmatische Gegenargumentation gegen restriktive EDSA/EDSB-Positionen – etwa zur Personenbezugsdefinition nach Art. 4 Nr. 1 DSGVO oder zur Rechtsgrundlage für das KI-Training nach Art. 6 Abs. 1 lit. f) DSGVO – kann nicht verhindern, dass der EDSA legislative Reformabsichten durch seine Auslegungspraxis faktisch unterläuft, solange er die primäre Interpretationshoheit über abstrakt-generelle DSGVO-Begriffe innehat und diese Kompetenz gerichtlich nicht unmittelbar anfechtbar ist. Das strukturelle Problem ist mithin nicht allein inhaltlicher, sondern vor allem auch institutioneller Natur.

Handlungsmatrix: Digital Omnibus-Sofortmaßnahmen und Fitness-Check-Reformziele

  • Klarstellung des relativen Personenbezugsbegriffs in Art. 4 Nr. 1 DSGVO unter Berücksichtigung der EuGH-Entscheidung in der Rs. C-413/23 P (SRB) und mit präziser Formulierung des Übermittlungsszenarios (siehe Impulspapier C.II.).
  • Klarstellung der Gleichrangigkeit der Rechtsgrundlagen des Art. 6 DSGVO und Aufnahme von Art. 6 Abs. 1 lit. f) DSGVO als taugliche Rechtsgrundlage für das KI-Training in einem ergänzenden Erwägungsgrund (siehe Impulspapier C.IV.1).
  • Ergänzung von Art. 9 Abs. 5 DSGVO-E (inzidentelle und residuale Verarbeitung besonderer Datenkategorien im KI-Kontext): Konkretisierung des Anwendungsbereichs und Aufnahme eines Dokumentationserfordernisses für den Nachweis der Unmöglichkeit der Löschung (siehe Impulspapier C.IV.3).
  • Präzisierung des Tatbestands des Art. 22 Abs. 1 DSGVO durch Ergänzung eines neuen Abs. 2, der den Begriff der rechtlichen Wirkung auf statusbegründende oder vertragsrechtlich erhebliche Entscheidungen beschränkt und für die ähnlich erhebliche Beeinträchtigung das Merkmal der Dauerhaftigkeit sowie eine qualifizierte Schadensintensität zur Voraussetzung macht (siehe Impulspapier C.V.2).
  • Präzisierung von Art. 12 Abs. 5 DSGVO betreffend Rechtsmissbrauch (siehe Impulspapier C.III).

  • Aufnahme eines Innovationsmandats in Art. 1 Abs. 3a DSGVO-E und normative Verankerung des risikobasierten Ansatzes in Art. 5 Abs. 3 DSGVO-E (siehe hierzu Impulspapier A.V, B.III, C.I).
  • Neukonzeption des Art. 9 Abs. 1 DSGVO auf der Grundlage und am Maßstab eines konsequent kontextabhängigen Sensibilitätsbegriffs (siehe hierzu Impulspapier C.IV.3).
  • Einführung einer Pflicht zur wirtschaftlichen Folgenabschätzung für DSGVO-Leitlinien in Art. 57 Abs. 1a DSGVO-E sowie verbindliche Konsultationspflichten für EDSA und nationale Datenschutzaufsichtsbehörden (siehe hierzu Impulspapier D.II, D.III).
  • Koordinierung von DSFA (Art. 35 DSGVO) und KI-Konformitätsbewertung (Art. 43 KI-VO) sowie Informationspflichten (Art. 13, 14 DSGVO) durch gemeinsame Leitlinien von EDSA und EU-KI-Amt (siehe hierzu Impulspapier C.V.1 und C.V.3).

Download Impulspapier

Das Impulspapier "Reformimpulse für den EU-Regulierungsrahmen zur Stärkung von
Wettbewerb und Innovation im Kontext Künstlicher Intelligenz und Daten" finden Sie hier.

Rückblick: Online-Vorstellung des Impulspapiers

Am 14. Juli stellte Prof. Dr. Boris Paal, M. Jur. (Oxford) von der Technischen Universität München (TUM) die Ergebnisse seines Impulspapiers "Reformimpulse für den EU-Regulierungsrahmen bei Künstlicher Intelligenz und Daten vor".

Die Ergebnisse wurden anschließend mit Blick auf die Praxis in Unternehmen zur Diskussion gestellt.

Referenten:
Dr. Boris Paal, M. Jur. (Oxford), Technische Universität München
Präsentation
Dr. Hans-Peter Wiesemann, Global Legal, BSH Hausgeräte GmbH
Präsentation