Macht die DSGVO überhaupt noch Sinn?
Spätestens seit der Einführung von ChatGPT vor zwei Jahren hat Künstliche Intelligenz (KI) einen festen Platz in unserem Alltag eingenommen. Ob bei der Beantwortung von Fragen, der Unterstützung im Kund*innenservice oder der Erstellung kreativer Inhalte – die Fortschritte in der KI-Technologie sind beeindruckend und eröffnen zahlreiche neue Möglichkeiten. Doch mit diesen Fortschritten gehen auch Herausforderungen einher, wie der Schutz der Privatsphäre, ethische Bedenken und die Notwendigkeit, Missbrauch zu verhindern.
Um diesen Herausforderungen zu begegnen, arbeitete die Europäische Union in der vergangenen Legislaturperiode intensiv an der Regulierung von KI-Technologien. Ziel war es, einen rechtlichen Rahmen zu schaffen, der Innovation und Wettbewerbsfähigkeit fördert und gleichzeitig die Rechte und Sicherheit der Bürger*innen schützt – eine schier unlösbare Aufgabe. Ermöglichen sollte diese "Quadratur des Kreises" ein stark risikobasierter und asymmetrischer Ansatz. Was ist damit gemeint? Risikobasiert heißt: je höher das durch eine Aktivität geschaffene Risiko für Sicherheit und Grundrechte, desto stärker muss reguliert werden, und je geringer das Risiko, desto weniger soll durch Regulierung eingeengt werden. Asymmetrisch heißt: größere und mächtigere Player werden viel stärker belastet als kleine und mittlere – also etwa eine große Social Media Plattform viel stärker als ein kleines Start-up.
Wer hat denn noch die Möglichkeit, nachzuvollziehen, welchen Tausenden von unbekannten Akteuren weltweit für welche Zwecke irgendwann einmal durch Klick auf "OK" eine Einwilligung erteilt wurde?Christiane Wendehorst
Update für die DSGVO
Zur neuen Digitalgesetzgebung kommt allerdings die Datenschutzgrundverordnung (DSGVO) hinzu, die sozusagen im Hintergrund immer parallel anzuwenden ist. Und diese ist nur wenig risikobasiert ausgestaltet, da sie fast alle Akteure – vom Elternverein über KMUs (kleine und mittlere Unternehmen) bis hin zum weltweit agierenden Digitalkonzern – in ähnlicher Weise erfasst und mit ähnlichen Pflichten belegt.
Das ist schlicht unvernünftig, denn damit ist die Regulierungstiefe für große Akteure, deren datengetriebene Geschäftspraktiken ernste Gefahren für Einzelne wie für die Demokratie darstellen, tendenziell zu gering, während kleine Akteure, die nur wenig bis keine Risiken schaffen, vor der bürokratischen Last kapitulieren. Dazu kommt, dass das das Schutzniveau der DSGVO gerne überschätzt wird. Das Gesetz datiert zwar theoretisch von 2016, de facto wurden seine Grundzüge aber in den 1990er oder gar 1980er Jahren entwickelt, da es in den wesentlichen Punkten mit der Datenschutzrichtlinie von 1995 übereinstimmt. Der heutigen Realität ist das Regelungskonzept kaum noch gewachsen, und es schafft sicher keine Souveränität über die eigenen Daten – oder wer hat etwa noch irgendeine Möglichkeit, nachzuvollziehen, welchen Tausenden von unbekannten Akteuren weltweit für welche Zwecke irgendwann einmal durch Klick auf "OK" eine Einwilligung erteilt wurde?
Jüngere Digitalgesetzgebung der EU
- AI Act: Das Gesetz über künstliche Intelligenz (KI) trat im August 2024 in Kraft. Die EU nimmt damit eine Vorreiterrolle ein; der AI Act ist das weltweit erste staatenübergreifende Regelwerk, das den Einsatz künstlicher Intelligenz umfassend reglementiert.
- DSA (Digital Services Act): Der Digital Services Act ist ein EU-Gesetz, das darauf abzielt, den digitalen Raum sicherer und transparenter zu gestalten. Es legt Regeln für Online-Plattformen fest, um illegale Inhalte zu bekämpfen und die Rechte der Nutzer*innen zu schützen.
- DSGVO (Datenschutz-Grundverordnung): Die Datenschutz-Grundverordnung ist ein EU-Gesetz, das den Schutz personenbezogener Daten regelt. Es gibt den Bürger*innen mehr Kontrolle über ihre Daten und verpflichtet Unternehmen zu strengen Datenschutzmaßnahmen.
Soweit die Problembeschreibung, die vermutlich – wenn auch teils hinter vorgehaltener Hand – sehr viele teilen würden. Dennoch ist es bislang nicht zu ernstzunehmenden Versuchen gekommen, die DSGVO zu reformieren. Zu groß ist die Angst, sich nicht einigen zu können und den Ruf Europas – das doch mit der DSGVO einen internationalen "Goldstandard" gesetzt haben will – zu beschädigen. Zu unklar ist aber auch, welches Datenschutzkonzept denn dann gewählt werden und wie man die beschriebenen Probleme rein "rechtstechnisch" in den Griff bekommen soll, ohne die Grundrechte der europäischen Bürger*innen vollkommen schutzlos zu stellen.
Balance zwischen Schutz und Wettbewerbsfähigkeit durch eine europäische "KI-Datenschutz-Verordnung"?
Dazu wurde nun ein Lösungskonzept entwickelt, das in einem wissenschaftlichen Diskussionsentwurf für eine europäische "KI-Datenschutz-Verordnung" präsentiert wird. Dieser Entwurf würde mit einem an die neue KI-Verordnung angelehnten Regulierungskonzept dafür sorgen, dass auch das Datenschutzrecht endlich risikobasiert und asymmetrisch ausgestaltet wird.
Bestimmte, schädliche Datenverarbeitungen sollen danach ausdrücklich verboten werden, d.h. betroffene Personen sollten darauf vertrauen dürfen, dass bestimmte Dinge auch dann nicht mit ihren Daten geschehen, wenn sie leichtfertig auf "OK" geklickt haben. Wenn große Akteure Hoch-Risiko-Verarbeitungen ausführen (z.B. Profiling, Datenhandel), sollten sie zusätzliche Verpflichtungen haben. Etwa sollten betroffene Personen Einwilligungs-Management-Dienste ihres Vertrauens einschalten können, und die Einwilligung sollte klar dokumentiert und zeitlich befristet sein.
Workshop "Datenschutz neu gedacht – Herausforderungen durch KI und globalen Wettbewerb"
Christiane Wendehorst und ihr Team organisieren am 13. und 14. Dezember 2024 einen Workshop, der das geltende Datenschutzrecht kritisch hinterfragt und nach Wegen hin zu einem zukunftstauglichen Datenschutz gesucht werden soll. Die Teilnahme ist kostenlos – eingeladen sind alle, die sich für Datenschutzrecht interessieren, ob aus Wissenschaft, Rechtsberufen, Wirtschaft oder Politik.
Alle Infos zum Workshop und Anmeldelink finden Sie hier
Datenschutz sollte aber Innovation im Bereich von KI und anderen Technologien in der EU nicht unnötig erschweren, weshalb vorgeschlagen wird, bestimmte Datenverarbeitungen minimalen Risikos von Beschränkungen freizustellen. Zum Ausgleich soll es neue, an die KI angepasste Rechte geben, etwa ein "Recht gegen digitales Klonen", was insbesondere für Kreativberufe interessant ist. Und schließlich und vor allem: Kleine Akteure, die keine Hochrisiko-Verarbeitungen durchführen (z.B. Vereine und die meisten KMUs), sollten von der Anwendung der DSGVO ganz ausgenommen werden und nur noch allgemeinen Gesetzen unterliegen, etwa Gesetzen zum Schutz der Privatsphäre oder dem Arbeits-, Vertrags- oder Deliktsrecht.
Ob dies Erfolg haben kann? Man wird sehen. Natürlich wird man als Wissenschafterin primär belächelt, wenn man so etwas vorlegt – schließlich sind bislang gemachte Reformversuche allesamt schon im Ansatz gescheitert. Aber vielleicht ist der Reformdruck inzwischen so groß, dass sich etwas bewegt.
Gegenwärtig konzentriert sich ihre Arbeit auf rechtliche Herausforderungen der Digitalisierung und sie hat als Expertin zu Themen wie digitale Inhalte, Internet der Dinge, künstliche Intelligenz und Datenökonomie für viele staatliche und überstaatliche Organisationen gearbeitet. Sie ist auch an mehreren Projekten zu algorithmischer Fairness beteiligt.