Datenschutz
Digital-Studie: EU auf dem Weg ins Regulierungschaos
Europa will das große Rad drehen bei Digitalisierung, Datenschutz und KI-Verordnung. Das könnte in die Hose gehen, klaffen schon jetzt Regulierungslücken, warnen Forscher im KI-Sonderausschuss in Brüssel.
Veröffentlicht:
Die EU hat sich hohe gesetzliche Maßstäbe an Digitalisierung und Künstliche Intelligenz verordnet. Auf dem Weg dorthin scheint sie sich aber immer öfter überregulieren zu wollen, warnen Forscher.
© Klaus Ohlenschläger / picture alliance
Brüssel. Europa hat sich die Förderung der Künstlichen Intelligenz (KI) auf die Fahne geschrieben, die unter anderem innovative Lösungen für den Einsatz im medizinischen Versorgungsalltag, wie zum Beispiel im Kontext der Krebsdiagnostik oder der Präzisionsonkologie, sorgen soll. Als ethische und regulatorische Leitplanken soll die in statu nascendi befindliche EU-KI-Verordnung dienen. Natürlich müssen diese KI-Lösungen dann auch der Datenschutzgrundverordnung (DSGVO) sowie der EU-Digitalisierungs-Rahmengesetzgebung genügen. Eigentlich einfach, oder?
Seine Ernüchterung stand dem CDU-Europaabgeordneten Axel Voss, Berichterstatter des Sonderausschusses Künstliche Intelligenz im digitalen Zeitalter (AIDA), am Donnerstagmorgen ins Gesicht geschrieben. „Jetzt müssen wir schauen, dass wir im Rahmen der Trilog-Verhandlungen noch einiges richten können“, blickte er vage in die Zukunft, nachdem die Professores Cristiano Codagnone (Plattformökonom an der Universität von Mailand) und Teresa Rodriguez de las Heras Ballell (Handelsrechtsexpertin von der Universidad Carlos III de Madrid) ihre schonungslose Analyse der teils inkongruenten und lückenhaften Regulierung in puncto Digitalisierung, Datenschutz sowie KI offengelegt hatten.
Im Auftrag des Sonderausschusses hatten sie in ihrem Bericht die bestehenden Gesetzgebungen, die initiierten sowie die propagierten miteinander auf Konflikte und Überlappungen untersucht.
Kommentar zum Datenschutz
KI und Medizin: EU auf schmalem Grat
Eher Chaos denn „Brüssel-Effekt“ zu erwarten
Und siehe da: In ihrem Streben nach dem „Brüssel-Effekt“ – so nannte die US-Juristin Anu Bradford vor zehn Jahren die de facto normierende Strahlkraft der europäischen Rechtssetzung zum Beispiel im Wettbewerbs-, Lebensmittel- und Umweltrecht über den Alten Kontinent hinaus – scheint der EU wohl hie und da auch mal der Blick fürs Detail abhandengekommen zu sein.
Zu erwarten wäre nach Ansicht der Forscher, dass die EU bei der Regulierung der digitalen Domäne eine kohärente Balance herstellen sollte zwischen dem Schutz fundamentaler Rechte und der Innovationsförderung, die unnötige Komplexität vermeidet. „Es scheint jedoch so, dass man mitten im Schaffungsprozess der digitalen Verfassung und im Streben nach dem Brüssel-Effekt die Kohärenz und Simplizität zumindest teilweise übersehen hat“, schreiben Codagnone und Rodriguez de las Heras Ballell höflich, aber wenig schmeichelhaft in ihrem Bericht.
Gesetz den Fall, dass alle initiierten Rechtsordnungen wie vorgeschlagen verabschiedet würden, dann könnte zum Beispiel ein Medizintechnikunternehmen im Sinne der DSGVO Data Controller (Datenverantwortlicher) oder Data Processor (Auftragsverarbeiter) sein, unter dem Daten-Governance-Gesetz (Data Governance Act/DGA) Data Holder (Dateninhaber) und im Sinne der KI-Verordnung Developer (Entwickler).
Dies und andere Aspekte der beiden noch nicht verabschiedeten DGA und KI-Verordnung könnten zu Rechtsunsicherheiten führen, so die beiden Forscher. Berichterstatter Voss, warnte, solche Zustände könnten gerade für KMU eine sehr hohe Hürde darstellen, die sie schlimmstenfalls nicht überwinden könnten.
Ungelöste Konflikte mit den USA
Am Beispiel des von EU-Kommissionspräsidentin Ursula von der Leyen propagierten Europäischen Gesundheitsdatenraums (European Health Data Space/EHDS) zeigt der Bericht weitere Konfliktlinien auf. Der EHDS soll bis 2025 unter dem Dach der EU-Datenstrategie unter Anwendung des DGA errichtet werden und die sektor- sowie staatenübergreifende, interoperable Nutzung von Gesundheitsdaten unter anderem zu Behandlungs- und Forschungszwecken ermöglichen. Das DGA wiederum schafft spezifische Voraussetzungen für die Verwendung hochsensitiver, nicht-persönlicher Daten. Diese Daten sollten auch, so lautet die Empfehlung, im EHDS-Kontext vom Unionsrecht adressiert werden.
Dies leitet über zu einer ebenfalls noch offenen Baustelle, nachdem der Europäische Gerichtshof im Juli 2020 mit Blick auf die DSGVO die Regeln für den Datenverkehr mit den USA gekippt hat – konkret hat er die datenschutzbezogene, 2016 von der EU-Kommission mit den USA getroffene Vereinbarung „EU-US Privacy Shield“ für nichtig erklärt. Begründung: Die USA erfüllten nicht die Voraussetzungen, wonach Gesundheitsdaten, die unter der DSGVO als besonders personenbezogene Daten nach Artikel 9 eine hohe Schutzbedürftigkeit haben, dürften nur in Staaten außerhalb der EU verarbeitet werden, mit denen nach Artikel 45 ein Angemessenheitsbeschluss bestehe oder andere Maßnahmen wie beispielsweise Standardvertragsklauseln eingesetzt würden.
