Was sich durch gesetzgebende Initiativen ändern wird und welche Auswirkungen dadurch auf unsere KI- und Daten-Vorhaben zu erwarten sind

Sämtliche Geschäftsprozesse und die Wertschöpfungskette eines Unternehmens basieren auf Daten. Diese Erkenntnis hat sich in den letzten Jahren immer stärker in unserem Bewusstsein gefestigt, weswegen wir reflexartig auf den vorherigen Satz mit Zustimmung reagieren. Wir sind überzeugt davon, dass eine zielgerichtete und zweckgebundene Nutzung von Daten klaren Regeln und auch strategischen Zielen folgt, ja sogar folgen muss.

Um das zu erreichen, wird das Unternehmen zur Data Driven Company. Dafür werden die einzusetzenden Technologien, aber auch die zu nutzenden Architekturen von der festgelegten Datenstrategie abgeleitet und im Rahmen einer breiten Data-Governance-Initiative werden zusätzlich zahlreiche Rollen eingeführt. Dieses Vorgehen verspricht, Daten smart und wunschgemäß nutzen zu können. Vom Entscheidungstragenden bis zur Datenarbeiterin oder zum Datenarbeiter stehen Informationen mit hoher Flexibilität, Transparenz und Nachvollziehbarkeit bedarfs- und adressatengerecht zur Verfügung. In letzter Zeit befinden sich vor allem die anwendungsfallgetriebene Nutzung und Veredlung innerhalb der eigenen Bereichsgrenzen im Fokus und sehr viel seltener die Grenzen des Unternehmens beziehungsweise des Konzerns.

Dabei ist die (vorsichtige) Behandlung von Daten kein Selbstzweck, denn sie verspricht dem Unternehmen steigende Umsätze. Allerdings haben bisher nur die wenigsten Unternehmen Datenmonetarisierung für sich entdeckt. Ein direkter Wettbewerbsvorteil am umkämpften Markt entsteht sicherlich, wenn man den Markt und die Kundinnen und Kunden durch Beobachtung und Datenanalyse gut kennt. Deutlich schwerer dürfte jedoch der Wettbewerbsnachteil wiegen, wenn man genau dieses Wissen aus Daten eben nicht generiert hat.

Durch den täglichen Kontakt mit sozialen Medien oder Suchmaschinen (oder sogar den immer bekannter werdenden Sprachmodellen wie GPT oder ChatGPT) verstehen wir aber auch, wie wichtig unsere eigenen Daten inzwischen geworden sind. Wer hat noch nicht mit Erschrecken festgestellt, dass Google Maps, um ein eher profanes Beispiel zu nennen, ohne unser Zutun „weiß”, wo wir wohnen, arbeiten und welche regelmäßigen Routinen wir haben, wenn wir uns dafür bewegen? Was einzelne Menschen verunsichert, steckt voller Potenzial für Unternehmen. Gerade am Beispiel sozialer Medien sehen wir, dass der Hüter des Datenschatzes seine Werbekundinnen und -kunden Interessantes anzubieten hat: detaillierte Kundendaten inklusive wichtiger Geoinformationen bis hin zu Vorlieben aller Art. Egal welche Lieblingsmusik, favorisierte Farbe oder Weinsorte, alles ist gespeichert und auf Wunsch abrufbar. Der gekaufte Kundendatensatz erlaubt es, nun höchst individuelle, pointierte Produktangebote zu platzieren, das erhöht die Konversionsrate und die steigert dann den Umsatz. Zumal die zielgruppengerechte Ansprache höhere Abschlussraten verspricht.

Genau an dem Punkt setzt die digitale Regulierung an. Es ist notwendig, die Verbraucherinnen und Verbraucher vor dem willkürlichen Speichern und anschließenden Gebrauch ihrer Daten und vor den Entscheidungen, die basierend auf aggregierten oder Einzeldatensätzen getätigt werden, zu schützen. Dabei geht es in erster Linie nicht um ein generelles Verbot, sondern um die Einforderung von hohen Qualitätsanforderungen. In der digitalen Regulierung oder in der Regulierung im Allgemeinen wird ein Ordnungsrahmen definiert, der zugleich wegweisend für die Marktteilnehmer ist und so Unsicherheiten abbaut. Zusätzlich soll die europäische Regulierung eine übergreifende Harmonisierung herbeiführen, so dass eine Fragmentierung innerhalb des Wirtschaftsraumes vermieden wird.

Wir nehmen Formen von Regulierung in verschiedenen Ausprägungen wahr. Um diese besser einzuordnen, wird die Hierarchie in einer sogenannten Normenpyramide prägnant dargestellt.

Kurzeinführung Normenpyramide

Eine Normenpyramide erleichtert den Verständnisgewinn, reduziert die Mächtigkeit von Regelwerken und bildet skizzenhaft deren Relationen zueinander ab (Abbildung 1). Während in der obersten Instanz einer Normenpyramide die Gesetzgebung dargestellt wird, wird mit abnehmender Höhe die Welt der Standardisierung beziehungsweise Normierung dargestellt. Der durch eine Regel abgesteckte Rahmen ist dabei deutlich strenger, während Vorschriften und Standards eher Interpretationen zulassen und einen durchlässigeren Rahmen definieren.

EU-Recht, unser Grundgesetz und andere Gesetze haben einen rechtsverbindlichen Charakter, das heißt, bricht man mit diesem Gesetz, so hat dies eine Bestrafung zur Folge. Welche Maßnahmen genau zur Erfüllung von diesen Gesetzen eingeleitet werden müssen, wird nicht gesetzlich vorgegeben, sondern entwickelt sich bei einem neuen Gesetz unter anderem durch die Entwicklung von Normen und Standards. Normen und Standards werden durch private Organisationen festgelegt und setzen Qualitätsmaßstäbe. Sie sind nicht unbedingt rechtsbindend wie Gesetze, stellen jedoch den Stand der Technik dar und sind somit Metrik für Qualitätsmaße. Solche Qualitätsmaße können wiederum eine Rückkopplung zur Gesetzgebung zur Folge haben und Gesetzestexte schärfen. Als prägnantes Beispiel möchten wir die Entwicklung bei den Glühlampen hervorheben. Durch Normierung und Ableitung von Effizienzmaßen konnten Qualitätsunterschiede messbar gemacht werden. Dies hatte nicht nur die Hebung von Qualität bei den Herstellern zur Folge, sondern führte letztendlich auch zum konkreten gesetzlichen Ausschluss von nicht effizienten umweltunfreundlichen Leuchtmitteln.

In der folgenden Grafik haben wir ein Beispiel für diesen konkreten Blog-Beitrag erstellt. Wir beschäftigen uns im weiteren Artikel nur mit den Entwicklungen der rechtsverbindlichen Normen.

Schauen wir einmal zurück und betrachten ein ganz besonderes Gesetz, das die meisten von uns schon einmal gehört haben sollten: die Datenschutzgrundverordnung oder kurz die DSGVO.

Was lässt sich aus zehn Jahren DSGVO lernen?

Die Datenschutzgrundverordnung, kurz DSGVO, wurde vor mehr als zehn Jahren, am 25. Januar 2012, durch die Europäische Kommission vorgestellt. Vier Jahre Zeit blieben nun bis zum Inkrafttreten der Verordnung im Mai 2016. Vier Jahre, in denen die meisten Unternehmen ihr Selbstverständnis im Umgang mit personenbezogenen Daten überholen und die gesetzlichen Anforderungen umsetzen mussten. Vier Jahre, in denen häufig von Innovationsbremse, Überregulierung und mangelnder Wettbewerbsfähigkeit im internationalen Vergleich zu lesen war. Mit hohen Strafen vor Augen und ohne Erfahrung in der (vor allem richterlichen) Auslegung der DSGVO war überraschenderweise bei vielen Unternehmen unterschiedlichster Branchen überwiegend Zurückhaltung zu spüren. Es fehlte zu diesem Zeitpunkt sicherlich , neben der Erfahrung, an vielen Dingen: Software (egal ob Tool oder Routinen), rechtssichere Formulierungen (egal ob in Verträgen oder im Impressum), Rollen, Prozesse oder Kontrollinstanzen.

Heute, Anfang 2023, haben wir diese Lücken längst geschlossen und Sicherheit sowie die Erkenntnis gewonnen, dass die DSGVO tatsächlich kontrolliert wird. Wir wissen recht genau, wie wir als Unternehmen unsere Homepage DSGVO-konform gestalten (müssen) und welche (vorgefertigten) Formulare wir als Verbraucherinnen und Verbraucher einem Unternehmen schicken müssen, um zu erfahren, ob dieses Daten von uns gespeichert hat und zu welchem Zweck. Von dieser Seite aus betrachtet hat die Veränderung die Verbraucherinnen und Verbraucher massiv gestärkt, obwohl im gleichen Zeitraum Unternehmen entstanden, deren Leidenschaft das Datensammeln und anschließende Veredeln durchanalysierter und segmentierter Personendatensätze ist. Aber ist das Wissen über den Umgang mit personenbezogenen Daten wirklich schon fest in uns und in den Unternehmen verankert? Das darf bezweifelt werden. Spätestens wenn durch unaufhaltsam voranschreitende Digitalisierung und begleitet von wirtschaftlichen Gesichtspunkten das nächste große Projekt vor der Entscheidung steht, ob die gesamte CRM-Lösung bei einem der drei (amerikanischen) Hyperscaler (Amazon Web Servies – AWS, Google Cloud Platform – GCP, Microsoft Azure) gehostet werden soll, wird in diesem Zusammenhang die Frage gestellt, welchen Gesetzen in beispielsweise den USA oder China gespeicherte Daten unterliegen.

Mit dem heutigen Wissen, dass sowohl die europäischen als auch die Landesparlamente den Schutz ihrer Bürgerinnen und Bürger im Blick haben, ja sogar haben müssen, sollten die im Folgenden dargestellten und in den nächsten Jahren in Kraft tretenden Regulierungen nicht auf die leichte Schulter genommen werden und frühzeitig in Anwendungsarchitektur und Unternehmensprozessen abgebildet werden. Deswegen schauen wir nach vorne und widmen uns den zukünftigen Entwicklungen, die uns hinsichtlich der digitalen Gesetzgebung erwarten.

Was erwartet uns in den nächsten zehn Jahren?

Die Jahre 2020 bis einschließlich 2025 sind aus europäischer Sicht eine prägende Zeit, in der eine Reihe Gesetze zur Regulierung von Daten- und auf Daten bezogenen Anwendungen auf EU-Ebene erarbeitet und verabschiedet werden. Diese Gesetze sind zunächst auf einer horizontalen Ebene ausgelegt und bilden die Grundlage für sektorale Gesetzgebung wie in Banken, Versicherungen oder in der Medizin-Branche.

• Data Governance Act (DGA): Der Data Governance Act stellt einen Rahmen für die Teilung von Daten dar. Der Data Governance Act ist am 23. Juni 2022 in Kraft getreten und wird nach einer 15-monatigen Nachfrist zum September 2023 einschlägig rechtskräftigt.
• Digital Services Act (DSA): Der Digital Services Act richtet sich an E-Commerce-Aktivitäten und soll den Missbrauch von Information beziehungsweise Informationsdarstellung untersagen. Der Digital Services Act ist am 4 .Oktober 2022 in Kraft getreten und wird zum 1. Januar 2024 einschlägig rechtskräftig.
• Digital Markets Act (DMA): Im Rahmen des Digital Markets Act werden Anforderungen an Onlineplattformen gestellt, so dass Informations-Monopolisten (zum Beispiel Facebook) ihre Macht nicht ausnutzen können und Fairness auf Onlineplattformen gesichert werden kann. Der Digital Markets Act ist am 1. November 2022 in Kraft getreten und wird zum 2. Mai 2023 einschlägig rechtskräftigt.
• Data Act (DA): Der Data Act setzt Grundlagen und Vorgaben für die Nutzung von und den Zugang zu Daten, so dass Daten besser verfügbar sind. Der Vorschlag zum Data Act ist am 23. Februar 2022 veröffentlicht worden.
• EU-KI-VO: Die EU-KI-VO ist weltweit das erste vorgestellte Gesetzvorhaben zur Regulierung von KI-Anwendungen. Am 6. Dezember 2022 erfolgte die letzte Reviewschleife der EU-KI-VO. Seitdem befindet sie sich in Vorbereitung für den Trilog zwischen den drei europäischen gesetzgebenden Institutionen. Das Inkrafttreten der EU-KI-VO wird für 2024/2025 erwartet. Die Nachfrist endet zum Jahr 2024/2025.

Welche Auswirkungen auf KI- und andere datengetriebene Vorhaben sind nun zu erwarten?

Analog zur Einführung der DSGVO wird auch im Zuge der neuen Gesetze und Vorschriften immer wieder der Ruf laut, dass damit ein innovationsfeindliches Klima geschaffen worden ist beziehungsweise geschaffen wird, das jedem Unternehmen im globalisierten Wettbewerb völlig ungelegen kommt. In der Aussage schwingt vor allem Unsicherheit mit. Gerade im internationalen Vergleich  egal ob auf dem Finanzmarkt oder im produzierenden Gewerbe  sind standardbasierte Regelwerke ein Garant dafür, dass (abgesehen von unterschiedlichen Steckern für Ladegeräte unterschiedlicher Mobiltelefonhersteller) ein einigermaßen fairer Wettbewerb herrscht. Gerade beim Blick auf die künstliche Intelligenz ist es mehr als wünschenswert, wenn diese ethisch fragwürdige Entscheidung nicht trifft oder zumindest entsprechende Kontrollinstanzen involviert werden. Und auch die Daten, die diesen Entscheidungen zugrunde gelegt werden, müssen vertrauenswürdig sein. In Zeiten des Internets der Dinge (IoT/XIoT) sogar noch stärker, denn nicht unbedingt alle im Internet verfügbaren Daten sind auch für darauf basierende Entscheidungen vorgesehen gewesen  vor allem auch vor dem Hintergrund digitaler Datenmarktplätze.

Wer trotzdem darauf besteht, dass so ein innovationsfeindliches Klima geschaffen wird: Wäre nun Auswandern eine bessere Option, um dem zu entgehen? In der transnationalen Rechtswissenschaft spricht man vom sogenannten Brussels Effect. Dieser besagt, dass der Geltungsbereich der europäischen Gesetzgebung sich über die Grenzen der EU hinaus erstreckt und deutliche Wirkung auf andere Länder hat. So ist ersichtlich, dass die globale Wirtschaft nach der Erfüllung der höchsten Standards, wie eben diesen hohen Schutzregelungen (Verbraucherinnen und Verbraucher, deren Daten oder die Umwelt) der EU, strebt. Erste Umsetzungen, inspiriert durch die aktuelle Fassung der EU-KI-VO, konnten wir bereits bei großen außereuropäischen Unternehmen feststellen.

Dem Wunsch vieler Unternehmen, Entscheidungsprozesse zu verschlanken und die Zeit bis zum ersten datengestützten Erkenntnisgewinn so kurz wie möglich zu halten, kommen die neuen beziehungsweise zu erwartenden Gegebenheiten kurzfristig nicht entgegen. Dafür wird ein gleichberechtigteres Umfeld geschaffen, in dem Vertrauen in die datengetriebenen Entscheidungen aufgebaut werden kann.