Reglementierung ist ein herrlich polarisierender Begriff. Während die einen nicht müde werden nach ihr zu rufen, lehnen die anderen sie kategorisch ab. Die Tech-Szene und andere innovative Branchen jedenfalls sind nicht dafür bekannt, Fans staatlicher Vorschriften und Eingriffe zu sein. Innovation und Reglementierung schließen sich zwar grundsätzlich nicht aus. Zu viel Bürokratie beeinflusst jedoch unbestritten die Innovation – kostet Zeit, Entwicklungsfreiheiten, Geld und nicht selten Nerven. Umso erstaunlicher war es, als Ende März Größen des Technologie-Bereiches, u.a. Tesla-Chef Elon Musk, nach einem Moratorium und stärkerer Reglementierung von Lösungen im Bereich der Künstlichen Intelligenz (KI) riefen. Gut, im Falle von Musk folgte schnell die Auflösung des versuchten „Zeitspiels“. Der aus dem Unternehmen OpenAI – Entwickler von ChatGPT – herauskomplimentierte Multimilliardär arbeitet inzwischen selbst in dem Projekt X.AI an KI oder lässt daran arbeiten. Die Welt bringen bekanntlich immer nur die anderen dem Untergang näher.
Die DS-GVO als abschreckendes Beispiel für weitere EU-Reglementierungen
Die Politik jedenfalls, soviel steht fest, hat die vergangenen Rufe nach mehr Kontrolle durchaus interessiert vernommen und fühlt sich zunehmend in der Pflicht. Eine gute Nachricht für die einen. Ein Graus für die anderen. Speziell Europa überschlägt sich seit einiger Zeit mit dem Beschließen und Veröffentlichen immer neuer „Acts“. Ob AI Act, Digital Services Act, Digital Markets Act oder nun der Data Act – der digitale Raum und die digitalen Branchen blicken in diesen Tagen auf eine wahre Flut kommender bürokratischer Eingriffe. Dass diese „Acts“ das Ziel haben, Dinge besser zu machen, ist unbestritten. Sie bergen aber auch die Gefahr in sich, aus dem Ruder zu laufen. Dinge zu verkomplizieren. Innovatoren abzuschrecken oder aus dem eigenen Einflussbereich zu vertreiben. Ein gutes Beispiel hierfür ist noch immer die Einführung der DS-GVO. „Die Unternehmen in Europa stehen heute vor einem Auslegungswirrwarr zwischen den Mitgliedsstaaten, aber auch innerhalb einzelner Länder. Auch in Deutschland kann jede einzelne Landesdatenschutzbehörde ihre eigene Rechtsauffassung vertreten und durchsetzen. Diese Rechtsunsicherheit führt zu einem Standortnachteil, insbesondere für kleine und mittelständische Unternehmen“, mahnt der Digitalverband Bitkom in diesem Umfeld noch immer zurecht.
Wie soll der Umgang mit Daten kontrolliert werden, wenn täglich Unmengen neuer entstehen?
Mit dem Data Act der Europäischen Union hat nun der jüngste Reglementierungsspross Europas das Licht der Welt erblickt. Er soll die gemeinsame Datennutzung im B2B-Bereich fördern, den Zugang zu industriellen Daten erleichtern sowie Nutzer:innen vernetzter Produkte oder digitaler Dienstleistungen des Internet of Things den Zugang zu „ihren“ Daten ermöglichen, welche bei der Nutzung dieser Dienste oder Produkte entstehen. Die Begeisterung hält sich, man hätte es vermuten können, in Grenzen. Zu viel für die einen. Zu wenig für die anderen. Glücklich scheinen allein die EU und die hier aktiven Vertreter:innen des Volkes. Schließlich ist ein weiteres dickes Brett durchbohrt, wenn auch nicht ansehnlich, funktional und bis zu Ende durchdacht. Doch wie soll das in diesem unübersichtlichen Bereich Vertreter:innen gelingen, die genauso überfordert sind, wie die Endverbraucher:innen, die sie zu schützen versuchen. Denn ja, Daten sind das „neue Öl“ der Jetztzeit. Sie existieren jedoch in unglaublichen Mengen. Und täglich kommend nicht minder unglaubliche Mengen an Daten hinzu. Wie soll hier also die Reglementierung funktionieren? Wie die Kontrolle? Wie der anvisierte Handel? Bereits im Zuge unseres neuen hybriden Themenmagazins NEXT „Smart Systems“ wies KI-Experte André Rauschert in einem Videointerview darauf hin, dass gerade im Produktionsbereich täglich Daten erfasst und gespeichert werden, die kein Mensch ohne technische Hilfe – z.B. in Form von KI-Systemen – überblicken kann. Eine Maschine mit bis zu 3.000 Sensoren produziert pro Tag Terrabyte an Daten. Und vom riesigen Windrad bis zur kleinen Smartwatch gibt es Millionen Devices, Anlagen, Maschinen und Systeme. Nur wenige mit der genannten Sensorendichte, zugegeben. Doch alle mit ausreichend „Spürsinn“, um Daten zuhauf in Cloud und lokale Datenspeicher zu füllen.
Die Verbraucher:innen sollen geschützt werden, doch ihnen fehlt der Über- und Einblick
Es wirkt daher fast niedlich, wenn es heißt: „Besitzer von Internet-of-Things-Geräten sollen ihre Daten zukünftig an Dritte weitergeben können“. Als täten sie das nicht längst, wenn auch nicht bewusst und freiwillig. Navigationsanbieter arbeiten z.B. mit den Verkehrsdaten ihrer Nutzer:innen. Fitnesstrackerhersteller mit den Vitaldaten. Autohersteller mit Unfall- und Fahrzeugdaten. Streamingdienste mit den Nutzungsverhalten ihrer Abonnenten. Selbst Smart Home-Anwendungen wurden bereits dabei erwischt, wie sie Gespräche und Aktivitäten unwissender Besitzer:innen aufzeichnen. Und all das, sowie vieles mehr, soll zukünftig staatlicher Kontrolle unterliegen? Soll geteilt, gehandelt, gemeinsam genutzt werden? Das Ziel, gerade Verbraucher:innen mehr Kontrolle über ihr Leben, ihre Daten, ihre Privatsphäre zu geben, ist durchaus löblich. Doch wie sollen Laien diesen Wust an längst existenten Datenproduzenten und Datenkraken überblicken und für sich sinnvoll nutzen oder zumindest steuern? Das Ziel, Daten mit dem „Data Act“ in Echtzeit offen zu legen, ist ebenso edel. Mit Dutzenden internetfähigen Geräten in einem Haushalt kommen hier jedoch Datenmengen bei verschiedensten Herstellern zusammen, die selbst Expert:innen des Bereiches überfordern dürften. Der Verbraucher schaut am Ende wie das sprichwörtliche Schwein ins Uhrwerk.
Die Industrie befürchtet wichtiges Knowhow zu verlieren bzw. offenlegen zu müssen
Und auch Herstellern entsprechender Geräte droht die Überforderung. Grundsätzlich müsste für jedes Gerät mit jedem User ein eigener Vertrag über die Datennutzung abgeschlossen werden. Schon ein Blick auf die aktuellen Datenschutz- und Datennutzungsvereinbarungen auf klassischen Internetseiten zeigt das Dilemma. Niemand, der nicht juristisch ausgebildet ist, blickt hier tatsächlich durch. Und im Zuge des „Data Acts“ droht weitere Überforderung. Zumal die Zwecke, zu denen Daten überhaupt erhoben werden dürfen, im aktuellen Data Act noch nicht einmal hinterlegt wurden. Nur absolute Datenexpert:innen dürften auf dieser Basis in der Lage sein, ihre Daten tatsächlich zu schützen, mit ihnen zu handeln und sich dabei nicht übervorteilen zu lassen. Die Industrie ihrerseits hat ganz eigene Befindlichkeiten, befürchtet bei diesem sozialen Datenexperiment Europas Knowhow noch leichter an Konkurrenten und illegale Datensammler zu verlieren. Nicht umsonst kritisieren Unternehmen wie SAP und Siemens bereits lautstark den „Data Act“. Denn abseits der Endkundendaten, könnten staatliche Akteure auch direkt auf Datenbestände von Unternehmen zugreifen, wenn ein „Notfall“ wie ein Waldbrand oder eine andere Katastrophe es notwendig machen. Ein Schelm, wer Böses dabei denkt.
Vor 2026 wird der „Data Act“ keine Wirkung zeigen
Nicht zuletzt stellt sich die Frage, wie Daten standardisiert, lesbar und in Echtzeit zugänglich gemacht werden sollen. Wenn sich die Industrie international bislang in einem Punkt schwertat, dann einheitliche Standards zu finden und diese flächendeckend auszurollen. Nicht nur müssten Geräte standardisierte Daten übertragen. Auch die entsprechenden Cloudsysteme unterschiedlicher Anbieter müssten einheitlich funktionieren. Betroffen sind alle Unternehmen, die Devices, Geräte, Anlagen, Maschinen oder datengestützte Systeme im europäischen Raum anbieten. Vor allem die großen Cloudanbieter wie Google, Amazon und Microsoft müssten im großen Stil nachbessern. So verständlich es ist, einen Anbieterwechsel von Clouddienst zu Clouddienst – ähnlich einem Telefonanbieter – zukünftig für Endkunden einfacher zu gestalten, so spannend wird zu beobachten sein, wie die Großen der Branche mit dieser neuen Herausforderung, die Daten ihrer Kund:innen zu schützen und gleichzeitig zugänglich zu machen, umzugehen gedenken. Noch ist der Data Act, wie seine Act-„Brüder und Schwestern“, nicht mehr als Schrift auf geduldigem Papier. Im Herbst soll der „Data Act“ förmlich bestätigt werden, um 20 Monate später in Kraft zu treten. Im Anschluss hätten Hersteller und Anbieter ein Jahr Zeit, die neuen Anforderungen zu erfüllen. Vor 2026 wird dieser Reglementierungsballon entsprechend nicht steigen. Es ist auch nicht unwahrscheinlich, dass er bis dahin platzt. Schließlich überholt die Technik regelmäßig die zähen politischen Prozesse.
Also alles halb so wild? Die Zeit wird es zeigen.
Dieser Beitrag ist im Rahmen des Newsletters 10/2023 erschienen.
👉 Zum gesamten Newsletter
Weiterführende Links
EU zurrt „Data Act“ fest
Datengesetz: Rat und Parlament erzielen Einigung über fairen Datenzugang und faire Datennutzung
EU-Staaten und EU-Parlament einigen sich auf Datengesetz
Neues Datengesetz: EU erntet Kritik für „Data Act“
EU-Staaten und EU-Parlament einigen sich auf Datengesetz
Einigung auf Datengesetz
EU will bessere Nutzung von Daten
Geld gegen Daten
