Ein iapp Congress läuft etwas anders ab, als eine vergleichbare Konferenz mit Datenschutzexperten in Deutschland. Oder wäre es auf einer deutschen Konferenz denkbar, dass etwa der Leiter einer Aufsichtsbehörde das Podium betritt und sein Auftritt von Musik und Disco-Nebel begleitet wird? Wir haben den iapp Europe Data Protection Congress 2023 am 15. sowie 16. November in Brüssel besucht und ein paar Eindrücke mitgebracht.
Der Inhalt im Überblick
„High level“
Vertiefte juristische Diskussionen darf man in einer solchen Umgebung nicht erwarten. Aber die High level-Diskussionen erhalten schon dadurch Gewicht, dass die Panels des iapp Europe Data Protection Congress 2023 immer hochkarätig besetzt sind.
Wer immer noch Datenschutz für ein deutsches Nischenthema hält, wird auf dem iapp Europe Data Protection Congress eines Besseren belehrt: Die Teilnehmer stammten nicht nur aus allen europäischen Ländern einschließlich der Türkei, sondern viele kamen auch aus den USA, Kanada und sogar aus Australien. Der erneute Besucherrekord hat dazu geführt, dass der größte Konferenzraum bei Weitem nicht ausreichend Platz für alle Teilnehmer bot.
Künstliche Intelligenz
Das beherrschende Thema war natürlich Künstliche Intelligenz (KI). Zum Auftakt sagte Léa Steinacker (Journalistin, Dozentin an der Universität St. Gallen und Mitgründerin von ada Learning):
„KI wird keine Menschen ersetzen, aber die Menschen, die nicht mit KI arbeiten können, werden durch Menschen ersetzt, die es können.“
Die weltweite Diskussion hatte dieses Jahr ihren Höhepunkt auf dem AI Summit London Mitte Juni. Viel Beachtung fand auch die Quasi-Regulierung durch die Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence in den USA. Der US-amerikanische Präsident hat keine Gesetzgebungskompetenzen und behilft sich daher mit Executive Orders. Ein solcher Erlass bindet nur die Bundesbehörden, wirkt sich aber über deren Einkaufsmacht auf die gesamte Wirtschaft aus.
Und wie sieht es mit der europäischen Regulierung aus?
Wann kommt die KI-Verordnung der EU?
Alles kommt darauf an, ob bei der nächsten Trilog-Verhandlung am 6. Dezember eine Einigung erzielt werden kann. Leider gibt aber noch wichtige Punkte, die nicht geklärt sind:
- Das Verbot von biometrischen Echtzeit-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen aus 5 der KI-Verordnung (Entwurf) soll nach Auffassung einiger Staaten nicht für Sicherheitsbehörden gelten.
- Welche Behörden werden für die Aufsicht zuständig sein? Die Interessenvertretung der Digitalunternehmen DIGITALEUROPE sprach sich auf der Konferenz dagegen aus, dass KI durch unterschiedliche Behörden reguliert wird.
- Eine genauere Definition von Hochrisiko-KI-System. Alle wichtigen Vorschriften der KI-Verordnung gelten in erster Linie für solche KI-Systeme.
- Soll(en) generative KI/Basismodelle durch die KI-Verordnung genauer geregelt werden? Ursprünglich war keine Regelung vorgesehen, aber das Europäische Parlament hat dafür einen Vorschlag in das Gesetzgebungsverfahren eingeführt, als durch ChatGPT das große Potential generativer KI/von Basismodellen deutlich wurde. Die spanische Ratspräsidentschaft hat ein Stufenmodell vorgeschlagen, wonach für besonders wirkmächtige Systeme wie ChatGPT strengere Auflagen gelten. Laut einem Bericht der FAZ treten vor allem Deutschland und Frankreich dafür ein, dass nicht die Technologie wie Basismodelle, sondern nur die Anwendung reguliert wird. Deutschland und Frankreich wollen so jeweils die Startups Aleph Alpha und Mistral AI schützen. Wenn deren Basismodelle nicht so hoch einstuft werden wie etwa ChatGPT, wäre offensichtlich, dass die europäischen Hoffnungsträger nicht in derselben Liga spielen. Die Executive Order enthält übrigens eine Regelung zu Basismodellen mit abgestuften Sicherheitsanforderungen.
Entgegen dem Zweckoptimismus, der auf der Konferenz von den EU-Vertretern verbreitet wurde, sieht es nicht gut aus. Da im kommenden Jahr das Europäische Parlament neu gewählt wird, müsste der Entwurf danach neu ausgehandelt werden. Die Regulierung könnte um Jahre später kommen. Ein empfindlicher Dämpfer für den Ehrgeiz der EU, die erste wirkliche Regulierung für KI zu schaffen.
Das Ende der Third Party Cookies
Das Ende der herkömmlichen Tracking Methoden scheint ausgemacht. Dann stellt sich natürlich die Frage, wie das kostenlose Internet in Zukunft finanziert wird. Diese Frage wollte ein Panel mit Vertretern europäischer Aufsichtsbehörden nicht beantworten. Ebenso wenig hielt man sich für zuständig, verschiedene Bezahlmodelle zu beurteilen. Die Vertreter der Aufsichtsbehörden waren sich aber einig, dass die Höhe des Entgelts durchaus von den Aufsichtsbehörden geprüft wird. Denn wenn die Preise zu hoch sind (ein Vertreter verwies auf einen Jahresbeitrag von 156 Euro für Instagram), ist die Freiwilligkeit der Einwilligung in die kostenlose Alternative zweifelhaft.
Anbieter von anderen Tracking-Methoden sahen die Lösung natürlich eher in der jeweiligen Technik, die gezielte Ansprache von Nutzern („Addressability“) zu ermöglichen. Dabei wird vor allem die E-Mail-Adresse von Nutzern als Kennung genutzt, um etwa in Clean Rooms Kundendaten von Advertisern und Publishern abzugleichen.
Ein Hoch auf die DSGVO
Didier Reynders, EU-Kommissar für Justiz und Rechtsstaatlichkeit, hält die DSGVO für ein „Masterpiece of regulation“. Nach 5 Jahren sei Rechtssicherheit für Unternehmen erreicht worden, nicht zuletzt durch viele EuGH-Entscheidungen. Die DSGVO werde die maßgebliche Regulierung für die Verarbeitung personenbezogener Daten bleiben, auch wenn im Rahmen der EU digital strategy eine umfangreiche Gesetzgebung auf dem Weg ist, also neben dem Digital Markets Act, dem Digital Services Act, dem am 9. November verabschiedeten Data Act und auch der geplante AI Act. Er geht davon aus, dass die KI-Verordnung (AI Act) weltweit dieselbe Bedeutung haben wird wie die DSGVO.
