Eigentlich sollte heute feststehen, wer bald das Amt des Europäischen Datenschutzbeauftragten übernimmt. Erstmals aber haben EU-Parlament und Mitgliedstaaten für unterschiedliche Kandidaten gestimmt. Nun müssen die beiden miteinander verhandeln.
Der Noch-Amtsinhaber Wojciech Wiewiórowski. – Alle Rechte vorbehalten EU-Parlament
Wer wird neuer Europäischer Datenschutzbeauftragter? Diese Frage sollten gestern und heute Parlament und Rat klären. Sie ernennen zusammen den Beamten, der darüber wacht, dass sich die EU-Institutionen an den Datenschutz halten. Dabei kam es heute aber zu einer noch nie dagewesenen Situation: Parlament und Rat stimmten für unterschiedliche Personen.
Der Innenausschuss des EU-Parlaments hatte gestern für Bruno Gencarelli gestimmt. Gencarelli ist momentan in der EU-Kommission für Datenschutzpolitik zuständig und verhandelte verschiedene internationale Abkommen zum Datenaustausch.
Die Mitgliedstaaten im Rat wählten heute dagegen den aktuellen Amtsinhaber Wojciech Wiewiórowski. Er ist seit 2019 Europäischer Datenschutzbeauftragter und hat in dieser Zeit EU-Institutionen einige Male die Zähne gezeigt. So wies er etwa im vergangenen Jahr die EU-Kommission an, dass sie mit Microsofts Office-Suite keine Daten mehr in die USA übertragen dürfte.
Polnische Verbindung
Die Abgeordneten im Parlament hatten gestern mit 32 Stimmen Gencarelli unterstützt. Wiewiórowski hatte 26 Stimmen erhalten, der französische Datenschützer François Pellegrini 30 Stimmen. Anna Pouliou leitet aktuell den Datenschutz am CERN-Forschungszentrum, für sie votierten 11 Abgeordnete.
Die Mitgliedstaaten stimmten heute im Ausschuss der Ständigen Vertreter ab. Darin sitzen quasi die EU-Botschafter der Mitgliedstaaten. Dort erhielt Wiewiórowski die meisten Stimmen, gefolgt von Gencarelli, Pellegrini und Pouliou. Ein Umstand dürfte Wiewiórowski dabei hilfreich gewesen sein: Er kommt aus Polen. Polen hat momentan den alle sechs Monate rotierenden Vorsitz des EU-Rats inne. Damit hat das Land zusätzlichen Einfluss – und ein Interesse daran, Landsleute in mächtige Positionen zu bringen oder sie dort zu halten.
Das Gesetz schreibt aber vor, dass Parlament und Rat den Posten des Datenschutzbeauftragten „im gegenseitigen Einvernehmen“ besetzen. Die beiden Institutionen müssen also nun verhandeln und sich auf einen gemeinsamen Kandidaten einigen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Sollen Polizeibehörden Gesichtserkennung einsetzen können, wenn sie mit einem Schild davor gewarnt haben? Macht es für Empfänger:innen von Sozialhilfe einen Unterschied, ob sie mit einem KI-System Probleme kriegen oder mit klassischer Software? Die Zivilgesellschaft hätte dazu gerne mehr Klarheit von der EU-Kommission.
Die EU-Kommission soll dafür sorgen, dass die Verbote aus der europäischen KI-Verordnung möglichst umfangreich ausgelegt werden. Das fordert eine Koalition aus zivilgesellschaftlichen Organisationen in einer heute veröffentlichten Stellungnahme. Sie bezieht sich auf Leitlinien, an denen die Kommission momentan noch arbeitet.
Diese Leitlinien sollen dafür sorgen, dass auch „einfachere“ Systeme von den Regeln der KI-Verordnung betroffen sind, fordern die Organisationen. Die Kommission soll auch klarstellen, welche Arten von Systemen die verbotenen „inakzeptablen“ Risiken für Grundrechte haben. Außerdem sollen Grundrechte die zentrale Basis dafür sein, wie die KI-Verordnung praktisch umgesetzt wird.
Arbeit an Details läuft weiter
Die Europäische Union hat lange an ihren Regeln für Künstliche Intelligenz gefeilt. Intensiv diskutiert wurde etwa die Frage, welche Einsätze von KI in Europa ganz verboten werden sollten. Dabei ging es etwa um die biometrische Gesichtserkennung oder das sogenannte „Predictive Policing“. Die fertige KI-Verordnung schränkt beide Praktiken zwar ein, verbietet sie aber nicht ganz.
Zuvor gibt es noch einiges fertigzustellen. Zum Beispiel die sogenannten „Praxisleitfäden“, die genaue Regeln für KI-Modelle mit allgemeinem Verwendungszweck wie GPT-4 festlegen sollen. An denen arbeiten gerade die Anbieter solcher Modelle, andere Unternehmen und Vertreter:innen der Zivilgesellschaft unter Aufsicht der EU-Kommission. Bis April soll es einen fertigen Text geben.
Die Verbote gelten ab dem 2. Februar. Bis dahin will die EU-Kommission noch Leitlinien veröffentlichen, die Unternehmen dabei helfen sollen, sie einzuhalten. Außerdem will sie noch klarstellen, was genau denn ein KI-System überhaupt ist – und welche Systeme deshalb von der KI-Verordnung betroffen sein werden.
Ergebnis soll zählen, nicht die Art der Software
Auf diese Leitlinien bezieht sich nun die zivilgesellschaftliche Koalition, an der unter anderem European Digital Rights (EDRi), Access Now, AlgorithmWatch und Article 19 beteiligt sind. Caterina Rodelli von Access Now hält die Leitlinien für ein „zentrales Werkzeug“, um mangelhafte Menschenrechtsregeln der Verordnung noch auszubessern.
Die erste Forderung der Koalition bezieht sich auf „einfachere“ Software. „Wir sind besorgt, dass Entwickler:innen vielleicht die Definition von KI und die Einstufung von Hochrisiko-KI-Systemen ausnutzen können, um die Verpflichtungen der KI-Verordnung zu umgehen“, schreiben die Organisation. Unternehmen könnten ihre KI-Systeme zu normaler, regelbasierter Software umwandeln und so nicht mehr vom Gesetz betroffen sein, obwohl es die gleichen Risiken geben würde.
Die Organisationen fordern deshalb, dass sich Gesetze an möglichem Schaden orientieren sollten, nicht an den genutzten technischen Mitteln. Sie beziehen sich auf das Beispiel des niederländischen SyRI-Systems. Dieses System beschuldigte Empfänger:innen von Sozialhilfe fälschlicherweise des Betrugs und beeinträchtigte so Tausende von Familien. Der Skandal führte 2021 zum Sturz der damaligen niederländischen Regierung.
Dabei wirkte das zugrundeliegende System einfach und erklärbar, betont das Statement. Die Auswirkungen auf eine Vielzahl an Personen waren trotzdem verheerend.
Mehr Systeme einbeziehen
Die Koalition fordert außerdem, dass die Leitlinien marginalisierte Gruppen besser schützen sollen. Dafür soll die Kommission ausdehnen, welche Fälle unter die verbotenen „inakzeptablen“ Risiken für die Grundrechte fallen.
So soll das Verbot von „Social Scoring“ etwa auf Anwendungen ausgedehnt werden, die heute in Europa schon gang und gäbe sind: Etwa für Empfänger:innen von Sozialhilfe, wie im niederländischen Fall, oder für Migrant:innen. Die Leitlinien sollten deshalb etwa Daten schützen, die über Bande Informationen wie die Ethnie oder den sozioökonomischen Status preisgeben könnten, wie zum Beispiel die Postleitzahl.
Das Verbot für „Predictive Policing“ soll eine weite Bandbreite an Systemen einbeziehen, die kriminalisiertes Verhalten vorhersagen sollen. Im Verbot des allgemeinen Scrapens von Gesichtsbildern sehen die Organisationen einige Schlupflöcher, die sie gerne geschlossen haben würden. Außerdem soll eine Definition einer Gesichtsbild-Datenbank gelöscht werden, weil durch diese Anbieter wie Pimeyes oder Clearview außen vor bleiben würden.
Löcher schließen bei der Gesichtserkennung
Bei den Verhandlungen zur KI-Verordnung wollte das Europäische Parlament ein umfassendes Verbot von Systemen zur Emotionserkennung durchsetzen, ist damit aber gescheitert. Die Leitlinien sollen nun zumindest klar zwischen echten medizinischen Geräten wie Herzmonitoren und Geräten wie „Aggressionsdetektoren“ unterscheiden, fordern die Organisationen – denn medizinische Geräte sind von den Verboten ausgenommen.
Außerdem sollen die Leitlinien die Regeln für automatisierte Gesichtserkennung verschärfen. Auch in Deutschland gab es schon Forderungen, einige der in der KI-Verordnung dafür offen gelassenen Schlupflöcher zu schließen. Auf europäischer Ebene fordert die zivilgesellschaftliche Koalition nun, dass die Entwicklung von Gesichtserkennungssystemen für den Export unter das Verbot fallen soll. Zudem soll es nicht ausreichen, wenn Behörden nur mit einem Schild auf Zonen hinweisen, in denen Gesichtserkennung genutzt wird. Videoaufzeichnungen sollen erst nach 24 Stunden biometrisch ausgewertet werden dürfen.
In Zukunft bitte mehr Zeit
Eine Menge Wünsche für die Leitlinien – die Koalition hat aber auch noch einige Kritik für deren Entstehen übrig. Der Prozess sei nicht vorher angekündigt worden, habe kurze Fristen gelassen, es sei kein Entwurf veröffentlicht worden, schreiben sie. Außerdem seien manche der Fragen suggestiv formuliert gewesen. So habe die Kommission etwa nur nach Systemen gefragt, die aus der Definition von KI ausgeschlossen werden sollten, und nicht nach Systemen, für die die Regeln gelten sollten, bemängeln die Organisationen.
Das Statement fordert deshalb die Kommission auf, in Zukunft die Zivilgesellschaft besser einzubeziehen. „Die EU-Kommission muss Interessengruppen mit begrenzten Ressourcen eine Stimme geben, und dafür muss sie längere Zeiträume für so umfassende Befragungen vorsehen“, so Nikolett Aszodi von AlgorithmWatch.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Laut Medienberichten gibt es auf hoher Ebene der EU-Kommission Diskussionen um den Digital Markets Act. Das Gesetz soll eigentlich die Macht großer Online-Plattformen einschränken. Nun will die EU-Kommission angeblich alle schon eingeleiteten Verfahren überprüfen. Für die Zivilgesellschaft wäre das ein großer Fehler.
Die EU-Kommission soll intern ihre Untersuchungen zu großen Unternehmen in der Digitalwirtschaft auf den Prüfstand gestellt haben. Das berichtete heute die Financial Times mit Verweis auf interne Quellen. In der vergangenen Woche hatte Le Monde ähnliches geschrieben, sich dabei allerdings auf den Digital Services Act (DSA) bezogen.
Laut der Financial Times geht es um Untersuchungen unter dem Digital Markets Act (DMA), mit dem die EU die Übermacht von Plattformen wie Google und Facebook einschränken will. Dabei soll die Kommission alle ihre Untersuchungen überprüfen, die sie bisher unter dem DMA eröffnet hat. Laut der Zeitung soll in dieser Zeit nicht über mögliche Strafzahlungen entschieden werden. Die eigentliche Arbeit an den Untersuchungen soll aber weitergehen.
Der DMA betrifft in erster Linie sogenannte Gatekeeper. Damit sind sehr große Digitalunternehmen gemeint, die zentrale Plattformdienste zur Verfügung stellen und eine Schlüsselposition in digitalen Märkten einnehmen. Insgesamt sieben Unternehmen erfüllen derzeit die Bedingungen, um derart eingestuft zu werden. Dazu zählen etwa Alphabet, Apple oder Meta, aber nicht das zuletzt hoch umstrittene X des US-Milliardärs Elon Musk. Für sie gelten besonders strenge Regeln, bei Verstößen drohen ihnen Geldbußen von bis zu zehn Prozent des weltweiten Gesamtumsatzes.
Nur normale Treffen, sagt Kommission
Die Kommission bestreitet auf Anfrage die Darstellung. Sie sei weiterhin fest entschlossen, den Digital Markets Act und sein Schwestergesetz, den Digital Services Act, durchzusetzen, betonte heute ein Sprecher der Kommission. Es gebe keine solche Überprüfung.
„Was wir haben werden, sind Treffen, um die Ausgereiftheit von Fällen zu bewerten und die Verteilung von Ressourcen sowie die allgemeine Bereitschaft der Untersuchungen zu beurteilen“, so der Sprecher weiter. Das seien normale Schritte, die im gesamten Lebenszyklus von Fällen im Tech-Bereich passieren würden.
Auch ansonsten betont die Kommission, dass die technische Arbeit in den DMA-Fällen sehr komplex sei. Deshalb würden die Untersuchungen weiterhin andauern. Der letzte Schritt aus den Untersuchungen, der öffentlich geworden ist, war die Verkündung von vorläufigen Ergebnissen gegen Apple und Meta im vergangenen Sommer.
Ergebnisse müssen wasserdicht sein
Bei Apple geht es dabei um die Regeln für App-Entwickler:innen. Diese sollen unter dem DMA eigentlich Kund:innen frei auf Angebote außerhalb des App Stores weiterleiten können. Hier reichten die Anpassungen von Apple laut Sicht der Kommission nicht aus. Bei Meta bemängelte die Kommission das „Pay or Consent“-Modell des Unternehmens. Unter diesem müssen Nutzer:innen entweder ihre Daten hergeben oder bezahlen, wenn sie Facebook oder Instagram nutzen wollen.
Die Kommission schickte diese vorläufigen Ergebnisse an die beiden Unternehmen – und die durften dann Widerspruch dagegen einlegen. Dafür bekommen sie auch Zugang zu allen Dokumenten, die die Kommission im Laufe der jeweiligen Untersuchung angelegt hat. Und es sind Konzerne mit prall gefüllten Geldbeuteln, für die es in diesen Fällen um sehr viel Geld geht. Man kann davon ausgehen, dass sie für ihre Verteidigung absolut hochwertige Anwält:innen angeheuert haben.
Der Sprecher der Kommission betonte heute deshalb auch: „Bevor wir eine solche Entscheidung beschließen, müssen wir uns sicher sein, dass wir diesen Fall vor Gericht gewinnen werden.“
Die orange Bedrohung
Neben der juristischen Absicherung gibt es aber noch ein zweites, politisches Problem, das Auswirkungen auf die europäischen Regeln haben könnte. Dieses Problem ist orangefarben, jähzornig und wird am kommenden Montag zum zweiten Mal als Präsident der USA eingeschworen werden.
Donald Trump hatte seit der Zeit rund um die US-Wahl verstärkt Kontakt mit Big-Tech-Chefs. Der Kniefall Mark Zuckerbergs in der vergangenen Woche war das neueste Signal in diese Richtung. Zuckerberg hat sich schon über die angebliche „Zensur“ durch europäische Digitalgesetze beschwert und versucht, mit nationalistisch gefärbten Appellen an Trump, EU-Vorgaben abzuwehren.
Auch Apple-Chef Tim Cook hatte Berichten zufolge bereits Kontakt mit Donald Trump und nutzte die Gelegenheit, um EU-Strafen zu kritisieren. „Ich werde nicht zulassen, dass sie sich an unseren Unternehmen bereichern“, will Trump darauf geantwortet haben.
Zivilgesellschaft macht Druck
Der Bericht über mögliche Bedenken bei der Kommission rief kritische Reaktionen hervor. Wenn die Kommission ihren bisherigen starken Kurs zum DMA ändern würde, wäre das ein sehr großer Fehler, sagte Lucas Lasota von der Free Software Foundation Europe (FSFE) zu netzpolitik.org. Die FSFE unterstützt die Kommission aktuell in einem DMA-Gerichtsverfahren gegen Apple.
„Die FSFE hält ihn für ein sehr wichtiges Gesetz“, so Lasota. Der DMA wolle ein ebeneres Spielfeld für alle schaffen. Es gehe nicht um einen Gegensatz EU gegen USA, sondern um Big Tech gegen alle.
Dem stimmt auch Jan Penfrat von Europan Digital Rights zu. „Die DMA-Untersuchungen zu den Gatekeepern zu verlangsamen, herunterzufahren oder zu pausieren, wäre ein großer Fehler der Europäischen Kommission“, sagte er zu netzpolitik.org.
„Wenn die Kommission sich von der Angst vor politischem Gegenwind aus der Trump-Regierung dazu schikanieren lässt, seine DMA-Untersuchungen neu zu bewerten, dann wird diese Schikane – sowohl von Big Tech als auch von Trump – nicht aufhören“, so Penfrat.
Schwab will gründliche Arbeit
Zweifel gab es auch im Europäischen Parlament. So etwa von Stephanie Yon-Courtin, einer liberalen Abgeordneten aus Frankreich, die am Digital Markets Act mitarbeitete. Für „etwas schwach“ hält sie die Antwort der Kommission, laut der diese weiterhin entschlossen sei, ihre Regeln durchzusetzen. „Wir brauchen gegen die Provokationen von Big Tech keine Worte mehr, sondern Taten, und zwar bald“, sagte Yon-Courtin netzpolitik.org.
Wesentlich gelassener zeigt sich der deutsche Christdemokrat Andreas Schwab. Er war auf Parlamentsseite Chefverhandler zum DMA. „Grundsätzlich gilt: Gründlichkeit vor Schnelligkeit, weil der Maßstab in Europa das Rechtsstaatsprinzip ist“, so Schwab. Die Verfahren würden wahrscheinlich vor Gericht landen und in den USA gebe es jetzt schon Zweifel daran, wie seriös die EU handele. „Deshalb muss die Sache sauber durchgezogen werden.“
„Gleichzeitig ist es aber kein Geheimnis, dass die Spitze der Kommission derzeit keinen Ärger mit den USA will“, so Schwab weiter. „Das muss uns noch nicht besorgt machen, wir können eine Reihe von Entscheidungen auch Anfang Februar noch treffen.“ Am kommenden Donnerstag tritt die Arbeitsgruppe des Parlaments zusammen, die sich mit der Durchsetzung des DMA beschäftigt. Dort will er mit Vertreter:innen der Kommission weitere Einzelheiten besprechen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
