Reguliert, aber revolutionär? Wie AI Act und Data Act Europas digitale Wirtschaft neu ordnen
1. KI-lling Me Softly - Produkthaftung AI-Act
Die KI-Verordnung (auch „AI Act“) folgt einem risikobasierten Regulierungsansatz, der vergleichbar ist mit dem Produkthaftungsrecht oder der Datenschutzgrundverordnung. Es ist nichts dagegen zu sagen, dass man die in seinem Unternehmen eingesetzten Produkte und die damit verbundenen Risiken erfasst und beherrscht. Ist das gut für Innovationen und Wettbewerb? Vielleicht insoweit, als dass für alle dieselben Regeln gelten und ein „Level Playing Field“ geschaffen ist, was erlaubt ist und was nicht, und zwar EU-weit, vielleicht mit Ausstrahlungswirkung in andere Jurisdiktionen.
2. Rage against the machine data - Wem gehören die Maschinendaten?
Wie sieht es bei Data Act aus? Frühen Gesetzesentwürfen, die lange vor dem heutigen Data Act liegen, sollte so etwas wie Eigentum an Daten zu schaffen. Der Data Act, der seit September dieses Jahres gilt, stellt den Nutzer verbundener Produkte als Entscheidungsträger in den Mittelpunkt. Er zwingt Hersteller, Maschinendaten offen zu legen und erlaubt, dass Dritte diese für die Entwicklung eigener Dienstleistungen nutzen dürfen.
Die industriepolitische Zielsetzung ist, dass bislang verborgene „Datenschätze“ in der EU nutzbar gemacht werden und neue Dienstleistungen entstehen zu lassen. Dürfen wir also mit blühenden Landschaften rechnen? Hersteller sog. verbundener Produkte müssen vertraglich darauf achten, dass sie weiterhin Zugang und Nutzungsrechte an Daten haben, die ihre Produkte in den Händen der Nutzer erzeugt haben. Nichtstun dürfte für die meisten keine Option sein. Sofern der Nutzer nicht von vorherein Zugang zu Daten hat, ist ihm oder von ihm befugten Dritten Zugang zu Daten zu gewähren. Wie immer gibt es von diesem Grundsatz einige Ausnahmen, z.B. aus Sicherheitsgründen. Deren zukünftige Auslegung ist für die Beteiligten von höchster Bedeutung.
Hersteller sind nicht nur einem neuen Regulierungsregime ausgesetzt. Sie müssen u.U. damit rechnen, von Nutzern und von Dritten auf Bereitstellung von Daten in Anspruch genommen zu werden. Dieser Aspekt dürfte zukünftig eine größere Rolle spielen als bei der DSGVO / GDPR.
Am Anfang steht, wie im Datenschutzrecht, eine sorgfältige, nüchterne Analyse, welche Daten überhaupt erzeugt werden und welche Bedeutung sie für das Geschäftsmodell haben.
3. Data are a girl‘s best FRAND
Nachdem der Data Act aus (etablierter) Herstellersicht eher wenig Freude bereiten dürfte, ergeben sich für junge, aufstrebende Unternehmen, die ihre Mission in der Nutzung von (nicht-personenbezogenen) Daten sehen, gegenüber der bisherigen Rechtslage gestärkt. Sie haben die Möglichkeit, mit Zustimmung des Nutzers des verbundenen Produktes oder verbundenen Dienstes Zugang zu den Rohdaten und Metadaten zu erhalten. Diese müssen ihnen „FRAND“ bereit gestellt werden (Fair, Reasonable and Non-Discriminatory), soweit der Hersteller (Dateninhaber) nicht ausnahmsweise berechtigt ist, Daten zurückzuhalten.
TTE-Strategie x Taylor Wessing
Dieser Artikel ist ein Gastbeitrag von Taylor Wessing. Verfasst von Henning von der Blumensaat, LL.M. (Emory)Salary Partner bei Taylor Wessing.
