Mit dem Data Act will die EU die Datenschätze von vernetzten Produkten nutzbar machen und völlig neue Geschäftsmodelle ermöglichen. Welche rechtlichen Regeln gelten, wenn die IoT-Geräte KI einsetzen oder wenn die Daten zum Training von KI-Modellen eingesetzt werden? Ein Überblick.
Einführung
Nach Verkündung der „Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828“ („Data Act“) im Amtsblatt der Europäischen Union („EU“) Ende 2023 wird der Data Act am 11. Januar 2024 in Kraft treten. Nach einer weiteren Frist von zwanzig Monaten wird der Data Act ab dem 12. September 2025 EU-weit unmittelbare Geltung entfalten.
Das primäre Ziel des Data Act ist die Verbesserung des Datenzugangs bzw. der Datennutzung – insbesondere der durch vernetzte Produkte („IoT-Geräte“) generierten Daten. Der europäische Gesetzgeber möchte hierdurch die Entwicklung neuer Geschäftsmodelle anstoßen und die Innovation sowie Wettbewerbsfähigkeit im Binnenmarkt vorantreiben.
Zur Erreichung des vorgenannten Ziels sieht der Data Act einen Anspruch der Nutzer von IoT-Geräten gegenüber dem Dateninhaber auf Bereitstellung der – durch die Nutzung des IoT-Geräts generierten – Daten vor (Art. 4 Data Act). Darüber hinaus kann der Nutzer vom Dateninhaber auch die Weitergabe der Daten an einen Dritten, einen sog. Datenempfänger, verlangen (Art. 5 Data Act).
Der Regelungsbereich des Data Act weist per se keinen konkreten Zusammenhang zur Nutzung von künstlicher Intelligenz („KI“) auf. In bestimmten Fällen kann der Einsatz von KI jedoch auch zur Eröffnung des Anwendungsbereichs des Data Act führen.
Schnittstellen zwischen Data Act und KI
KI-basierte IoT-Geräte
Die im Data Act geregelten Datenzugangsansprüche sind auf durch IoT-Geräte generierte Daten begrenzt. Für IoT-Geräte sind KI-Modelle von großer Bedeutung, da diese die Funktionalitäten des IoT-Geräts mittels Datenanalysen, Automatisierung und intelligente Entscheidungsfindung deutlich erweitern können.
PRAXIS-BEISPIEL: Sprachassistenz-Systeme nutzen heutzutage KI-Modelle, um die Konversation mit den Nutzern „natürlicher“ zu gestalten.
Ist ein IoT-Gerät KI-basiert, so umfasst der Anspruch des Nutzers auf Datenbereitstellung grundsätzlich auch die durch das KI-Modell generierten Daten. Diese wären dem Nutzer oder einem Dritten folglich als Teil der IoT-Daten bereitzustellen.
Nutzung von IoT-Geräten zum Training von Dritt-KI
Die von IoT-Geräten generierten Daten können auch für Dritte interessant sein, um auf Grundlage der erhobenen Daten KI-Modelle zu trainieren.
PRAXIS-BEISPIEL: Ein Start-Up könnte die von einem „smarten“ Kühlschrank erhobenen Daten (z.B. im Kühlschrank enthaltene Lebensmittel mit Verfallsdatum) nutzen, um eine KI-basierte App mit Rezeptvorschlägen zu erstellen.
Werden Daten aus IoT-Geräten als Trainings-, Test- oder Validierungsdaten verwendet, gelten hierfür die Anforderungen des Data Acts. Für das oben beschriebene Beispiel der App-Entwicklung bedeutet dies, dass sich das Start-Up als Datenempfänger zunächst vom Kühlschrank-Nutzer die Zugangsrechte zu den IoT-Daten mittels Datenlizenzvertrag einräumen lassen müsste. Die durch den Data Act grundsätzlich geschaffene Möglichkeit bislang ungenutzte IoT-Datenschätze auch zur Weiterentwicklung von KI zu verwenden, könnte ein weiteren Auftrieb für KI-basierte Technologien bedeuten.
Verarbeitung im Einklang mit der DSGVO
Sowohl der Data Act als auch der Einsatz von KI bieten eine Vielzahl an neuen Möglichkeiten für Datenerhebung und -verwendung. Sobald hierbei aber auch personenbezogene IoT-Daten betroffen sind, sind ebenfalls die Anforderungen der Datenschutzgrundverordnung („DSGVO“) zu beachten. Der Data Act lässt die DSGVO unberührt – die beiden Regelungskomplexe stehen nebeneinander. Insbesondere bedarf die Verarbeitung personenbezogener Daten mittels KI einer Rechtsgrundlage. In der Praxis wird hierfür in den meisten Fällen eine Einwilligung erforderlich sein (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Daneben sind beim Zusammenspiel von IoT-Daten und KI künftig auch die Anforderungen der KI-Verordnung, die im Frühjahr 2024 in Kraft tritt, zu berücksichtigen.