Kleine EU-Verordnung mit großer Wirkung: Wie vier einfache Regeln KMU und Verbrauchern ihre digitale Freiheit zurückgeben und so auf sanftem Wege mehr Rechtssicherheit, Compliance und Rechtsschutz bei DSGVO und KI-Verordnung herstellen könnten.
Ein rechtspolitischer Impuls von Tom Braegelmann, Berlin
Viele Verbraucher, Selbstständige und kleine und mittlere Unternehmen (KMU) sind beim Thema Datenschutz und künstliche Intelligenz (KI) verunsichert. Es ist eigentlich ganz einfach: Die EU hat zwar gute Absichten und will vor allem die Tech-Giganten und reale systemische Risiken sachlich regulieren. Aber die Gesetze sind so kompliziert geschrieben, dass selbst Expertinnen und Experten manchmal nicht genau wissen, was erlaubt ist und was nicht – und vor allem nicht, für wen sie alle als Verpflichtete gelten und wie streng sie angewandt werden. Das führt dazu, dass viele lieber auf nützliche Technologien verzichten, als sich rechtlich angreifbar zu machen, obwohl sie die Technologien eigentlich einsetzen dürften.
So kommt es vor, dass (Solo-)Selbständige, Freiberufler und kleine Unternehmen – gerade die, die eigentlich besonderen Wert auf Datenschutz und Geschäftsgeheimnisse legen – vor einem Dilemma stehen: Sie möchten KI-Tools wie Chatbots für ihre Online-Angebote nutzen oder KI als Unterstützung beim Texten und der Informationsauswertung/-bearbeitung einsetzen. Doch die undurchsichtige Rechtslage und drohende Bußgelder nach der Datenschutz-Grundverordnung (DSGVO) oder der in Kraft getretenen und nun nach und nach scharfgeschalteten Verordnung über künstliche Intelligenz (KIVO / AI Act) schüchtern ein. So manche verzichtet aus Unsicherheit lieber ganz auf die Nutzung, obwohl sie ahnt, dass mehr erlaubt ist und mit dem richtigen rechtlichen Verständnis deutlich mehr möglich wäre. Diese Herausforderung betrifft Viele – und genau deshalb braucht es jetzt eine praxistaugliche Lösung, die die Interessen und Fähigkeiten, mit komplexen Rechtsmaterien richtig, aber angstfrei umzugehen, von KMU und Verbrauchern angemessen berücksichtigt.
Besonders deutlich wird das Problem bei der DSGVO und der neuen KIVO. Diese Regelwerke sollten eigentlich hauptsächlich die großen Tech-Konzerne und andere große Unternehmen sowie Behörden und Justiz in die Pflicht nehmen. In der Realität trifft es aber oft die Kleinen härter als gedacht; oder die Kleinen befürchten, dass sie hart sanktioniert werden – und werden dadurch gelähmt.
Die aktuelle Situation ist also paradox: Es war nie die Absicht des EU-Gesetzgebers, dass KMU sowie Verbraucher aus Angst vor rechtlichen Konsequenzen auf die Nutzung digitaler Innovationen verzichten, obwohl sie diese eigentlich nutzen dürften. Selbstverständlich sollen die Schutzzwecke der DSGVO und der KIVO auch durch KMU, und sofern anwendbar, auch Verbraucher gewährleistet werden, indem auch sie diese Normen einhalten. Dies soll auch der vorliegende Vorschlag nicht konterkarieren.
Der untenstehenden Regelungsvorschlag soll auf möglichst einfache Weise sicherstellen, dass die DSGVO und die KIVO fair und einfach von KMU und Verbrauchern, ebenso wie von Aufsichtsbehörden oder Gerichten gegenüber KMU und Verbrauchern, angewendet werden. Denn Verbraucher und KMU sollten als mündige Personen leichter einschätzen können, ob sie überhaupt unter diese Gesetze fallen, ob ihnen bereits harte Sanktionen drohen oder ob sie erst rechtskräftig abwarten wollen, ob ein großer (Software-)Anbieter, von dem Sie abhängig sind, eine Sanktion erhält. Ziel ist, dass KMU und Verbraucher nicht hierfür schon komplizierten teuren Rechtsrat einholen müssen.
——————————————————————————————
Vorschlag für ein EU-Gesetzgebungsverfahren: Verordnung zur Vermeidung unnötiger Bürokratie und Sanktionen für KMU und Verbraucher (“Cut-the-Crap Regulation”):
Erwägungsgrund: Kleine und mittlere Unternehmen (KMU) sowie Verbraucher werden durch die Anwendung der Datenschutz-Grundverordnung (DSGVO), der Verordnung über künstliche Intelligenz (KIVO) und anderer unionsrechtlicher Vorschriften oftmals unverhältnismäßig belastet. Sie haben Schwierigkeiten beim Anwenden und Verstehen dieser Regelungen, da diese sehr kompliziert sind. Diese Verordnung soll Fehlvorstellungen bei KMU und Verbrauchern über die Wirkung und Sanktionen des Unionsrechts ausräumen. Sie soll eine einheitliche EU-weite Rechtsanwendungspraxis aller Aufsichtsbehörden durch klare Regelungen erreichen. Vor allem aber soll diese Verordnung eine faire Regulierung sicherstellen, um zu vermeiden, dass Aufsichtsbehörden im Vergleich zu großen Unternehmen zu hart und oft gegen KMU und Verbraucher vorgehen. Deswegen soll die Verordnung EU-weit rechtseinheitlich durch eindeutige Normen klarstellen, dass KMU und Verbraucher nur in Ausnahmefällen sofort regulatorischen Strafen, Bußgeldern oder Auflagen unterliegen dürfen. Stattdessen sollen sie auf eine unterstützende Weise zur Rechtseinhaltung als mündige KMU und Verbraucher befähigt werden. Diese Verordnung soll verhindern, dass KMU und Verbraucher eine unverhältnismäßige Benachteiligung erfahren; stattdessen sollen große Unternehmen zunächst in die Verantwortung genommen werden. Denn das rechtskonforme Handeln von KMU und Verbrauchern hängt oft davon ab, ob große Unternehmen als Anbieter, bei denen die KMU und Verbraucher Kunden sind, rechtskonform handeln (insbesondere bei großen Online-Plattformen, bei denen aus Gründen des Netzwerkeffektes viele Personen und Unternehmen auftreten, aber unklar ist, wie die Plattform personenbezogene Daten wirklich verarbeitet und/oder KI wirklich einsetzt).
Artikel 1: Unmittelbare Geltung der Verhältnismäßigkeit und Warnpflicht
Die Anforderungen der DSGVO und der KIVO dürfen gegenüber KMU sowie Verbrauchern auf folgende Weise nur verhältnismäßig angewendet werden: Geldstrafen, Bußgelder, Auflagen oder Nebenbestimmungen dürfen erst angeordnet werden, wenn zuvor mindestens zwei (schriftliche oder digitale) Warnungen der zuständigen Aufsichtsbehörde ergangen sind, in welchen das beanstandete Verhalten sowie die potenziellen Sanktionen klar dargelegt und angekündigt wurden. Dieses Zwei-Verwarnungen-erst-dann-Sanktion-Prinzip (“Two Strikes and then you’re about to get sanctioned”) gilt unmittelbar in der gesamten EU.
Artikel 2: Schutz bei der Nutzung von Standardsoftware und kommerziellen IT-Diensten
Kleine und mittlere Unternehmen (KMU) sowie Verbraucher, welche die folgenden Angebote (die “Angebote”) nutzen,
- Betriebssysteme
- Standard-Business-Software
- IT-/Cloud-basierte Business-Software und Datenbanken
- Video/Audio-Konferenzsysteme
- Messaging-Dienste
- Generative KI
können nicht wegen eines ausschließlich auf dem privaten oder beruflichen Einsatz dieser Angebote beruhenden Verstoßes gegen die DSGVO und/oder der KIVO von Behörden oder Dritten belangt oder sanktioniert werden, solange der jeweilige Anbieter dieser Angebote nicht von einer zuständigen Behörde für das zugrundeliegende Angebot rechtskräftig sanktioniert wurde. Erst nach einer solchen Sanktionierung können Aufsichtsbehörden Maßnahmen gegen KMU oder Verbraucher ergreifen. KMU und Verbraucher können sich unmittelbar auf diese Regelung gegenüber Behörden, Gerichten und Dritten zur Verteidigung berufen.
Artikel 3: Umkehr der Beweislast und Rechtfertigungsanforderungen bei KMU
Bei KMU gilt die gesetzliche Vermutung, dass alle ihre Datenverarbeitungen zunächst nach der DSGVO und der KIVO (und den entsprechenden dazugehörigen Gesetzen der Mitgliedstaaten) gerechtfertigt sind. Es obliegt den Aufsichtsbehörden, das Gegenteil zu beweisen. Diese Umkehr der Beweislast entlastet KMU lediglich von der Pflicht, die Rechtmäßigkeit ihrer Datenverarbeitung proaktiv gegenüber Aufsichtsbehörden nachzuweisen. Sie werden dadurch jedoch nicht von der Bindung an die DSGVO und andere unionsrechtliche oder nationale Datenschutzgesetze befreit, alle Dokumentationspflichten gelten weiterhin. Die Aufsichtsbehörden unterstützen die KMU derart, dass diese so einfach wie möglich alle Datenverarbeitungen rechtskonform vornehmen können.
Artikel 4: Erleichterungen für Verbraucher und KMU im Rahmen der KIVO
Verbraucher, (Solo-)Selbstständige und Kleinstunternehmen gelten nicht als Anbieter oder Betreiber im Sinne der KIVO. Sie sind von den Pflichten und Verantwortlichkeiten für Anbieter und Betreiber ausgenommen. Sie sollen sich aber bemühen, KI-Kompetenz im Sinne der KIVO zu erlangen.
Artikel 5: Anti-Umgehungsklausel für große Unternehmen
Große Unternehmen dürfen die DSGVO und die KIVO nicht dadurch umgehen, dass sie Aufgaben oder Verantwortlichkeiten auf KMU oder Verbraucher auslagern. Weder durch Beraterverträge noch durch Beteiligungen darf versucht werden, regulatorische Pflichten oder Sanktionen zu vermeiden, die sich ansonsten gegen das große Unternehmen richten würden. Jegliche Auslagerung oder Delegierung von Pflichten, die allein dazu dient, regulatorische Vorgaben zu umgehen, ist unzulässig und wird als Verstoß gegen diese Verordnung behandelt, mit der Folge, dass diese Verordnung zugunsten des betreffenden großen Unternehmens nicht anzuwenden ist.
Rechtspolitische Begründung:
Dieser Vorschlag soll der partiell nur so empfundenen, aber auch dann real wirksamen regulatorischen Unsicherheit und der überbordenden Komplexität entgegenwirken, welche insbesondere für kleine und mittlere Unternehmen (KMU) und Verbraucher bei der Anwendung der Datenschutz-Grundverordnung (DSGVO) und der Verordnung über künstliche Intelligenz (KIVO / AI Act) eine große Herausforderung darstellen.
Die in der Praxis angewandte oder ob nun zu Unrecht oder zu Recht erwartete Rechtslage und Behördenpraxis zur DSGVO (und zu erwartender Weise bald auch die Behördenpraxis zur KIVO) trifft KMU und Verbraucher oft härter als ursprünglich vom EU-Gesetzgeber beabsichtigt. Dies ist zurückzuführen auf die in der Praxis unklaren oder als unklar empfundene Rechtslage, die es KMU und Verbrauchern schwerer macht, als es durch den europäischen Gesetzgeber beabsichtigt ist. Denn auch irrige Rechtsansichten können leider Fakten sein bei einer komplexen Rechtslage und die Intention des europäischen Gesetzgebers konterkarieren. Die Folge sind unnötige Vermeidungsstrategien und Apathie bei KMU und Verbrauchern. Die EU sollte dem entgegenwirken. Denn die Intention des europäischen Gesetzgebers, insbesondere mit der DSGVO und der KIVO, bestand nicht darin, für KMU und Verbraucher einen unverhältnismäßigen regulatorischen Aufwand zu schaffen. Vielmehr sollten nach der gesetzgeberischen Intention vornehmlich große Unternehmen (“BigTech”) und die durch diese verursachten Risiken im Fokus stehen, die Belastung für kleinere Akteure hingegen so gering wie möglich gehalten werden. Dennoch sollte die Rechtslage nicht aufgeweicht werden. Es sollen lediglich die KMU und Verbraucher – als mündige Akteure – dazu gebracht werden, die DSGVO und die KIVO einzuhalten, indem sie sich nicht mehr vor einer (ob nun zu Recht oder Unrecht) als unklar eingeschätzten Rechtslage und Behördenpraxis fürchten müssen. Das Ziel ist, dass auch KMU und Verbraucher Datenverarbeitung und den Einsatz von KI-Systemen rechtskonform vornehmen, anstatt unnötigerweise wegen rechtsirrtümlicher Furcht vor Sanktionen und Haftung darauf zu verzichten. Da die KIVO ein neues Querschnitts-Software-Regulierungsrecht ist, sollten mittlere Unternehmen nicht aus dem Anwendungsbereich ausgenommen werden, da diese oft eigene Software einsetzen, also Kompetenz haben, die KIVO einzuhalten. Kleinstunternehmen, Soloselbständige und Verbraucher könnten unter Umständen aber schnell als “Anbieter” oder “Betreiber” und damit regulierte Personen im Sinne der KIVO gelten, was nicht sinnvoll ist, wenn sie z.B. lediglich handelsübliche Chatbots als Schreibhilfe oder einen Chatbot auf ihrer eigenen kleinen Webseite einsetzen. Um hier einer zu weiten (und uneinheitlichen) Auslegung des Betreiberbegriffs in der EU-weiten Aufsichtspraxis (und einer zu weit verstandenen/gefühlten Rechtslage bei Beratern und Kleinstunternehmen, Soloselbständigen und Verbrauchern) vorzubeugen, sollte dies sofort klargestellt werden.
Published under licence CC BY-NC-ND.
