Zollkontrolle für Daten
Europa und China verhandeln über neue Wege des Datenaustausches. Daten werden damit ähnlich streng geregelt wie Menschen. Nicht alle dürfen rein, sie müssen erfasst und katalogisiert werden, und vor allem: Nicht alle dürfen raus.
Das ist ein Problem. Nicht so sehr, weil sich Europa so besonders für diverse Digitalereignisse in China interessieren würde. Es ist vor allem ein Problem, weil diese Datenverkehrsbeschränkungen auch die Daten von chinesischen Niederlassungen ausländischer Unternehmen betreffen. Daten, die in China erzeugt werden, dürfen nur eingeschränkt und unter Auflagen das Land verlassen.
Argumente sind Datenschutz und die Sicherung von Informationen über chinesische Kunden und Partner. Zusätzlich nehmen in dieser Argumentation Daten aber auch die Form von Intellectual Property und praktischen Wirtschaftsgütern an. Daten sollen im Land bleiben, um kontrollierbar zu bleiben, um Wissen im Land zu behalten, und um Unternehmen dazu anzuhalten, bessere Jobs und mehr Wertschöpfung im Land zu behalten. Mit den strengen Auflagen für Datentransfers bleiben nicht nur Produktionsjobs im China, auch das Management dieser Jobs und Produktionsanlagen, das auf Daten aufsetzt, soll im Land bleiben.
Ursprünglich hatten sich europäische Unternehmen Lockerungen schon im April erhofft, erste Schritte wurden aber erst jetzt gesetzt. Der Bericht zum Auftakt der Verhandlungen enthält noch wenig Konkretes.
Für europäische und andere ausländische Unternehmen werden neue Regeln umso wichtiger, als China seine Informationsgesetze im Frühjahr auch auf Hongkong ausgedehnt hat. Das erschwert den Export von Daten auch aus Hongkong – und es macht die Stadt deutlich weniger attraktiv für Expats. Mit den Informationsgesetzen gingen etwa auch neue Spionageregeln einher, die die Grenzen zwischen Verstößen im Umgang mit Daten und Spionage und Hochverrat großzügig verwischten.
Regelungen zum Datenaustausch mit China sind auch deshalb interessant, weil umgekehrt der Datentransfer nach China ebenso kritisch betrachtet wird. TikTok soll Nutzerdaten nach China und eventuell auch an chinesische Behörden weitergegeben haben – das hat die Tonart in Diskussionen um ein mögliches TikTok-Verbot in den USA oder einen Zwangsverkauf noch einmal verschärft.
Weiterer wichtiger Gesichtspunkt: Mit dem UN Cybercrime Treaty wurden eben erst weitreichende globale Vereinbarungen zum Datenaustausch auf Schiene gebracht. Diese eröffnen Raum für chinesische Datenbegehrlichkeiten – vor dem Hintergrund globale Regeln hat die EU nicht mehr allein in der Hand (ohne möglicherweise gegen UN-Vorgaben zu verstoßen) welche Datentransfers sie unter welchen Auflagen zulassen möchte.
Die europäisch-chinesischen Verhandlungen werden außerdem einmal mehr die Frage auf, ob es klug und notwendig war, einen umstrittenen Vertrag wie die Cybercrime Convention, in deren Verhandlung Russland den Ton angab, zuzulassen. Es wird deutlich, dass sehr gut auch bilateral verhandelt werden kann – ohne russischen Druck im Hintergrund.
Brauchen wir in solchen Angelegenheiten überhaupt staatliche Regelungen? Hat nicht die digitale Welt die längste Zeit auch sehr gut zivilgesellschaftlich funktioniert? Ist es nicht eben die Erwartung an das Netz, Grenzen gut und großzügig überwinden zu können? Die Zeiten haben sich geändert. Daten sind heute zu relevant, um ignoriert zu werden. Vielleicht sind sie noch kein Geschäftsmodell. Gerade die erfolgreichen Datenunternehmen fallen entweder schlecht auf (wie Databroker oder Cambridge Analytica) oder inszenieren sich als schweigsames mystisches Orakel (wie Palantir).
Überwachung: Die Hintertür ist immer offen
Österreich hatte Taylor Swift, Deutschland hatte Solingen. In Österreich forderte der Innenminister verstärkte Überwachung und legt unter anderem einen Ministerialentwurf für den Einsatz von Staatstrojanern vor. Zum Entwurf können aktuell Stellungnahmen abgegeben werden, meine Stellungnahme ist hier. Die restlichen Parteien reagierten wahltaktisch zurückhaltend.
Deutschland beeilte sich da etwas mehr und legte gleich noch mal nach. Dazu muss man wissen: In Deutschland ist die Überwachung verschlüsselter Messenger mit Staatstrojanern mit wenigen formalen Auflagen möglich – so wie es sich in Österreich der Innenminister erst wünscht. Die technisch-rechtlichen Möglichkeiten sind also nicht primär ausschlaggebend für die Sicherheit und deren politische Beurteilung im Land.
Deutschland stellte ein neues Sicherheitspaket vor, das Datenanalysen in größerem Stil und vor allem Gesichtserkennung und anlasslose Überprüfungen bringen soll.
Besonders bemerkenswert ist der geplante großflächige Einsatz von Gesichtserkennungssoftware. Erst mit der Verabschiedung des EU AI Act hatten sich PolitikerInnen dafür gefeiert, technische Überwachung eingeschränkt zu haben. Allen voran der automatisierten Gesichtserkennung sollte ein Riegel vorgeschoben werden.
Schon kurz darauf war klar: Die Formulierungen im AI Act sind alles andere als eindeutig. Es gibt ausreichend Schlupflöcher für unterschiedliche Interpretationen der Überwachungspassagen und damit zum Einsatz von Gesichtserkennung in der Überwachung des öffentlichen Raums. Deutsche Piraten und Grüne im EU-Parlament sagten damals, es wirke, als ob die Europäische Union in überwachungstechnischen Wettkampf mit China treten wollte.
Der Gesichtserkennungspleite war einiges vorangegangen: Schon vor einigen Jahren hatte ein Leak bewiesen, dass europäische Sicherheitsbehörden ohne rechtliche Grundlage Gesichtserkennungssoftware zu Überwachungszwecken einsetzten.
Clearview, die in großem Stil verwendete Software, wirbt seit jeher mit dem Einsatz von KI in der Verarbeitung der Gesichtserkennungsdaten, also genau mit dem, was durch den AI Act unterbunden werden sollte.
In Österreich reagierte die Datenschutzbehörde 2023, also zwei Jahre vor dem Leak, aber immer noch vor dem AI Act, und erklärte Clearview als gemäß der DSGVO unzulässig. Weitere Sanktionen waren nicht an die Entscheidung geknüpft.
Der AI Act ist erst vor wenigen Wochen in Kraft getreten; jetzt schafft Deutschland Fakten und spricht sich für den Einsatz von Gesichtserkennung aus. Auch das ist ein Zeichen für Relevanz und Zuverlässigkeit von High Level-Regelungen, die Technik über Diplomatie definieren wollen – anything goes.
Wer unsere digitalen Rechte in Europa verhandeln wird
Im EU Parlament ist der Wahlkampf ziemlich nahtlos in die sitzungsfreie Zeit und damit in die Sommerferien übergegangen. Anfang September geht es wieder los, die Ausschüsse sind neu zusammengesetzt – Zeit einen Blick auf deren Zusammensetzung zu werden. Digital- und Datenrelevante Themen wie der AI Act waren zuletzt in den LIBE und IMCO-Ausschüssen verhandelt worden. Zahlreiche Digitale Themen stehen auch jetzt noch auf der Agenda.Datenpolitik #12: Regierungsprogramme und WahlversprechenMichael Hafner·16. Juli
EU-Regulierungsflut: Sind es viele Köpfe? Oder viele Köche (die den Brei verderben)?Read full story
LIBE (Liberties) steht für bürgerliche Freiheiten, Justiz und Inneres. Österreichische Abgeordnete haben in der Ausschuss-Koordination keine Rolle und der Ausschuss selbst ist von Österreich aus ausschließlich konservativ besetzt. Lukas Mandl (ÖVP) und Petra Steger (FPÖ) werden Bürgerrechte für Österreich verhandeln. Hannes Heide (SPÖ) ist Ersatzmitglied.
IMCO (Internal Market and Consumer Protection) steht für Binnenmarkt und Verbraucherschutz. Hier sitzen für Österreich Elisabeth Dieringer (FPÖ) und Elisabeth Grossmann (SPÖ) im Ausschuss, Stellvertreterin ist Sophia Kircher (ÖVP), ebenfalls im Ausschuss ist Anna Stürgkh (Neos)
In beiden Gremien startet die Ausschussarbeit kommende Woche; Themen und Agenden sind noch nicht veröffentlicht.
Indessen haben sich in den letzten Monaten die Auswirkungen der letzten Regulierungen bemerkbar gemacht. Zahlreiche Verfahren nach dem Digital Services Act oder dem Digital Markets Act laufen, unter anderem auch gegen Mitgliedsstaaten, die bei der Einrichtung der geforderten Gremien säumig sind.
Österreich gehört nicht dazu. Die EU Kommission listet die bisher eingerichteten Digitalkoordinatoren auf. Für Österreich wurde die RTR als Digitalkoordinator installiert und bietet einen guten Überblick über das Was, Wie und Warum des DIgital Services Act.
Für die gesammelten DSA-Beschwerden gibt es ein eigenes EU-Dashboard – bislang führt mit großem Abstand Google Shopping vor TikTok.