Der Deutsche Juristinnenbund e.V. (djb) nimmt hiermit zum aktuellen Entwurf der EU-Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz) Stellung.
Der djb begrüßt die Datenstrategie der EU, die u.a. das Ziel hat, faire Regeln für Datenzugang, Datenaustausch und Datennutzungen in der EU zu gewährleisten. Allerdings sieht der djb mit Sorge, dass der vorliegende Entwurf Diskriminierungspotentiale, die unternehmensgenerierten Datensätzen innewohnen, nicht ausreichend berücksichtigt.
Digitale Datensätze können eine informierte gesellschaftliche Entscheidungsfindung ermöglichen. Genderkompetenz und Diskriminierungssensibilität bei Datengenerierung und Datenanwendung sind dabei aber unverzichtbar, um das gesellschaftliche Potential datengesteuerter Innovationen im Sinne einer wertebasierten, am Gemeinwohl orientierten nachhaltigen Wirtschaftsweise in der EU nutzbar zu machen. Der Entwurf lässt nicht erkennen, dass die EU sich der großen Bedeutung der Qualität der Daten, die durch Unternehmen generiert werden, ausreichend bewusst ist.
Die für den djb wichtigsten Forderungen zum jetzt vorgelegten Entwurf des Datengesetzes sind:
I. Aufklärungspflichten zur Qualität der Datengenerierung bei der Herausgabe von Daten schaffen
Das Datengesetz als eine Säule des neuen "Datenrechts" der EU reguliert Datennutzung und Datenzugang und ermöglicht einen Datenfluss nicht personenbezogener Daten in allen Wirtschaftszweigen.
Der Verordnungsvorschlag sieht im Kapitel II Regelungen vor, die die Rechtssicherheit von selbst generierten Daten betreffen, die von Verbraucher*innen oder auch von Unternehmen (Nutzer*innen) bei der Nutzung digitaler Produkte und Dienstleistungen stammen. Datengenerierende Produkte und Dienstleistungen müssen von den diese anbietenden Unternehmen (Dateninhaber*innen) so ausgestaltet werden, dass die Daten standardmäßig, einfach, sicher und soweit relevant und möglich direkt für die Nutzer*innen zugänglich sind. Für den Fall, dass Nutzer*innen nicht direkt auf ihre Daten zugreifen können, sieht Artikel 4 Abs. 1 eine Pflicht der Dateninhaber*innen vor, den Nutzer*innen die generierten Daten unverzüglich, kostenlos und gegebenenfalls kontinuierlich und in Echtzeit zur Verfügung zu stellen. Artikel 5 Abs. 1 sieht zudem ein Recht der Nutzer*innen vor, selbst oder auf Anfrage einer dritten Partei, die Übertragung der generierten Daten an Dritte zu verlangen.
Kapitel III des Entwurfs enthält für Dateninhaber*innen darüber hinaus sog. Datenbereitstellungspflichten. Danach sollen Daten auch Nicht-Nutzer*innen zugänglich gemacht werden. Daten sollen zu fairen, nicht diskriminierenden Bedingungen sowie gegen eine angemessene Gegenleistung auf dem Markt für alle daran Interessierten verfügbar sein. Hier bieten sich auch Chancen für NGOs und zivilgesellschaftliche Akteur*innen, Datengenerierungen gesamtgesellschaftlich zu nutzen. Kapitel IV enthält noch spezielle Schutzregeln für einen Datenzugriff durch kleine und mittlere Unternehmen (KMU). Und Kapitel V erlaubt auch öffentlichen Stellen in Not- und Ausnahmefällen den Zugriff auf die Datenpools der Dateninhaber*innen.
Zu begrüßen ist, dass alle diese Ansprüche erstmals eine umfassende Transparenz über alle Datenverarbeitungen in einer digitalisierten Wirtschaft schaffen und Abhängigkeiten gegenüber Dateninhaber*innen abbauen können. Dennoch birgt jede Datenerhebung Risiken bezüglich der Qualität der erhobenen Daten. Je nach Verwendungszweck verwirklichen sich mitunter erhebliche Risiken gerade in Richtung Diskriminierung.[1] Werden z.B. im Bereich Gesundheitswesen und Pflege Daten nicht ausreichend nach Geschlecht erfasst, werden geschlechtsspezifische Unterschiede in Bezug auf Krankheitssymptome, Therapieerfolge sowie Dosierung und Nebenwirkungen von Medikamenten nicht erkannt mit schwerwiegenden Folgen für die Betroffenen. Ein Bias in Datensätzen kann sich aber auch in allen Bereichen von Alltagsanwendungen auswirken über einfache Designfragen für Produkte, die dann unpassend für Frauen bzw. marginalisierte Personen hergestellt werden bis hin zu exkludierenden ungerechten Entscheidungsfindungen über die Verteilung von Ressourcen bei z.B. Weiterbildungen oder Investitionen.
Der djb regt an, den Entwurf um entsprechende Aufklärungspflichten der Dateninhaber*innen zu ergänzen. Sie sollten sich auf mögliche Fehler bei der Datenerhebung (z.B. Messungenauigkeiten), Risiken für die Integrität der Daten (z.B. aufgrund unberechtigter Zugriffe Dritter) und auf das Diskriminierungspotential etwaiger Algorithmen erstrecken. Zur Schließung des Gender Data Gaps und zur Vermeidung von Risiken sollten Dateninhaber*innen z.B. darauf verpflichtet werden, auf die Über- und Unterrepräsentanz von bestimmten Personengruppen innerhalb übermittelter Datensätze hinzuweisen.
Durch Data Mining sind in den vergangenen Jahren große Datenmengen aggregiert worden, die mit grundlegenden Problemen belastet sind. Aufklärungspflichten, die im Entwurf fehlen, können dazu beitragen, einen Bewusstwerdungsprozess in Gang zu setzen und eine unreflektierte Weiternutzung von qualitativ schlechtem Datenmaterial zu verhindern. Inwieweit hier gesellschaftlich Überforderungen bei Verbraucher*innen aber auch bei KMU in der Konfrontation mit dem Phänomen ihrer digitalen Abbilder entstehen, wird sich erst zeigen müssen. Unverzichtbar werden solche Aufklärungspflichten, wenn der Staat im Notfall oder in einer definierten Ausnahmesituation auf Daten zugreift und sich eine entsprechende Qualitätsbereinigung solcher Daten jedenfalls nicht sparen darf, soweit diese überhaupt möglich ist.
Eine innovative, aber auch soziale Informationsökonomie kann nicht allein dadurch erreicht werden, dass alle Daten für alle verfügbar gemacht werden. Es muss vielmehr ein Bewusstsein über das angemessene Maß von Datennutzung und Datengenerierung im Sinne von Datenqualität und Datensparsamkeiten entstehen. Der djb schließt sich insoweit den Analysen und Forderungen im Sachverständigengutachten "Digitalisierung geschlechtergerecht gestalten" zum 3. Gleichstellungsbericht der Bundesregierung Deutschland[2] an.
II. Einführung von weiteren Pflichten zur Data Governance
Erklärtes Ziel des Datengesetzes ist auch die Schaffung eines sektorübergreifenden Governance-Rahmens für den Datenzugang und die Datennutzung auf dem europäischen Binnenmarkt. Es soll so Anreize für eine sektorübergreifende gemeinsame Datennutzung schaffen und Vertrauen aufbauen.
Das Ziel der EU, eine gerechtere Verteilung der Wertschöpfung aus Daten auf die Akteur*innen in der Datenwirtschaft zu gewährleisten, ist zu begrüßen. Es darf aber nicht übersehen werden, dass es eben diese Akteur*innen der Datenwirtschaft sind, die durch Anwendungen unkontrollierter, ggf. qualitativ fragwürdig generierter Daten gesellschaftlich Einfluss nehmen. Eine weitere Streuung des Datenmaterials allein wird den Ansprüchen an eine wertebasierte Datennutzung nicht gerecht werden können.
In den Kapiteln VI, VII und VIII legt der Entwurf fest, wie Dateninhaber*innen die Datenverfügbarkeit und auch ein gewisses Maß an Datensicherheit gewährleisten müssen. Es gibt inhaltliche Mindestanforderungen, die einen Anbieterwechsel gewährleisten sollen (VI), Schutzmaßnahmen, die einen unrechtmäßigen Zugang Dritter auf nicht personenbezogene Daten verhindern (VII) und schließlich umfangreiche Interoperabilitätsanforderungen, die einen normierten Datenfluss und damit Datennutzungen im Austausch ermöglichen sollen (VIII). Das soll Dateninhaber*innen und Datenempfänger*innen Garantien dafür bieten, dass die Bedingungen für die gemeinsame Nutzung von Daten eingehalten werden.
Das allein schafft nach Ansicht des djb aber noch keinen Governance-Rahmen, der Vertrauen in eine gemeinsame und diskriminierungsfreie Datennutzung rechtfertigen kann. Hier ist es unverzichtbar, dass die Unternehmen auch auf die Einhaltung inhaltlicher Qualitätsstandards verpflichtet werden. Eine bessere Übertragbarkeit von Daten ohne ausreichende Qualitätsstandards birgt die Gefahr, dass Diskriminierungen sich verschärfen und statt innovativer Anwendungen mehr und mehr Teilhabeungerechtigkeiten in der Gesellschaft entstehen. Hier schließt sich der djb der Kritik anderer Organisationen an, dass gerade ihnen der Zugang zu Daten durch dieses Gesetz eher erschwert wird, obwohl ein erleichterter Zugang gesellschaftlich wünschenswert wäre.[3] Rein profitgetriebene Datennutzungen zu vermehren, wirkt sich kontraproduktiv auf den Grundsatz der Datensparsamkeit aus und verschärft die bestehenden Probleme bei diskriminierenden Datennutzungen.
Der djb regt daher an, in das Datengesetz auch Pflichten aufzunehmen, die ein Mindestmaß an inhaltlicher Qualität und Repräsentativität bei der Datengenerierung gewährleisten. Hier müssten Dateninhaber*innen zumindest auf Datensparsamkeit oder Datenlöschungen verpflichtet werden, wenn diese Qualitätsstandards beim Datenmaterial aus der Vergangenheit nicht eingehalten werden konnten. Und es muss gewährleistet sein, dass Dateninhaber*innen der unter 1. geforderten Aufklärungspflicht angemessen nachkommen können.
So könnten Dateninhaber*innen z.B. verpflichtet werden, eine Art Managementsystem auch in Bezug auf die Qualität ihrer Daten vorzuhalten. Dieses Qualitätsmanagementsystem kann Fehler in der Erhebung der Daten und Risiken für die Integrität der Daten sichtbar machen. Und es kann sichtbar machen, ob bestimmte Personengruppen über- oder unterrepräsentiert sind. So können diskriminierende Strukturen, welche durch Datensätze wiedergegeben werden, durch eine sich anschließende menschengemachte Entscheidung wieder aufgelöst werden. Es könnte auch eine Art Sperrmechanismus für nachgewiesenermaßen Diskriminierungspotential enthaltene Datensets eingeführt werden. Hier wären die oben bereits unter 1. in Bezug genommenen geforderten Erleichterungen für den standardisierten Datenzugriff von NGOs und gemeinwohlorientierten Einrichtungen, die mit dem Ziel der Steigerung von Datenqualitäten einen Datenzugriff erhalten wollen, hilfreich.
Der djb engagiert sich, damit sich die mit dem Datengesetz neu angestoßenen Datennutzungen nicht als Diskriminierungsmaschine erweisen. Es bedarf politischer Regulierungen, um männlich dominierte Strukturen aufzubrechen. Der djb ist überzeugt, dass das Ziel eines vertrauenswürdigen Daten-Governance-Rahmens nur erreicht werden kann, wenn die Erkenntnis, dass die Wahrung der Rechte und Interessen von Frauen und diskriminierungsgefährdeten Personen in der Regel nicht durch herkömmliche technische Entwicklungs- und Produktionsprozesse der Informations- und Kommunikations-Industrie gegeben ist, angemessen berücksichtigt wird. Er verweist hierzu auch auf seine Ausführungen zur Digitalisierung in den djb-Wahlforderungen und auf seine ausführliche Stellungnahme zum aktuellen Entwurf der EU-KI-Verordnung.
Prof. Dr. Maria Wersig
Präsidentin
Anke Stelkens
Vorsitzende der Kommission Digitales
[1] Siehe insgesamt dazu Criado-Perez "Unsichtbare Frauen" München 2020; auch Fröhlich, Wiebke, Männer fahren LKW, Frauen erziehen Kinder, VerfBlog, 2020/11/06, abrufbar unter: verfassungsblog.de/diskriminierende-facebook-algorithmen/ (Zugriff: 30.6.2021), DOI: 10.17176/20201106-115353-0; spezifisch zu Gesundheitsdaten vgl. Jeffrey Dastin, Amazon scraps secret AI recruiting tool that showed bias against women, abrufbar unter: www.reuters.com/article/us-amazon-com-jobs-automation-insight-idUSKCN1MK08G abgerufen (Zugriff: 30.6.2021).
[2] Sachverständigenkommission für den Dritten Gleichstellungsbericht der Bundesregierung, Digitalisierung geschlechtergerecht gestalten. Gutachten für den Dritten Gleichstellungsbericht der Bundesregierung, abrufbar auf: www.dritter-gleichstellungsbericht.de/kontext/controllers/document.php/130.b/e/41aa0a.pdf (Zugriff: 30.06.2021).
[3] Siehe zusammenfassend dazu Dachwitz "Neues Datengesetz der EU erntet massive Kritik aus der Zivilgesellschaft" https://netzpolitik.org/2022/data-act-verordnung-neues-datengesetz-der-eu-erntet-massive-kritik-aus-der-zivilgesellschaft mit weiteren Nachweisen wie z.B. zur Position des Think Tank Open Future https://openfuture.eu/blog/a-first-look-at-the-data-act/ oder auf die Wikimedia Foundation https://www.wikimedia.de/presse/data-act-der-eu-wikimedia-fordert-vereinfachte-nutzung-von-datenbanken/; zu Datenteilungsmodellen mit Gemeinwohlbezug vgl. auch das Projekt „Ethik der Algorithmen“ der Bertelsmann-Stiftung https://algorithmenethik.de.