Professor Dr. Thomas Hoeren ist Direktor der zivilrechtlichen Abteilung des Instituts für Informations-, Telekommunikations- und Medienrecht (ITM) an der Westfälischen Wilhelms-Universität Münster und Mitherausgeber der MMR.
Stefan Pinelli ist Rechtsanwalt und Leiter der Hauptabteilung Recht DIGITAL bei der Volkswagen AG in Wolfsburg.
c5571d91-4392-4813-8c3f-314593d0834d.jpg?sfvrsn=6cd1fa36_1)
5a891363-4297-49d0-8af5-5806ef25f32c.jpg?sfvrsn=417ca51b_1)
2023, 905 Nahezu unbeachtet von der internationalen Öffentlichkeit - zumindest im Westen - hat sich entlang der Seidenstraße eine sehr interessante Welt neuer informationsrechtlicher Regulierungsansätze und Trends aufgetan. Wir beobachten - Thomas Hoeren als Research Fellow der Taschkent State University of Law (TSUL) und Stefan Pinelli aus anwaltlicher Sicht - seit einiger Zeit diese Trends aufmerksam und versuchen, die Neuerungen in Zentralasien zu verstehen und einzuordnen. Dies gelingt uns nur dank unseres kontinuierlichen Dialogs. Wie sich anhand verschiedener Beispiele aufzeigen lässt, entsteht in Zentral- und Ostasien ein Mosaik von Denkansätzen im Informationsrecht.
1. China: Die Interim Measures for the Management of Generative Artificial Intelligence Services
Seit 15.8.2023 sind in China die „Interim Measures for the Management of Generative Artificial Intelligence Services“ hin-sichtlich des Angebots generativer KI-Dienste in Kraft. Die KI-Maßnahmen sollen sicherstellen, dass in China ein Umfeld gefördert werden kann, das den verantwortungsvollen Einsatz generativer Künstlicher Intelligenz (GenKI) ermöglicht, ohne der nationalen Sicherheit, dem sozialen und öffentlichen Interesse sowie den legitimen Rechten und Interessen der Bürger, einschließlich juristischer Personen und Organisationen, Schaden zuzufügen. Die KI-Maßnahmen gelten für die Nutzung der GenKI-Technologie zur Bereitstellung von GenKI-Diensten für die Öffentlichkeit im Hoheitsgebiet der Volksrepublik China (VRC). Sollten jedoch besondere Vorschriften für die Nutzung von GenKI-Diensten für Tätigkeiten wie die Verbreitung von Nachrichten, die Produktion von Film und Fernsehen sowie das literarische und künstlerische Schaffen in Kraft sein, so haben diese Vorschriften Vorrang vor den KI-Maßnahmen. Darüber hinaus sind Industrieverbände, Unternehmen, Bildungs- und Forschungseinrichtungen, Kultureinrichtungen und bestimmte professionelle Einrichtungen, die die GenKI-Technologie entwickeln und anwenden, aber keine GenKI-Dienste für die Öffentlichkeit anbieten, von der Anwendung der KI-Maßnahmen ausgenommen. Der erste Entwurf der KI-Maßnahmen sah eine solche Ausnahmeregelung nicht vor und galt für alle Arten von Anwendungen der GenKI-Technologie.
Gemäß den KI-Maßnahmen müssen die Bereitstellung und Nutzung von GenKI-Diensten mit den bestehenden Gesetzen und Vorschriften übereinstimmen und die soziale Moral und Ethik wahren. Organisationen, die GenKI nutzen, um Produkte oder Dienstleistungen für die Öffentlichkeit in China bereitzustellen, sind verpflichtet, strenge Maßnahmen zu ergreifen, um die Möglichkeit der Erstellung von Inhalten auszuschließen, die zB die nationale Sicherheit gefährden. Organisationen müssen ferner Prozesse wie die Entwicklung von Algorithmen, die Auswahl von Trainingsdaten, die Modellerstellung und die Optimierung sorgfältig kuratieren, um die Entstehung und Verbreitung unbeabsichtigter Diskriminierung proaktiv zu verhindern. Außerdem müssen sie strenge interne Maßnahmen ergreifen, um alle Geschäftsgeheimnisse und Rechte des geistigen Eigentums zu respektieren und zu schützen und gleichzeitig die Möglichkeit von Monopolen oder unlauterem Wettbewerb minimieren.
2. Indien: Der Digital Personal Data Protection Act
Am 11.8.2023 erfolgte in Indien mit dem Digital Personal Data Protection Act (DPDP Act) die Zustimmung zu einem ersten eigenen Gesetz zum Datenschutz. Dieser regelt die Verarbeitung personenbezogener Daten, wenn sie in digitaler Form gesammelt oder nachträglich digitalisiert werden, hinsichtlich des Rechts des Einzelnen auf Schutz seiner personenbezogenen Daten und der Notwendigkeit, personenbezogene Daten für rechtmäßige Zwecke und für damit zusammenhängende Angelegenheiten zu verarbeiten. Das Gesetz findet keine Anwendung auf nicht-digitalisierte Daten. Section 3 DPDP Act legt den Geltungsbereich fest: Unternehmen mit Sitz in Indien fallen in den Anwendungsbereich, wenn sie innerhalb Indiens digitale personenbezogene Daten oder nicht-digitale personenbezogene Daten, die nachträglich digitalisiert werden, verarbeiten. Beachtet werden muss aber, dass die Anwendbarkeit des DPDP Act nicht davon abhängt, ob ein Unternehmen in Indien „niedergelassen“ ist. Der DPDP Act gilt auch außerhalb Indiens, wenn Unternehmen personenbezogene Daten außerhalb Indiens verarbeiten, aber die Tätigkeit mit dem Angebot von Waren oder Dienstleistungen an in Indien ansässige Personen verbunden ist (Sec. 3 (b) DPDP Act). Es ist unklar, ob dies auch die Überwachung von Verhaltensweisen einschließt, da eine Bestimmung, die darauf Bezug nahm, in der endgültigen Fassung des Gesetzes gestrichen wurde. Durch entsprechende Bekanntmachung kann die Zentralregierung den Transfer von persönlichen Daten in bestimmte Länder außerhalb Indiens beschränken (Sec. 16 DPDP Act, „Negativliste“). Das Gesetz gilt auch nicht für personenbezogene Daten, die von der betroffenen Person oder auf Grund eines Gesetzes öffentlich zugänglich gemacht werden (Sec. 3 (c) DPDP Act).
Der DPDP Act regelt die Verarbeitung personenbezogener Daten von Dateninhabern. Diese müssen einen Verarbeitungszweck angeben und die von der Verarbeitung betroffenen personenbezogenen Daten beschreiben (Sec. 5 (1) DPDP Act). Wenn sie sich auf eine Einwilligung stützen, darf die Verarbeitung nur zur Erreichung des angegebenen Zwecks erforderlich sein (Sec. 6 (1) DPDP Act). Sie müssen die Speicherung personenbezogener Daten einstellen und sie löschen, sobald der Zweck, für den die Daten erhoben wurden, erreicht ist und die Speicherung auf Grund einer gesetzlichen Verpflichtung nicht mehr erforderlich ist (Sec. 8 (7) DPDP Act). Section 4 regelt die Übermittlung personenbezogener Daten außerhalb Indiens: Er legt fest, dass ein Datentreuhänder personenbezogene Daten zur Verarbeitung in jedes Land außerhalb Indiens übermitteln darf, mit Ausnahme von Ländern, auf die die Zentralregierung die Übermittlung durch eine Mitteilung beschränken kann.
3. Georgien: Blockchain und Bitfury
Nach einer Reihe von Diskussionen über Blockchain-Technologie zwischen dem technischen Anbieter Bitfury und der Republik Georgien schlossen die beiden Parteien bereits im April 2016 eine Partnerschaft, um ein einjähriges Pilotprojekt rund um die Umstellung des Grundbuchsystems des Landes auf eine Blockchain-Plattform zu starten. Die Effizienz des georgischen Grundbuchs übertrifft seitdem die Effizienz von Ländern wie den Vereinigten Staaten und Deutschland, die im Durchschnitt 15,2 bzw. 39 Tage für die Registrierung von Grundstücken benötigen. Beeindruckt von der Effizienz und Transparenz einer ersten Testphase beschloss die georgische Regierung, das Projekt zu erweitern und unterzeichnete im Februar 2017 ein Memorandum, um Phase 2 einzuleiten. Als Reaktion darauf hat Georgien die Blockchain-basierte Landregistrierung frühzeitig eingeführt und im Jahr 2018 mehr als 1,5 Mio. Landtitel registriert. Die georgische Regierung ist in der Lage, den Bürgern digitale Zertifikate zur Verfügung zu stellen, die das Eigentum mit einem Zeitstempel und anderen kryptografischen Nachweisen in weniger als drei Minuten legitimieren. Die Blockchain kann dazu beitragen, den Prozess der Landregistrierung zu rationalisieren, aber die Kontrolle der Datensicherheit ist entscheidend, um die Integrität der Daten zu gewährleisten. Ab 2024 soll dann die Blockchain kombiniert werden mit intelligenten Verträgen (Smart Contracts), damit in Kombination mit hoher Informationssicherheit und KI weitere staatliche Bereiche für den Einzug neuer digitaler Technologien geschaffen werden können.
4. BRICS & Co.?
Unser Eindruck: Es tut sich etwas in Asien. Das ist auch bedingt durch die Entwicklung in den BRICS-Staaten. Die BRICS-Staaten sind ein Zusammenschluss von Schwellen- und Industrieländern, bestehend derzeit aus Brasilien, Russland, Indien, China und Südafrika. Im Umfeld befinden sich noch eine Reihe von Kandidaten, die ebenfalls zu dem Netzwerk dazugehören wollen. Politisch und wirtschaftlich könnten die Mitglieder nicht unterschiedlicher ausgerichtet sein. Südafrika, Indien und Brasilien auf der einen Seite, Russland auf der anderen Seite und China. Die Bedeutung der BRICS-Staaten zeigt sich in ihrer seit Gründung gestiegenen Wirtschaftskraft im internationalen Vergleich. So erwirtschafteten diese nach Angaben des Internationalen Währungsfonds im Jahr 2022 rund 26% des globalen Bruttoinlandsprodukts, im Jahr 2018 waren es noch 18%. Dabei entfiel jedoch ein Großteil des Wachstums auf China, während die Wirtschaft in Russland, Brasilien und Südafrika stagnierte. Aus der Analyse der Stiftung Wissenschaft und Politik ergab sich so, dass das Ziel der Gemeinschaft, die aufstrebenden Wirtschaftsmächte zu sein, an Bedeutung verliere. Wichtiger sei vielmehr der Wunsch nach einer neuen globalen Ordnung. So soll im Jahr 2024 das Bündnis mit den Staaten Saudi-Arabien, Iran, den Vereinigten Arabischen Emiraten, Ägypten und Äthiopien erweitert werden. Künftig wird dann aus BRICS das BRICS Plus. Diese Erweiterung soll der Kooperation der Vereinigung neue Impulse verleihen. BRICS Plus soll ein Gegengewicht zur westlichen Dominanz bilden. Mit dem steigenden Einfluss der BRICS-Staaten stellt sich auch die Frage nach dem Informationsrecht in einzelnen BRICS-Mitgliedstaaten und Beitrittskandidaten. Hier begreift man Technologien wie KI oder Quanten Computing als Chance für einen großen technologischen Sprung. Mit großer Spannung wird auch für europäische Experten zu beobachten bleiben, wie im Rahmen dieser Neuentwicklungen ethische Prinzipien und Menschenrechte ihre angemessene Berücksichtigung finden.