Offenlegung von Datenethik

RDi: Was sind die zentralen Punkte der Regelung zur Offenlegung der Datenethik-Grundsätze? 

Sørensen: Das dänische Rechnungslegungsgesetz ist 2020 um die Vorschrift § 99d ergänzt worden, die bestimmte Unternehmen zur Berichterstattung über Datenethik verpflichtet. Berichtspflichtig sind Unternehmen, die nach dem Gesetz als „groß“ gelten, sowie alle börsennotierten Unternehmen. Erfasst sind somit dieselben Unternehmen, die derzeit (noch) zur Nachhaltigkeitsberichterstattung verpflichtet sind. Zudem wurde das Gesetz dahingehend geändert, dass auch Finanzinstitute erfasst sind, so dass insgesamt etwa 1.300 Unternehmen berichtspflichtig sind. Konzernobergesellschaften müssen auf konsolidierter Basis berichten und erläutern, wie ihre Grundsätze konzernweit umgesetzt werden.

RDi: In welcher Form müssen die Unternehmen Auskunft geben?

Sørensen: Die Datenethik-Grundsätze sind – ebenso wie nichtfinanzielle Informationen – im Lagebericht zu veröffentlichen. Ansonsten ist die Regelung bewusst knapp gehalten und enthält keine Definition des Begriffs „Datenethik“. Sie verlangt nur Angaben zur Befassung des Unternehmens mit Fragen der Datenethik und zu entsprechenden Grundsätzen. Solche Grundsätze können beispielsweise den Einsatz von Technologien wie Künstlicher Intelligenz oder maschinellem Lernen innerhalb des Unternehmens sowie dessen interne Leitlinien oder Zielvorgaben zum verantwortungsvollen Umgang mit Daten beschreiben.

RDi: Was versteht man in Dänemark unter Datenethik?

Sørensen: Allgemein versteht man den Begriff als die ethische Dimension des Zusammenspiels von Technologie und Grundrechten, Rechtssicherheit sowie gesellschaftlichen Werten, die durch technologischen Fortschritt Änderungen unterworfen sind. Das Konzept geht somit weit über reine Datenschutz-Compliance hinaus. Gleichwohl konzentrieren sich viele Unternehmen bislang auf die Umsetzung der DS-GVO – entgegen der Intention des Gesetzgebers, sämtliche Formen der Datennutzung einzubeziehen.

RDi: Besteht eine Pflicht zur Einführung von Datenethik-Grundsätzen?

Sørensen: Es gilt keine zwingende Verpflichtung zu deren Einführung. Unternehmen müssen nur berichten, ob sie über Datenethik-Grundsätze verfügen. Andernfalls muss deren Fehlen begründet werden. Dieser sogenannte Comply-or-Explain-Ansatz soll Unternehmen dazu anregen, freiwillig entsprechende Richtlinien zu entwickeln. Eine Umfrage aus dem Jahr 2024 zeigt, dass mittlerweile etwa die Hälfte der berichtspflichtigen Unternehmen Datenethik-Grundsätze eingeführt hat. Als der Gesetzgeber 2020 die Regelung einführte, argumentierte er, das Thema sei für viele Unternehmen noch neu und eine verbindliche Pflicht daher verfrüht. Angesichts der aktuellen politischen Bestrebungen, Bürokratie zu reduzieren, dürfte auch künftig nicht mit einer Verschärfung zu rechnen sein.

RDi: Was hat den Gesetzgeber dazu veranlasst, diese Regelung zu schaffen?

Sørensen: Eine Expertengruppe hatte 2018 empfohlen, eine solche Berichtspflicht einzuführen. Hintergrund war die wachsende Bedeutung von Daten in Geschäftsmodellen. Dänische Unternehmen sollten befähigt werden, das Potenzial von Daten verantwortungsvoll und ethisch reflektiert zu nutzen. Zugleich sollte Transparenz über datenethische Praktiken einen neuen Wettbewerbsfaktor schaffen – sowohl national als auch international. Dänemark war sich bewusst, dass es mit dieser Initiative weltweit Pionierarbeit leistet.

RDi: Wie hat die Wirtschaft auf die Regelung reagiert?

Sørensen: Eine 2021 durchgeführte Umfrage (abrufbar unter https://dataethics.eu) zeigt, dass Unternehmen grundsätzlich Vorteile der Beschäftigung mit Datenethik sehen. Die Umfrage umfasste ein breites Spektrum von Unternehmen, darunter viele, die aufgrund ihrer Größe nicht zur Berichterstattung verpflichtet waren. 56 % der dänischen KMU glaubten, dass ihr Geschäft gestärkt wird, wenn sie (potenziellen) Kunden zeigen, wie sie mit Datenethik umgehen. 8 % der befragten Unternehmen waren der Meinung, dass die Nutzung der Datenverantwortung als Wettbewerbsparameter zu einem Umsatzanstieg geführt haben.